探索資料分類
儲存在 Microsoft SQL Server、Azure SQL Database 或 Azure SQL 受控實例中的機密數據,應該在資料庫中進行分類。 此分類可協助使用者和應用程式瞭解所儲存數據的敏感度。
數據分類會逐欄執行。 單一數據表可以有分類為公用、機密或高度機密的數據行。
一開始,數據分類是在 SQL Server Management Studio 中引進的,使用對象的擴充屬性來儲存分類資訊。 從 SQL Server 2019 開始,此元數據會儲存在名為 sys.sensitivity_classifications的目錄檢視中。 Azure SQL Database 和 Azure SQL 受控實例也支援此功能。
Azure 入口網站提供 Azure SQL Database 數據分類的管理窗格。 您可以在 Azure SQL Database 主要刀鋒視窗的 [安全性] 區段中選取 [資料探索與分類] 來存取此功能。
![Azure 入口網站中 [數據探索和分類] 頁面的螢幕快照。](../../wwl-data-ai/implement-compliance-controls-sensitive-data/media/module-33-security-final-16.png#lightbox)
在 Azure 入口網站和 SQL Server Management Studio 中,您可以設定數據分類。 分類引擎會掃描您的資料庫,以識別名稱可能包含敏感性信息的數據行。 例如,名為 電子郵件 的數據行會自動標示為包含敏感性個人資訊。
在此範例中,建議使用五個數據行進行分類。 資訊類型標籤和敏感度標籤的屬性似乎與資料欄名稱和整體用途一致。 不過,由於建議是以數據行名稱為基礎,因此不建議使用名為 column1 的數據行,其中包含電子郵件地址的數據行作為敏感性個人資訊。
數據行也可以使用 SQL Server Management Studio 中的敏感度精靈來分類,或使用 ADD SENSITIVITY CLASSFICATION T-SQL 命令,如下所示。
ADD SENSITIVITY CLASSIFICATION TO
[Application].[People].[EmailAddress]
WITH (LABEL='PII', INFORMATION_TYPE='Email')
GO
數據分類可讓您輕鬆地識別資料庫中數據的敏感度。 瞭解哪些數據行包含敏感數據可讓您更輕鬆地進行稽核,並讓您更輕鬆地識別哪些數據行是數據加密的好選擇。 分類可讓公司內的其他員工更妥善地決定如何處理資料庫內可用的數據。
自訂分類法
數據探索與分類是適用於雲端Microsoft Defender 的一部分。 您可以自定義敏感度標籤的分類法,並特別為您的環境定義一組分類規則。
您可以選取 Azure SQL Database 主要面板的資料探索和分類,然後選取[設定],以建立和管理敏感度標籤作為原則管理的一部分。
在 [ 信息保護 ] 頁面上,您可以定義標籤、排名標籤,並使用一組資訊類型連結標籤。
![Azure 入口網站中 [信息保護] 頁面的螢幕快照。](../../wwl-data-ai/implement-compliance-controls-sensitive-data/media/module-33-security-final-20.png)
定義模式之後,這些模式會自動新增至探索邏輯,以識別資料庫中的這類數據,並立即可供使用。
備註
只有具有組織根管理群組系統管理許可權的使用者才能建立和管理敏感度標籤。