Penemuan dan Klasifikasi Data SQL

Aplikasi ke:SQL Server

Penemuan & Klasifikasi Data menambahkan kemampuan untuk menemukan, mengklasifikasikan, memberi label , dan melaporkan data sensitif dalam database Anda. Ini dapat dilakukan melalui T-SQL atau menggunakan SQL Server Management Studio (SSMS). Menemukan dan mengklasifikasikan data Anda yang paling sensitif (bisnis, keuangan, layanan kesehatan, dll.) dapat memainkan peran penting dalam information protection organisasi Anda. Ini dapat berfungsi sebagai infrastruktur untuk:

• Membantu memenuhi standar privasi data.
• Memantau access ke database/kolom yang berisi data yang sangat sensitif.

Catatan

Penemuan & Klasifikasi Data didukung untuk SQL Server 2012 dan yang lebih baru, dan dapat digunakan dengan SSMS 17.5 atau yang lebih baru. Untuk Azure SQL Database, lihat Azure SQL Database Penemuan Data & Klasifikasi.

Gambaran Umum

Penemuan & Klasifikasi Data membentuk paradigma perlindungan informasi baru untuk SQL Database, SQL Managed Instance, dan Azure Synapse, untuk melindungi data, bukan hanya database. Saat ini mendukung kemampuan berikut:

• Penemuan & rekomendasi - Mesin klasifikasi memindai database Anda dan mengidentifikasi kolom yang berisi data yang berpotensi sensitif. Ini kemudian memberi Anda cara mudah untuk meninjau dan menerapkan rekomendasi klasifikasi yang sesuai, serta untuk mengklasifikasikan kolom secara manual.
• Pelabelan - Label klasifikasi sensitivitas dapat terus-menerus ditandai pada kolom.
• Visibilitas - Status klasifikasi database dapat dilihat dalam laporan terperinci yang dapat dicetak atau diekspor untuk digunakan untuk tujuan kepatuhan dan audit.

Menemukan, mengklasifikasikan , melabeli kolom sensitif

Bagian berikut menjelaskan langkah-langkah untuk menemukan, mengklasifikasikan, dan memberi label kolom yang berisi data sensitif dalam database Anda, serta menampilkan status klasifikasi database Anda saat ini dan mengekspor laporan.

Klasifikasi ini mencakup dua atribut metadata:

• Label - Atribut klasifikasi utama, digunakan untuk menentukan tingkat sensitivitas data yang disimpan di kolom.
• Jenis Informasi - Berikan lebih banyak granularitas ke dalam jenis data yang disimpan dalam kolom.

Untukan mengklasifikasikan database SQL Server Anda:

1. Di SQL Server Management Studio (SSMS), sambungkan ke SQL Server.

2. Di SQL Server Management Directory Object Explorer, pilih database yang ingin Anda klasifikasikan dan pilih Tasks>Data Discovery and Classification>Classify Data... .

   

3. Mesin klasifikasi memindai database Anda untuk kolom (hanya berdasarkan nama kolom) yang berisi data yang berpotensi sensitif dan menyediakan daftar klasifikasi kolom yang direkomendasikan:

   • Untuk melihat daftar klasifikasi kolom yang direkomendasikan, pilih kotak pemberitahuan rekomendasi di bagian atas atau panel rekomendasi di bagian bawah jendela:

     

     

   • Tinjau daftar rekomendasi:

     • Untuk menerima rekomendasi untuk kolom tertentu, centang kotak centang di kolom kiri baris yang relevan. Anda juga dapat menandai semua rekomendasi sebagai diterima dengan mencentang kotak centang di header tabel rekomendasi.

     • Anda juga dapat mengubah Tipe Informasi dan Label Sensitivitas yang direkomendasikan menggunakan kotak drop-down.

     

   • Untuk menerapkan rekomendasi yang dipilih, pilih tombol Simpan rekomendasi yang dipilih.

     

Catatan

Mesin rekomendasi yang melakukan penemuan data otomatis dan memberikan rekomendasi kolom sensitif dinonaktifkan saat mode kebijakan Microsoft Purview Information Protection digunakan.

4. Untuk menampilkan kolom yang diklasifikasikan, pilih skema yang sesuai dan tabel terkait dari menu drop-down, lalu pilih Muat Kolom.

   

5. Anda juga dapat mengklasifikasikan kolom secara manual sebagai alternatif, atau selain itu, untuk klasifikasi berbasis rekomendasi:

   • Pilih Tambahkan klasifikasi di menu atas jendela.

     

   • Di jendela konteks yang terbuka, masukkan nama kolom yang ingin Anda klasifikasikan, jenis informasi, dan label sensitivitas. Skema dan tabel dipilih berdasarkan entri di halaman utama.

     

   • Jika Anda ingin menambahkan klasifikasi untuk semua kolom yang tidak diklasifikasikan untuk tabel tertentu dalam satu upaya, lalu pilih Semua Tidak Diklasifikasikan di menu turun Kolom halaman Tambahkan Klasifikasi .

     

6. Untuk menyelesaikan klasifikasi Anda dan terus memberi label (tag) kolom database dengan metadata klasifikasi baru, pilih tombol Simpan di menu atas jendela.

   

7. Untuk membuat laporan dengan ringkasan lengkap status klasifikasi database, pilih Tampilkan Laporan di menu atas jendela. (Anda juga dapat membuat laporan menggunakan SQL Server Management Directory. Pilih database tempat Anda ingin membuat laporan, dan pilih >Hasilkan Laporan...)

   

   

Mengklasifikasikan database Anda menggunakan Kebijakan Microsoft Purview Information Protection

Catatan

Microsoft Information Protection (disingkat MIP) telah diganti nama sebagai Microsoft Purview Information Protection. Istilah MIP dan Microsoft Purview Information Protection sering digunakan secara bergantian dalam dokumen ini tetapi keduanya mengacu pada konsep yang sama.

label Microsoft Purview Information Protection menyediakan cara sederhana dan seragam bagi pengguna Anda untuk mengklasifikasikan data sensitif dalam SQL Server. Label sensitivitas MIP dibuat dan dikelola di pusat kepatuhan Microsoft 365 [berganti nama sebagai portal kepatuhan Microsoft Purview]. Untuk mempelajari cara membuat dan menerbitkan label sensitivitas MIP di Portal Kepatuhan Microsoft Purview, lihat artikel, Label sensitivitas Microsoft Information Protection.

Sekarang Anda dapat menggunakan SSMS untuk mengklasifikasikan data di sumber (SQL Server) menggunakan label Microsoft Purview Information Protection, yang digunakan di Power BI, Office, dan produk Microsoft lainnya. Label sensitivitas ini diterapkan pada tingkat kolom dalam database, sama dengan kebijakan SQL Information Protection.

Himpunan data atau laporan Power BI yang tersambung ke data berlabel sensitivitas di sumber data yang didukung dapat mewarisi label tersebut secara otomatis, sehingga data tetap diklasifikasikan saat dibawa ke Power BI dan diekspor ke aplikasi hilir. Ketersediaan kebijakan MIP di SSMS memungkinkan Anda mencapai solusi klasifikasi seluruh perusahaan end-to-end.

Langkah-langkah untuk mengonfigurasi kebijakan Microsoft Purview Information Protection

1. Di SQL Server Management Studio (SSMS), sambungkan ke SQL Server.

2. Di Object Explorer SSMS, pilih database yang ingin Anda klasifikasikan dan pilih Tasks>Data Discovery and Classification>Set Microsoft Information Protection Policy

   

3. Jendela autentikasi untuk Microsoft 365 untuk mengatur Kebijakan Information Protection Microsoft akan ditampilkan. Pilih Sign In dan masukkan atau pilih kredensial pengguna yang valid untuk mengautentikasi ke penyewa Microsoft 365 Anda.

   

4. Jika autentikasi berhasil, Anda akan melihat jendela pop-up dengan status sebagai Berhasil.

   

5. Opsional - Jika Anda ingin masuk ke salah satu cloud berdaulat Microsoft untuk mengautentikasi ke Microsoft 365, buka SSMS >Tools>Options>Azure Services>Azure Cloud, dan ubah Name ke sovereign cloud Microsoft yang relevan.

   

6. Di jendela SSMS Object Explorer, klik kanan pada database yang ingin Anda klasifikasikan dan pilih Tasks>Data Discovery and Classification>Classify Data. Sekarang Anda dapat menambahkan klasifikasi baru menggunakan label sensitivitas MIP yang ditentukan dalam penyewa Microsoft 365 Anda dan menggunakan label tersebut untuk mengklasifikasikan kolom di SQL Server.

   

   Penemuan dan rekomendasi data otomatis dinonaktifkan saat berada dalam mode Microsoft Information Protection Policy. Saat ini hanya tersedia dalam mode Kebijakan Information Protection SQL.

Untuk mengatur ulang Kebijakan Perlindungan Informasi ke pengaturan awal atau Perlindungan Informasi SQL, buka SSMS Object Explorer, klik kanan pada database dan pilih Tasks>Data Discovery and Classification>Reset Kebijakan Perlindungan Informasi ke Pengaturan Awal. Ini akan menerapkan kebijakan default atau Information Protection SQL dan Anda dapat mengklasifikasikan data menggunakan label sensitivitas SQL alih-alih label MIP.

Untuk mengaktifkan Kebijakan Information Protection dari file JSON kustom, buka SSMS Object Explorer, klik kanan pada database dan pilih Tasks>Data Discovery and Classification>Set Information Protection Policy File.

Catatan

Ikon peringatan menunjukkan bahwa kolom sebelumnya diklasifikasikan menggunakan Kebijakan Information Protection yang berbeda dari mode kebijakan yang saat ini dipilih. Misalnya, jika Anda saat ini berada dalam mode Microsoft Information Protection, dan salah satu kolom sebelumnya diklasifikasikan menggunakan Kebijakan Information Protection SQL atau Kebijakan Information Protection dari file kebijakan kustom, Anda akan melihat ikon peringatan terhadap kolom tersebut. Anda dapat memutuskan apakah Anda ingin mengubah klasifikasi kolom ke salah satu label sensitivitas yang tersedia dalam mode kebijakan saat ini atau membiarkannya apa adanya.

Mengelola Kebijakan Information Protection dengan SSMS

Anda dapat mengelola Kebijakan Information Protection menggunakan versi terbaru SQL Server Management Studio:

1. Di SQL Server Management Studio (SSMS), sambungkan ke SQL Server.

2. Di Object Explorer SSMS, pilih salah satu database Anda dan pilih Tasks>Data Discovery and Classification.

   Opsi menu berikut memungkinkan Anda mengelola Kebijakan Information Protection:

• Tetapkan Kebijakan Perlindungan Informasi Microsoft: menetapkan Kebijakan Perlindungan Informasi ke Kebijakan Perlindungan Informasi Microsoft Purview.

• Setel File Kebijakan Perlindungan Informasi: menggunakan Kebijakan Perlindungan Informasi SQL seperti yang didefinisikan dalam file JSON yang dipilih. (Lihat File Kebijakan Perlindungan Informasi default)

• Export Information Protection Policy: mengekspor Kebijakan Information Protection ke file JSON.

• Reset Information Protection Policy: mengatur ulang Kebijakan Information Protection ke Kebijakan Information Protection SQL default.

Penting

File kebijakan perlindungan informasi tidak disimpan di SQL Server. SSMS menggunakan Kebijakan Perlindungan Informasi bawaan. Jika Kebijakan Information Protection yang disesuaikan gagal, SSMS tidak dapat menggunakan kebijakan default. Klasifikasi data gagal. Untuk mengatasinya, klik Setel Ulang Kebijakan Information Protection untuk menggunakan kebijakan default dan mengaktifkan kembali klasifikasi data.

Mengakses metadata klasifikasi

SQL Server 2019 memperkenalkan tampilan katalog sistem sys.sensitivity_classifications. Tampilan ini mengembalikan jenis informasi dan label sensitivitas.

Pada instans SQL Server 2019, kueri sys.sensitivity_classifications untuk meninjau semua kolom yang telah diklasifikasikan dengan klasifikasi masing-masing. Contohnya:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Sebelum SQL Server 2019, metadata klasifikasi untuk jenis informasi dan label sensitivitas ada di Properti Yang Diperluas berikut:

• sys_information_type_name
• sys_sensitivity_label_name

Misalnya SQL Server 2017 dan sebelumnya, contoh berikut mengembalikan semua kolom rahasia dengan klasifikasi yang sesuai:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Izin

Pada instans SQL Server 2019, untuk melihat klasifikasi diperlukan izin VIEW ANY SENSITIVITY CLASSIFICATION. Untuk informasi selengkapnya, lihat Konfigurasi Visibilitas Metadata.

Sebelum SQL Server 2019, metadata dapat diakses menggunakan tampilan katalog Properti Yang Diperluas sys.extended_properties.

Mengelola klasifikasi memerlukan izin untuk mengubah klasifikasi sensitivitas. Izinkan MENGUBAH KLASIFIKASI SENSITIVITAS APA PUN tersirat oleh izin database ALTER, atau oleh izin server KONTROL SERVER.

Mengelola klasifikasi

T-SQL

Anda dapat menggunakan T-SQL untuk menambahkan atau menghapus klasifikasi kolom, dan juga mengambil semua klasifikasi untuk seluruh database.

• Menambahkan/memperbarui klasifikasi satu atau beberapa kolom: TAMBAHKAN KLASIFIKASI SENSITIVITAS
• Hapus klasifikasi dari satu atau lebih kolom: DROP SENSITIVITY CLASSIFICATION

PowerShell Cmdlet

Anda dapat menggunakan PowerShell Cmdlet untuk menambahkan atau menghapus klasifikasi kolom, serta mengambil semua klasifikasi dan mendapatkan rekomendasi untuk seluruh database.

• Get-SqlSensitivityClassification
• Get-SqlSensitivityRecommendations (Dapatkan Rekomendasi Sensitivitas SQL)
• Set-SqlSensitivityClassification
• Remove-SqlSensitivityClassification

Langkah berikutnya

Untuk Azure SQL Database, lihat Azure SQL Database Penemuan Data & Klasifikasi.

Pertimbangkan untuk melindungi kolom sensitif Anda dengan menerapkan mekanisme keamanan tingkat kolom:

• Masking Data Dinamis untuk menyembunyikan kolom sensitif yang sedang digunakan.
• Always Encrypted untuk mengenkripsi kolom sensitif saat tidak aktif.