Обзор классификации данных

  • 5 мин

Конфиденциальные данные, хранящиеся в Microsoft SQL Server, Базе данных SQL Azure или Управляемом экземпляре SQL Azure, должны быть классифицированы в базе данных. Эта классификация помогает пользователям и приложениям понимать конфиденциальность хранимых данных.

Классификация данных выполняется по столбцам. Одна таблица может содержать столбцы, классифицируемые как общедоступные, конфиденциальные или строго конфиденциальные.

Изначально классификация данных была введена в SQL Server Management Studio, используя расширенные свойства объектов для хранения сведений о классификации. Начиная с SQL Server 2019, эти метаданные хранятся в представлении каталога с именем sys.sensitivity_classifications. Эта функция также поддерживается Базой данных SQL Azure и Управляемым экземпляром SQL Azure.

Портал Azure предоставляет область управления для классификации данных базы данных SQL Azure. Чтобы получить доступ к этой функции, выберите "Обнаружение данных" и "Классификация" в разделе "Безопасность " основной колонки базы данных SQL Azure.

Снимок экрана: страница обнаружения и классификации данных на портале Azure.

На портале Azure и SQL Server Management Studio можно настроить классификацию данных. Подсистема классификации сканирует базу данных, чтобы определить столбцы с именами, предполагающими, что они могут содержать конфиденциальную информацию. Например, столбец с именем электронной почты автоматически помечается как содержащий конфиденциальную личную информацию.

Снимок экрана: рекомендация по классификации данных на портале Azure.

В этом примере для классификации рекомендуется использовать пять столбцов. Свойства метки типа информации и конфиденциальности соответствуют имени столбца и общей цели. Однако, поскольку рекомендации основаны на имени столбца, столбец с именем column1 , содержащий адреса электронной почты, не рекомендуется использовать в качестве конфиденциальной личной информации.

Столбцы также можно классифицировать с помощью мастера конфиденциальности в SQL Server Management Studio или с помощью ADD SENSITIVITY CLASSFICATION команды T-SQL, как показано ниже.

ADD SENSITIVITY CLASSIFICATION TO
    [Application].[People].[EmailAddress]
WITH (LABEL='PII', INFORMATION_TYPE='Email')

GO

Классификация данных позволяет легко определить конфиденциальность данных в базе данных. Зная, какие столбцы содержат конфиденциальные данные, упрощают аудит и позволяют более легко определить, какие столбцы являются хорошим выбором для шифрования данных. Классификация позволяет другим сотрудникам компании принимать лучшие решения о том, как обрабатывать данные, доступные в базе данных.

Настройка таксономии классификации

Обнаружение данных и классификация являются частью Microsoft Defender для облака. Вы можете настроить таксономию меток конфиденциальности и определить набор правил классификации специально для вашей среды.

Вы можете создавать метки конфиденциальности и управлять ими в рамках управления политиками, выбрав Обнаружение и классификация данных на главной панели для вашей базы данных SQL Azure, а затем Настроить.

Снимок экрана: настройка таксономии классификации с портала Azure.

На странице Information Protection можно определить метки, ранжировать их и связать их с набором типов информации.

Снимок экрана: страница Information Protection на портале Azure.

После определения шаблонов они добавляются автоматически в логику обнаружения для определения этого типа данных в базах данных и сразу же доступны.

Замечание

Только пользователи с правами администратора в корневой группе управления организации могут создавать метки конфиденциальности и управлять ими.