Veri Bulma ve Sınıflandırma
Şunlar için geçerlidir: Azure SQL Veritabanı Azure SQL Yönetilen Örneği Azure Synapse Analytics
Veri Bulma ve Sınıflandırma; Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics hizmetlerinde yerleşik olarak bulunur. Veritabanınızdaki hassas verileri bulmak, sınıflandırmak, etiketlemek ve raporlamak için temel yetenekler sağlar.
En hassas verileriniz arasında iş, finansal, sağlık veya kişisel bilgiler yer alabilir. Şunlara altyapı sağlayabilir:
- Veri gizliliği standartlarını ve mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olma.
- Hassas verilere erişimi izleme (denetim) gibi çeşitli güvenlik senaryoları.
- Yüksek oranda hassas veriler içeren veritabanlarına erişimi denetleme ve bu veritabanlarının güvenliğini sağlamlaştırma.
Not
Şirket içi SQL Server hakkında bilgi için bkz . SQL Veri Bulma ve Sınıflandırma.
İpucu
Microsoft Purview Bilgi Koruması ilkeleri kullanan etiket tabanlı erişim koruması artık önizleme aşamasındadır. Daha fazla bilgi için bkz. Microsoft Purview Bilgi Koruması ilkelerini kullanarak hassas veriler için erişim denetimini etkinleştirme (genel önizleme).
Veri Bulma ve Sınıflandırma nedir?
Veri Bulma ve Sınıflandırma şu anda aşağıdaki özellikleri destekler:
Bulma ve öneriler: Sınıflandırma altyapısı veritabanınızı tarar ve hassas olabilecek veriler içeren sütunları tanımlar. Daha sonra Azure portalı aracılığıyla önerilen sınıflandırmayı gözden geçirmeniz ve uygulamanız için kolay bir yol sağlar.
Etiketleme: SQL Server veritabanı altyapısına eklenen yeni meta veri özniteliklerini kullanarak sütunlara kalıcı olarak duyarlılık sınıflandırma etiketleri uygulayabilirsiniz. Bu meta veriler daha sonra duyarlılık tabanlı denetim senaryoları için kullanılabilir.
Sorgu sonuç kümesi duyarlılığı: Sorgu sonuç kümesinin duyarlılığı, denetim amacıyla gerçek zamanlı olarak hesaplanır.
Görünürlük: Veritabanı sınıflandırma durumunu Azure portalındaki ayrıntılı bir panoda görüntüleyebilirsiniz. Ayrıca, uyumluluk ve denetim amaçları ve diğer gereksinimler için kullanmak üzere Excel biçiminde bir rapor indirebilirsiniz.
Hassas sütunları bulma, sınıflandırma ve etiketleme
Bu bölümde aşağıdakiler için adımlar açıklanmaktadır:
- Veritabanınızda hassas veriler içeren sütunları bulma, sınıflandırma ve etiketleme.
- Veritabanınızın geçerli sınıflandırma durumunu görüntüleme ve raporları dışarı aktarma.
Sınıflandırma iki meta veri özniteliği içerir:
- Etiketler: Sütunda depolanan verilerin duyarlılık düzeyini tanımlamak için kullanılan ana sınıflandırma öznitelikleri.
- Bilgi türleri: Sütunda depolanan verilerin türü hakkında daha ayrıntılı bilgi sağlayan öznitelikler.
Information Protection ilkesi
Azure SQL, veri sınıflandırmasında hem SQL Information Protection ilkesi hem de Microsoft Information Protection ilkesi sunar ve gereksinimlerinize göre bu iki ilkeden birini seçebilirsiniz.
SQL Information Protection ilkesi
Veri Bulma ve Sınıflandırma, SQL mantıksal sunucusuna özgü bulma mantığına sahip yerleşik bir duyarlılık etiketleri ve bilgi türleri kümesiyle birlikte gelir. Varsayılan ilke dosyasında bulunan koruma etiketlerini kullanmaya devam edebilir veya bu taksonomiyi özelleştirebilirsiniz. Sınıflandırma yapılarının bir kümesini ve derecelendirmesini ortamınıza özel olarak tanımlayabilirsiniz.
Sınıflandırma taksonominizi tanımlama ve özelleştirme
Sınıflandırma taksonominizi tüm Azure kuruluşunuz için tek bir merkezi yerde tanımlar ve özelleştirebilirsiniz. Bu konum, güvenlik ilkenizin bir parçası olarak Bulut için Microsoft Defender. Bu görevi yalnızca kuruluşun kök yönetim grubunda yönetici haklarına sahip biri yapabilir.
İlke yönetiminin bir parçası olarak, özel etiketler tanımlayabilir, bunları sıralayabilir ve bunları seçili bilgi türleri kümesiyle ilişkilendirebilirsiniz. Ayrıca kendi özel bilgi türlerinizi ekleyebilir ve bunları dize desenleriyle yapılandırabilirsiniz. Desenler, veritabanlarınızda bu tür verileri tanımlamak için bulma mantığına eklenir.
Daha fazla bilgi için bkz. Bulut için Microsoft Defender'de (Önizleme) SQL bilgi koruma ilkesini özelleştirme.
Kuruluş genelinde ilke tanımlandıktan sonra, özelleştirilmiş ilkenizi kullanarak tek tek veritabanlarını sınıflandırmaya devam edebilirsiniz.
VERITABANıNı SQL Information Protection ilke modunda sınıflandırma
Not
Aşağıdaki örnekte Azure SQL Veritabanı kullanılır, ancak Veri Bulma ve Sınıflandırma'yı yapılandırmak istediğiniz uygun ürünü seçmeniz gerekir.
Azure portalına gidin.
Azure SQL Veritabanı bölmenizdeki Güvenlik başlığı altında Veri Bulma ve Sınıflandırma'ya gidin. Genel Bakış sekmesi, veritabanının geçerli sınıflandırma durumunun özetini içerir. Özet, yalnızca belirli şema bölümlerini, bilgi türlerini ve etiketleri gösterecek şekilde filtreleyebileceğiniz tüm sınıflandırılmış sütunların ayrıntılı bir listesini içerir. Henüz herhangi bir sütun sınıflandırmadıysanız 4. adıma geçin.
Raporu Excel biçiminde indirmek için bölmenin üst menüsünde Dışarı Aktar'ı seçin.
Verilerinizi sınıflandırmaya başlamak için Veri Bulma ve Sınıflandırma sayfasındaki Sınıflandırma sekmesini seçin.
Sınıflandırma altyapısı, hassas olabilecek verileri içeren sütunlar için veritabanınızı tarar ve önerilen sütun sınıflandırmalarının listesini sağlar.
Sınıflandırma önerilerini görüntüleme ve uygulama:
Önerilen sütun sınıflandırmalarının listesini görüntülemek için bölmenin altındaki öneriler panelini seçin.
Belirli bir sütun için öneriyi kabul etmek için ilgili satırın sol sütunundaki onay kutusunu seçin. Tüm önerileri kabul edildi olarak işaretlemek için öneriler tablosu üst bilgisinde en soldaki onay kutusunu seçin.
Seçili önerileri uygulamak için Seçili önerileri kabul et'i seçin.
Not
Otomatik veri bulma yapan ve hassas sütun önerileri sağlayan öneri altyapısı, Microsoft Purview Bilgi Koruması ilke modu kullanıldığında devre dışı bırakılır.
Sütunları el ile, alternatif olarak veya öneri tabanlı sınıflandırmaya ek olarak sınıflandırabilirsiniz:
Bölmenin üst menüsünde Sınıflandırma ekle'yi seçin.
Açılan bağlam penceresinde, sınıflandırmak istediğiniz şemayı, tabloyu ve sütunu ve bilgi türü ile duyarlılık etiketini seçin.
Bağlam penceresinin alt kısmındaki Sınıflandırma ekle'yi seçin.
Sınıflandırmanızı tamamlamak ve veritabanı sütunlarını yeni sınıflandırma meta verileriyle kalıcı olarak etiketlemek (etiketlemek) için Sınıflandırma sayfasında Kaydet'i seçin.
Microsoft Purview Bilgi Koruması ilkesi
Not
Microsoft Information Protection (MIP) Microsoft Purview Bilgi Koruması olarak yeniden markalandı. Bu belgede hem "MIP" hem de "Microsoft Purview Bilgi Koruması" birbirinin yerine kullanılır, ancak aynı kavrama başvurur.
Microsoft Purview Bilgi Koruması etiketleri, kullanıcıların hassas verileri farklı Microsoft uygulamalarında tekdüzen sınıflandırması için basit ve tekdüzen bir yol sağlar. MIP duyarlılık etiketleri Microsoft Purview uyumluluk portalı oluşturulur ve yönetilir. Microsoft Purview uyumluluk portalı'de MIP hassas etiketleri oluşturmayı ve yayımlamayı öğrenmek için bkz. Duyarlılık etiketleri oluşturma ve yayımlama.
Microsoft Purview Bilgi Koruması ilkesine geçiş önkoşulları
- Azure SQL Veritabanı'da bilgi koruma ilkesini ayarlamak/değiştirmek, kiracı altındaki tüm veritabanları için ilgili bilgi koruma ilkesini ayarlar. Bilgi koruma ilkesini SQL Information Protection ilkesinden MIP ilkesine (veya tersi) değiştirmek için kullanıcı veya kişi kiracı genelinde Güvenlik Yöneticisi iznine sahip olmalıdır.
- Kiracı genelinde Güvenlik Yöneticisi izni olan kullanıcı veya kişi, ilkeyi kiracı kök yönetim grubu düzeyinde uygulayabilir. Daha fazla bilgi için bkz . Kendinize kiracı genelinde izinler verme.
- Kiracınızın etkin bir Microsoft 365 aboneliği var ve geçerli kullanıcı için yayımlanmış etiketleriniz var. Daha fazla bilgi için bkz. Hassasiyet etiketleri ve ilkelerini oluşturma ve yapılandırma .
veritabanını Microsoft Purview Bilgi Koruması ilke modunda sınıflandırma
Azure portalına gidin.
Azure SQL Veritabanı'da veritabanınıza gidin
Veritabanı bölmenizdeki Güvenlik başlığı altında Veri Bulma ve Sınıflandırma'ya gidin.
Microsoft Information Protection ilkesini seçmek için Genel Bakış sekmesini ve ardından Yapılandır'ı seçin.
Information Protection ilke seçeneklerinde Microsoft Information Protection ilkesi'ni ve ardından Kaydet'i seçin.
Sınıflandırma sekmesine giderseniz veya Sınıflandırma ekle'yi seçerseniz, duyarlılık etiketi açılan listesinde Microsoft 365 duyarlılık etiketlerinin göründüğünü görürsünüz.
Bilgi türü, MIP ilke modunda olduğunuz sıradadır
[n/a]
ve otomatik veri bulma ve öneriler devre dışı kalır.Sütun şu anda etkin olan ilkeden farklı bir Information Protection ilkesi kullanılarak sınıflandırıldıysa, önceden sınıflandırılmış bir sütunda bir uyarı simgesi görüntülenebilir. Örneğin, sütun daha önce SQL Information Protection ilkesi kullanılarak bir etiketle sınıflandırıldıysa ve şimdi Microsoft Information Protection ilke modundaysanız. belirli bir sütunda bir uyarı simgesi görürsünüz. Bu uyarı simgesi herhangi bir sorun göstermez, ancak yalnızca bilgi amacıyla kullanılır.
Microsoft Purview Bilgi Koruması ilkelerini kullanarak hassas veriler için erişim denetimini etkinleştirme (genel önizleme)
Azure SQL Veritabanı, Microsoft Purview Bilgi Koruması erişim kullanılarak Microsoft Purview Bilgi Koruması (MIP) duyarlılık etiketleri kullanılarak etiketlenmiş hassas verilere sahip sütunlarda erişim denetimini zorunlu kılma özelliğini destekler Koşullarıdır.
Purview'daki erişim ilkeleri, kuruluşların veri kaynakları genelinde hassas verileri korumasını sağlar. Kurumsal güvenlik/uyumluluk yöneticileri gibi kişilerin veritabanlarındaki hassas veriler üzerinde erişim denetimi eylemleri yapılandırmasına ve zorlamasına olanak tanıyarak hassas verilere belirli bir duyarlılık etiketi için yetkisiz kullanıcılar tarafından erişilememesini sağlar. Purview erişim ilkeleri, Azure SQL veritabanı için sütun düzeyinde ayrıntı düzeyinde zorlanır, bu nedenle veritabanı tablolarındaki hassas olmayan veri sütunlarına erişimi engellemeden hassas verileri korur.
Purview erişim ilkelerini yapılandırmak ve uygulamak için kullanıcının geçerli bir Microsoft 365 lisansına sahip olması ve MIP duyarlılık etiketlerinin Purview tarafından hassas veriler içeren veritabanı sütunlarına atanması için veritabanının Purview Veri Haritası'na kaydedilmesi ve taranması gerekir. Duyarlılık etiketleri atandıktan sonra, kullanıcı Purview erişim ilkelerini yapılandırarak belirli bir duyarlılık etiketine sahip veritabanı sütunlarında reddetme eylemlerini zorunlu kılabilir ve bu sütunlardaki hassas verilere erişimi yalnızca izin verilen bir kullanıcı veya kullanıcı grubuyla kısıtlayabilir.
Azure SQL veritabanı için Purview'da erişim ilkesini yapılandırma ve etkinleştirme
Azure SQL Veritabanı purview erişim ilkelerini yapılandırmak ve kullanmak için aşağıdaki adımların listesini izleyin:
- Microsoft 365 ve Purview için gerekli lisans önkoşullarına sahip olduğunuzdan emin olun.
- Kullanıcılarınız için rolleri ve izinleri ayarlayın.
- Purview'da duyarlılık etiketlerini Azure SQL Veritabanı oluşturun veya genişletin. Ayrıca, duyarlılık etiketlerini kuruluşunuzdaki gerekli kullanıcılara yayımladığınızdan emin olun.
- Duyarlılık etiketlerini otomatik olarak uygulamak için Azure SQL veritabanınızı kaydedin ve tarayın .
- Azure SQL Veritabanı için Purview'da erişim denetimi ilkesi oluşturun ve yapılandırın.
Erişim ilkesi Purview'da yapılandırılıp yayımlandıktan sonra, yetkisiz bir kullanıcının, ilke kapsamı belirlenmiş bir SQL veritabanındaki sütunlara erişmek için T-SQL sorgusu çalıştırma girişimi başarısız olur. Aynı sorgu hassas sütunlar içermiyorsa sorgu başarılı olur.
Sınırlamalar
Veritabanı coğrafi çoğaltma veya kopyalama oluştururken, birincil veritabanındaki sütunlara atanan duyarlılık etiketleri otomatik olarak yeni/ikincil veritabanına akış yapmaz ve Purview erişim denetimi ilkeleri yeni/ikincil veritabanına otomatik olarak uygulanmaz. Yeni/ikincil veritabanında erişim denetimini etkinleştirmek için Purview'da ayrı olarak kaydedin ve tarayın. Ardından tüm erişim ilkelerini yeni/ikincil veritabanını da içerecek şekilde yapılandırın.
Hassas verilere erişimi denetleme
Sınıflandırmanın önemli bir yönü, hassas verilere erişimi izleyebilmektir. Azure SQL Denetimi , denetim günlüğüne adlı data_sensitivity_information
yeni bir alan içerecek şekilde geliştirilmiştir. Bu alan, sorgu tarafından döndürülen verilerin duyarlılık sınıflandırmalarını (etiketleri) günlüğe kaydeder. Bir örnek aşağıda verilmiştir:
Duyarlılık bilgileriyle denetlenebilen etkinlikler şunlardır:
- ALTER TABLE ... SÜTUNU BıRAK
- BULK INSERT
- SELECT
- SİL
- INSERT
- BİRLEŞMEK
- UPDATE
- UPDATETEXT
- YAZMA METNI
- DROP TABLE
- BACKUP
- DBCC CloneDatabase
- SEÇ
- EXEC'E EKLE
- TRUNCATE TABLE
- DBCC SHOW_STATISTICS
- sys.dm_db_stats_histogram
Azure Depolama hesabında depolanan bir denetim dosyasından bilgi döndürmek için sys.fn_get_audit_file kullanın.
İzinler
Bu yerleşik roller bir veritabanının veri sınıflandırmasını okuyabilir:
- Sahibi
- Okuyucu
- Katkıda Bulunan
- SQL Güvenlik Yöneticisi
- Kullanıcı Erişimi Yöneticisi
Bir veritabanının veri sınıflandırmasını okumak için gerekli eylemler şunlardır:
- Microsoft.Sql/servers/databases/currentSensitivityLabels/*
- Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
- Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Bu yerleşik roller veritabanının veri sınıflandırmasını değiştirebilir:
- Sahip
- Katkıda Bulunan
- SQL Güvenlik Yöneticisi
Veritabanının veri sınıflandırmasını değiştirmek için gereken eylem şunlardır:
- Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Azure RBAC'de rol tabanlı izinler hakkında daha fazla bilgi edinin.
Not
Bu bölümdeki Azure SQL yerleşik rolleri ayrılmış bir SQL havuzuna (eski adıYLA SQL DW) uygulanır, ancak Azure Synapse çalışma alanlarındaki ayrılmış SQL havuzları ve diğer SQL kaynakları için kullanılamaz. Azure Synapse çalışma alanlarındaki SQL kaynakları için, etiketleme için gereken özel Azure rollerini oluşturmak üzere veri sınıflandırması için kullanılabilir eylemleri kullanın. Sağlayıcı işlemleri hakkında Microsoft.Synapse/workspaces/sqlPools
daha fazla bilgi için bkz . Microsoft.Synapse.
Sınıflandırmaları yönetme
Sınıflandırmaları yönetmek için T-SQL, REST API veya PowerShell kullanabilirsiniz.
T-SQL kullanma
T-SQL'i sütun sınıflandırmaları eklemek veya kaldırmak ve tüm veritabanının tüm sınıflandırmalarını almak için kullanabilirsiniz.
Not
Etiketleri yönetmek için T-SQL kullandığınızda, bir sütuna eklediğiniz etiketlerin kuruluşun bilgi koruma ilkesinde (portal önerilerinde görünen etiket kümesi) mevcut olduğunu doğrulamanız gerekmez. Bu nedenle, bunu doğrulamak size bağlı.
Sınıflandırmalar için T-SQL kullanma hakkında bilgi için aşağıdaki başvurulara bakın:
- Bir veya daha fazla sütunun sınıflandırmasını eklemek veya güncelleştirmek için: DUYARLILIK SINIFLANI EKLE
- Sınıflandırmayı bir veya daha fazla sütundan kaldırmak için: DROP SENSITIVITY CLASSIFICATION
- Veritabanındaki tüm sınıflandırmaları görüntülemek için: sys.sensitivity_classifications
PowerShell cmdlet'leri kullanma
PowerShell kullanarak Azure SQL Veritabanı ve Azure SQL Yönetilen Örneği için sınıflandırmaları ve önerileri yönetin.
Azure SQL Veritabanı için PowerShell cmdlet'leri
- Get-AzSqlDatabaseSensitivityClassification
- Set-AzSqlDatabaseSensitivityClassification
- Remove-AzSqlDatabaseSensitivityClassification
- Get-AzSqlDatabaseSensitivityRecommendation
- Enable-AzSqlDatabaSesensitivityRecommendation
- Disable-AzSqlDatabaseSensitivityRecommendation
Azure SQL Yönetilen Örneği için PowerShell cmdlet'leri
- Get-AzSqlInstanceDatabaseSensitivityClassification
- Set-AzSqlInstanceDatabaseSensitivityClassification
- Remove-AzSqlInstanceDatabaseSensitivityClassification
- Get-AzSqlInstanceDatabaseSensitivityRecommendation
- Enable-AzSqlInstanceDatabaseSensitivityRecommendation
- Disable-AzSqlInstanceDatabaseSensitivityRecommendation
REST API’sini kullanma
Sınıflandırmaları ve önerileri program aracılığıyla yönetmek için REST API'yi kullanabilirsiniz. Yayımlanan REST API aşağıdaki işlemleri destekler:
- Oluştur veya Güncelleştir: Belirtilen sütunun duyarlılık etiketini oluşturur veya güncelleştirir.
- Sil: Belirtilen sütunun duyarlılık etiketini siler.
- Öneriyi Devre Dışı Bırak: Belirtilen sütunda duyarlılık önerilerini devre dışı bırakır.
- Öneriyi Etkinleştir: Belirtilen sütunda duyarlılık önerilerini etkinleştirir. (Öneriler tüm sütunlarda varsayılan olarak etkindir.)
- Get: Belirtilen sütunun duyarlılık etiketini alır.
- Veritabanına Göre Geçerli Listele: Belirtilen veritabanının geçerli duyarlılık etiketlerini alır.
- Veritabanı Tarafından ÖnerilenLer Listesi: Belirtilen veritabanının önerilen duyarlılık etiketlerini alır.
SQL sürücülerini kullanarak sınıflandırma meta verilerini alma
Sınıflandırma meta verilerini almak için aşağıdaki SQL sürücülerini kullanabilirsiniz:
- Microsoft.Data.SqlClient
- ODBC Sürücüsü
- OLE DB Sürücüsü
- JDBC Sürücüsü
- SQL Server için PHP için Microsoft Sürücüleri
SSS - Gelişmiş sınıflandırma özellikleri
Soru: Microsoft Purview, SQL Veri Bulma ve Sınıflandırma'nın yerini alacak mı yoksa SQL Veri Bulma ve Sınıflandırma yakında kullanımdan kaldırılacak mı? Yanıt: SQL Veri Bulma ve Sınıflandırmayı desteklemeye devam ediyoruz ve gelişmiş sınıflandırma özellikleri ve veri idaresi sağlamak için daha zengin özelliklere sahip Microsoft Purview'u benimsemenizi öneririz. Herhangi bir hizmeti, özelliği, API'yi veya SKU'yu devre dışı bırakma kararı alırsak, geçiş veya geçiş yolu dahil olmak üzere önceden bildirim alırsınız. Microsoft Yaşam Döngüsü ilkeleri hakkında daha fazla bilgiyi burada bulabilirsiniz.
Sonraki adımlar
- Sınıflandırılmış hassas verilerinize erişimi izlemek ve denetlemek için Azure SQL Denetimi'ni yapılandırmayı göz önünde bulundurun.
- Bulma ve Sınıflandırma verilerini içeren bir sunu için bkz . SQL verilerini bulma, sınıflandırma, etiketleme ve koruma | Kullanıma Sunulan Veriler.
- T-SQL komutlarını kullanarak Azure SQL Veritabanı ve Azure Synapse Analytics'i Microsoft Purview etiketleriyle sınıflandırmak için bkz. Microsoft Purview etiketlerini kullanarak Azure SQL verilerinizi sınıflandırma.