Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
programu SQL Server
Odnajdywanie i klasyfikacja danych dodaje możliwości odnajdywania, klasyfikowania, etykietowania i raportowania poufnych danych w bazach danych. Można to zrobić za pośrednictwem języka T-SQL lub programu SQL Server Management Studio (SSMS). Odkrywanie i klasyfikowanie najbardziej wrażliwych danych (firmowych, finansowych, zdrowotnych itp.) może odgrywać kluczową rolę w poziomie ochrony informacji organizacji. Może ona służyć jako infrastruktura dla:
- Pomoc w spełnianiu standardów prywatności danych.
- Monitorowanie dostępu do baz danych/kolumn zawierających wysoce poufne dane.
Uwaga
Odnajdywanie i klasyfikacja danych jest obsługiwane w programie SQL Server 2012 lub nowszym i może być używane z programem SSMS 17.5 lub nowszym. W przypadku usługi Azure SQL Database zobacz Odnajdywanie i klasyfikacja danych usługi Azure SQL Database.
Przegląd
Odnajdywanie i klasyfikacja danych stanowi nowy paradygmat ochrony informacji dla usług SQL Database, SQL Managed Instance i Azure Synapse, mających na celu ochronę danych, a nie tylko bazy danych. Obecnie obsługuje następujące możliwości:
- Odnajdywanie i zalecenia — aparat klasyfikacji skanuje bazę danych i identyfikuje kolumny zawierające potencjalnie poufne dane. Następnie zapewnia łatwy sposób przeglądania i stosowania odpowiednich zaleceń dotyczących klasyfikacji, a także ręcznego klasyfikowania kolumn.
- Etykietowanie — etykiety klasyfikacji poufności mogą być trwale oznaczone na kolumnach.
- Widoczność — stan klasyfikacji bazy danych można wyświetlić w szczegółowym raporcie, który można wydrukować lub wyeksportować do użycia na potrzeby zgodności i inspekcji.
Odnajdywanie, klasyfikowanie i etykietowanie poufnych kolumn
W poniższej sekcji opisano kroki odnajdywania, klasyfikowania i etykietowania kolumn zawierających poufne dane w bazie danych, a także wyświetlanie bieżącego stanu klasyfikacji bazy danych i eksportowanie raportów.
Klasyfikacja zawiera dwa atrybuty metadanych:
- Etykiety — główne atrybuty klasyfikacji używane do definiowania poziomu poufności danych przechowywanych w kolumnie.
- Typy informacji — zapewniają większą stopień szczegółowości w typie danych przechowywanych w kolumnie.
Aby sklasyfikować bazę danych programu SQL Server:
W programie SQL Server Management Studio (SSMS) połącz się z programem SQL Server.
W Eksploratorze obiektów programu SSMS wybierz bazę danych, którą chcesz sklasyfikować, i wybierz pozycję Zadania>odnajdywania danych i klasyfikacji danych> dane....
Aparat klasyfikacji skanuje bazę danych pod kątem kolumn (tylko na podstawie nazw kolumn) zawierających potencjalnie poufne dane i udostępnia listę zalecanych klasyfikacji kolumn:
Aby wyświetlić listę zalecanych klasyfikacji kolumn, wybierz okno powiadomień o zaleceniach znajdujące się na górze okna lub panel rekomendacji umieszczony na dole okna.
Przejrzyj listę zaleceń:
Aby zaakceptować zalecenie dla określonej kolumny, zaznacz pole wyboru w lewej kolumnie odpowiedniego wiersza. Wszystkie zalecenia można również oznaczyć jako zaakceptowane, zaznaczając pole wyboru w nagłówku tabeli zaleceń.
Możesz również zmienić zalecany typ informacji i etykietę poufności przy użyciu pól rozwijanych.
Aby zastosować wybrane zalecenia, wybierz przycisk Zapisz wybrane zalecenia .
Uwaga
Silnik rekomendacji, który automatycznie odkrywa dane i udostępnia zalecenia dotyczące kolumn poufnych, jest wyłączony, gdy jest używany tryb zasad programu Microsoft Purview Information Protection.
Aby wyświetlić kolumny sklasyfikowane, wybierz odpowiedni schemat i odpowiednią tabelę z listy rozwijanej, a następnie wybierz pozycję Załaduj kolumny.
Możesz również ręcznie sklasyfikować kolumny jako alternatywę lub dodatkowo klasyfikację opartą na rekomendacjach:
Wybierz pozycję Dodaj klasyfikację w górnym menu okna.
W wyświetlonym oknie kontekstowym wprowadź nazwę kolumny, którą chcesz sklasyfikować, typ informacji i etykietę poufności. Schemat i tabela są wybierane na podstawie wpisów na stronie głównej.
Jeśli chcesz dodać klasyfikację dla wszystkich niesklasyfikowanych kolumn dla określonej tabeli w jednej próbie, wybierz pozycję Wszystkie niesklasyfikowane na liście rozwijanej Kolumna na stronie Dodaj klasyfikację .
Aby ukończyć klasyfikację i trwale oznaczyć kolumny bazy danych przy użyciu nowych metadanych klasyfikacji, wybierz przycisk Zapisz w górnym menu okna.
Aby wygenerować raport z pełnym podsumowaniem stanu klasyfikacji bazy danych, wybierz pozycję Wyświetl raport w górnym menu okna. (Raport można również wygenerować przy użyciu programu SSMS. Wybierz bazę danych, w której chcesz wygenerować raport, a następnie wybierz pozycję Zadania>Odnajdywanie danych i Generowanie raportu klasyfikacji>...)
Klasyfikowanie bazy danych przy użyciu zasad usługi Microsoft Purview Information Protection
Uwaga
Microsoft Information Protection (skrócony jako MIP) został przemianowany na Microsoft Purview Information Protection. Terminy MIP i Microsoft Purview Information Protection są często używane zamiennie w tym dokumencie, ale oba odnoszą się do tej samej koncepcji.
Etykiety usługi Microsoft Purview Information Protection zapewniają użytkownikom prosty i jednolity sposób klasyfikowania poufnych danych w programie SQL Server. Etykiety poufności usługi MIP są tworzone i zarządzane w centrum zgodności platformy Microsoft 365 [przemianowane na portal zgodności usługi Microsoft Purview]. Aby dowiedzieć się, jak tworzyć i publikować etykiety poufne MIP w portalu zgodności usługi Microsoft Purview, zobacz artykuł Microsoft Information Protection sensitivity labels (Etykiety poufności usługi Microsoft Information Protection).
Teraz możesz użyć programu SSMS do klasyfikowania danych w źródle (SQL Server) przy użyciu etykiet usługi Microsoft Purview Information Protection, które są używane w usługach Power BI, Office i innych produktach firmy Microsoft. Te etykiety poufności są stosowane na poziomie kolumny w bazie danych, tak samo jak zasady usługi SQL Information Protection.
Zestawy danych lub raporty Power BI, które łączą się z danymi oznaczonymi etykietami poufności w obsługiwanych źródłach danych, mogą automatycznie dziedziczyć te etykiety, co zapewnia, że dane pozostają sklasyfikowane, gdy są przenoszone do Power BI i eksportowane do innych aplikacji. Dostępność zasad programu MIP w programie SSMS umożliwia osiągnięcie kompleksowego rozwiązania do klasyfikacji w całym przedsiębiorstwie.
Kroki konfigurowania zasad usługi Microsoft Purview Information Protection
W programie SQL Server Management Studio (SSMS) połącz się z programem SQL Server.
W Eksploratorze obiektów programu SSMS wybierz bazę danych, którą chcesz sklasyfikować, i wybierz pozycję Zadania>odnajdywania i klasyfikacji>Ustaw zasady usługi Microsoft Information Protection
Zostanie wyświetlone okno uwierzytelniania dla platformy Microsoft 365 umożliwiające ustawienie zasad usługi Microsoft Information Protection. Wybierz Zaloguj się i wprowadź lub wybierz prawidłowe poświadczenie użytkownika, aby uwierzytelnić się w dzierżawie Microsoft 365.
Jeśli uwierzytelnianie zakończy się pomyślnie, zostanie wyświetlone wyskakujące okienko z informacją o stanie Powodzenie.
Opcjonalnie — jeśli chcesz zalogować się do dowolnej suwerennej chmury firmy Microsoft w celu uwierzytelniania na platformie Microsoft 365, przejdź do pozycji Opcje > programu SSMS >w> chmurzeplatformy Azure> i zmień nazwę na odpowiednią suwerenną chmurę firmy Microsoft.
W oknie Eksplorator obiektów programu SSMS kliknij prawym przyciskiem myszy bazę danych, którą chcesz sklasyfikować, i wybierz Zadania>Odkrywanie i klasyfikacja danych>Klasyfikuj dane. Teraz możesz dodać nową klasyfikację przy użyciu etykiet poufności MIP zdefiniowanych w dzierżawie Microsoft 365 i użyć tych etykiet do klasyfikowania kolumn w SQL Server.
Automatyczne odnajdywanie i rekomendacje dotyczące danych są wyłączone w trybie zasad usługi Microsoft Information Protection. Jest ona obecnie dostępna tylko w trybie zasad usługi SQL Information Protection.
Aby zresetować zasady usługi Information Protection do ustawień domyślnych lub SQL Information Protection, przejdź do Eksploratora obiektów programu SSMS, kliknij prawym przyciskiem myszy bazę danych i wybierz pozycję Zadania>Odnajdywanie i klasyfikacja danych>Zresetuj zasady ochrony informacji do domyślnych. Spowoduje to zastosowanie domyślnych zasad lub polityki SQL Information Protection, a dane można sklasyfikować przy użyciu etykiet poufności SQL zamiast etykiet MIP.
Aby włączyć zasady ochrony informacji z niestandardowego pliku JSON, przejdź do Eksploratora obiektów programu SSMS, kliknij prawym przyciskiem myszy bazę danych i wybierz pozycję Zadania>odnajdywania i klasyfikacji>Zestaw zasad ochrony informacji.
Uwaga
Ikona ostrzeżenia wskazuje, że kolumna została wcześniej sklasyfikowana przy użyciu innych zasad ochrony informacji niż aktualnie wybrany tryb zasad. Jeśli na przykład jesteś obecnie w trybie usługi Microsoft Information Protection, a jedna z kolumn została wcześniej sklasyfikowana przy użyciu zasad usługi SQL Information Protection lub zasad ochrony informacji z pliku zasad niestandardowych, zostanie wyświetlona ikona ostrzeżenia dla tej kolumny. Możesz zdecydować, czy chcesz zmienić klasyfikację kolumny na dowolną z etykiet poufności dostępnych w bieżącym trybie zasad, czy pozostawić ją tak, jak jest.
Zarządzanie zasadami ochrony informacji za pomocą programu SSMS
Zasady ochrony informacji można zarządzać przy użyciu najnowszej wersji programu SQL Server Management Studio:
W programie SQL Server Management Studio (SSMS) połącz się z programem SQL Server.
W Eksploratorze obiektów programu SSMS wybierz jedną z baz danych i wybierz pozycję Zadania>odnajdywania i klasyfikacji danych.
Następujące opcje menu umożliwiają zarządzanie zasadami usługi Information Protection:
Ustaw zasady usługi Microsoft Information Protection: ustawia zasady ochrony informacji na zasady usługi Microsoft Purview Information Protection.
Ustaw plik zasad ochrony informacji: używa zasad usługi SQL Information Protection zgodnie z definicją w wybranym pliku JSON. (Zobacz domyślny plik zasad ochrony informacji)
Eksportowanie zasad ochrony informacji: eksportuje zasady ochrony informacji do pliku JSON.
Resetuj zasady ochrony informacji: resetuje zasady ochrony informacji do domyślnych zasad usługi SQL Information Protection.
Ważne
Plik zasad ochrony informacji nie jest przechowywany w programie SQL Server. Program SSMS używa domyślnej polityki Information Protection. Jeśli dostosowane zasady usługi Information Protection kończą się niepowodzeniem, program SSMS nie może używać zasad domyślnych. Klasyfikacja danych kończy się niepowodzeniem. Aby rozwiązać ten problem, kliknij pozycję Resetuj zasady ochrony informacji , aby użyć zasad domyślnych i ponownie włączyć klasyfikację danych.
Uzyskiwanie dostępu do metadanych klasyfikacji
Program SQL Server 2019 wprowadza sys.sensitivity_classifications widok wykazu systemu. Ten widok zwraca typy informacji i etykiety poufności.
W wystąpieniach programu SQL Server 2019 wykonaj zapytanie sys.sensitivity_classifications , aby przejrzeć wszystkie sklasyfikowane kolumny z odpowiednimi klasyfikacjami. Na przykład:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
label,
rank,
rank_desc
FROM sys.sensitivity_classifications sc
JOIN sys.objects O
ON sc.major_id = O.object_id
JOIN sys.columns C
ON sc.major_id = C.object_id AND sc.minor_id = C.column_id
Przed wprowadzeniem SQL Server 2019, metadane klasyfikacji dla typów informacji i etykiet poufności znajdują się w następujących właściwościach rozszerzonych:
sys_information_type_namesys_sensitivity_label_name
W przypadku wystąpień programu SQL Server 2017 i wcześniejszych poniższy przykład zwraca wszystkie sklasyfikowane kolumny z odpowiednimi klasyfikacjami:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
sensitivity_label
FROM
(
SELECT
IT.major_id,
IT.minor_id,
IT.information_type,
L.sensitivity_label
FROM
(
SELECT
major_id,
minor_id,
value AS information_type
FROM sys.extended_properties
WHERE NAME = 'sys_information_type_name'
) IT
FULL OUTER JOIN
(
SELECT
major_id,
minor_id,
value AS sensitivity_label
FROM sys.extended_properties
WHERE NAME = 'sys_sensitivity_label_name'
) L
ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
) EP
JOIN sys.objects O
ON EP.major_id = O.object_id
JOIN sys.columns C
ON EP.major_id = C.object_id AND EP.minor_id = C.column_id
Uprawnienia
Na instancjach SQL Server 2019 wyświetlanie klasyfikacji wymaga posiadania uprawnienia VIEW ANY SENSITIVITY CLASSIFICATION. Aby uzyskać więcej informacji, zobacz Konfiguracja widoczności metadanych.
Przed programem SQL Server 2019 można uzyskać dostęp do metadanych przy użyciu widoku sys.extended_propertieswykazu właściwości rozszerzonych.
Zarządzanie klasyfikacją wymaga uprawnienia ALTER ANY SENSITIVITY CLASSIFICATION. Uprawnienie ALTER ANY SENSITIVITY CLASSIFICATION jest implikowane przez uprawnienie bazy danych ALTER lub przez uprawnienie serwera CONTROL SERVER.
Zarządzaj klasyfikacjami
Języka T-SQL można użyć do dodawania lub usuwania klasyfikacji kolumn, a także pobierania wszystkich klasyfikacji dla całej bazy danych.
- Dodawanie/aktualizowanie klasyfikacji co najmniej jednej kolumny: DODAWANIE KLASYFIKACJI POUFNOŚCI
- Usuń klasyfikację z co najmniej jednej kolumny: DROP SENSITIVITY CLASSIFICATION
Następne kroki
W przypadku usługi Azure SQL Database zobacz Odnajdywanie i klasyfikacja danych usługi Azure SQL Database.
Rozważ ochronę poufnych kolumn, stosując mechanizmy zabezpieczeń na poziomie kolumn:
- Dynamiczne maskowanie danych do zaciemniania kolumn poufnych w użyciu.
- Always Encrypted do szyfrowania poufnych kolumn podczas przechowywania.