Compartilhar via

Descoberta e classificação de dados SQL

Applies to:SQL Server

A Descoberta e a Classificação de Dados acrescentam recursos para descobrir, classificar, rotular e gerar relatórios dos dados confidenciais em seus bancos de dados. Isso pode ser feito por meio do T-SQL ou usando SQL Server Management Studio (SSMS). Descobrir e classificar seus dados mais confidenciais (negócios, financeiros, saúde etc.) pode desempenhar um papel fundamental na sua posição de proteção de informações organizacional. Isso pode servir como infraestrutura para:

  • Ajudar a atender aos padrões de privacidade de dados.
  • Monitorando o acesso a bancos de dados e colunas contendo dados altamente confidenciais.

Observação

Descoberta e Classificação de Dados é suportada para SQL Server 2012 e posteriores e pode ser usada com SSMS 17.5 ou posterior. Para o banco de dados Azure SQL, consulte Descoberta e Classificação de Dados do Azure SQL Database.

Visão geral

Descoberta e Classificação de Dados forma um novo paradigma de proteção de informações para Banco de Dados SQL, SQL Managed Instance e Azure Synapse, visando proteger os dados e não apenas o banco de dados. Atualmente, ela dá suporte aos seguintes recursos:

  • Descoberta e recomendações – o mecanismo de classificação verifica o banco de dados e identifica colunas que contenham dados possivelmente confidenciais. Em seguida, ele fornece uma maneira fácil de examinar e aplicar as recomendações de classificação apropriada, bem como de classificar as colunas manualmente.
  • Rotulagem – rótulos de classificação de sensibilidade podem ser marcados de forma persistente em colunas.
  • Visibilidade – o estado de classificação do banco de dados pode ser exibido em um relatório detalhado que pode ser impresso ou exportado para ser usado para fins de auditoria e conformidade.

Descobrindo, classificando e rotulando colunas confidenciais

A seção a seguir descreve as etapas para descobrir, classificar e rotular colunas que contenham dados confidenciais no banco de dados, bem como exibir o estado atual de classificação do banco de dados e exportar relatórios.

A classificação inclui dois atributos de metadados:

  • Rótulos – os atributos de classificação principais, usados para definir o nível de confidencialidade dos dados armazenados na coluna.
  • Tipos de informações – fornecem mais granularidade para o tipo dos dados armazenados na coluna.

Para classificar seu banco de dados SQL Server:

  1. No SQL Server Management Studio (SSMS), conecte-se ao SQL Server.

  2. No SSMS Object Explorer, selecione o banco de dados que você deseja classificar e escolher Tasks>Data Discovery and Classification>Classify Data... .

    Screenshot mostrando o Explorador de Objetos do SSMS com tarefas > Data Discovery and Classification > Classify Data... selecionado.

  3. O mecanismo de classificação verifica o banco de dados em busca de colunas (com base apenas nos nomes das colunas) que contenham dados potencialmente confidenciais e fornece uma lista de classificações de colunas recomendadas:

    • Para exibir a lista de classificações de coluna recomendadas, selecione a caixa de notificação de recomendações na parte superior ou no painel de recomendações na parte inferior da janela:

      Captura de tela que mostra uma notificação que indica “Encontramos 39 colunas com recomendações de classificação. Clique aqui para exibi-las.”

      Captura de tela mostrando a notificação

    • Examine a lista de recomendações:

      • Para aceitar uma recomendação para uma coluna específica, marque a caixa de seleção na coluna à esquerda da linha relevante. Você também pode marcar todas as recomendações como aceitas, marcando a caixa de seleção no cabeçalho da tabela de recomendações.

      • Também é possível alterar o tipo de informações e o rótulo de confidencialidade recomendados usando as caixas suspensas.

      Captura de tela mostrando a lista de recomendações.

    • Para aplicar as recomendações selecionadas, selecione o botão Salvar recomendações selecionadas.

      Captura de tela do botão Aceitar recomendações selecionadas.

Observação

O mecanismo de recomendação que faz a descoberta automática de dados e fornece recomendações de colunas sensíveis é desabilitado quando o modo de política do "Microsoft Purview Information Protection" é usado.

  1. Para exibir as colunas classificadas, selecione o esquema apropriado e a tabela correspondente no menu suspenso e, em seguida, selecione Carregar Colunas.

    captura de tela da classificação de dados no SSMS, carregando colunas classificadas.

  2. Você também pode classificar manualmente as colunas como uma alternativa ou, além da classificação de recomendação:

    • Selecione Adicionar classificação no menu superior da janela.

      Captura de tela mostrando o menu superior com a opção Adicionar classificação em destaque.

    • Na janela de contexto que é aberta, insira o nome da coluna que você deseja classificar, o tipo de informações e o rótulo de confidencialidade. Esquema e tabela são selecionados com base nas entradas na página principal.

      Captura de tela mostrando a janela de contexto Adicionar classificação.

    • Se quiser adicionar a classificação para todas as colunas não classificadas para uma tabela específica em uma única tentativa, selecione Todos os Não Classificados no menu suspenso Coluna da página Adicionar Classificação.

      captura de tela da classificação de dados do SSMS selecionando todas as colunas não classificadas

  3. Para concluir sua classificação e definir um rótulo (uma marca) persistente para as colunas do banco de dados com os novos metadados de classificação, selecione o botão Salvar no menu superior da janela.

    Captura de tela mostrando o menu superior com a opção Salvar em destaque.

  4. Para gerar um relatório com um resumo completo do estado de classificação do banco de dados, selecione Exibir Relatório no menu superior da janela. (Você também pode gerar um relatório usando o SSMS. Selecione o banco de dados em que gostaria de gerar o relatório e escolha Tarefas>Descoberta e Classificação de Dados>Gerar Relatório...)

    Captura de tela mostrando o menu superior com a opção Exibir Relatório em destaque.

    Captura de tela mostrando o Relatório de Classificação de Dados SQL.

Classificar seu banco de dados usando Microsoft Purview Information Protection Policy

Observação

O Microsoft Information Protection (abreviado como MIP) foi renomeado como Microsoft Purview Information Protection. Os termos MIP e Microsoft Purview Information Protection geralmente são usados de forma intercambiável neste documento, mas ambos se referem ao mesmo conceito.

Microsoft Purview Information Protection rótulos fornecem uma maneira simples e uniforme para os usuários classificarem dados confidenciais em SQL Server. Os rótulos de confidencialidade de MIP são criados e gerenciados no centro de conformidade do Microsoft 365 [agora chamado portal de conformidade do Microsoft Purview]. Para saber como criar e publicar rótulos de sensibilidade de MIP no Portal de Conformidade do Microsoft Purview, consulte o artigo Microsoft Information Protection sensitivity labels.

Agora você pode usar o SSMS para classificar dados na origem (SQL Server) usando rótulos Microsoft Purview Information Protection, que são usados no Power BI, no Office e em outros produtos da Microsoft. Esses rótulos de confidencialidade são aplicados no nível da coluna em um banco de dados, assim como a política de Proteção de Informações do SQL.

Os relatórios ou conjuntos de dados do Power BI que se conectam a dados rotulados com confidencialidade em fontes de dados compatíveis podem herdar esses rótulos automaticamente, de modo que os dados permaneçam confidenciais quando trazidos para o Power BI e exportados para aplicativos downstream. A disponibilidade da política de MIP no SSMS permite que você conquiste uma solução de classificação completa em toda a empresa.

Etapas para configurar a política de Microsoft Purview Information Protection

  1. No SQL Server Management Studio (SSMS), conecte-se ao SQL Server.

  2. No Object Explorer do SSMS, selecione o banco de dados que você deseja classificar e selecione Tasks>Data Discovery and Classification>Set Microsoft Information Protection Policy

    Screenshot para definir Política de Proteção de Informações da Microsoft no SSMS

  3. Uma janela de autenticação para Microsoft 365 para definir a Política de Information Protection da Microsoft será exibida. Selecione Sign In e insira ou selecione uma credencial de usuário válida para autenticar em seu locatário Microsoft 365.

    Captura de tela ao autenticar em definir a política de proteção de informações da Microsoft

  4. Se a autenticação for bem-sucedida, você verá uma janela pop-up com status de Êxito.

    Captura de tela de definição bem-sucedida da Política de Microsoft Information Protection no SSMS

  5. Opcional – se você quiser entrar em qualquer uma das nuvens soberanas da Microsoft para se autenticar no Microsoft 365, acesse o SSMS >Tools>Options>Azure Services>Azure Cloud, e altere o Name para a nuvem soberana da Microsoft relevante.

    Screenshot da seleção do tipo de nuvem Azure no SSMS

  6. Na janela Object Explorer do SSMS, clique com o botão direito do mouse no banco de dados que você gostaria de classificar e escolher Tasks>Data Discovery and Classification>Classify Data. Agora você pode adicionar uma nova classificação usando rótulos de confidencialidade de MIP definidos em seu locatário Microsoft 365 e usar esses rótulos para classificar colunas em SQL Server.

    Escolhendo os rótulos de confidencialidade da Política de Proteção de Informações da Microsoft no SSMS

    A descoberta e a recomendação automáticas de dados estão desabilitadas enquanto estiver no modo do Microsoft Information Protection Policy. No momento, ele está disponível apenas no modo SQL Information Protection Policy.

Para redefinir a Política de Proteção de Informações para o padrão ou SQL Information Protection, vá para o SSMS Object Explorer, clique com o botão direito do mouse no banco de dados e escolha Tarefas>Descoberta e Classificação de Dados>Redefinir a Política de Proteção de Informações para o Padrão. Isso aplicará a política padrão de Proteção de Informações ou de SQL, e você poderá classificar os dados usando rótulos de sensibilidade SQL em vez de rótulos MIP.

Captura de tela da redefinição da política Information Protection no SSMS

Para habilitar Information Protection Policy de um arquivo JSON personalizado, vá para o SSMS Object Explorer, clique com o botão direito do mouse no banco de dados e escolha Tasks>Data Discovery and Classification>Set Information Protection Policy File.

Observação

Um ícone de aviso indica que a coluna foi classificada anteriormente usando uma política de Information Protection diferente do modo de política selecionado no momento. Por exemplo, se você estiver no modo de Microsoft Information Protection e uma das colunas tiver sido classificada anteriormente usando a Política de Proteção de Informações do SQL ou a de um arquivo de política personalizado, um ícone de aviso aparecerá ao lado dessa coluna. Você pode decidir se deseja alterar a classificação da coluna para qualquer um dos rótulos de sensibilidade disponíveis no modo de política atual ou deixá-la como está. Captura de tela do aviso de políticas incompatíveis da Classificação de Dados

Gerenciar a política de proteção de informações com o SSMS

Você pode gerenciar a Política de Information Protection usando a versão mais recente do SQL Server Management Studio:

  1. No SQL Server Management Studio (SSMS), conecte-se ao SQL Server.

  2. No Object Explorer do SSMS, selecione um de seus bancos de dados e escolha Tasks>Data Discovery and Classification.

    As seguintes opções de menu permitem que você gerencie a Política de Information Protection:

  • Set Microsoft Information Protection Policy: define a Política de Proteção de Informações como Política de Proteção de Informações do Microsoft Purview.

  • Set Information Protection Policy File: usa a Política de Proteção de Informações do SQL, conforme definido no arquivo JSON selecionado. (Consulte o arquivo padrão Information Protection Policy File)

  • Exportar Política de Proteção de Informações: exporta a Política de Proteção de Informações para um arquivo JSON.

  • Reset Information Protection Policy: redefine a Política de Proteção de Informações para a Política Padrão de Proteção de Informações do SQL.

Importante

O arquivo de política de proteção de informações não é armazenado no SQL Server. O SSMS usa uma política de Information Protection padrão. Se uma política de Information Protection personalizada falhar, o SSMS não poderá usar a política padrão. A classificação de dados falha. Para resolver, clique em Reset Information Protection Policy para usar a política padrão e reabilitar a classificação de dados.

Acessando os metadados de classificação

SQL Server 2019 apresenta sys.sensitivity_classifications visão do catálogo do sistema. Essa exibição retorna tipos de informações e rótulos de confidencialidade.

Nas instâncias do SQL Server 2019, execute sys.sensitivity_classifications para examinar todas as colunas classificadas com suas classificações correspondentes. Por exemplo:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Antes do SQL Server 2019, os metadados de classificação para tipos de informações e rótulos de confidencialidade estão nas seguintes Propriedades Estendidas:

  • sys_information_type_name
  • sys_sensitivity_label_name

Para instâncias de SQL Server 2017 e anteriores, o exemplo a seguir retorna todas as colunas classificadas com suas classificações correspondentes:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Permissões

Nas instâncias do SQL Server 2019, a visualização da classificação requer a permissão VIEW ANY SENSITIVITY CLASSIFICATION. Para obter mais informações, consulte Metadata Visibility Configuration.

Antes do SQL Server 2019, os metadados podem ser acessados usando a exibição de catálogo Propriedades Estendidas sys.extended_properties.

O gerenciamento da classificação requer a permissão ALTERAR QUALQUER CLASSIFICAÇÃO DE SENSIBILIDADE. A permissão ALTER ANY SENSITIVITY CLASSIFICATION é implícita na permissão de banco de dados ALTER ou na permissão de servidor CONTROL SERVER.

Gerenciar classificações

Você pode usar o T-SQL para adicionar ou remover classificações de coluna, bem como para recuperar todas as classificações do banco de dados inteiro.

Próximas etapas

Para o banco de dados Azure SQL, consulte Descoberta e Classificação de Dados do Azure SQL Database.

Considere proteger suas colunas confidenciais aplicando mecanismos de segurança no nível da coluna:

  • Last updated on