Обнаружение и классификация данных

Область применения: База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics

Обнаружение и классификация данных — встроенная функция Базы данных SQL Azure, Управляемого экземпляра SQL Azure и Azure Synapse Analytics. Она предоставляет базовые возможности для обнаружения, классификации и маркировки конфиденциальных данных в вашей базе, а также создания по ним отчетности.

К наиболее конфиденциальным данным относятся деловые, финансовые, медицинские и персональные данные. На основе этих процессов может формироваться инфраструктура для решения следующих задач:

  • Соответствие стандартам конфиденциальности данных и требованиям соблюдения регулятивных норм.
  • Поддержка сценариев безопасности, таких как мониторинг (аудит) доступа к конфиденциальным данным.
  • Управление доступом к базам данных, содержащим конфиденциальные данные, и усиление их защиты.

Примечание

Сведения о локальной платформе SQL Server см. в разделе Обнаружение и классификация данных SQL.

Понятие обнаружения и классификации данных

Для классификации и обнаружения данных в настоящее время поддерживаются следующие возможности:

  • Обнаружение и рекомендации. Подсистема классификации проверяет базы данных и выявляет столбцы, содержащие потенциально конфиденциальные данные. Затем она позволяет легко просмотреть их и применить рекомендуемую классификацию на портале Azure.

  • Добавление меток. Метки классификации конфиденциальности применяются к столбцам посредством новых атрибутов метаданных, добавленных в ядро СУБД SQL Server. Затем эти метаданные могут использоваться в более сложных сценариях аудита на основе конфиденциальности.

  • Конфиденциальность результирующего набора запроса. Конфиденциальность результирующего набора запроса вычисляется в режиме реального времени для аудита.

  • Видимость. Состояние классификации базы данных можно просмотреть на информационной панели портала Azure. Кроме того, можно скачать отчет в формате Excel для использования в целях соблюдения требований и аудита, а также других задач.

Обнаружение, классификация и добавление меток к столбцам конфиденциальных данных

В этом разделе описываются действия для выполнения следующих операций.

  • Обнаружение, классификация и добавление меток к столбцам, содержащим конфиденциальные данные в базе данных.
  • Просмотр текущего состояния классификации базы данных и экспорт отчетов.

Классификация включает в себя два типа атрибутов метаданных:

  • Метки — основные атрибуты классификации, служащие для определения уровня конфиденциальности данных, хранящихся в столбце.
  • Типы сведений — атрибуты, предоставляющие более детальную информацию о типе данных, хранящихся в столбце.

Политика Information Protection

Azure SQL предоставляет политики SQL Information Protection и Microsoft Information Protection для классификации данных. Можно выбрать любую из них в зависимости от ваших требований.

Снимок экрана: Information Protection типы политик.

Политика SQL Information Protection

Обнаружение и классификация данных поставляется с собственным встроенным набором меток конфиденциальности, типов сведений и логикой обнаружения логического сервера SQL. Можно продолжить использование меток защиты, доступных в файле политики по умолчанию, или настроить собственную таксономию. Для этого задайте набор и приоритет конструкций классификации для своей среды.

Определение и настройка таксономии классификации

Определение и настройка таксономии классификации выполняются централизованно в одном месте для всей организации Azure. Эти операции с таксономией производятся в Microsoft Defender for Cloud, одном из компонентов политики безопасности. Только пользователь с правами администратора в корневой группе управления организации может выполнить эту задачу.

В процессе управления политикой можно определить нестандартные метки, ранжировать их и связать их с выбранным набором типов сведений. Кроме того, можно добавить собственные пользовательские типы сведений и настроить их с помощью строковых шаблонов. Шаблоны добавляются в логику обнаружения для идентификации этого типа данных в базах данных.

Дополнительные сведения см. в статье о Настройке политики защиты информации SQL в Microsoft Defender for Cloud (предварительная версия).

После определения политики на уровне организации можно приступить к классификации отдельных баз данных с помощью настроенной политики.

Классификация баз данных в режиме политики SQL Information Protection

Примечание

В приведенном ниже примере используется база данных SQL Azure, но следует выбрать соответствующий продукт, для которого требуется настроить обнаружение и классификацию данных.

  1. Перейдите на портал Azure.

  2. Перейдите к разделу Обнаружение и классификация данных под заголовком Безопасность на панели "База данных SQL Azure". Вкладка "Обзор" содержит сводку текущего состояния классификации базы данных. В сводку включен подробный список всех классифицированных столбцов, которые можно отфильтровать для отображения только частей схемы, типов сведений и меток. Если столбцы еще не классифицированы, перейдите к шагу 4.

    Обзор

  3. Чтобы скачать отчет в формате Excel, выберите пункт Экспорт в верхнем меню панели.

  4. Чтобы начать классификацию данных, выберите вкладку Классификация на странице Обнаружение и классификация данных.

    Подсистема классификации ищет в базе данных столбцы с потенциально конфиденциальными данными и предоставляет список рекомендованных классификаций столбцов.

  5. Просмотрите и примените рекомендации по классификации:

    • Чтобы просмотреть список рекомендуемых классификаций столбцов, выберите область рекомендаций в нижней части панели.

    • Чтобы применить рекомендацию для определенного столбца, установите флажок в левом столбце соответствующей строки. Чтобы пометить все рекомендации как принятые, установите крайний левый флажок в заголовке таблицы рекомендаций.

    • Чтобы применить выбранные рекомендации, нажмите кнопку Принять выбранные рекомендации.

    Рекомендации по классификации

  6. Столбцы можно классифицировать вручную вместо использования рекомендованных классификаций или в дополнение к ним:

    1. В меню, расположенном вверху панели, выберите пункт Добавить классификацию.

    2. В открывшемся контекстном окне выберите схему, таблицу и столбец, которые нужно классифицировать, а затем выберите тип сведений и метку конфиденциальности.

    3. После этого нажмите кнопку Добавить классификацию в нижней части контекстного окна.

    Добавление классификации вручную

  7. Чтобы завершить классификацию и сохранить метки (теги) столбцов базы данных с новыми метаданными классификации, в меню вверху окна выберите команду Сохранить на странице Классификация.

Политика Microsoft Information Protection

Метки политики Microsoft Information Protection (MIP) обеспечивают простой и единообразный способ классификации конфиденциальных данных в различных приложениях Майкрософт. Для создания меток конфиденциальности MIP и управления ими используется Центр соответствия требованиям Microsoft 365. Сведения о создании и публикации меток конфиденциальности MIP в Центре соответствия требованиям Microsoft 365 см. в статье Создание и публикация меток конфиденциальности.

Предварительные требования для перехода на политику MIP

Классификация баз данных в режиме политики Microsoft Information Protection

  1. Перейдите на портал Azure.

  2. Перейдите к своей базе данных в Базе данных SQL Azure.

  3. Перейдите к разделу Обнаружение и классификация данных под заголовком Безопасность на панели базы данных.

  4. Чтобы выбрать политику Microsoft Information Protection, откройте вкладку Обзор и выберите Настроить.

  5. В параметрах политики Information Protection выберите Microsoft Information Protection и нажмите Сохранить.

    Снимок экрана: выбор политики Microsoft Information Protection для базы данных Azure SQL.

  6. Если перейти на вкладку Классификация или выбрать Добавить классификацию, вы увидите метки конфиденциальности Microsoft 365 в раскрывающемся списке Метки конфиденциальности.

    Снимок экрана: раскрывающийся список меток конфиденциальности.

    Снимок экрана: метка конфиденциальности на вкладке

  • Пока вы находитесь в режиме политики MIP, тип сведений будет указан как [n/a], а рекомендации и автоматическое обнаружение данных будут отключены.

  • В уже проклассифицированном столбце может появиться значок предупреждения, если это было сделано с помощью другой политики Information Protection, отличной от активной. Например, если столбец был проклассифицирован с помощью метки политики SQL Information Protection, а потом вы переключились на политику Microsoft Information Protection. В таком столбце вы увидите значок предупреждения. Он не указывает на определенную проблему и используется только в целях информирования.

    Снимок экрана: предупреждения для классифицированных столбцов из-за различных Information Protection политик.

Мониторинг доступа к конфиденциальным данным

Важным аспектом классификации является возможность контролировать доступ к конфиденциальным данным. Аудит Azure SQL был расширен — в журнал аудита добавлено новое поле data_sensitivity_information. В этом поле регистрируются классификации (метки) конфиденциальности данных, возвращаемых запросом. Ниже приведен пример:

Журнал аудита

Это действия, которые фактически подлежат аудиту ввиду конфиденциальности информации:

  • ALTER TABLE ... DROP COLUMN
  • BULK INSERT
  • DELETE
  • INSERT
  • MERGE
  • UPDATE
  • UPDATETEXT
  • WRITETEXT
  • DROP TABLE
  • BACKUP
  • DBCC CloneDatabase
  • SELECT INTO
  • INSERT INTO EXEC
  • TRUNCATE TABLE
  • DBCC SHOW_STATISTICS
  • sys.dm_db_stats_histogram

Используйте sys.fn_get_audit_file, чтобы возвращать сведения из файла аудита, хранящегося в учетной записи службы хранилища Azure.

Разрешения

Эти встроенные роли могут считывать классификацию данных в базе данных:

  • Владелец
  • Читатель
  • Участник
  • Диспетчер безопасности SQL
  • Администратор доступа пользователей

Ниже приведены необходимые действия для чтения классификации данных в базе данных:

  • Microsoft.Sql/servers/databases/currentSensitivityLabels/*
  • Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Эти встроенные роли могут изменять классификацию данных в базе данных:

  • Владелец
  • Участник
  • Диспетчер безопасности SQL

Ниже приведено необходимое действие для изменения классификации данных в базе данных:

  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Дополнительные сведения о разрешениях на основе ролей см. в документации Azure RBAC.

Примечание

Встроенные роли Azure SQL из этого раздела применяются к выделенному пулу SQL (ранее SQL DW), но недоступны для выделенных пулов SQL и других ресурсов SQL в рабочих областях Azure Synapse. Для ресурсов SQL в рабочих областях Azure Synapse используйте доступные действия для классификации данных, чтобы создать пользовательские роли Azure, которые потребуются вам для присвоения меток. Дополнительные сведения об операциях поставщика Microsoft.Synapse/workspaces/sqlPools см. в документации по Microsoft.Synapse.

Управление классификациями

Для управления классификациями можно использовать T-SQL, REST API или PowerShell.

Использование T-SQL

Используйте T-SQL, чтобы добавить или удалить классификацию столбца или извлечь все классификации всей базы данных.

Примечание

При использовании T-SQL для управления метками добавляемые в столбец метки не проверяются на предмет присутствия в политике защиты информации организации (набор меток, которые отображаются в рекомендациях портала). Эту проверку вы должны выполнить самостоятельно.

Дополнительные сведения об использовании T-SQL для классификаций см. по следующим ссылкам:

Использование командлетов PowerShell

Осуществляйте управление классификациями и рекомендациями для базы данных SQL Azure и управляемого экземпляра SQL Azure посредством PowerShell.

Командлеты PowerShell для базы данных SQL Azure

Командлеты PowerShell для управляемого экземпляра SQL Azure

Использование REST API

Можно использовать REST API для программного управления классификациями и рекомендациями. Опубликованные REST API поддерживают следующие операции:

  • Create Or Update. Создает или обновляет метку конфиденциальности указанного столбца.
  • Delete. Удаляет метку конфиденциальности указанного столбца.
  • Disable Recommendation. Отключает рекомендации по конфиденциальности для указанного столбца.
  • Enable Recommendation. Включает рекомендации по конфиденциальности для указанного столбца. (По умолчанию рекомендации включены для всех столбцов.)
  • Get. Получает метку конфиденциальности указанного столбца.
  • List Current By Database. Получает список текущих меток конфиденциальности для конкретной базы данных.
  • List Recommended By Database. Получает список рекомендуемых меток конфиденциальности для конкретной базы данных.

Получение метаданных классификаций с помощью драйверов SQL

Для получения метаданных классификации можно использовать следующие драйверы SQL:

Часто задаваемые вопросы о дополнительных возможностях классификации

Вопрос. Заменит ли Microsoft Purview функцию "Обнаружение и классификация данных SQL", или поддержка этой функции будет прекращена? Ответ. Поддержка функции "Обнаружение и классификация данных SQL" будет продлена. Мы также рекомендуем вам внедрить Microsoft Purview, поскольку эта служба предоставляет расширенные возможности классификации данных и управления ими. Если мы решим прекратить поддержку какой-либо службы, функции, API или SKU, вы получите предварительное уведомление с указанием пути миграции или перехода. Узнайте больше о политиках жизненного цикла Майкрософт здесь.

Дальнейшие действия