Veri Bulma Sınıflandırması &

Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics

Veri Bulma & Sınıflandırması Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics'te yerleşik olarak bulunur. Veritabanınızdaki hassas verileri bulmak, sınıflandırmak, etiketlemek ve raporlamak için temel yetenekler sağlar.

En hassas verileriniz iş, finansal, sağlık veya kişisel bilgileri içerebilir. Şunlara altyapı sağlayabilir:

  • Veri gizliliği standartlarını ve mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olma.
  • Hassas verilere erişimi izleme (denetim) gibi çeşitli güvenlik senaryoları.
  • Yüksek oranda hassas veriler içeren veritabanlarına erişimi denetleme ve bu veritabanlarının güvenliğini sağlamlaştırma.

Not

Şirket içi SQL Server hakkında bilgi için bkz. SQL Veri Bulma Sınıflandırması&.

Veri Bulma Sınıflandırması & nedir?

Veri Bulma Sınıflandırması & şu anda aşağıdaki özellikleri desteklemektedir:

  • Bulma ve öneriler: Sınıflandırma altyapısı veritabanınızı tarar ve hassas olabilecek veriler içeren sütunları tanımlar. Ardından, Azure portal aracılığıyla önerilen sınıflandırmayı gözden geçirmeniz ve uygulamanız için kolay bir yol sağlar.

  • Etiketleme: SQL Server veritabanı altyapısına eklenmiş yeni meta veri özniteliklerini kullanarak sütunlara duyarlılık sınıflandırma etiketlerini kalıcı olarak uygulayabilirsiniz. Bu meta veriler daha sonra duyarlılık tabanlı denetim senaryoları için kullanılabilir.

  • Sorgu sonuç kümesi duyarlılığı: Sorgu sonuç kümesinin duyarlılığı, denetim amacıyla gerçek zamanlı olarak hesaplanır.

  • Görünür -lük: Veritabanı sınıflandırma durumunu Azure portal ayrıntılı bir panoda görüntüleyebilirsiniz. Ayrıca, uyumluluk ve denetim amaçları ve diğer gereksinimler için kullanmak üzere Excel biçiminde bir rapor indirebilirsiniz.

Hassas sütunları bulma, sınıflandırma ve etiketleme

Bu bölümde aşağıdakiler için adımlar açıklanmaktadır:

  • Veritabanınızda hassas veriler içeren sütunları bulma, sınıflandırma ve etiketleme.
  • Veritabanınızın geçerli sınıflandırma durumunu görüntüleme ve raporları dışarı aktarma.

Sınıflandırma iki meta veri özniteliği içerir:

  • Etiketler: Sütunda depolanan verilerin duyarlılık düzeyini tanımlamak için kullanılan ana sınıflandırma öznitelikleri.
  • Bilgi türleri: Sütunda depolanan verilerin türü hakkında daha ayrıntılı bilgi sağlayan öznitelikler.

Information Protection ilkesi

Azure SQL veri sınıflandırmasında hem SQL Information Protection ilkesi hem de Microsoft Bilgi Koruması ilkesi sunar ve gereksinimlerinize göre bu iki ilkeden birini seçebilirsiniz.

Information Protection ilke türlerinin ekran görüntüsü.

SQL Information Protection ilkesi

Veri Bulma Sınıflandırması & , SQL mantıksal sunucusunda yerel olan bulma mantığına sahip yerleşik bir duyarlılık etiketleri ve bilgi türleri kümesiyle birlikte gelir. Varsayılan ilke dosyasında bulunan koruma etiketlerini kullanmaya devam edebilir veya bu taksonomiyi özelleştirebilirsiniz. Sınıflandırma yapılarının bir kümesini ve derecelendirmesini ortamınıza özel olarak tanımlayabilirsiniz.

Sınıflandırma taksonominizi tanımlama ve özelleştirme

Sınıflandırma taksonominizi tüm Azure kuruluşunuz için tek bir merkezi yerde tanımlar ve özelleştirebilirsiniz. Bu konum, güvenlik ilkenizin bir parçası olarak Bulut için Microsoft Defender'dadır. Bu görevi yalnızca kuruluşun kök yönetim grubunda yönetici haklarına sahip biri yapabilir.

İlke yönetiminin bir parçası olarak, özel etiketler tanımlayabilir, bunları sıralayabilir ve bunları seçili bilgi türleri kümesiyle ilişkilendirebilirsiniz. Ayrıca kendi özel bilgi türlerinizi ekleyebilir ve bunları dize desenleriyle yapılandırabilirsiniz. Desenler, veritabanlarınızda bu tür verileri tanımlamak için bulma mantığına eklenir.

Daha fazla bilgi için bkz. Bulut için Microsoft Defender'da SQL bilgi koruma ilkesini özelleştirme (Önizleme).

Kuruluş genelinde ilke tanımlandıktan sonra, özelleştirilmiş ilkenizi kullanarak tek tek veritabanlarını sınıflandırmaya devam edebilirsiniz.

SQL Information Protection ilke modunda veritabanını sınıflandırma

Not

Aşağıdaki örnekte Azure SQL Veritabanı kullanılabilecek ancak Veri Bulma & Sınıflandırması'nı yapılandırmak istediğiniz uygun ürünü seçmeniz gerekir.

  1. Azure Portal gidin.

  2. Azure SQL Veritabanı bölmenizdeki Güvenlik başlığı altında Veri Bulma & Sınıflandırması'na gidin. Genel Bakış sekmesi, veritabanının geçerli sınıflandırma durumunun özetini içerir. Özet, yalnızca belirli şema bölümlerini, bilgi türlerini ve etiketleri gösterecek şekilde filtreleyebileceğiniz tüm sınıflandırılmış sütunların ayrıntılı bir listesini içerir. Henüz herhangi bir sütunu sınıflandırmadıysanız 4. adıma geçin.

    Genel bakış

  3. Excel biçiminde bir rapor indirmek için bölmenin üst menüsünden Dışarı Aktar'ı seçin.

  4. Verilerinizi sınıflandırmaya başlamak için Veri Bulma & Sınıflandırması sayfasındaki Sınıflandırma sekmesini seçin.

    Sınıflandırma altyapısı, hassas olabilecek verileri içeren sütunlar için veritabanınızı tarar ve önerilen sütun sınıflandırmalarının listesini sağlar.

  5. Sınıflandırma önerilerini görüntüleyin ve uygulayın:

    • Önerilen sütun sınıflandırmalarının listesini görüntülemek için bölmenin altındaki öneriler panelini seçin.

    • Belirli bir sütun için öneri kabul etmek için ilgili satırın sol sütunundaki onay kutusunu seçin. Tüm önerileri kabul edildi olarak işaretlemek için öneriler tablosu üst bilgisinde en soldaki onay kutusunu seçin.

    • Seçili önerileri uygulamak için Seçili önerileri kabul et'i seçin.

    Sınıflandırma önerileri

  6. Alternatif olarak veya öneri tabanlı sınıflandırmaya ek olarak sütunları el ile de sınıflandırabilirsiniz:

    1. Bölmenin üst menüsünde Sınıflandırma ekle'yi seçin.

    2. Açılan bağlam penceresinde, sınıflandırmak istediğiniz şemayı, tabloyu ve sütunu ve bilgi türü ile duyarlılık etiketini seçin.

    3. Bağlam penceresinin alt kısmındaki Sınıflandırma ekle'yi seçin.

    Sınıflandırmayı el ile ekleme

  7. Sınıflandırmanızı tamamlamak ve veritabanı sütunlarını yeni sınıflandırma meta verileriyle kalıcı olarak etiketlemek (etiketlemek) için Sınıflandırma sayfasında Kaydet'i seçin.

Microsoft Bilgi Koruması ilkesi

Microsoft Bilgi Koruması (MIP) etiketleri, kullanıcıların hassas verileri farklı Microsoft uygulamalarında tekdüzen olarak sınıflandırması için basit ve tekdüzen bir yol sağlar. MIP duyarlılık etiketleri Microsoft 365 uyumluluk merkezi oluşturulur ve yönetilir. Microsoft 365 uyumluluk merkezi'da MIP hassas etiketleri oluşturma ve yayımlama hakkında bilgi edinmek için Duyarlılık etiketleri oluşturma ve yayımlama makalesine bakın.

MIP ilkesine geçiş önkoşulları

veritabanını Microsoft Bilgi Koruması ilke modunda sınıflandırma

  1. Azure Portal gidin.

  2. Azure SQL Veritabanı'nda veritabanınıza gidin

  3. Veritabanı bölmenizdeki Güvenlik başlığı altında Veri Bulma & Sınıflandırması'na gidin.

  4. İlke Microsoft Bilgi Koruması seçmek için Genel Bakış sekmesini ve ardından Yapılandır'ı seçin.

  5. Information Protection ilkesi seçeneklerinde Microsoft Bilgi Koruması ilke'yi ve ardından Kaydet'i seçin.

    Azure SQL Veritabanı için Microsoft Bilgi Koruması ilkesini seçme işleminin ekran görüntüsü.

  6. Sınıflandırma sekmesine giderseniz veya Sınıflandırma ekle'yi seçerseniz, artık Duyarlılık etiketi açılan listesinde M365 duyarlılık etiketlerinin göründüğünü görürsünüz.

    Duyarlılık etiketi açılan listesinin ekran görüntüsü.

    Sınıflandırma sekmesinde duyarlılık etiketinin ekran görüntüsü.

  • Bilgi türü, [n/a] MIP ilke modundayken kullanılır ve otomatik veri bulma & önerileri devre dışı kalır.

  • Sütun şu anda etkin olan ilkeden farklı bir Information Protection ilkesi kullanılarak sınıflandırıldıysa, önceden sınıflandırılmış bir sütunda uyarı simgesi görüntülenebilir. Örneğin, sütun daha önce SQL Information Protection ilkesi kullanılarak bir etiketle sınıflandırıldıysa ve şimdi Microsoft Bilgi Koruması ilke modundaysanız. Bu sütunda bir uyarı simgesi görürsünüz. Bu uyarı simgesi herhangi bir sorun göstermez, ancak yalnızca bilgi amacıyla kullanılır.

    Farklı Information Protection ilkeleri nedeniyle sınıflandırılmış sütunlar için uyarıların ekran görüntüsü.

Hassas verilere erişimi denetleme

Sınıflandırmanın önemli bir yönü, hassas verilere erişimi izleyebilmektir. Azure SQL Denetimi, denetim günlüğüne adlı data_sensitivity_informationyeni bir alan içerecek şekilde geliştirilmiştir. Bu alan, bir sorgu tarafından döndürülen verilerin duyarlılık sınıflandırmalarını (etiketlerini) günlüğe kaydeder. Aşağıda bir örnek verilmiştir:

Denetim günlüğü

Duyarlılık bilgileriyle denetlenebilen etkinlikler şunlardır:

  • ALTER TABLE ... SÜTUNU BıRAK
  • BULK INSERT
  • DELETE
  • INSERT
  • BİRLEŞTİRME
  • UPDATE
  • UPDATETEXT
  • WRITETEXT
  • DROP TABLE
  • BACKUP
  • DBCC CloneDatabase
  • SEÇ
  • EXEC'E EKLE
  • TRUNCATE TABLE
  • DBCC SHOW_STATISTICS
  • sys.dm_db_stats_histogram

Azure Depolama hesabında depolanan bir denetim dosyasından bilgi döndürmek için sys.fn_get_audit_file kullanın.

İzinler

Bu yerleşik roller bir veritabanının veri sınıflandırmasını okuyabilir:

  • Sahip
  • Okuyucu
  • Katılımcı
  • SQL Güvenlik Yöneticisi
  • Kullanıcı Erişimi Yöneticisi

Veritabanının veri sınıflandırmasını okumak için gerekli eylemler şunlardır:

  • Microsoft.Sql/servers/databases/currentSensitivityLabels/*
  • Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Bu yerleşik roller veritabanının veri sınıflandırmasını değiştirebilir:

  • Sahip
  • Katılımcı
  • SQL Güvenlik Yöneticisi

Veritabanının veri sınıflandırmasını değiştirmek için gereken eylem şunlardır:

  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Azure RBAC'de rol tabanlı izinler hakkında daha fazla bilgi edinin.

Not

Bu bölümdeki Azure SQL yerleşik rolleri ayrılmış bir SQL havuzuna (eski adıYLA SQL DW) uygulanır, ancak Azure Synapse çalışma alanlarındaki ayrılmış SQL havuzları ve diğer SQL kaynakları için kullanılamaz. Azure Synapse çalışma alanlarındaki SQL kaynakları için, etiketleme için gereken özel Azure rolleri oluşturmak üzere veri sınıflandırması için kullanılabilir eylemleri kullanın. Sağlayıcı işlemleri hakkında Microsoft.Synapse/workspaces/sqlPools daha fazla bilgi için bkz. Microsoft.Synapse.

Sınıflandırmaları yönetme

Sınıflandırmaları yönetmek için T-SQL, REST API veya PowerShell kullanabilirsiniz.

T-SQL kullanma

Sütun sınıflandırmaları eklemek veya kaldırmak ve tüm veritabanı için tüm sınıflandırmaları almak için T-SQL kullanabilirsiniz.

Not

Etiketleri yönetmek için T-SQL kullandığınızda, bir sütuna eklediğiniz etiketlerin kuruluşun bilgi koruma ilkesinde (portal önerilerinde görünen etiketler kümesi) var olduğunu doğrulamanız gerekmez. Bu nedenle, bunu doğrulamak size ait.

Sınıflandırmalar için T-SQL kullanma hakkında bilgi için aşağıdaki başvurulara bakın:

PowerShell cmdlet'leri kullanma

PowerShell kullanarak Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği için sınıflandırmaları ve önerileri yönetin.

Azure SQL Veritabanı için PowerShell cmdlet'leri

Azure SQL Yönetilen Örneği için PowerShell cmdlet'leri

REST API’sini kullanma

Sınıflandırmaları ve önerileri program aracılığıyla yönetmek için REST API'yi kullanabilirsiniz. Yayımlanan REST API aşağıdaki işlemleri destekler:

SQL sürücülerini kullanarak sınıflandırma meta verilerini alma

Sınıflandırma meta verilerini almak için aşağıdaki SQL sürücülerini kullanabilirsiniz:

SSS - Gelişmiş sınıflandırma özellikleri

Soru: Microsoft Purview SQL Veri Bulma Sınıflandırması'nın & yerini alacak mı yoksa SQL Veri Bulma Sınıflandırması & yakında kullanımdan kaldırılacak mı? Yanıt: SQL Veri Bulma & Sınıflandırmasını desteklemeye devam ediyoruz ve gelişmiş sınıflandırma özellikleri ve veri idaresi sağlamak için daha zengin özelliklere sahip Microsoft Purview'u benimsemenizi öneririz. Herhangi bir hizmeti, özelliği, API'yi veya SKU'yu kullanımdan kaldırmaya karar verirsek, bu konuda önceden geçiş yolunu da içeren bir bildirim alırsınız. Microsoft Yaşam Döngüsü ilkeleri hakkında daha fazla bilgiyi burada bulabilirsiniz.

Sonraki adımlar