Individuazione dati e classificazione SQL

  • Articolo

Si applica a:SQL Server

Individuazione e classificazione dati offre funzionalità per il rilevamento, la classificazione, l’etichettatura e il reporting dei dati sensibili nei database. Questa operazione può essere eseguita tramite T-SQL o usando SQL Server Management Studio (SSMS). L'individuazione e la classificazione dei dati più sensibili, come i dati aziendali, finanziari, medici e così via, può avere un ruolo fondamentale nella protezione delle informazioni dell'organizzazione. Individuazione dati e classificazione può svolgere la funzione di infrastruttura per:

  • Contribuire a soddisfare gli standard per la privacy dei dati.
  • Monitoraggio dell'accesso a database/colonne contenenti dati altamente sensibili.

Nota

Individuazione dati e classificazione è una funzionalità supportata per SQL Server 2012 e versioni successive e può essere usata con SSMS 17.5 o versioni successive. Per il Database SQL di Azure, vedere Individuazione e classificazione dei dati nel Database SQL di Azure.

Panoramica

L'individuazione e la classificazione dei dati costituisce un nuovo paradigma di protezione delle informazioni per Database SQL, Istanza gestita di SQL di Azure e Azure Synapse finalizzato alla protezione dei dati e non solo del database. Attualmente supporta le seguenti funzionalità:

  • Individuazione e consigli: il motore di classificazione esegue l'analisi del database e identifica le colonne che contengono dati potenzialmente sensibili. In seguito offre un modo semplice per verificare e applicare i consigli di classificazione appropriati, nonché per classificare manualmente le colonne.
  • Assegnazione di etichette: è possibile contrassegnare le colonne con etichette di classificazione di riservatezza in modo permanente.
  • Visibilità: è possibile visualizzare lo stato di classificazione del database in un report dettagliato che può essere stampato o esportato a scopo di controllo e conformità.

Individuazione, classificazione e assegnazione di etichette a colonne di dati sensibili

Nella sezione seguente vengono descritti i passaggi per l'individuazione, la classificazione e l'assegnazione di etichette a colonne del database contenenti dati sensibili, nonché per visualizzare lo stato di classificazione corrente del database e per esportare report.

La classificazione include due attributi di metadati:

  • Etichette: gli attributi di classificazione principali, usati per definire il livello di riservatezza dei dati archiviati nella colonna.
  • Tipi di informazioni: offrono maggiore granularità del tipo di dati archiviati nella colonna.

Per classificare il database di SQL Server:

  1. In SQL Server Management Studio (SSMS) connettersi a SQL Server.

  2. In Esplora oggetti di SSMS, selezionare il database da classificare e scegliere Attività>Individuazione e classificazione dei dati>Classifica dati....

    Screenshot che mostra Esplora oggetti di S S M S con le opzioni Attività > Individuazione dei dati e classificazione > Classifica dati selezionate.

  3. Nota: il motore di classificazione esegue l'analisi del database per identificare, solo in base ai nomi, le colonne contenenti dati potenzialmente sensibili e fornisce un elenco di classificazioni delle colonne consigliate:

    • Per visualizzare l'elenco delle classificazioni delle colonne consigliate, selezionare la casella di notifica dei consigli in alto oppure sul pannello dei consigli nella parte inferiore della finestra:

      Screenshot che mostra la notifica che sono state trovate 39 colonne con consigli per la classificazione. Fare clic qui per visualizzarle.

      Screenshot che mostra la notifica che sono state trovate 39 colonne con consigli per la classificazione (fare clic per visualizzarli).

    • Esaminare l'elenco dei consigli:

      • Per accettare un consiglio per una colonna specifica, selezionare la casella di controllo nella colonna sinistra della riga pertinente. È anche possibile contrassegnare tutti i consigli come accettati selezionando la casella di controllo nell'intestazione della tabella dei consigli.

      • È anche possibile modificare l’etichetta di riservatezza e il tipo di informazioni consigliate usando le caselle a discesa.

      Screenshot che mostra l'elenco dei consigli.

    • Per applicare i consigli selezionati, selezionare il pulsante Salva consigli selezionati.

      Screenshot del pulsante Accettare i consigli selezionati.

Nota

Il motore dei suggerimenti, che esegue l'individuazione automatica dei dati e fornisce consigli sulle colonne sensibili, è disabilitato quando viene usata la modalità dei criteri di Microsoft Purview Information Protection.

  1. Per visualizzare le colonne classificate, selezionare lo schema e la tabella corrispondente nell'elenco a discesa, quindi selezionare Carica colonne.

    screenshot della classificazione dei dati S S M S con il caricamento delle colonne classificate.

  2. È anche possibile classificare manualmente le colonne in alternativa o in aggiunta alla classificazione basata sui consigli:

    • Nel menu superiore della finestra, selezionare Aggiungi classificazione.

      Screenshot che mostra il menu principale con l'opzione Aggiungi classificazione evidenziata.

    • Nella finestra contestuale che si apre, inserire il nome della colonna da classificare, il tipo di informazioni e l'etichetta di riservatezza. Schema e tabella vengono selezionati in base alle immissioni nella pagina principale.

      Screenshot che mostra la finestra di contesto Aggiungi classificazione.

    • Per aggiungere la classificazione per tutte le colonne non classificate per una tabella specifica in un singolo tentativo, selezionare Tutti gli elementi non classificati nell'elenco a discesa Colonna della pagina Aggiungi classificazione.

      screenshot della classificazione dei dati S S M S con la selezione di tutte le colonne non classificate

  3. Per completare la classificazione e assegnare etichette (tag) in modo permanente alle colonne del database con i nuovi metadati di classificazione, selezionare il pulsante Salva nel menu superiore della finestra.

    Screenshot che mostra il menu principale con l'opzione Salva evidenziata.

  4. Per generare un report con un riepilogo completo dello stato di classificazione del database, selezionare Visualizza report nel menu superiore della finestra. (È possibile generare un report anche usando SSMS. Selezionare il database in cui generare il report e scegliere Attività>Individuazione e classificazione dei dati>Genera report...)

    Screenshot che mostra il menu principale con l'opzione Visualizza report evidenziata.

    Screenshot che mostra il report di classificazione dei dati SQL.

Classificare il database usando i criteri di Microsoft Purview Information Protection

Nota

Microsoft Information Protection (abbreviato come MIP) è stato rinominato Microsoft Purview Information Protection. Entrambi i termini MIP e Microsoft Purview Information Protection vengono spesso usati in modo intercambiabile in questo documento, ma entrambi fanno riferimento allo stesso concetto.

Le etichette di Microsoft Purview Information Protection offrono agli utenti un modo semplice e uniforme per classificare i dati sensibili in SQL Server. Le etichette di riservatezza MIP vengono create e gestite nel Centro conformità Microsoft 365 [rinominato Portale di conformità di Microsoft Purview]. Per informazioni sulla creazione e pubblicazione di etichette di riservatezza MIP nel Portale di conformità di Microsoft Purview, vedere l'articolo Etichette di riservatezza di Microsoft Information Protection.

Ora è possibile utilizzare SSMS per classificare i dati all'origine (SQL Server) avvalendosi delle etichette di Microsoft Purview Information Protection, adottate in Power BI, Office e altri prodotti Microsoft. Queste etichette di riservatezza vengono applicate a livello di colonna in un database, come i criteri di protezione delle informazioni SQL.

I set di dati o i report di Power BI che si collegano ai dati con etichetta di riservatezza nelle origini dati supportate possono ereditare automaticamente tali etichette in modo che i dati rimangano classificati quando vengono inseriti in Power BI ed esportati in applicazioni downstream. La disponibilità dei criteri MIP in SSMS consente di ottenere una soluzione di classificazione end-to-end a livello aziendale.

Procedura per configurare i criteri di Microsoft Purview Information Protection

  1. In SQL Server Management Studio (SSMS) collegarsi a SQL Server.

  2. In Esplora oggetti di SSMS, selezionare il database da classificare, quindi selezionare Attività>Individuazione e classificazione dei dati>Imposta criteri di Microsoft Information Protection

    Screenshot di impostazione dei criteri di Microsoft Information Protection in S S M S

  3. Verrà visualizzata una finestra di autenticazione per Microsoft 365 per l’impostazione dei criteri di Microsoft Information Protection. Selezionare Informazioni di accesso e inserire o selezionare credenziali utente valide per l'autenticazione nel tenant di Microsoft 365.

    Screenshot dell'autenticazione per impostare i criteri di Microsoft Information Protection

  4. Se l'autenticazione riesce, verrà visualizzata una finestra a comparsa con lo stato Operazione riuscita.

    Screenshot di impostazione corretta dei criteri di Microsoft Information Protection in S S M S

  5. Facoltativo: per accedere a uno dei cloud sovrani di Microsoft per eseguire l'autenticazione a Microsoft 365, accedere a SSMS, >Strumenti>Opzioni>Servizi Azure>Cloud Azure e modificare il Nome inserendo il cloud sovrano di Microsoft pertinente.

    Screenshot della selezione del tipo di cloud Azure in S S M S S

  6. Nella finestra Esplora oggetti di SSMS, fare clic con il pulsante destro del mouse sul database da classificare e scegliere Attività>Individuazione e classificazione dei dati>Classifica dati. Ora è possibile aggiungere una nuova classificazione usando le etichette di riservatezza MIP definite nel tenant di Microsoft 365 e usare tali etichette per classificare le colonne in SQL Server.

    Scelta delle etichette di riservatezza dei criteri di Microsoft Information Protection in S S M S

    L'individuazione automatica dei dati e il consiglio sono disabilitati in modalità Criteri di Microsoft Information Protection. Attualmente è disponibile solo in modalità Criteri di protezione delle informazioni SQL.

Per ripristinare i criteri di protezione delle informazioni predefiniti o la protezione delle informazioni SQL, accedere a Esplora oggetti di SSMS, fare clic con il pulsante destro del mouse sul database e scegliere Attività>Individuazione e classificazione dei dati>Ripristina i criteri di protezione delle informazioni predefiniti. Verranno applicati i criteri predefiniti o i criteri di protezione delle informazioni SQL e sarà possibile classificare i dati usando etichette di riservatezza SQL anziché etichette MIP.

Screenshot di ripristino dei criteri di protezione delle informazioni in S S M S

Per abilitare i criteri di protezione delle informazioni da un file JSON personalizzato, accedere a Esplora oggetti di SSMS, fare clic con il pulsante destro del mouse sul database e scegliere Attività>Individuazione e classificazione dei dati>Imposta file dei criteri di protezione delle informazioni.

Nota

Un'icona di avviso indica che la colonna è stata classificata precedentemente usando criteri di protezione delle informazioni diversi rispetto alla modalità dei criteri attualmente selezionata. Ad esempio, se si è in modalità Microsoft Information Protection e una delle colonne è stata classificata precedentemente usando i criteri di protezione delle informazioni SQL o i criteri di protezione delle informazioni da un file di criteri personalizzato, verrà visualizzata un'icona di avviso per tale colonna. È possibile decidere se modificare la classificazione della colonna in una delle etichette di riservatezza disponibili nella modalità dei criteri corrente oppure lasciarla invariata. Screenshot dell'avviso di classificazione dei dati per i criteri non corrispondenti

Gestire i criteri di protezione delle informazioni con SSMS

È possibile gestire i criteri di protezione delle informazioni usando SSMS 18.4 o versioni successive:

  1. In SQL Server Management Studio (SSMS), collegarsi a SQL Server.

  2. In Esplora oggetti di SSMS, selezionare uno dei database e scegliere Attività>Individuazione e classificazione dei dati.

    Le opzioni di menu indicate di seguito consentono di gestire i criteri di protezione delle informazioni:

  • Imposta criteri Microsoft Information Protection: imposta i criteri di protezione delle informazioni su criteri Microsoft Purview Information Protection.

  • Imposta file dei criteri di protezione delle informazioni: usa i Criteri di protezione delle informazioni SQL come definito nel file JSON selezionato. (Vedere il File dei criteri di protezione delle informazioni predefinito)

  • Esporta criteri di protezione delle informazioni: esporta i criteri di protezione delle informazioni in un file JSON.

  • Ripristina criteri di protezione delle informazioni: reimposta i criteri di protezione delle informazioni sui Criteri di protezione delle informazioni SQL predefiniti.

Importante

Il file dei criteri di Information Protection non è archiviato in SQL Server. SSMS usa criteri di protezione delle informazioni predefiniti. In caso di errori dei criteri di protezione delle informazioni, SSMS non è in grado di usare i criteri predefiniti. La classificazione dei dati ha esito negativo. Per risolvere il problema, fare clic su Ripristina criteri di Information Protection per usare i criteri predefiniti e riabilitare la classificazione dei dati.

Accesso ai metadati di classificazione

SQL Server 2019 introduce la sys.sensitivity_classifications vista del catalogo di sistema. Questa vista restituisce i tipi di informazioni e le etichette di riservatezza.

Per le istanze di SQL Server 2019, eseguire una query su sys.sensitivity_classifications per esaminare tutte le colonne classificate e le classificazioni corrispondenti. Ad esempio:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Prima di SQL 2019 i metadati di classificazione per i tipi di informazioni e le etichette di riservatezza sono archiviati nelle seguenti Proprietà estese:

  • sys_information_type_name
  • sys_sensitivity_label_name

Per le istanze di SQL Server 2017 e versioni precedenti, l'esempio seguente restituisce tutte le colonne classificate e le classificazioni corrispondenti:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Autorizzazioni

Nelle istanze di SQL Server 2019, la visualizzazione della classificazione richiede l'autorizzazione VIEW ANY SENSITIVITY CLASSIFICATION. Per altre informazioni, vedere Metadata Visibility Configuration.

Prima di SQL Server 2019, è possibile accedere ai metadati usando la vista del catalogo Proprietà estese sys.extended_properties.

La gestione della classificazione richiede l’autorizzazione ALTER ANY SENSITIVITY CLASSIFICATION. L'autorizzazione ALTER ANY SENSITIVITY CLASSIFICATION è implicita nell'autorizzazione del database ALTER o nell'autorizzazione del server CONTROL SERVER.

Gestire le classificazioni

È possibile usare T-SQL per aggiungere o rimuovere classificazioni di colonna, nonché recuperare tutte le classificazioni per l'intero database.

Passaggi successivi

Per Database SQL di Azure, vedere Individuazione e classificazione dei dati nel Database SQL di Azure.

Potrebbe essere consigliabile proteggere le colonne sensibili applicando meccanismi di sicurezza a livello di colonna: