Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
SQL Server
Az adatfelderítés és -besorolás funkciókkal bővíti az adatbázisokban lévő bizalmas adatok felderítését, besorolását, címkézését és jelentéskészítését . Ez a T-SQL-en vagy az SQL Server Management Studióval (SSMS) végezhető el. A legérzékenyebb adatok (üzleti, pénzügyi, egészségügyi stb.) felderítése és besorolása kulcsfontosságú szerepet játszhat a szervezeti információvédelem területén. Infrastruktúraként szolgálhat a következőkhöz:
- Segítség az adatvédelmi előírásoknak való megfeleléshez.
- A rendkívül bizalmas adatokat tartalmazó adatbázisokhoz/oszlopokhoz való hozzáférés figyelése.
Megjegyzés:
Az Adatfelderítés és -besorolás az SQL Server 2012-ben és újabb verzióiban támogatott, és az SSMS 17.5-ös vagy újabb verziójával is használható. Az Azure SQL Database-hez lásd az Azure SQL Database Adatfelderítés és -besorolás című témakört.
Áttekintés
A Data Discovery > Besorolás egy új információvédelmi paradigmát alkot az SQL Database, a felügyelt SQL-példány és az Azure Synapse számára, amelynek célja az adatok védelme, és nem csak az adatbázis. Jelenleg a következő képességeket támogatja:
- Felderítés és javaslatok – A besorolási motor megvizsgálja az adatbázist, és azonosítja a potenciálisan bizalmas adatokat tartalmazó oszlopokat. Így egyszerűen áttekintheti és alkalmazhatja a megfelelő besorolási javaslatokat, valamint manuálisan osztályozhatja az oszlopokat.
- Címkézés – A bizalmassági besorolás címkéi folyamatosan címkézhetők az oszlopokon.
- Láthatóság – Az adatbázis besorolási állapota egy részletes jelentésben tekinthető meg, amely kinyomtatható vagy exportálható megfelelőségi és naplózási célokra.
Bizalmas oszlopok felderítése, besorolása és címkézése
Az alábbi szakasz a bizalmas adatokat tartalmazó oszlopok felderítésének, besorolásának és címkézésének, valamint az adatbázis aktuális besorolási állapotának megtekintésének és a jelentések exportálásának lépéseit ismerteti.
A besorolás két metaadat-attribútumot tartalmaz:
- Címkék – Az oszlopban tárolt adatok bizalmassági szintjének meghatározásához használt fő besorolási attribútumok.
- Információtípusok – Részletesebben megadhatja az oszlopban tárolt adatok típusát.
Az SQL Server-adatbázis besorolása:
Az SQL Server Management Studióban (SSMS) csatlakozzon az SQL Serverhez.
Az SSMS Object Explorerben válassza ki azt az adatbázist, amelyet osztályozni szeretne, és válassza a Tasks>Data Discovery and Classification>Classify Data....
A besorolási motor megvizsgálja az adatbázist olyan (csak oszlopneveken alapuló) oszlopokat, amelyek potenciálisan bizalmas adatokat tartalmaznak, és felsorolja az ajánlott oszlopbesorolásokat:
Az ajánlott oszlopbesorolások listájának megtekintéséhez válassza a javaslatok értesítési mezőjét a tetején, vagy az ablak alján található Javaslatok panelt:
Tekintse át a javaslatok listáját:
Ha egy adott oszlopra vonatkozó javaslatot szeretne elfogadni, jelölje be a megfelelő sor bal oldali oszlopában lévő jelölőnégyzetet. Az összes javaslatot elfogadva is megjelölheti, ha bejelöli a javaslatok táblafejlécének jelölőnégyzetét.
Az ajánlott információtípust és bizalmassági címkét a legördülő menük használatával is módosíthatja.
A kijelölt javaslatok alkalmazásához válassza a Kijelölt javaslatok mentése gombot.
Megjegyzés:
A Microsoft Purview Information Protection szabályzatmód használata esetén a javaslatmotor, amely automatikus adatfelderítést végez, és bizalmas oszlopjavaslatokat biztosít, le van tiltva.
A besorolt oszlopok megjelenítéséhez válassza ki a megfelelő sémát és a megfelelő táblát a legördülő listában, majd válassza az Oszlopok betöltése lehetőséget.
Az oszlopokat manuálisan is besorolhatja a javaslatalapú besorolás alternatívaként vagy kiegészítéseként:
Válassza a Besorolás hozzáadása lehetőséget az ablak felső menüjében.
A megnyíló környezeti ablakban adja meg az osztályozni kívánt oszlop nevét, az információ típusát és a bizalmassági címkét. A séma és a táblázat a főoldal bejegyzései alapján van kiválasztva.
Ha egyetlen kísérletben egy adott tábla összes nem besorolt oszlopához szeretne besorolást adni, akkor a Besorolás hozzáadása lap Oszlop legördülő menüjében válassza a Minden besorolatlan lehetőséget.
A besorolás befejezéséhez és az adatbázisoszlopok állandó címkézéséhez (címkézéséhez) az új besorolási metaadatokkal kattintson a Mentés gombra az ablak felső menüjében.
Ha az adatbázis besorolási állapotának teljes összegzését tartalmazó jelentést szeretne létrehozni, válassza a Jelentés megtekintése lehetőséget az ablak felső menüjében. (SSMS használatával is létrehozhat jelentést. Válassza ki azt az adatbázist, amelyben létre szeretné hozni a jelentést, majd válassza a Tasks Data Discovery and Classification Generate Report( Tevékenységadatok>felderítése és besorolása>jelentés létrehozása) lehetőséget...)
Az adatbázis besorolása a Microsoft Purview Information Protection-szabályzattal
Megjegyzés:
A Microsoft Information Protection (rövidítve MIP) a Microsoft Purview Information Protection nevet használja. A MIP és a Microsoft Purview Information Protection kifejezéseket gyakran használják felcserélhetően ebben a dokumentumban, de mindkettő ugyanarra a fogalomra hivatkozik.
A Microsoft Purview Information Protection-címkék egyszerű és egységes módot biztosítanak a felhasználók számára a bizalmas adatok SQL Serverben való besorolására. A MIP bizalmassági címkéinek létrehozása és kezelése a Microsoft 365 megfelelőségi központban történik [a Microsoft Purview megfelelőségi portálként lett létrehozva]. Ha meg szeretné tudni, hogyan hozhat létre és tehet közzé miP-bizalmas címkéket a Microsoft Purview megfelelőségi portálon, olvassa el a Microsoft Information Protection bizalmassági címkék című cikkét.
Mostantól az SSMS használatával osztályozhatja az adatokat a forrásban (SQL Server) a Power BI-ban, az Office-ban és más Microsoft-termékekben használt Microsoft Purview Information Protection-címkékkel. Ezeket a bizalmassági címkéket az adatbázis oszlopszintjén alkalmazza a rendszer, ugyanazzal, mint az SQL Information Protection-szabályzat.
A támogatott adatforrásokban a bizalmassági címkével ellátott adatokhoz csatlakozó Power BI-adathalmazok vagy -jelentések automatikusan örökölhetik ezeket a címkéket, így az adatok besorolása a Power BI-ba való bekerüléskor és az alárendelt alkalmazásokba való exportáláskor is megmarad. A MIP-szabályzat rendelkezésre állása az SSMS-ben lehetővé teszi egy teljes körű, nagyvállalati szintű besorolási megoldás elérését.
A Microsoft Purview Information Protection-szabályzat konfigurálásához szükséges lépések
Az SQL Server Management Studióban (SSMS) csatlakozzon az SQL Serverhez.
Az SSMS Object Explorerben válassza ki azt az adatbázist, amelyet osztályozni szeretne, és válassza a Tasks Data Discovery and ClassificationSet Microsoft Information Protection Policy (>>) beállítást.
Megjelenik egy hitelesítési ablak a Microsoft 365-höz a Microsoft Information Protection-szabályzat beállításához. Válassza a Bejelentkezés lehetőséget, és adjon meg vagy válasszon ki egy érvényes felhasználói hitelesítő adatot a Microsoft 365-bérlő hitelesítéséhez.
Ha a hitelesítés sikeres, megjelenik egy előugró ablak, amelynek állapota sikeres.
Nem kötelező – Ha a Microsoft független felhőbe szeretne bejelentkezni a Microsoft 365 hitelesítéséhez, nyissa meg az SSMS >Tools>Options>Azure Services>Azure Cloud szolgáltatást, és módosítsa a nevet a megfelelő Microsoft szuverén felhőre.
Az SSMS Object Explorer ablakában kattintson a jobb gombbal arra az adatbázisra, amelyet osztályozni szeretne, és válassza a Tasks>Data Discovery és a Classification>Classify Data lehetőséget. Mostantól hozzáadhat új besorolást a Microsoft 365-bérlőben definiált MIP bizalmassági címkék használatával, és ezekkel a címkékkel osztályozhatja az oszlopokat az SQL Serverben.
Az automatikus adatfelderítés és -javaslat le van tiltva a Microsoft Information Protection Szabályzat módban. Jelenleg csak SQL Information Protection Policy módban érhető el.
Az Information Protection-szabályzat alapértelmezettre vagy SQL Information Protectionre való visszaállításához lépjen az SSMS Object Explorerbe, kattintson a jobb gombbal az adatbázisra, és válassza a Tasks>Data Discovery és a Classification>. Ez az alapértelmezett vagy az SQL Information Protection-szabályzatot alkalmazza, és MIP-címkék helyett SQL bizalmassági címkékkel osztályozhatja az adatokat.
Ha egyéni JSON-fájlból szeretné engedélyezni az Information Protection-szabályzatot, nyissa meg az SSMS Object Explorert, kattintson a jobb gombbal az adatbázisra, és válassza a Tasks>Data Discovery and Classification>Set Information Protection Policy File lehetőséget.
Megjegyzés:
A figyelmeztető ikon azt jelzi, hogy az oszlop korábban más Information Protection-szabályzattal lett besorolva, mint a jelenleg kijelölt szabályzatmód. Ha például jelenleg Microsoft Information Protection módban van, és az egyik oszlopot korábban sql Information Protection Policy vagy Information Protection Policy használatával osztályozták egy egyéni szabályzatfájlból, megjelenik egy figyelmeztető ikon az oszlopon. Eldöntheti, hogy módosítani szeretné-e az oszlop besorolását az aktuális házirend módban elérhető bizalmassági címkék bármelyikére, vagy hagyja meg azt.
Információvédelmi szabályzat kezelése SSMS-sel
Az Information Protection-szabályzatot az SQL Server Management Studio legújabb verziójával kezelheti:
Az SQL Server Management Studióban (SSMS) csatlakozzon az SQL Serverhez.
Az SSMS Object Explorerben válasszon egy adatbázist, és válassza a TasksData Discovery and Classification (Feladatadatok felderítése és besorolása> lehetőséget.
Az alábbi menübeállítások lehetővé teszik az Adatvédelmi szabályzat kezelését:
A Microsoft Information Protection Policy beállítása: az Adatvédelmi szabályzatot a Microsoft Purview Information Protection Policyre állítja.
Information Protection Policy-fájl beállítása: a kiválasztott JSON-fájlban meghatározott SQL Information Protection-szabályzatot használja. (Lásd az alapértelmezett Information Protection-szabályzatfájlt)
Információvédelmi szabályzat exportálása: az Information Protection-szabályzatot egy JSON-fájlba exportálja.
Információvédelmi szabályzat alaphelyzetbe állítása: visszaállítja az Information Protection-szabályzatot az alapértelmezett SQL Information Protection-szabályzatra.
Fontos
Az információvédelmi szabályzatfájl nem az SQL Serveren van tárolva. Az SSMS egy alapértelmezett információvédelmi szabályzatot használ. Ha egy testre szabott információvédelmi szabályzat meghiúsul, az SSMS nem tudja használni az alapértelmezett házirendet. Az adatbesorolás sikertelen. A probléma megoldásához kattintson az Információvédelmi szabályzat alaphelyzetbe állítása gombra az alapértelmezett szabályzat használatához és az adatbesorolás újbóli engedélyezéséhez.
A besorolási metaadatok elérése
Az SQL Server 2019 bevezeti a sys.sensitivity_classifications rendszerkatalógus nézetét. Ez a nézet adattípusokat és bizalmassági címkéket ad vissza.
SQL Server 2019-példányokon lekérdezéssel sys.sensitivity_classifications tekintheti át az összes besorolt oszlopot a megfelelő besorolásokkal. Például:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
label,
rank,
rank_desc
FROM sys.sensitivity_classifications sc
JOIN sys.objects O
ON sc.major_id = O.object_id
JOIN sys.columns C
ON sc.major_id = C.object_id AND sc.minor_id = C.column_id
Az SQL Server 2019 előtt az információtípusok és bizalmassági címkék besorolási metaadatai a következő kiterjesztett tulajdonságokban találhatók:
sys_information_type_namesys_sensitivity_label_name
Az SQL Server 2017 és korábbi példányai esetében az alábbi példa az összes besorolt oszlopot a hozzájuk tartozó besorolásokkal adja vissza:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
sensitivity_label
FROM
(
SELECT
IT.major_id,
IT.minor_id,
IT.information_type,
L.sensitivity_label
FROM
(
SELECT
major_id,
minor_id,
value AS information_type
FROM sys.extended_properties
WHERE NAME = 'sys_information_type_name'
) IT
FULL OUTER JOIN
(
SELECT
major_id,
minor_id,
value AS sensitivity_label
FROM sys.extended_properties
WHERE NAME = 'sys_sensitivity_label_name'
) L
ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
) EP
JOIN sys.objects O
ON EP.major_id = O.object_id
JOIN sys.columns C
ON EP.major_id = C.object_id AND EP.minor_id = C.column_id
Engedélyek
Az SQL Server 2019-példányokon a besorolás megtekintéséhez VIEW ANY SENSITIVITY CLASSIFICATION engedély szükséges. További információ: Metaadatok láthatóságának konfigurációja.
Az SQL Server 2019 előtt a metaadatok a kiterjesztett tulajdonságok katalógusnézetével sys.extended_propertiesérhetők el.
A besorolás kezeléséhez a BIZALMASSÁGI BESOROLÁS MÓDOSÍTÁSA engedély szükséges. Az ALTER ANY BIZALMASSÁGI BESOROLÁSt az adatbázis-engedély alter vagy a kiszolgálói engedély CONTROL SERVERe feltételezi.
Besorolások kezelése
A T-SQL használatával oszlopbesorolásokat vehet fel vagy távolíthat el, valamint lekérheti a teljes adatbázis összes besorolását.
- Egy vagy több oszlop besorolásának hozzáadása/frissítése: BIZALMASSÁGI BESOROLÁS HOZZÁADÁSA
- Egy vagy több oszlopról távolítsa el a besorolást: DROP SENSITIVITY CLASSIFICATION
Következő lépések
Az Azure SQL Database-hez lásd az Azure SQL Database Adatfelderítés és -besorolás című témakört.
Fontolja meg a bizalmas oszlopok védelmét oszlopszintű biztonsági mechanizmusok alkalmazásával:
- Dinamikus adatmaszkolás a használatban lévő bizalmas oszlopok elhomályosításához.
- Always Encrypted a bizalmas oszlopok inaktív titkosításához.