探索数据分类

  • 5 分钟

应将存储在Microsoft SQL Server、Azure SQL 数据库或 Azure SQL 托管实例中的机密数据分类到数据库中。 此分类可帮助用户和应用程序了解存储数据的敏感度。

数据分类按列执行。 单个表可以具有分类为公共、机密或高度机密的列。

最初,数据分类是在 SQL Server Management Studio 中引入的,使用对象的扩展属性来存储分类信息。 从 SQL Server 2019 开始,此元数据存储在名为 sys.sensitivity_classifications 的目录视图中。 Azure SQL 数据库和 Azure SQL 托管实例也支持此功能。

Azure 门户提供用于 Azure SQL 数据库数据分类的管理窗格。 可以通过在 Azure SQL 数据库的主边栏选项卡的“安全性”部分选择“数据发现和分类”来访问此功能。

Azure 门户中“数据发现和分类”页的屏幕截图。

在 Azure 门户和 SQL Server Management Studio 中,可以配置数据分类。 分类引擎会扫描数据库,以识别名称表明可能包含敏感信息的列。 例如,名为 电子邮件 的列将自动标记为包含敏感信息。

Azure 门户中数据分类建议的屏幕截图。

在此示例中,建议使用五列进行分类。 信息类型和敏感度标签属性似乎与列名称和整体用途一致。 但是,由于建议基于列名,因此包含电子邮件地址的列如果命名为column1,则不会被推荐为敏感个人信息。

还可以使用 SQL Server Management Studio 中的敏感度向导或使用 ADD SENSITIVITY CLASSFICATION T-SQL 命令对列进行分类,如下所示。

ADD SENSITIVITY CLASSIFICATION TO
    [Application].[People].[EmailAddress]
WITH (LABEL='PII', INFORMATION_TYPE='Email')

GO

通过数据分类,可以轻松识别数据库中数据的敏感度。 了解哪些列包含敏感数据可以简化审核,并让你更轻松地识别哪些列是数据加密的好选择。 分类允许公司内的其他员工对如何处理数据库中可用的数据做出更好的决策。

自定义分类法

数据发现和分类是 Microsoft Defender for Cloud 的一部分。 可以自定义敏感度标签的分类,并专门为环境定义一组分类规则。

可以通过选择 Azure SQL 数据库的主边栏选项卡 的数据发现和分类 ,然后选择 “配置”,创建和管理敏感度标签作为策略管理的一部分。

Azure 门户中自定义分类法的屏幕截图。

“信息保护 ”页上,可以定义标签、对其进行排名,并将它们与一组信息类型链接。

Azure 门户中的信息保护页面的屏幕截图。

定义模式后,它们会自动添加到发现逻辑中,用于标识数据库中的此类数据,并立即可用。

注释

只有对组织根管理组具有管理权限的用户才能创建和管理敏感度标签。