데이터 검색 & 분류

적용 대상: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

데이터 검색 & 분류는 Azure SQL Database, Azure SQL Managed Instance 및 Azure Synapse Analytics에 기본 제공됩니다. 데이터베이스에서 중요한 데이터의 검색, 분류, 레이블 지정 및 보고를 위한 기본 기능을 제공합니다.

가장 중요한 데이터에는 비즈니스, 금융, 의료 또는 개인 정보가 포함될 수 있습니다. 다음에 대한 인프라를 제공할 수 있습니다.

  • 규정 준수를 위한 데이터 개인 정보 및 요구 사항에 대한 표준을 충족하는 데 도움이 됩니다.
  • 중요한 데이터에 대한 액세스 모니터링(감사)과 같은 다양한 보안 시나리오
  • 매우 중요한 데이터가 들어 있는 데이터베이스에 대한 액세스 제어 및 보안 강화

참고

SQL Server 온-프레미스에 대한 자세한 내용은 SQL 데이터 검색 & 분류를 참조하세요.

데이터 검색 & 분류란?

데이터 검색 & 분류는 현재 다음 기능을 지원합니다.

  • 검색 및 권장 사항: 분류 엔진은 데이터베이스를 검사하여 잠재적으로 중요한 데이터가 포함된 열을 확인합니다. 그런 다음, Azure Portal을 통해 권장되는 분류를 검토하고 적용하는 쉬운 방법을 제공합니다.

  • 레이블 지정: SQL Server 데이터베이스 엔진에 추가된 새 메타데이터 특성을 사용하여 민감도 분류 레이블을 열에 영구적으로 적용할 수 있습니다. 그런 다음, 이 메타데이터는 민감도 기반 감사 시나리오에 사용될 수 있습니다.

  • 쿼리 결과 집합 민감도: 쿼리 결과 집합의 민감도는 감사 목적으로 실시간 계산됩니다.

  • 가시성: 데이터베이스 분류 상태는 Azure Portal의 세부 대시보드에서 볼 수 있습니다. 또한 호환성 및 감사 목적 및 기타 요구 사항에 사용할 수 있도록 보고서를 Excel 형식으로 다운로드할 수 있습니다.

중요한 열 검색, 분류 및 레이블 지정

이 섹션에서는 다음에 대한 단계를 설명합니다.

  • 데이터베이스의 중요한 데이터를 포함하는 열을 검색, 분류 및 레이블 지정
  • 데이터베이스의 현재 분류 상태 보기 및 보고서 내보내기

분류에는 두 개의 메타데이터 특성이 포함됩니다.

  • 레이블: 열에 저장된 데이터의 민감도 수준을 정의하는 데 사용되는 주 분류 특성입니다.
  • 정보 유형: 열에 저장된 데이터 형식에 대한 보다 세부적인 정보를 제공하는 특성입니다.

Information Protection 정책

Azure SQL은 데이터 분류에서 SQL Information Protection 정책 및 Microsoft Information Protection 정책을 모두 제공하며 요구 사항에 따라 이러한 두 정책 중 하나를 선택할 수 있습니다.

Information Protection 정책 형식의 스크린샷

SQL Information Protection 정책

데이터 검색 & 분류에는 민감도 레이블 및 정보 유형의 기본 제공 집합과 SQL 논리 서버에 기본 제공되는 검색 논리가 제공됩니다. 기본 정책 파일에서 사용할 수 있는 보호 레이블을 계속 사용하거나 이 분류법을 사용자 지정할 수 있습니다. 사용자 환경에 맞게 분류 구문 집합과 순위를 정의할 수 있습니다.

분류 체계 정의 및 사용자 지정

전체 Azure 조직에 대해 중앙의 한 위치에서 분류 체계를 정의하고 사용자 지정합니다. 해당 위치는 보안 정책의 일부로 Microsoft Defender for Cloud에 있습니다. 조직의 루트 관리 그룹에 대한 관리 권한이 있는 사람만이 이 작업을 수행할 수 있습니다.

정책 관리의 일환으로, 사용자 지정 레이블을 정의하고, 순위를 지정하고, 선택한 정보 유형 세트와 연결할 수 있습니다. 사용자 고유의 사용자 지정 정보 유형을 추가하고 문자열 패턴을 사용하여 구성할 수도 있습니다. 패턴은 데이터베이스에서 이러한 유형의 데이터를 식별하기 위한 검색 논리에 추가됩니다.

자세한 내용은 Microsoft Defender for Cloud에서 SQL 정보 보호 정책 사용자 지정(미리 보기)을 참조하세요.

조직 전체 정책을 정의한 후에는 사용자 지정된 정책을 사용하여 개별 데이터베이스 분류를 계속할 수 있습니다.

SQL Information Protection 정책 모드에서 데이터베이스 분류

참고

아래 예제에서는 Azure SQL Database를 사용하지만 데이터 검색 & 분류를 구성하려는 적절한 제품을 선택해야 합니다.

  1. Azure 포털로 이동합니다.

  2. Azure SQL Database 창의 보안 제목 아래에 있는 데이터 검색 & 분류로 이동합니다. 개요 탭에는 데이터베이스의 현재 분류 상태 요약이 포함되어 있습니다. 요약에는 특정 스키마 부분, 정보 유형 및 레이블만 표시하도록 필터링할 수도 있는 분류된 모든 열의 자세한 목록이 포함됩니다. 아직 어떠한 열도 분류하지 않은 경우 4단계로 건너뜁니다.

    개요

  3. 보고서를 Excel 형식으로 다운로드하려면 창의 위쪽 메뉴에서 내보내기를 선택합니다.

  4. 데이터 분류를 시작하려면 데이터 검색 & 분류 페이지에서 분류 탭을 선택합니다.

    분류 엔진은 잠재적으로 중요한 데이터를 포함하는 열에서 데이터베이스를 검사하고 권장된 열 분류 목록을 제공합니다.

  5. 분류 권장 사항 보기 및 적용:

    • 권장된 열 분류 목록을 보려면 창의 맨 아래에서 권장 사항 패널을 선택합니다.

    • 특정 열에 대한 권장 사항을 허용하려면 관련 행의 왼쪽 열에서 확인란을 선택합니다. 모든 권장 사항을 허용됨으로 표시하려면 권장 사항 테이블 헤더에서 가장 왼쪽에 있는 확인란을 선택합니다.

    • 선택한 권장 사항을 적용하려면 선택한 권장 사항 허용을 선택합니다.

    분류에 대한 권장 사항

  6. 대안으로 열을 수동으로 분류하거나 권장 사항 기반 분류로 지정할 수도 있습니다.

    1. 창의 위쪽 메뉴에서 분류 추가를 선택합니다.

    2. 열려 있는 컨텍스트 창에서 분류하려는 스키마, 테이블 및 열을 선택하고 정보 유형 및 민감도 레이블을 선택합니다.

    3. 컨텍스트 창의 아래쪽에서 분류 추가를 선택합니다.

    수동으로 분류 추가

  7. 분류를 완료하고 데이터베이스 열에 새 분류 메타데이터로 영구 레이블(태그)을 지정하려면 분류 페이지에서 저장을 선택합니다.

Microsoft Information Protection 정책

MIP(Microsoft Information Protection) 레이블은 사용자가 여러 Microsoft 애플리케이션에서 중요한 데이터를 균일하게 분류할 수 있는 간단하고 균일한 방법을 제공합니다. MIP 민감도 레이블은 Microsoft 365 규정 준수 센터에서 만들고 관리합니다. Microsoft 365 규정 준수 센터에서 MIP 민감도 레이블 만들고 게시하는 방법을 알아보려면 민감도 레이블 만들기 및 게시 문서를 참조하세요.

MIP 정책으로 전환하기 위한 필수 구성 요소

Microsoft Information Protection 정책 모드에서 데이터베이스 분류

  1. Azure 포털로 이동합니다.

  2. Azure SQL Database의 데이터베이스로 이동

  3. 데이터베이스 창의 보안 제목 아래에 있는 데이터 검색 & 분류로 이동합니다.

  4. Microsoft Information Protection 정책을 선택하려면 개요 탭을 선택하고 구성을 선택합니다.

  5. Information Protection 정책 옵션에서 Microsoft Information Protection 정책을 선택하고 저장을 선택합니다.

    Azure SQL Database에 대한 Microsoft Information Protection 정책을 선택하는 스크린샷

  6. 분류 탭으로 이동하거나 분류 추가를 선택하면 이제 민감도 레이블 드롭다운에 M365 민감도 레이블이 표시됩니다.

    민감도 레이블 드롭다운 스크린샷

    분류 탭의 민감도 레이블 스크린샷

  • 정보 유형은 MIP 정책 모드에 있는 동안 [n/a]이며 자동 데이터 검색 & 권장 사항은 사용하지 않도록 설정된 상태로 유지됩니다.

  • 현재 활성 정책과 다른 Information Protection 정책을 사용하여 열을 분류한 경우 이미 분류된 열에 대해 경고 아이콘이 나타날 수 있습니다. 예를 들어 이전에 SQL Information Protection 정책을 사용하여 레이블로 열을 분류했고 지금은 Microsoft Information Protection 정책 모드에 있는 경우를 예로 들 수 있습니다. 해당 특정 열에 대한 경고 아이콘이 표시됩니다. 이 경고 아이콘은 문제를 나타내지 않지만 정보 제공 목적으로만 사용됩니다.

    다른 Information Protection 정책으로 인한 분류된 열에 대한 경고의 스크린샷

중요한 데이터에 대한 액세스 감사

분류의 중요한 측면은 중요한 데이터에 대한 액세스를 모니터링하는 기능입니다. Azure SQL 감사 기능이 개선되어 data_sensitivity_information이라는 감사 로그에 새 필드가 포함되었습니다. 이 필드는 쿼리에 의해 반환된 데이터의 민감도 분류(레이블)를 기록합니다. 예를 들면 다음과 같습니다.

감사 로그

이러한 활동은 실제로 민감도 정보를 사용하여 감사할 수 있습니다.

  • ALTER TABLE ... DROP COLUMN
  • BULK INSERT
  • Delete
  • INSERT
  • MERGE
  • UPDATE
  • UPDATETEXT
  • WRITETEXT
  • DROP TABLE
  • BACKUP
  • DBCC CloneDatabase
  • SELECT INTO
  • INSERT INTO EXEC
  • TRUNCATE TABLE
  • DBCC SHOW_STATISTICS
  • sys.dm_db_stats_histogram

sys.fn_get_audit_file을 사용하여 Azure Storage 계정에 저장된 감사 파일에서 정보를 반환합니다.

사용 권한

이러한 기본 제공 역할은 데이터베이스의 데이터 분류를 읽을 수 있습니다.

  • 소유자
  • 읽기 권한자
  • 참가자
  • SQL 보안 관리자
  • 사용자 액세스 관리자

데이터베이스의 데이터 분류를 읽는 데 필요한 작업은 다음과 같습니다.

  • Microsoft.Sql/servers/databases/currentSensitivityLabels/*
  • Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

이러한 기본 제공 역할은 데이터베이스의 데이터 분류를 수정할 수 있습니다.

  • 소유자
  • 참가자
  • SQL 보안 관리자

데이터베이스의 데이터 분류를 수정하는 데 필요한 작업은 다음과 같습니다.

  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Azure RBAC의 역할 기반 권한에 대해 자세히 알아보세요.

참고

이 섹션의 Azure SQL 기본 제공 역할은 전용 SQL 풀(이전의 SQL DW)에 적용되지만 Azure Synapse 작업 영역 내의 전용 SQL 풀 및 기타 SQL 리소스에는 사용할 수 없습니다. Azure Synapse 작업 영역의 SQL 리소스의 경우 데이터 분류에 사용 가능한 작업을 사용하여 레이블 지정에 필요한 사용자 지정 Azure 역할을 만듭니다. Microsoft.Synapse/workspaces/sqlPools 공급자 작업에 대한 자세한 내용은 Microsoft.Synapse를 참조하세요.

분류 관리

T-SQL, REST API 또는 PowerShell을 사용하여 분류를 관리할 수 있습니다.

T-SQL 사용

T-SQL을 사용하여 열 분류를 추가 또는 제거하고 전체 데이터베이스에 대한 모든 분류를 검색할 수 있습니다.

참고

T-SQL을 사용하여 레이블을 관리하는 경우 열에 추가하는 레이블이 조직 정보 보호 정책(포털 권장 사항에 표시되는 레이블 집합)에 있는지 확인되지 않습니다. 따라서 이 유효성 검사는 사용자가 수행해야 합니다.

분류에 T-SQL을 사용하는 방법에 대한 자세한 내용은 다음 참조를 참조하세요.

PowerShell cmdlet 사용

PowerShell을 사용하여 Azure SQL Database 및 Azure SQL Managed Instance에 대한 분류 및 권장 사항을 관리합니다.

Azure SQL Database용 PowerShell cmdlet

Azure SQL Managed Instance용 PowerShell cmdlet

REST API 사용

REST API를 사용하여 분류 및 권장 사항을 프로그래밍 방식으로 관리할 수 있습니다. 게시된 REST API는 다음과 같은 작업을 지원합니다.

SQL 드라이버를 사용하여 분류 메타데이터 검색

다음 SQL 드라이버를 사용하여 분류 메타데이터를 검색할 수 있습니다.

FAQ - 고급 분류 기능

질문: SQL 데이터 검색 및 분류가 Azure Purview로 대체되나요? 아니면 SQL 데이터 검색 및 분류가 곧 사용 중지되나요? 답변: SQL 데이터 검색 및 분류를 계속 지원하며 고급 분류 기능 및 데이터 거버넌스를 구동할 수 있는 더 다양한 기능을 갖춘 Microsoft Purview를 채택할 것을 권장합니다. 서비스, 기능, API 또는 SKU를 사용 중지하기로 결정되면 마이그레이션 또는 전환 경로가 포함된 사전 통지를 보내드립니다. 여기에서 Microsoft 수명 주기 정책에 대해 자세히 알아봅니다.

다음 단계