Bagikan melalui

Penemuan dan Klasifikasi Data SQL

  • Artikel

Berlaku untuk: SQL Server

Penemuan & Klasifikasi Data menambahkan kemampuan untuk menemukan, mengklasifikasikan, memberi label , dan melaporkan data sensitif dalam database Anda. Ini dapat dilakukan melalui T-SQL atau menggunakan SQL Server Management Studio (SSMS). Menemukan dan mengklasifikasikan data Anda yang paling sensitif (bisnis, keuangan, layanan kesehatan, dll.) dapat memainkan peran penting dalam pertukaran perlindungan informasi organisasi Anda. Ini dapat berfungsi sebagai infrastruktur untuk:

  • Membantu memenuhi standar privasi data.
  • Memantau akses ke database/kolom yang berisi data yang sangat sensitif.

Catatan

Penemuan & Klasifikasi Data didukung untuk SQL Server 2012 dan yang lebih baru, dan dapat digunakan dengan SSMS 17.5 atau yang lebih baru. Untuk Azure SQL Database, lihat Penemuan & Klasifikasi Data Azure SQL Database.

Gambaran Umum

Data Discovery & Classification membentuk paradigma perlindungan informasi baru untuk SQL Database, SQL Managed Instance, dan Azure Synapse, yang bertujuan melindungi data dan bukan hanya database. Saat ini mendukung kemampuan berikut:

  • Penemuan & rekomendasi - Mesin klasifikasi memindai database Anda dan mengidentifikasi kolom yang berisi data yang berpotensi sensitif. Ini kemudian memberi Anda cara mudah untuk meninjau dan menerapkan rekomendasi klasifikasi yang sesuai, serta untuk mengklasifikasikan kolom secara manual.
  • Pelabelan - Label klasifikasi sensitivitas dapat terus-menerus ditandai pada kolom.
  • Visibilitas - Status klasifikasi database dapat dilihat dalam laporan terperinci yang dapat dicetak atau diekspor untuk digunakan untuk tujuan kepatuhan dan audit.

Menemukan, mengklasifikasikan , melabeli kolom sensitif

Bagian berikut menjelaskan langkah-langkah untuk menemukan, mengklasifikasikan, dan memberi label kolom yang berisi data sensitif dalam database Anda, serta menampilkan status klasifikasi database Anda saat ini dan mengekspor laporan.

Klasifikasi ini mencakup dua atribut metadata:

  • Label - Atribut klasifikasi utama, digunakan untuk menentukan tingkat sensitivitas data yang disimpan di kolom.
  • Jenis Informasi - Berikan lebih banyak granularitas ke dalam jenis data yang disimpan dalam kolom.

Untuk mengklasifikasikan database SQL Server Anda:

  1. Di SQL Server Management Studio (SSMS), sambungkan ke SQL Server.

  2. Di Object Explorer SSMS, pilih database yang ingin Anda klasifikasikan dan pilih Penemuan Data Tugas>dan Klasifikasi Klasifikasi>Data....

    Cuplikan layar memperlihatkan S S M S Object Explorer dengan Penemuan > Data Tugas dan Klasifikasi Klasifikasi > Data... Dipilih.

  3. Mesin klasifikasi memindai database Anda untuk kolom (hanya berdasarkan nama kolom) yang berisi data yang berpotensi sensitif dan menyediakan daftar klasifikasi kolom yang direkomendasikan:

    • Untuk melihat daftar klasifikasi kolom yang direkomendasikan, pilih kotak pemberitahuan rekomendasi di bagian atas atau panel rekomendasi di bagian bawah jendela:

      Cuplikan layar memperlihatkan pemberitahuan yang mengatakan Kami telah menemukan 39 kolom dengan rekomendasi klasifikasi. Klik di sini untuk melihatnya.

      Cuplikan layar memperlihatkan pemberitahuan yang mengatakan 39 kolom dengan rekomendasi klasifikasi (klik untuk menampilkan).

    • Tinjau daftar rekomendasi:

      • Untuk menerima rekomendasi untuk kolom tertentu, centang kotak centang di kolom kiri baris yang relevan. Anda juga dapat menandai semua rekomendasi sebagai diterima dengan mencentang kotak centang di header tabel rekomendasi.

      • Anda juga dapat mengubah Tipe Informasi dan Label Sensitivitas yang direkomendasikan menggunakan kotak drop-down.

      Cuplikan layar memperlihatkan daftar rekomendasi.

    • Untuk menerapkan rekomendasi yang dipilih, pilih tombol Simpan rekomendasi yang dipilih.

      Cuplikan layar tombol Terima rekomendasi yang dipilih.

Catatan

Mesin rekomendasi yang melakukan penemuan data otomatis dan memberikan rekomendasi kolom sensitif dinonaktifkan saat mode kebijakan Perlindungan Informasi Microsoft Purview digunakan.

  1. Untuk menampilkan kolom yang diklasifikasikan, pilih skema yang sesuai dan tabel terkait dari menu drop-down, lalu pilih Muat Kolom.

    cuplikan layar klasifikasi data S S M S memuat kolom yang diklasifikasikan.

  2. Anda juga dapat mengklasifikasikan kolom secara manual sebagai alternatif, atau selain itu, untuk klasifikasi berbasis rekomendasi:

    • Pilih Tambahkan klasifikasi di menu atas jendela.

      Cuplikan layar memperlihatkan menu atas dengan opsi Tambahkan klasifikasi dipanggil.

    • Di jendela konteks yang terbuka, masukkan nama kolom yang ingin Anda klasifikasikan, jenis informasi, dan label sensitivitas. Skema dan tabel dipilih berdasarkan entri di halaman utama.

      Cuplikan layar memperlihatkan jendela tambahkan konteks Klasifikasi.

    • Jika Anda ingin menambahkan klasifikasi untuk semua kolom yang tidak diklasifikasikan untuk tabel tertentu dalam satu upaya, lalu pilih Semua Tidak Diklasifikasikan di menu turun Kolom halaman Tambahkan Klasifikasi .

      cuplikan layar klasifikasi data S S M S memilih semua kolom yang tidak diklasifikasikan

  3. Untuk menyelesaikan klasifikasi Anda dan terus memberi label (tag) kolom database dengan metadata klasifikasi baru, pilih tombol Simpan di menu atas jendela.

    Cuplikan layar memperlihatkan menu atas dengan opsi Simpan dipanggil.

  4. Untuk membuat laporan dengan ringkasan lengkap status klasifikasi database, pilih Tampilkan Laporan di menu atas jendela. (Anda juga dapat membuat laporan menggunakan SQL Server Management Directory. Pilih database tempat Anda ingin membuat laporan, dan pilih Penemuan>Data Tugas dan Klasifikasi>Hasilkan Laporan...)

    Cuplikan layar memperlihatkan menu atas dengan opsi Tampilkan Laporan yang dipanggil.

    Cuplikan layar memperlihatkan Laporan Klasifikasi Data SQL.

Mengklasifikasikan database Anda menggunakan Kebijakan Perlindungan Informasi Microsoft Purview

Catatan

Perlindungan Informasi Microsoft (disingkat MIP) telah diganti nama sebagai Perlindungan Informasi Microsoft Purview. Istilah MIP dan Perlindungan Informasi Microsoft Purview sering digunakan secara bergantian dalam dokumen ini tetapi keduanya mengacu pada konsep yang sama.

label Perlindungan Informasi Microsoft Purview menyediakan cara sederhana dan seragam bagi pengguna Anda untuk mengklasifikasikan data sensitif di SQL Server. Label sensitivitas MIP dibuat dan dikelola di pusat kepatuhan Microsoft 365 [berganti nama sebagai portal kepatuhan Microsoft Purview]. Untuk mempelajari cara membuat dan menerbitkan label sensitif MIP di Portal Kepatuhan Microsoft Purview, lihat artikel, label sensitivitas Perlindungan Informasi Microsoft.

Sekarang Anda dapat menggunakan SSMS untuk mengklasifikasikan data di sumber (SQL Server) menggunakan label Perlindungan Informasi Microsoft Purview, yang digunakan di Power BI, Office, dan produk Microsoft lainnya. Label sensitivitas ini diterapkan di tingkat kolom dalam database, sama dengan kebijakan Perlindungan Informasi SQL.

Himpunan data atau laporan Power BI yang tersambung ke data berlabel sensitivitas di sumber data yang didukung dapat mewarisi label tersebut secara otomatis, sehingga data tetap diklasifikasikan saat dibawa ke Power BI dan diekspor ke aplikasi hilir. Ketersediaan kebijakan MIP di SSMS memungkinkan Anda mencapai solusi klasifikasi seluruh perusahaan end-to-end.

Langkah-langkah untuk mengonfigurasi kebijakan Perlindungan Informasi Microsoft Purview

  1. Di SQL Server Management Studio (SSMS), sambungkan ke SQL Server.

  2. Di Object Explorer SSMS, pilih database yang ingin Anda klasifikasikan dan pilih Penemuan Data Tugas>dan Klasifikasi>Set Kebijakan Perlindungan Informasi Microsoft

    Cuplikan layar untuk mengatur Kebijakan Perlindungan Informasi Microsoft di S S M S

  3. Jendela autentikasi untuk Microsoft 365 untuk mengatur Kebijakan Perlindungan Informasi Microsoft akan ditampilkan. Pilih Masuk dan masukkan atau pilih kredensial pengguna yang valid untuk mengautentikasi ke penyewa Microsoft 365 Anda.

    Cuplikan layar autentikasi untuk mengatur Kebijakan Perlindungan Informasi Microsoft

  4. Jika autentikasi berhasil, Anda akan melihat jendela pop-up dengan status sebagai Berhasil.

    Cuplikan layar berhasil mengatur Kebijakan Perlindungan Informasi Microsoft di S S M S

  5. Opsional - Jika Anda ingin masuk ke salah satu cloud berdaulat Microsoft untuk mengautentikasi ke Microsoft 365, buka Opsi>Alat>SSMS> Azure Services>Azure Cloud, dan ubah Nama ke cloud berdaulat Microsoft yang relevan.

    Cuplikan layar memilih jenis cloud Azure di S S M S

  6. Di jendela SSMS Object Explorer, klik kanan pada database yang ingin Anda klasifikasikan dan pilih Penemuan Data Tugas>dan Klasifikasi Klasifikasi>Data. Sekarang Anda dapat menambahkan klasifikasi baru menggunakan label sensitivitas MIP yang ditentukan di penyewa Microsoft 365 Anda dan menggunakan label tersebut untuk mengklasifikasikan kolom di SQL Server.

    Memilih label sensitivitas Kebijakan Perlindungan Informasi Microsoft di S S M S

    Penemuan dan rekomendasi data otomatis dinonaktifkan saat berada dalam mode Kebijakan Perlindungan Informasi Microsoft. Saat ini hanya tersedia dalam mode Kebijakan Perlindungan Informasi SQL.

Untuk mengatur ulang Kebijakan Perlindungan Informasi ke default atau Perlindungan Informasi SQL, buka SSMS Object Explorer, klik kanan pada database dan pilih Penemuan Data Tugas>dan Klasifikasi>Reset Kebijakan Perlindungan Informasi ke Default. Ini akan menerapkan kebijakan Perlindungan Informasi default atau SQL dan Anda dapat mengklasifikasikan data menggunakan label sensitivitas SQL alih-alih label MIP.

Cuplikan layar mereset Kebijakan Perlindungan Informasi di S S M S

Untuk mengaktifkan Kebijakan Perlindungan Informasi dari file JSON kustom, buka SSMS Object Explorer, klik kanan pada database dan pilih Penemuan Data Tugas>dan Klasifikasi>Atur File Kebijakan Perlindungan Informasi.

Catatan

Ikon peringatan menunjukkan bahwa kolom sebelumnya diklasifikasikan menggunakan Kebijakan Perlindungan Informasi yang berbeda dari mode kebijakan yang saat ini dipilih. Misalnya, jika Anda saat ini berada dalam mode Perlindungan Informasi Microsoft, dan salah satu kolom sebelumnya diklasifikasikan menggunakan Kebijakan Perlindungan Informasi SQL atau Kebijakan Perlindungan Informasi dari file kebijakan kustom, Anda akan melihat ikon peringatan terhadap kolom tersebut. Anda dapat memutuskan apakah Anda ingin mengubah klasifikasi kolom ke salah satu label sensitivitas yang tersedia dalam mode kebijakan saat ini atau membiarkannya apa adanya. Cuplikan layar peringatan Klasifikasi Data tentang kebijakan yang tidak cocok

Mengelola Kebijakan Perlindungan Informasi dengan SSMS

Anda dapat mengelola Kebijakan Perlindungan Informasi menggunakan SSMS 18.4 atau yang lebih baru:

  1. Di SQL Server Management Studio (SSMS), sambungkan ke SQL Server.

  2. Di Object Explorer SSMS, pilih salah satu database Anda dan pilih Penemuan>dan Klasifikasi Data Tugas.

    Opsi menu berikut memungkinkan Anda mengelola Kebijakan Perlindungan Informasi:

  • Atur Kebijakan Perlindungan Informasi Microsoft: menetapkan Kebijakan Perlindungan Informasi ke Kebijakan Perlindungan Informasi Microsoft Purview.

  • Atur File Kebijakan Perlindungan Informasi: menggunakan Kebijakan Perlindungan Informasi SQL seperti yang didefinisikan dalam file JSON yang dipilih. (Lihat default File Kebijakan Perlindungan Informasi)

  • Kebijakan Perlindungan Informasi Ekspor: mengekspor Kebijakan Perlindungan Informasi ke file JSON.

  • Reset Kebijakan Perlindungan Informasi: mengatur ulang Kebijakan Perlindungan Informasi ke Kebijakan Perlindungan Informasi SQL default.

Penting

File kebijakan perlindungan informasi tidak disimpan di SQL Server. SSMS menggunakan Kebijakan Perlindungan Informasi default. Jika Kebijakan Perlindungan Informasi yang disesuaikan gagal, SSMS tidak dapat menggunakan kebijakan default. Klasifikasi data gagal. Untuk mengatasinya, klik Reset Kebijakan Perlindungan Informasi untuk menggunakan kebijakan default dan mengaktifkan kembali klasifikasi data.

Mengakses metadata klasifikasi

SQL Server 2019 memperkenalkan sys.sensitivity_classifications tampilan katalog sistem. Tampilan ini mengembalikan jenis informasi dan label sensitivitas.

Pada instans SQL Server 2019, kueri sys.sensitivity_classifications untuk meninjau semua kolom klasifikasi dengan klasifikasi yang sesuai. Contohnya:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Sebelum SQL Server 2019, metadata klasifikasi untuk jenis informasi dan label sensitivitas ada di Properti yang Diperluas berikut ini:

  • sys_information_type_name
  • sys_sensitivity_label_name

Misalnya SQL Server 2017 dan sebelumnya, contoh berikut mengembalikan semua kolom rahasia dengan klasifikasi yang sesuai:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Izin

Pada instans SQL Server 2019, klasifikasi tampilan memerlukan izin LIHAT KLASIFIKASI SENSITIVITAS APA PUN. Untuk informasi selengkapnya, lihat Konfigurasi Visibilitas Metadata.

Sebelum SQL Server 2019, metadata dapat diakses menggunakan tampilan sys.extended_propertieskatalog Properti Yang Diperluas .

Mengelola klasifikasi memerlukan izin UBAH KLASIFIKASI SENSITIVITAS APA PUN. MENGUBAH KLASIFIKASI SENSITIVITAS APA PUN tersirat oleh izin database ALTER, atau oleh SERVER KONTROL izin server.

Mengelola klasifikasi

Anda dapat menggunakan T-SQL untuk menambahkan atau menghapus klasifikasi kolom, dan juga mengambil semua klasifikasi untuk seluruh database.

Langkah berikutnya

Untuk Azure SQL Database, lihat Penemuan & Klasifikasi Data Azure SQL Database.

Pertimbangkan untuk melindungi kolom sensitif Anda dengan menerapkan mekanisme keamanan tingkat kolom:

  • Masking Data Dinamis untuk mengaburkan kolom sensitif yang digunakan.
  • Always Encrypted untuk mengenkripsi kolom sensitif saat tidak aktif.