Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
van toepassing op:
SQL Server-
Gegevensdetectie & Classificatie voegt mogelijkheden toe voor het detecteren, classificeren, labelen en rapporteren van gevoelige gegevens in uw databases. Dit kan via T-SQL of met behulp van SQL Server Management Studio (SSMS). Het ontdekken en classificeren van uw meest gevoelige gegevens (zakelijk, financieel, gezondheidszorg, enzovoort) kan een belangrijke rol spelen in de status van uw organisatiegegevensbescherming. Het kan fungeren als infrastructuur voor:
- Helpen voldoen aan privacystandaarden voor gegevens.
- De toegang tot databases/kolommen bewaken die zeer gevoelige gegevens bevatten.
Opmerking
Gegevensdetectie en -classificatie worden ondersteund voor SQL Server 2012 en hoger en kunnen worden gebruikt met SSMS 17.5 of hoger. Zie Azure SQL Database Data Discovery & Classification voor Azure SQL Database voor meer informatie.
Overzicht
Gegevensdetectie en -classificatie vormen een nieuw paradigma voor gegevensbeveiliging voor SQL Database, SQL Managed Instance en Azure Synapse, gericht op het beveiligen van de gegevens en niet alleen de database. Op dit moment worden de volgende mogelijkheden ondersteund:
- Detectie en aanbevelingen : de classificatie-engine scant uw database en identificeert kolommen met mogelijk gevoelige gegevens. Het biedt u vervolgens een eenvoudige manier om de juiste classificatieaan aanbevelingen te controleren en toe te passen, en om kolommen handmatig te classificeren.
- Labelen : vertrouwelijkheidsclassificatielabels kunnen permanent worden gelabeld op kolommen.
- Zichtbaarheid : de classificatiestatus van de database kan worden weergegeven in een gedetailleerd rapport dat kan worden afgedrukt of geëxporteerd om te worden gebruikt voor nalevings- en controledoeleinden.
Gevoelige kolommen detecteren, classificeren en labelen
In de volgende sectie worden de stappen beschreven voor het detecteren, classificeren en labelen van kolommen met gevoelige gegevens in uw database, evenals het weergeven van de huidige classificatiestatus van uw database en het exporteren van rapporten.
De classificatie bevat twee metagegevenskenmerken:
- Labels: de belangrijkste classificatiekenmerken die worden gebruikt voor het definiëren van het gevoeligheidsniveau van de gegevens die zijn opgeslagen in de kolom.
- Informatietypen: geef meer granulariteit op in het type gegevens dat in de kolom is opgeslagen.
Uw SQL Server-database classificeren:
Maak in SQL Server Management Studio (SSMS) verbinding met de SQL Server.
Selecteer in de SSMS-objectverkenner de database die u wilt classificeren en kies Takengegevensdetectie>en -classificatie>....
De classificatie-engine scant uw database op kolommen (alleen op basis van kolomnamen) met mogelijk gevoelige gegevens en biedt een lijst met aanbevolen kolomclassificaties:
Als u de lijst met aanbevolen kolomclassificaties wilt weergeven, selecteert u het meldingsvak aanbevelingen bovenaan of in het deelvenster aanbevelingen onder aan het venster:
Bekijk de lijst met aanbevelingen:
Als u een aanbeveling voor een specifieke kolom wilt accepteren, schakelt u het selectievakje in de linkerkolom van de relevante rij in. U kunt ook alle aanbevelingen markeren zoals geaccepteerd door het selectievakje in de koptekst van de aanbevelingentabel in te schakelen.
U kunt ook het aanbevolen informatietype en vertrouwelijkheidslabel wijzigen met behulp van de vervolgkeuzelijsten.
Als u de geselecteerde aanbevelingen wilt toepassen, selecteert u de knop Geselecteerde aanbevelingen opslaan .
Opmerking
Aanbevelingsengine die automatische gegevensdetectie doet en aanbevelingen voor gevoelige kolommen biedt, wordt uitgeschakeld wanneer de beleidsmodus microsoft Purview Information Protection wordt gebruikt.
Als u de geclassificeerde kolommen wilt weergeven, selecteert u het juiste schema en de bijbehorende tabel in de vervolgkeuzelijst en selecteert u Vervolgens Kolommen laden.
U kunt kolommen ook handmatig classificeren als alternatief of naast de classificatie op basis van aanbevelingen:
Selecteer Classificatie toevoegen in het bovenste menu van het venster.
Voer in het contextvenster dat wordt geopend de kolomnaam in die u wilt classificeren, informatietype en het vertrouwelijkheidslabel. Schema en tabel worden geselecteerd op basis van de vermeldingen op de hoofdpagina.
Als u in één poging classificatie wilt toevoegen voor alle niet-geclassificeerde kolommen voor een specifieke tabel, selecteert u Alle niet-geclassificeerd in de vervolgkeuzelijst Kolom van de pagina Classificatie toevoegen .
Als u uw classificatie wilt voltooien en de databasekolommen permanent wilt labelen (taggen) met de nieuwe classificatiemetagegevens, selecteert u de knop Opslaan in het bovenste menu van het venster.
Als u een rapport met een volledig overzicht van de classificatiestatus van de database wilt genereren, selecteert u Rapport weergeven in het bovenste menu van het venster. (U kunt ook een rapport genereren met behulp van SSMS. Selecteer de database waarin u het rapport wilt genereren en kies Takengegevensdetectie>en Classificatierapport>genereren...)
Uw database classificeren met Microsoft Purview Information Protection-beleid
Opmerking
Microsoft Information Protection (afgekort als MIP) is omgedoopt tot Microsoft Purview Information Protection. Zowel de termen MIP als Microsoft Purview Information Protection worden vaak door elkaar gebruikt in dit document, maar beide verwijzen naar hetzelfde concept.
Microsoft Purview Information Protection-labels bieden een eenvoudige en uniforme manier voor uw gebruikers om gevoelige gegevens in SQL Server te classificeren. MIP-vertrouwelijkheidslabels worden gemaakt en beheerd in het Microsoft 365-compliancecentrum [hernoemd als Microsoft Purview-complianceportal]. Zie het artikel Vertrouwelijkheidslabels van Microsoft Information Protection voor meer informatie over het maken en publiceren van MIP-gevoelige labels in de Microsoft Purview-complianceportal.
U kunt nu SSMS gebruiken om gegevens te classificeren op de bron (SQL Server) met behulp van Microsoft Purview Information Protection-labels, die worden gebruikt in Power BI, Office en andere Microsoft-producten. Deze vertrouwelijkheidslabels worden toegepast op kolomniveau in een database, hetzelfde als het SQL Information Protection-beleid.
Power BI-gegevenssets of -rapporten die verbinding maken met vertrouwelijkheidslabelgegevens in ondersteunde gegevensbronnen, kunnen deze labels automatisch overnemen, zodat de gegevens worden geclassificeerd wanneer ze worden overgebracht naar Power BI en worden geëxporteerd naar downstreamtoepassingen. Met de beschikbaarheid van MIP-beleid in SSMS kunt u een end-to-end bedrijfsbrede classificatieoplossing bereiken.
Stappen voor het configureren van Microsoft Purview Information Protection-beleid
Maak in SQL Server Management Studio (SSMS) verbinding met de SQL Server.
Selecteer in de SSMS Objectverkenner de database die u wilt classificeren en kies voor Taken>Gegevensdetectie en Classificatie>Microsoft Information Protection-beleid Instellen
Er zal een venster voor verificatie van Microsoft 365 verschijnen om het Microsoft Information Protection-beleid in te stellen. Selecteer Aanmelden en voer een geldige gebruikersreferentie in om te verifiëren bij uw Microsoft 365-tenant.
Als de verificatie is geslaagd, ziet u een pop-upvenster met de status Geslaagd.
Optioneel: als u zich wilt aanmelden bij een van de onafhankelijke Microsoft-clouds voor verificatie bij Microsoft 365, gaat u naar SSMS >Tools>Options>Azure Cloud> en wijzigt u de naam in de relevante onafhankelijke Microsoft-cloud.
Klik in het venster SSMS-objectverkenner met de rechtermuisknop op de database die u wilt classificeren en kies Taken>Gegevensexploratie en classificatie>Classificeer gegevens. U kunt nu nieuwe classificatie toevoegen met MIP-vertrouwelijkheidslabels die zijn gedefinieerd in uw Microsoft 365-tenant en deze labels gebruiken om kolommen in SQL Server te classificeren.
Automatische gegevensdetectie en -aanbeveling is uitgeschakeld in de microsoft Information Protection-beleidsmodus. Het is momenteel alleen beschikbaar in de modus SQL Information Protection-beleid.
Als u het Information Protection-beleid wilt terugzetten naar de standaardinstelling of SQL Information Protection, gaat u naar de SSMS Object Explorer, klikt u met de rechtermuisknop op de database en kiest u taken>gegevensdetectie en classificatie>Information Protection-beleid opnieuw instellen op standaardinstelling. Hiermee wordt het standaard- of SQL Information Protection-beleid toegepast en kunt u de gegevens classificeren met behulp van SQL-vertrouwelijkheidslabels in plaats van MIP-labels.
Als u Information Protection-beleid wilt inschakelen vanuit een aangepast JSON-bestand, gaat u naar de SSMS Object Explorer, klikt u met de rechtermuisknop op de database en kiest u Taken>Gegevensdetectie en classificatie>Informatiebeschermingsbeleidsbestand instellen.
Opmerking
Een waarschuwingspictogram geeft aan dat de kolom eerder is geclassificeerd met behulp van een ander Information Protection-beleid dan de momenteel geselecteerde beleidsmodus. Als u zich momenteel in de Microsoft Information Protection-modus bevindt en een van de kolommen eerder is geclassificeerd met behulp van SQL Information Protection-beleid of Information Protection-beleid vanuit een aangepast beleidsbestand, ziet u een waarschuwingspictogram voor die kolom. U kunt bepalen of u de classificatie van de kolom wilt wijzigen in een van de vertrouwelijkheidslabels die beschikbaar zijn in de huidige beleidsmodus of deze ongewijzigd wilt laten.
Information Protection-beleid beheren met SSMS
U kunt het Information Protection-beleid beheren met SSMS 18.4 of hoger:
Maak in SQL Server Management Studio (SSMS) verbinding met de SQL Server.
Selecteer in de SSMS-objectverkenner een van uw databases en kies Taken>Gegevensdetectie en Classificatie.
Met de volgende menuopties kunt u het Information Protection-beleid beheren:
Microsoft Information Protection-beleid instellen: hiermee stelt u het Information Protection-beleid in op Microsoft Purview Information Protection-beleid.
Information Protection-beleidsbestand instellen: maakt gebruik van het SQL Information Protection-beleid zoals gedefinieerd in het geselecteerde JSON-bestand. (Zie het standaardinformatiebeschermingsbeleidsbestand)
Information Protection-beleid exporteren: exporteert het Information Protection-beleid naar een JSON-bestand.
Information Protection-beleid resetten: hiermee reset u het Information Protection-beleid naar het standaardbeleid voor SQL Information Protection.
Belangrijk
Het informatiebeveiligingsbeleidsbestand wordt niet opgeslagen in de SQL Server. SSMS maakt gebruik van een standaard Information Protection-beleid. Als een aangepast Information Protection-beleid mislukt, kan SSMS het standaardbeleid niet gebruiken. Gegevensclassificatie mislukt. Als u dit wilt oplossen, klikt u op Information Protection-beleid opnieuw instellen om het standaardbeleid te gebruiken en gegevensclassificatie opnieuw in te schakelen.
Toegang tot de classificatiemetagegevens
SQL Server 2019 introduceert sys.sensitivity_classifications de systeemcatalogusweergave. Deze weergave retourneert informatietypen en vertrouwelijkheidslabels.
Voer op SQL Server 2019-exemplaren een query sys.sensitivity_classifications uit om alle geclassificeerde kolommen te controleren met de bijbehorende classificaties. Voorbeeld:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
label,
rank,
rank_desc
FROM sys.sensitivity_classifications sc
JOIN sys.objects O
ON sc.major_id = O.object_id
JOIN sys.columns C
ON sc.major_id = C.object_id AND sc.minor_id = C.column_id
Vóór SQL Server 2019 bevinden de classificatiemetagegevens voor informatietypen en vertrouwelijkheidslabels zich in de volgende uitgebreide eigenschappen:
sys_information_type_namesys_sensitivity_label_name
Voor exemplaren van SQL Server 2017 en eerder retourneert het volgende voorbeeld alle geclassificeerde kolommen met de bijbehorende classificaties:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
sensitivity_label
FROM
(
SELECT
IT.major_id,
IT.minor_id,
IT.information_type,
L.sensitivity_label
FROM
(
SELECT
major_id,
minor_id,
value AS information_type
FROM sys.extended_properties
WHERE NAME = 'sys_information_type_name'
) IT
FULL OUTER JOIN
(
SELECT
major_id,
minor_id,
value AS sensitivity_label
FROM sys.extended_properties
WHERE NAME = 'sys_sensitivity_label_name'
) L
ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
) EP
JOIN sys.objects O
ON EP.major_id = O.object_id
JOIN sys.columns C
ON EP.major_id = C.object_id AND EP.minor_id = C.column_id
Machtigingen
Voor SQL Server 2019-exemplaren is voor het weergeven van classificatie ELKE MACHTIGING VERTROUWELIJKHEIDSCLASSIFICATIE WEERGEVEN vereist. Zie Zichtbaarheidsconfiguratie voor metagegevensvoor meer informatie.
Vóór SQL Server 2019 zijn de metagegevens toegankelijk via de catalogusweergave sys.extended_propertiesUitgebreide eigenschappen.
Voor het beheren van classificatie is ALTER ANY SENSITIVITY CLASSIFICATION-machtiging vereist. De bevoegdheid ALTER ANY SENSITIVITY CLASSIFICATION wordt geïmpliceerd door de databasemachtiging ALTER, of door de servermachtiging CONTROL SERVER.
Classificaties beheren
U kunt T-SQL gebruiken om kolomclassificaties toe te voegen of te verwijderen en ook alle classificaties voor de hele database op te halen.
- De classificatie van een of meer kolommen toevoegen/bijwerken: GEVOELIGHEIDSCLASSIFICATIE TOEVOEGEN
- De classificatie verwijderen uit een of meer kolommen: GEVOELIGHEIDSCLASSIFICATIE NEERZETTEN
Volgende stappen
Zie Azure SQL Database Data Discovery & Classification voor Azure SQL Database voor meer informatie.
Overweeg om uw gevoelige kolommen te beveiligen door beveiligingsmechanismen op kolomniveau toe te passen:
- Dynamische gegevensmaskering voor het verbergen van gevoelige kolommen die in gebruik zijn.
- Always Encrypted voor het versleutelen van gevoelige kolommen in rust.