Adatfelderítési & besorolás

A következőkre vonatkozik:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

A Data Discovery & besorolás az Azure SQL Database-be, az Azure SQL Managed Instancebe és az Azure Synapse Analyticsbe van beépítve. Alapvető képességeket biztosít az adatbázisokban lévő bizalmas adatok felderítéséhez, osztályozásához, címkézéséhez és jelentéséhez.

A legérzékenyebb adatok közé tartozhatnak üzleti, pénzügyi, egészségügyi vagy személyes adatok. Infrastruktúraként szolgálhat a következőkhöz:

• Segítség az adatvédelemre és a jogszabályi megfelelőségre vonatkozó követelményeknek való megfeleléshez.
• Különböző biztonsági forgatókönyvek, például a bizalmas adatokhoz való hozzáférés figyelése (naplózása).
• A rendkívül bizalmas adatokat tartalmazó adatbázisokhoz való hozzáférés szabályozása és biztonságának növelése.

Jegyzet

További információért a helyszíni SQL Serverről, lásd: SQL Data Discovery & Besorolás.

Borravaló

A Microsoft Purview Information Protection-szabályzatokat használó címkealapú hozzáférés-védelem előzetes verzióban érhető el. További információ: Hozzáférés-vezérlés engedélyezése bizalmas adatokhoz a Microsoft Purview Information Protection-szabályzatok (nyilvános előzetes verzió)használatával.

Mi az a Data Discovery & besorolás?

A Data Discovery & Besorolás jelenleg a következő képességeket támogatja:

• Felderítés és javaslatok: A besorolási motor megvizsgálja az adatbázist, és azonosítja a potenciálisan bizalmas adatokat tartalmazó oszlopokat. Így egyszerűen áttekintheti és alkalmazhatja az ajánlott besorolást az Azure Portalon.

• címkézés: Az SQL Server adatbázismotorhoz hozzáadott új metaadat-attribútumok használatával tartósan alkalmazhat bizalmassági besorolású címkéket az oszlopokra. Ez a metaadatok ezután bizalmassági alapú naplózási forgatókönyvekhez használhatók.

• Lekérdezési eredményhalmaz bizalmassága: A lekérdezési eredményhalmaz bizalmassága naplózási célból valós időben van kiszámítva.

• Láthatóság: Az adatbázis-besorolás állapotát az Azure Portal részletes irányítópultján tekintheti meg. Emellett letöltheti a jelentéseket Excel formátumban megfelelőségi és naplózási célokra és egyéb igényekre.

Bizalmas oszlopok felderítése, besorolása és címkézése

Ez a szakasz a következő lépésekre mutat be:

• Bizalmas adatokat tartalmazó oszlopok felderítése, besorolása és címkézése az adatbázisban.
• Az adatbázis aktuális besorolási állapotának megtekintése és jelentések exportálása.

A besorolás két metaadat-attribútumot tartalmaz:

• Címkék: Az oszlopban tárolt adatok bizalmassági szintjének meghatározásához használt fő besorolási attribútumok.
• Adattípusok: Az oszlopban tárolt adatok típusával kapcsolatos részletesebb információkat nyújtó attribútumok.

Information Protection-szabályzat

Az Azure SQL az SQL Information Protection-szabályzatot és a Microsoft Information Protection-szabályzatot is kínálja az adatbesorolásban, és a követelményeknek megfelelően választhatja ki a két szabályzat egyikét.

SQL Information Protection-szabályzat

A Data Discovery & Besorolás beépített bizalmassági címkékkel és információtípusokkal rendelkezik, amelyek felderítési logikája natív az SQL logikai kiszolgálón. Továbbra is használhatja az alapértelmezett szabályzatfájlban elérhető védelmi címkéket, vagy testre szabhatja ezt az osztályozást. A besorolási szerkezetek halmazát és rangsorolását kifejezetten a környezetéhez határozhatja meg.

A besorolási osztályozás definiálása és testreszabása

A besorolási osztályozást egy központi helyen határozhatja meg és szabhatja testre a teljes Azure-szervezet számára. Ez a hely, amely a biztonsági szabályzat része, a Microsoft Defender for Cloudrendszerében található. Ezt a feladatot csak a szervezet gyökérszintű felügyeleti csoportjában rendszergazdai jogosultsággal rendelkező személy végezheti el.

A szabályzatkezelés részeként definiálhat egyéni címkéket, rangsorolhatja őket, és hozzárendelheti őket egy kiválasztott információtípushoz. Saját egyéni adattípusokat is hozzáadhat, és sztringmintákkal konfigurálhatja őket. A minták hozzáadódnak a felderítési logikához az ilyen típusú adatok azonosításához az adatbázisokban.

További információkért lásd: A SQL-információvédelem szabályzat testreszabása a Microsoft Defender for Cloud (előzetes verzió) alkalmazásában.

A szervezeti szintű szabályzat definiálása után a testre szabott szabályzat használatával továbbra is osztályozhatja az egyes adatbázisokat.

Adatbázis besorolása SQL Information Protection-szabályzat módban

Jegyzet

Az alábbi példa az Azure SQL Database-t használja, de ki kell választania a megfelelő terméket, amelyet konfigurálni szeretne a Data Discovery & besoroláshoz.

1. Lépjen a Azure Portal.

2. Menjen a(z) Data Discovery & Besorolás ponthoz az Azure SQL Database panelen a(z) Biztonsági cím alatt. Az Áttekintés lap az adatbázis aktuális besorolási állapotának összegzését tartalmazza. Az összegzés tartalmazza az összes besorolt oszlop részletes listáját, amelyet szűrhet is, hogy csak bizonyos sémarészeket, információtípusokat és címkéket jelenítsen meg. Ha még nem sorolt be oszlopokat, ugorjon a 4. lépésre.

   

3. Ha Excel formátumban szeretne letölteni egy jelentést, válassza exportálása lehetőséget a panel felső menüjében.

4. Az adatok besorolásának megkezdéséhez válassza a Besorolás lapot az Adatfelderítés & Besorolás lapon.

   A besorolási motor megvizsgálja az adatbázist a potenciálisan bizalmas adatokat tartalmazó oszlopokon, és felsorolja az ajánlott oszlopbesorolásokat.

5. Besorolási javaslatok megtekintése és alkalmazása:

   • Az ajánlott oszlopbesorolások listájának megtekintéséhez válassza a javaslatok panelt a panel alján.

   • Ha egy adott oszlopra vonatkozó javaslatot szeretne elfogadni, jelölje be a megfelelő sor bal oldali oszlopában lévő jelölőnégyzetet. Ha minden javaslatot elfogadottként szeretne megjelölni, jelölje be a bal szélső jelölőnégyzetet a javaslatok táblafejlécében.

   • A kijelölt javaslatok alkalmazásához válassza A kijelölt javaslatok elfogadásalehetőséget.

   

Jegyzet

A javaslati motor, amely automatikus adatfelderítést végez, és bizalmas oszlopjavaslatokat biztosít, le van tiltva a Microsoft Purview Information Protection szabályzatmód használata esetén.

1. Az oszlopokat manuálisan is besorolhatja alternatívaként vagy a javaslatalapú besorolás mellett:

   1. Válassza A besorolás hozzáadása opciót a panel felső menüjében.

   2. A megnyíló környezeti ablakban válassza ki a besorolni kívánt sémát, táblázatot és oszlopot, valamint az információtípust és a bizalmassági címkét.

   3. Válassza a Besorolás hozzáadása lehetőséget a környezeti ablak alján.

   

2. A besorolás befejezéséhez és az adatbázisoszlopok új besorolási metaadatokkal való tartós címkézéséhez válassza a Mentés lehetőséget a Besorolás lapon.

Microsoft Purview Information Protection-szabályzat

Jegyzet

A Microsoft Information Protection (MIP) név mostantól Microsoft Purview Information Protection. Ebben a dokumentumban a "MIP" és a "Microsoft Purview Information Protection" is felcserélhető, de ugyanezre a fogalomra hivatkozik.

A Microsoft Purview Information Protection-címkék egyszerű és egységes módot biztosítanak a felhasználók számára a bizalmas adatok különböző Microsoft-alkalmazások közötti egységes besorolására. A MIP bizalmassági címkék létrehozása és kezelése a Microsoft Purview megfelelőségi portálon történik. Ha tudni szeretné, hogyan hozhat létre és tehet közzé bizalmas MIP-címkéket a Microsoft Purview megfelelőségi portálján, olvassa el Bizalmassági címkék létrehozása és közzétételecímű témakört.

A Microsoft Purview Information Protection-szabályzatra való váltás előfeltételei

• Az Azure SQL Database adatvédelmi szabályzatának beállítása/módosítása beállítja a megfelelő adatvédelmi szabályzatot a bérlő alatti összes adatbázishoz. A felhasználónak vagy személynek bérlőszintű biztonsági rendszergazdai engedéllyel kell rendelkeznie ahhoz, hogy az adatvédelmi szabályzatot SQL Information Protection-szabályzatról MIP-házirendre módosítsa, vagy fordítva.
• A bérlőszintű biztonsági rendszergazdai engedéllyel rendelkező felhasználó vagy személy a bérlő legfelső szintű felügyeleti csoport szintjén alkalmazhat szabályzatot. További információ: Bérlőszintű engedélyek megszerzése saját magának.
• Az Ön bérlője aktív Microsoft 365-előfizetéssel rendelkezik, és Ön címkéket publikált az aktuális felhasználó számára. További információ: Bizalmassági címkék és szabályzataik létrehozása és konfigurálása.

Adatbázis besorolása Microsoft Purview Information Protection-szabályzat módban

1. Lépjen a Azure Portal.

2. Navigálás az adatbázishoz az Azure SQL Database-ben

3. Menjen az adatbázispanelben a Biztonsági fejléc alatt található Adatfelderítés & osztályozás részhez.

4. Microsoft Information Protection-szabályzatkiválasztásához válassza az Áttekintés lapot, majd válassza a konfigurálása lehetőséget.

5. Válassza Microsoft Information Protection-házirend lehetőséget az Information Protection-házirend beállításai között, majd válassza a Mentéslehetőséget.

   

6. Ha a Besorolás lapra lép, vagy a Besorolás hozzáadásalehetőséget választja, a Microsoft 365 bizalmassági címkéi megjelennek a Bizalmassági címke legördülő listában.

   

   

• Az adattípus [n/a] az MIP-házirend módban van, miközben az automatikus adatfelderítési & javaslatok továbbra is le vannak tiltva.

• Figyelmeztető ikon jelenhet meg egy már besorolt oszlopon, ha az oszlop besorolása az aktuálisan aktív szabályzattól eltérő Information Protection-szabályzattal történt. Ha például az oszlop címkével lett besorolva az SQL Information Protection-szabályzattal korábban, és most Microsoft Information Protection-szabályzat módban van. az adott oszlopra figyelmeztető ikon jelenik meg. Ez a figyelmeztető ikon nem jelez problémát, de csak tájékoztatási célokra használható.

  

Hozzáférés-vezérlés engedélyezése bizalmas adatokhoz a Microsoft Purview Information Protection-szabályzatokkal (nyilvános előzetes verzió)

Az Azure SQL Database támogatja a hozzáférés-vezérlés kikényszerítését a Microsoft Purview Information Protection (MIP) bizalmassági címkékkel címkézett bizalmas adatokkal rendelkező oszlopokon a Microsoft Purview Information Protection hozzáférési szabályzataival.

A Purview hozzáférési szabályzatai lehetővé teszik a szervezetek számára a bizalmas adatok védelmét az adatforrásaikban. Lehetővé teszik az olyan személyek számára, mint a vállalati biztonsági/megfelelőségi rendszergazdák, hogy hozzáférés-vezérlési műveleteket konfiguráljanak és kényszeríthessenek ki az adatbázisaikban lévő bizalmas adatokon, biztosítva, hogy a bizalmas adatokhoz illetéktelen felhasználók ne férhessenek hozzá egy adott bizalmassági címke esetében. A Purview-hozzáférési szabályzatok az Azure SQL Database oszlopszintű részletességében vannak érvényben, így a bizalmas adatok védelme nem blokkolja az adatbázistáblák nem bizalmas adatoszlopaihoz való hozzáférést.

A Purview hozzáférési szabályzatainak konfigurálásához és érvényesítéséhez a felhasználónak érvényes Microsoft 365-licenccel kell rendelkeznie, és az adatbázist regisztrálnia kell a Purview-adattérképen, és be kell olvasnia, hogy a Purview hozzárendelje a MIP bizalmassági címkéket a bizalmas adatokat tartalmazó adatbázisoszlopokhoz. A bizalmassági címkék hozzárendelése után a felhasználó konfigurálhatja a Purview hozzáférési szabályzatait, hogy kényszerítse tiltsa műveleteket egy adott bizalmassági címkével rendelkező adatbázisoszlopokon, és az oszlopokban lévő bizalmas adatokhoz való hozzáférést csak egy engedélyezett felhasználóra vagy felhasználócsoportra korlátozza.

Hozzáférési szabályzat konfigurálása és engedélyezése a Purview for Azure SQL Database-ben

Kövesse az alábbi lépéseket az Azure SQL Database Purview hozzáférési szabályzatainak konfigurálásához és használatához:

1. Győződjön meg arról, hogy rendelkezik a Microsoft 365 és a Purviewszükséges licencfeltételekkel.
2. Szerepkörök és engedélyek beállítása a felhasználók számára.
3. Adatvédelmi címkék létrehozása vagy kiterjesztése a Purview szolgáltatásban az Azure SQL Database-hez. Győződjön meg arról is, hogy közzéteszi a bizalmassági címkéket a szervezet szükséges felhasználói számára.
4. Regisztráljon és vizsgálja meg az Azure SQL-adatbázisát a bizalmassági címkék automatikus alkalmazásához.
5. hozzáférés-vezérlési szabályzat létrehozása és konfigurálása a Purview for Azure SQL Database-ben.

Miután a hozzáférési szabályzatot konfigurálta és közzétette a Purview-ban, egy jogosulatlan felhasználó által a szabályzatra hatókörrel rendelkező bizalmassági címkével rendelkező SQL-adatbázis oszlopainak elérésére irányuló T-SQL-lekérdezés futtatására tett kísérlet sikertelen lesz. Ha ugyanaz a lekérdezés nem tartalmaz bizalmas oszlopokat, a lekérdezés sikeres lesz.

Korlátozások

Adatbázis georeplikája vagy másolásakor az elsődleges adatbázis oszlopaihoz rendelt bizalmassági címkék nem jutnak automatikusan az új/másodlagos adatbázisba, és a Purview hozzáférés-vezérlési szabályzatai nem lesznek automatikusan alkalmazva az új/másodlagos adatbázisra. Az új/másodlagos adatbázis hozzáférés-vezérlésének engedélyezéséhez regisztrálja és vizsgálja meg külön a Purview-ban. Ezután konfigurálja a hozzáférési szabályzatokat úgy, hogy az új/másodlagos adatbázist is tartalmazza.

Bizalmas adatokhoz való hozzáférés ellenőrzése

A besorolás fontos eleme a bizalmas adatokhoz való hozzáférés figyelésének képessége. Az Azure SQL naplózást továbbfejlesztettük, hogy a napló tartalmazzon egy új mezőt data_sensitivity_information. Ez a mező naplózza a lekérdezés által visszaadott adatok bizalmassági besorolását (címkéit). Íme egy példa:

Ezek azok a tevékenységek, amelyek valójában bizalmassági adatokkal ellenőrizhetők:

• TÁBLA MÓDOSÍTÁSA ... OSZLOP ELTÁVOLÍTÁSA
• TÖMEGES BESZÚRÁS
• Kiválasztás
• TÖRÖL
• BEILLESZT
• ÖSSZEFŰZÉS
• FRISSÍT
• SZÖVEGFRISSÍTÉS
• SZÖVEGÍRÁS
• TÁBLA ELTÁVOLÍTÁSA
• BIZTONSÁGI MENTÉS
• DBCC CloneDatabase
• SELECT INTO
• BESZÚRÁS AZ EXEC-BE
• TRUNCATE TABLE (tábla csonkítása)
• DBCC SHOW_STATISTICS (statisztikai adatok megtekintése)
• sys.dm_db_stats_histogram

Az sys.fn_get_audit_file használatával adatokat kaphat vissza egy Azure Storage-fiókban tárolt auditfájlból.

Engedélyek

Ezek a beépített szerepkörök beolvashatják az adatbázisok adatbesorolását:

• Tulajdonos
• Olvasó
• Közreműködő
• SQL Biztonsági Kezelő
• Felhasználói hozzáférés rendszergazdája

Az adatbázisok adatbesorolásának olvasásához a következő műveletek szükségesek:

• Microsoft.Sql/servers/databases/currentSensitivityLabels/*
• Microsoft.Sql/szerverek/adatbázisok/ajánlottÉrzékenységiCímkék/*
• Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Ezek a beépített szerepkörök módosíthatják az adatbázisok adatbesorolását:

• Tulajdonos
• Közreműködő
• SQL Biztonsági Kezelő

Az adatbázis adatbesorolásának módosításához a következő műveletek szükségesek:

• Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Ismerje meg részletesebben a szerepköralapú engedélyeket az Azure RBACsegítségével.

Jegyzet

Az ebben a szakaszban szereplő Azure SQL beépített szerepkörök egy dedikált SQL-készletre (korábbi nevén SQL DW) vonatkoznak, de dedikált SQL-készletekhez és más SQL-erőforrásokhoz nem érhetők el az Azure Synapse-munkaterületeken belül. Az Azure Synapse-munkaterületeken található SQL-erőforrások esetében az adatbesoroláshoz elérhető műveletekkel szükség szerint egyéni Azure-szerepköröket hozhat létre a címkézéshez. A Microsoft.Synapse/workspaces/sqlPools szolgáltatói műveleteiről további információt a Microsoft.Synapse-nél talál.

Besorolások kezelése

A besorolások kezeléséhez használhat T-SQL-t, REST API-t vagy PowerShellt.

A T-SQL használata

A T-SQL használatával oszlopbesorolásokat vehet fel vagy távolíthat el, valamint a teljes adatbázis összes besorolását lekérheti.

Jegyzet

Ha a T-SQL használatával kezeli a címkéket, nincs ellenőrzés arra vonatkozóan, hogy az oszlophoz hozzáadott címkék léteznek-e a szervezet adatvédelmi szabályzatában (a portál javaslataiban megjelenő címkék készletében). Tehát önön múlik, hogy érvényesítse ezt.

A T-SQL besorolásokhoz való használatával kapcsolatos információkért tekintse meg a következő hivatkozásokat:

• Egy vagy több oszlop besorolásának hozzáadása vagy frissítése: BIZALMASSÁGI BESOROLÁS HOZZÁADÁSA
• A besorolás eltávolítása egy vagy több oszlopból: ÉRZÉKENYSÉGI BESOROLÁS ELTÁVOLÍTÁSA
• Az adatbázis összes besorolásának megtekintése: sys.sensitivity_classifications

PowerShell-parancsmagok használata

A PowerShell használatával kezelheti az Azure SQL Database és az Azure SQL Managed Instance besorolásait és javaslatait.

PowerShell-parancsmagok az Azure SQL Database-hez

• Get-AzSqlDatabaseSensitivityClassification
• Set-AzSqlDatabaseSensitivityClassification
• Remove-AzSqlDatabaseSensitivityClassification
• Get-AzSqlDatabaseSensitivityRecommendation
• Enable-AzSqlDatabaseSensitivityRecommendation
• Disable-AzSqlDatabaseSensitivityRecommendation - Az ajánlás érzékenységének letiltása az Azure SQL adatbázisban.

PowerShell-parancsmagok az Azure SQL Managed Instance-hez

• Get-AzSqlInstanceAdatbázisÉrzékenységiOsztályozás
• Set-AzSqlInstanceDatabaseSensitivityClassification
• Remove-AzSqlInstanceDatabaseSensitivityClassification
• Get-AzSqlInstanceDatabaseSensitivityRecommendation
• Enable-AzSqlInstanceDatabaseSensitivityRecommendation
• A(z) AzSqlInstance adatbázis érzékenységi ajánlásának letiltása

A REST API használata

A REST API használatával programozott módon kezelheti a besorolásokat és javaslatokat. A közzétett REST API a következő műveleteket támogatja:

• létrehozása vagy frissítése: Létrehozza vagy frissíti a megadott oszlop bizalmassági címkéjét.
• Törlés: Törli a megadott oszlop érzékenységi címkéjét.
• Javaslatok letiltása: Letiltja az érzékenységi javaslatokat a megadott oszlopban.
• Javaslatengedélyezése: Engedélyezi a bizalmassági javaslatokat a megadott oszlopban. (A javaslatok alapértelmezés szerint minden oszlopon engedélyezve vannak.)
• lekérése: Lekéri a megadott oszlop érzékenységi címkéjét.
• List Current By Database: Lekéri a megadott adatbázis aktuális bizalmassági címkéinek listáját.
• A(z)adatbázis által ajánlott bizalmassági címkék listája (). Lekéri a megadott adatbázis ajánlott bizalmassági címkéit.

Besorolási metaadatok lekérése SQL-illesztőprogramokkal

A besorolási metaadatok lekéréséhez az alábbi SQL-illesztőprogramok használhatók:

• Microsoft.Data.SqlClient
• ODBC-illesztő
• OLE DB-illesztő
• JDBC-illesztő
• Microsoft Drivers for PHP for SQL Server

Gyakori kérdések – Speciális besorolási képességek

kérdés: A Microsoft Purview váltja fel az SQL Data Discovery & besorolást, vagy az SQL Data Discovery & besorolása hamarosan megszűnik? Válasz: Továbbra is támogatjuk az SQL Data Discovery & Besorolást, és arra ösztönözzük, hogy olyan Microsoft Purview vezessen be, amely gazdagabb képességekkel rendelkezik a speciális besorolási képességek és az adatszabályozás előmozdításához. Ha úgy döntünk, hogy kivonunk egy szolgáltatást, funkciót, API-t vagy termékváltozatot, előzetes értesítést kap, beleértve a migrálást vagy az áttűnési útvonalat. További információ a Microsoft életciklus-szabályzatairól, itt.

Következő lépések

• Fontolja meg Azure SQL Auditing konfigurálását a bizalmas adatokhoz való hozzáférés figyelésére és naplózására.
• Az adatfelderítési & besorolást tartalmazó bemutatókért lásd: SQL-adatok felderítése, besorolása, címkézése & védelme | Közzétett adatok.
• Az Azure SQL Database-eket és az Azure Synapse Analytics rendszert T-SQL-parancsok segítségével Microsoft Purview címkék hozzáadásával osztályozhatja. További információért lásd: Az Azure SQL-adatok besorolása Microsoft Purview címkék használatával.