Eksplorowanie klasyfikacji danych

  • 5 min

Poufne dane przechowywane w programie Microsoft SQL Server, usłudze Azure SQL Database lub usłudze Azure SQL Managed Instance powinny być klasyfikowane w bazie danych. Ta klasyfikacja ułatwia użytkownikom i aplikacjom zrozumienie wrażliwości przechowywanych danych.

Klasyfikacja danych jest wykonywana na podstawie kolumny po kolumnie. Pojedyncza tabela może zawierać kolumny sklasyfikowane jako publiczne, poufne lub wysoce poufne.

Początkowo klasyfikacja danych została wprowadzona w programie SQL Server Management Studio przy użyciu rozszerzonych właściwości obiektów do przechowywania informacji o klasyfikacji. Począwszy od programu SQL Server 2019, te metadane są przechowywane w widoku wykazu o nazwie sys.sensitivity_classifications. Ta funkcja jest również obsługiwana przez usługi Azure SQL Database i Azure SQL Managed Instance.

Witryna Azure Portal udostępnia okienko zarządzania klasyfikacją danych usługi Azure SQL Database. Dostęp do tej funkcji można uzyskać, wybierając pozycję Odnajdywanie i klasyfikacja danych w sekcji Zabezpieczenia głównego bloku usługi Azure SQL Database.

Zrzut ekranu przedstawiający stronę odnajdywania i klasyfikacji danych w witrynie Azure Portal.

W witrynie Azure Portal i programie SQL Server Management Studio można skonfigurować klasyfikację danych. Aparat klasyfikacji skanuje bazę danych w celu zidentyfikowania kolumn z nazwami sugerującymi, że mogą zawierać informacje poufne. Na przykład kolumna o nazwie e-mail będzie automatycznie oflagowana jako zawierająca poufne dane osobowe.

Zrzut ekranu przedstawiający zalecenie dotyczące klasyfikacji danych w witrynie Azure Portal.

W tym przykładzie istnieje pięć kolumn zalecanych do klasyfikacji. Właściwości typu informacji i etykiety poufności wydają się być zgodne z nazwą kolumny i ogólnym celem. Jednak ponieważ zalecenia są oparte na nazwie kolumny, kolumna o nazwie column1 zawierająca adresy e-mail nie byłaby zalecana jako poufne informacje osobiste.

Kolumny można również sklasyfikować przy użyciu kreatora ustawień poufności w programie SQL Server Management Studio lub za pomocą polecenia T-SQL ADD SENSITIVITY CLASSFICATION.

ADD SENSITIVITY CLASSIFICATION TO
    [Application].[People].[EmailAddress]
WITH (LABEL='PII', INFORMATION_TYPE='Email')

GO

Klasyfikacja danych pozwala łatwo określić wrażliwość danych w bazie danych. Poznanie, które kolumny zawierają poufne dane, umożliwia łatwiejsze inspekcje i łatwiejsze identyfikowanie, które kolumny są dobrymi wyborami do szyfrowania danych. Klasyfikacja umożliwia innym pracownikom w firmie podejmowanie lepszych decyzji dotyczących sposobu obsługi danych, które są dostępne w bazie danych.

Dostosowywanie taksonomii klasyfikacji

Odnajdywanie i klasyfikacja danych jest częścią usługi Microsoft Defender for Cloud. Taksonomię etykiet poufności można dostosować i zdefiniować zestaw reguł klasyfikacji przeznaczonych specjalnie dla danego środowiska.

Etykiety poufności można tworzyć i nimi zarządzać w ramach zarządzania zasadami, wybierając Odnajdywanie danych i klasyfikacja głównego panelu dla usługi Azure SQL Database, a następnie Konfiguruj.

Zrzut ekranu przedstawiający sposób dostosowywania taksonomii klasyfikacji z witryny Azure Portal.

Na stronie Information Protection można zdefiniować etykiety, sklasyfikować je i połączyć z zestawem typów informacji.

Zrzut ekranu przedstawiający stronę usługi Information Protection z witryny Azure Portal.

Po zdefiniowaniu wzorców są one automatycznie dodawane do logiki odnajdywania w celu identyfikowania tego typu danych w bazach danych i są natychmiast dostępne.

Uwaga / Notatka

Tylko użytkownicy z uprawnieniami administracyjnymi w głównej grupie zarządzania organizacji mogą tworzyć etykiety poufności i zarządzać nimi.