Обнаружение и классификация данных SQL

Область применения: SQL Server

Обнаружение и классификация данных добавляет возможности для обнаружения, классификации, маркировки и создания отчетов о конфиденциальных данных в базах данных. Их можно использовать с помощью T-SQL или SQL Server Management Studio (SSMS). Обнаружение и классификация наиболее важных данных (деловых, финансовых, персональных и т. д.) может играть ключевую роль в защите информации в вашей организации. Она может использоваться в качестве инфраструктуры для следующего:

  • соблюдение стандартов конфиденциальности данных;
  • мониторинг доступа к базам данных и столбцам, содержащим данные с высокой степенью конфиденциальности.

Примечание.

Средство обнаружения и классификации данных поддерживается в SQL Server 2012 и более поздних версий и может использоваться с SSMS 17.5 и более поздних версий. Сведения, касающиеся Базы данных SQL Azure, см. в статье Обнаружение и классификация данных в Базе данных SQL Azure.

Обзор

Обнаружение и классификация данных формирует новую парадигму защиты информации для Базы данных SQL, Управляемого экземпляра SQL и Azure Synapse, направленную на защиту данных, а не только базы данных. В настоящее время она поддерживает следующие возможности:

  • Обнаружение и рекомендации. Подсистема классификации проверяет базу данных и определяет столбцы, содержащие потенциально конфиденциальные данные. Затем вы можете легко просмотреть и применить рекомендации по классификации, а также классифицировать столбцы вручную.
  • Метки. Столбцам можно назначать постоянные метки классификации конфиденциальных данных.
  • Видимость. Состояние классификации базы данных можно просматривать в подробном отчете, который можно напечатать или экспортировать для использования в целях соблюдения требований или аудита.

Обнаружение, классификация конфиденциальных столбцов и назначение им меток

В следующем разделе описываются действия по обнаружению в базе данных столбцов, содержащих конфиденциальные данные, их классификации и назначению им меток, а также просмотру текущего состояния классификации базы данных и экспорту отчетов.

Классификация включает в себя два типа атрибутов метаданных:

  • метки — основные атрибуты классификации, которые служат для определения уровня конфиденциальности данных, хранящихся в столбце;
  • типы сведений — предоставляют дополнительную информацию о типе данных, хранящихся в столбце.

Классификация базы данных SQL Server

  1. В SQL Server Management Studio (SSMS) подключитесь к серверу SQL Server.

  2. В обозревателе объектов SSMS выберите базу данных, которую необходимо классифицировать, и выберите команду Задачи>Обнаружение и классификация данных>Классифицировать данные....

    Снимок экрана: обозреватель объектов S с задачами > обнаружения и классификации > данных... выбранный.

  3. Подсистема классификации сканирует базу данных для столбцов (только на основе имен столбцов), содержащих потенциально конфиденциальные данные и предоставляет список рекомендуемых классификаций столбцов:

    • Чтобы просмотреть список рекомендуемых классификаций столбцов, выберите поле уведомлений о рекомендациях в верхней части окна или панель рекомендаций в нижней части окна:

      Снимок экрана: уведомление о том, что мы нашли 39 столбцов с рекомендациями по классификации. Щелкните здесь, чтобы просмотреть их.

      Снимок экрана: уведомление

    • Просмотрите список рекомендаций.

      • Чтобы применить рекомендацию для определенного столбца, установите флажок в левом поле соответствующей строки. Вы также можете принять все рекомендации, установив флажок в заголовке таблицы рекомендаций.

      • Кроме того, вы можете изменить рекомендованный тип сведений и метку конфиденциальности с помощью полей с раскрывающимися списками.

      Снимок экрана со списком рекомендаций.

    • Чтобы применить выбранные рекомендации, нажмите кнопку Сохранить выбранные рекомендации.

      Снимок экрана: кнопка

Примечание.

Подсистема рекомендаций, которая выполняет автоматическое обнаружение данных и предоставляет рекомендации по конфиденциальным столбцам, отключается при использовании режима политики Защита информации Microsoft Purview.

  1. Чтобы отобразить классифицированные столбцы, выберите соответствующую схему и соответствующую таблицу из раскрывающегося списка, а затем выберите Load Columns (Загрузить столбцы).

    снимок экрана: загрузка классифицированных столбцов в классификации данных SSMS.

  2. Вы также можете классифицировать столбцы вручную вместо использования рекомендованных классификаций или в дополнение к ним.

    • Выберите " Добавить классификацию " в верхнем меню окна.

      Снимок экрана: верхнее меню с выделенным пунктом

    • В открывшемся контекстном окне введите имя столбца, который вы хотите классифицировать, тип сведений и метку конфиденциальности. Схема и таблица выбираются на основе записей на главной странице.

      Снимок экрана: контекстное окно

    • Если необходимо добавить классификацию для всех неклассифицированных столбцов конкретной таблицы в одной попытке, выберите Все неклассифицированные сведения в раскрывающемся списке Столбец на странице Добавление классификации.

      снимок экрана: выбор всех неклассифицированных столбцов в классификации данных SSMS

  3. Чтобы завершить классификацию и назначить столбцам базы данных новые метаданные (метки) классификации, нажмите кнопку Сохранить в меню в верхней части окна.

    Снимок экрана: верхнее меню с выделенным пунктом

  4. Чтобы создать отчет с полной сводкой состояния классификации базы данных, в меню в верхней части окна выберите Просмотреть отчет. (Вы также можете создать отчет с помощью SSMS. Выберите базу данных, в которой вы хотите создать отчет, и выберите задачи>обнаружения и классификации>создания отчета...)

    Снимок экрана: верхнее меню с выделенным пунктом

    Снимок экрана: отчет по классификации данных SQL.

Классификация базы данных с помощью политики Защита информации Microsoft Purview

Примечание.

Microsoft Information Protection (сокращено как MIP) был переименован в качестве Защита информации Microsoft Purview. Оба термина MIP и Защита информации Microsoft Purview часто используются взаимозаменяемо в этом документе, но оба относятся к одной концепции.

Защита информации Microsoft Purview метки предоставляют простой и универсальный способ классификации конфиденциальных данных в SQL Server. Метки конфиденциальности MIP создаются и управляются в центре соответствия требованиям Microsoft 365 [переименованы как Портал соответствия требованиям Microsoft Purview]. Сведения о создании и публикации меток конфиденциальной метки MIP на портале соответствия Microsoft Purview см. в статье метки конфиденциальности Microsoft Information Protection.

Теперь можно использовать SSMS для классификации данных в источнике (SQL Server) с помощью меток Защита информации Microsoft Purview, которые используются в Power BI, Office и других продуктах Майкрософт. Эти метки чувствительности применяются на уровне столбца базы данных, то же, что и политика Information Protection в SQL.

Наборы данных или отчеты Power BI, которые подключаются к данным с меткой конфиденциальности в поддерживаемых источниках данных, могут автоматически наследовать эти метки, чтобы данные оставались классифицированными при переносе в Power BI и при экспорте в нижестоящие приложения. Доступность политики MIP в SSMS позволяет получить комплексное решение классификации на уровне предприятия.

Действия по настройке политики Защита информации Microsoft Purview

  1. В SQL Server Management Studio (SSMS) подключитесь к серверу SQL Server.

  2. В обозревателе объектов SSMS выберите базу данных, которую необходимо классифицировать, и выберите Задачи>Обнаружение данных и установка классификации>Установление политики Microsoft Information Protection

    снимок экрана: установление политики защиты информации Microsoft Information Protection в SSMS

  3. Отобразится окно проверки подлинности для Microsoft 365 для установки политики Microsoft Information Protection. Выберите Войти и введите или выберите действительные учетные данные пользователя для аутентификации в клиенте Microsoft 365.

    снимок экрана: проверка подлинности для установки политики защиты информации Microsoft Information Protection

  4. Если проверка подлинности прошла успешно, вы увидите всплывающее окно с состоянием Успешно.

    снимок экрана: успешное задание политики Microsoft Information Protection в SSMS

  5. Необязательно. Если вы хотите войти в любой из независимых облачных служб Майкрософт для проверки подлинности в Microsoft 365, перейдите в службу "Параметры>средств>SSMS >Azure" измените имя на соответствующее независимое облако Майкрософт.

    Снимок экрана: выбор типа облака Azure в SSMS

  6. В окне обозревателя объектов SSMS щелкните правой кнопкой мыши базу данных, которую необходимо классифицировать, и выберите пункты Задачи>Обнаружение и классификация данных>Классифицировать данные.... Теперь можно добавить новую классификацию с помощью меток конфиденциальности MIP, определенных в клиенте Microsoft 365, и использовать эти метки для классификации столбцов в SQL Server.

    Выбор меток конфиденциальности Microsoft Information Protection в SSMS

    Автоматическое обнаружение данных и рекомендации отключены в режиме политики Microsoft Information Protection. В настоящее время он доступен только в режиме политики SQL Information Protection.

Чтобы сбросить политику Information Protection на политику по умолчанию или политику SQL Information Protection, перейдите в обозреватель объектов SSMS, щелкните правой кнопкой мыши базу данных и выберите Задачи>Обнаружение и классификация данных>Сбросить политику Information Protection по умолчанию. При этом будет применена политика Information Protection по умолчанию или политика защиты информации SQL, и вы сможете классифицировать данные с помощью метки конфиденциальности SQL вместо меток MIP.

Снимок экрана: сброс политики Information Protection в SSMS

Чтобы включить политику Information Protection из пользовательского JSON-файла, перейдите в обозреватель объектов SSMS, щелкните правой кнопкой мыши базу данных и выберите Задачи>Обнаружение и классификация данных>Установить файл политики Information Protection.

Примечание.

Значок предупреждения указывает на то, что столбец был ранее классифицирован с использованием другой политики Information Protection, отличной от выбранной в данном режиме политики. Например, если вы в данный момент используется режим Microsoft Information Protection, а один из столбцов был ранее классифицирован с помощью политики SQL Information Protection или политики Information Protection из файла настраиваемой политики, то для этого столбца отображается значок предупреждения. Можно выбрать, следует ли изменить классификацию столбца на любую из меток конфиденциальности, доступных в текущем режиме политики, или оставить ее как есть. Снимок экрана: предупреждение классификации данных о несоответствующих политиках

Управление политикой защиты информации Information Protection с помощью SSMS

Управлять политикой защиты информации Information Protection можно с помощью SSMS 18.4 или более поздней версии.

  1. В SQL Server Management Studio (SSMS) подключитесь к серверу SQL Server.

  2. В обозревателе объектов SSMS выберите одну из баз данных и выберите пункты Задачи>Обнаружение и классификация данных.

    Указанные ниже пункты меню позволяют управлять политикой защиты информации Information Protection.

  • Задайте политику Microsoft Information Protection: задает политику Защиты информации для Защита информации Microsoft Purview политики.

  • Задать файл политики защиты информации: используется политика защиты информации SQL, указанная в выбранном файле JSON. (См. файл политики Information Protection по умолчанию.)

  • Экспорт политики защиты информации: политика защиты информации Information Protection экспортируется в файл JSON.

  • Сброс политики защиты информации: политика защиты информации Information Protection сбрасывается на политику защиты информации SQL по умолчанию.

Внимание

Файл политики защиты информации не хранится в SQL Server. SSMS использует политику защиты информации Information Protection по умолчанию. В случае сбоя настраиваемой политики защиты информации Information Protection SSMS не может использовать политику по умолчанию. Происходит сбой классификации данных. Чтобы устранить проблему, выберите пункт Сброс политики защиты информации для использования политики по умолчанию и повторного включения классификации данных.

Доступ к метаданным классификации

В SQL Server 2019 появилось представление системного каталога sys.sensitivity_classifications. Это представление возвращает типы информации и метки конфиденциальности.

В экземплярах SQL Server 2019 выполните запрос к sys.sensitivity_classifications, чтобы просмотреть все классифицированные столбцы с соответствующими классификациями. Например:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

До версии SQL Server 2019 метаданные классификации для типов информации и меток конфиденциальности хранились в следующих расширенных свойствах:

  • sys_information_type_name
  • sys_sensitivity_label_name

Для экземпляров SQL Server 2017 и более ранних версий следующий пример возвращает все классифицированные столбцы с соответствующими классификациями:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Разрешения

В экземплярах SQL Server 2019 для просмотра классификации требуется разрешение VIEW ANY SENSITIVITY CLASSIFICATION. Дополнительные сведения см. в разделе Metadata Visibility Configuration.

В версиях, предшествующих SQL Server 2019, доступ к метаданным осуществляется с помощью представления каталога расширенных свойств sys.extended_properties.

Для управления классификацией требуется разрешение ALTER ANY SENSITIVITY CLASSIFICATION. ALTER ANY SENSITIVITY CLASSIFICATION подразумевается в разрешении ALTER для базы данных или CONTROL SERVER для сервера.

Управление классификациями

Используйте T-SQL, чтобы добавить или удалить классификацию столбца и извлечь все классификации всей базы данных.

Следующие шаги

Сведения, касающиеся Базы данных SQL Azure, см. в статье Обнаружение и классификация данных в Базе данных SQL Azure.

Рекомендуем защитить конфиденциальные столбцы путем применения механизмов защиты на уровне столбцов: