Dela via

IDENTIFIERING och klassificering av SQL-data

gäller för:SQL Server

Dataidentifiering och klassificering lägger till funktioner för att identifiera, klassificera, märka och rapportera känsliga data i dina databaser. Detta kan göras via T-SQL eller med SQL Server Management Studio (SSMS). Att upptäcka och klassificera dina känsligaste data (företag, ekonomi, sjukvård osv.) kan spela en avgörande roll i organisationens informationsskyddsstatus. Den kan fungera som infrastruktur för:

  • Hjälper till att uppfylla datasekretessstandarder.
  • Övervaka åtkomst till databaser/kolumner som innehåller mycket känsliga data.

Anmärkning

Dataidentifiering och -klassificering stöds för SQL Server 2012 och senare och kan användas med SSMS 17.5 eller senare. Information om Azure SQL Database finns i Azure SQL Database Data Discovery &Classification .

Översikt

DataIdentifiering och klassificering utgör ett nytt informationsskyddsparadigm för SQL Database, SQL Managed Instance och Azure Synapse, som syftar till att skydda data och inte bara databasen. För närvarande har den stöd för följande funktioner:

  • Identifiering och rekommendationer – Klassificeringsmotorn söker igenom databasen och identifierar kolumner som innehåller potentiellt känsliga data. Det ger dig sedan ett enkelt sätt att granska och tillämpa lämpliga klassificeringsrekommendationer, samt att klassificera kolumner manuellt.
  • Etikettering – Känslighetsklassificeringsetiketter kan beständigt taggas på kolumner.
  • Synlighet – Databasklassificeringstillståndet kan visas i en detaljerad rapport som kan skrivas ut eller exporteras för att användas i efterlevnads- och granskningssyfte.

Identifiera, klassificera och märka känsliga kolumner

I följande avsnitt beskrivs stegen för att identifiera, klassificera och märka kolumner som innehåller känsliga data i databasen, samt visa databasens aktuella klassificeringstillstånd och exportera rapporter.

Klassificeringen innehåller två metadataattribut:

  • Etiketter – De viktigaste klassificeringsattributen som används för att definiera känslighetsnivån för de data som lagras i kolumnen.
  • Informationstyper – Ge mer kornighet i den typ av data som lagras i kolumnen.

Så här klassificerar du DIN SQL Server-databas:

  1. I SQL Server Management Studio (SSMS) ansluter du till SQL Server.

  2. I SSMS-objektutforskaren väljer du den databas som du vill klassificera och väljer Uppgifter>Dataidentifiering och klassificering>Klassificera data....

    Skärmbild som visar S S M S-objektutforskaren med uppgifter > dataidentifiering och klassificering > klassificera data... vald.

  3. Klassificeringsmotorn söker igenom databasen efter kolumner (endast baserat på kolumnnamn) som innehåller potentiellt känsliga data och innehåller en lista över rekommenderade kolumnklassificeringar:

    • Om du vill visa listan över rekommenderade kolumnklassificeringar väljer du meddelanderutan rekommendationer längst upp eller på panelen med rekommendationer längst ned i fönstret:

      Skärmbild som visar meddelandet Vi har hittat 39 kolumner med klassificeringsrekommendationer. Klicka här om du vill visa dem.

      Skärmbild som visar meddelandet med 39 kolumner med klassificeringsrekommendationer (klicka för att visa).

    • Granska listan med rekommendationer:

      • Om du vill acceptera en rekommendation för en specifik kolumn markerar du kryssrutan i den vänstra kolumnen på den relevanta raden. Du kan också markera alla rekommendationer som godkända genom att markera kryssrutan i tabellrubriken för rekommendationerna.

      • Du kan också ändra den rekommenderade informationstypen och känslighetsetiketten med hjälp av listrutorna.

      Skärmbild som visar listan med rekommendationer.

    • Om du vill tillämpa de valda rekommendationerna väljer du knappen Spara valda rekommendationer .

      Skärmbild av knappen Acceptera valda rekommendationer.

Anmärkning

Rekommendationsmotorn som gör automatisk dataidentifiering och ger rekommendationer för känsliga kolumner inaktiveras när Principläge för Microsoft Purview Information Protection används.

  1. Om du vill visa de klassificerade kolumnerna väljer du lämpligt schema och motsvarande tabell i listrutan och väljer sedan Läs in kolumner.

    skärmbild av S S M S-dataklassificering som läser in klassificerade kolumner.

  2. Du kan också manuellt klassificera kolumner som ett alternativ, eller utöver den rekommendationsbaserade klassificeringen:

    • Välj Lägg till klassificering på den översta menyn i fönstret.

      Skärmbild som visar den översta menyn med alternativet Lägg till klassificering framhävt.

    • I kontextfönstret som öppnas anger du det kolumnnamn som du vill klassificera, informationstyp och känslighetsetikett. Schema och tabell väljs baserat på posterna på huvudsidan.

      Skärmbild som visar fönstret Lägg till klassificeringskontext.

    • Om du vill lägga till klassificering för alla oklassificerade kolumner för en specifik tabell i ett enda försök väljer du Alla oklassificerade i listrutan Kolumn på sidan Lägg till klassificering .

      skärmbild av S S M S-dataklassificering som markerar alla oklassificerade kolumner

  3. Om du vill slutföra klassificeringen och beständigt märka (tagga) databaskolumnerna med de nya klassificeringsmetadata väljer du knappen Spara på den översta menyn i fönstret.

    Skärmbild som visar den översta menyn med alternativet Spara markerat.

  4. Om du vill generera en rapport med en fullständig sammanfattning av databasklassificeringstillståndet väljer du Visa rapport på den översta menyn i fönstret. (Du kan också generera en rapport med hjälp av SSMS. Välj den databas där du vill generera rapporten och välj Uppgifter>Dataidentifiering och Klassificering>Generera rapport...)

    Skärmbild som visar den översta menyn med alternativet Visa rapport framhävt.

    Skärmbild som visar SQL-dataklassificeringsrapporten.

Klassificera din databas med hjälp av Microsoft Purview Information Protection Policy

Anmärkning

Microsoft Information Protection (förkortat MIP) har bytt namn till Microsoft Purview Information Protection. Både termerna MIP och Microsoft Purview Information Protection används ofta omväxlande i det här dokumentet, men båda refererar till samma begrepp.

Microsoft Purview Information Protection-etiketter är ett enkelt och enhetligt sätt för användarna att klassificera känsliga data i SQL Server. MIP-känslighetsetiketter skapas och hanteras i Microsoft 365 Efterlevnadscenter [omdöpt till Microsoft Purview-efterlevnadsportalen]. Mer information om hur du skapar och publicerar känsliga MIP-etiketter i Microsoft Purview Compliance Portal finns i artikeln Microsoft Information Protection-känslighetsetiketter.

Nu kan du använda SSMS för att klassificera data på källan (SQL Server) med hjälp av Microsoft Purview Information Protection-etiketter som används i Power BI, Office och andra Microsoft-produkter. Dessa känslighetsetiketter tillämpas på kolumnnivå i en databas, samma som SQL Information Protection-principen.

Power BI-datauppsättningar eller rapporter som ansluter till känslighetsetiketterade data i datakällor som stöds kan ärva dessa etiketter automatiskt, så att data förblir klassificerade när de förs till Power BI och exporteras till underordnade program. Med MIP-principens tillgänglighet i SSMS kan du uppnå en heltäckande klassificeringslösning för hela företaget.

Steg för att konfigurera Microsoft Purview Information Protection-princip

  1. I SQL Server Management Studio (SSMS) ansluter du till SQL Server.

  2. I SSMS-objektutforskaren väljer du den databas som du vill klassificera och väljer Uppgifter>Dataidentifiering och klassificeringsuppsättning>Microsoft Information Protection-princip

    Skärmbild för att sseta Microsoft Information Protection Policy i S S M S

  3. Ett autentiseringsfönster för Microsoft 365 för att ange Microsoft Information Protection-principen visas. Välj Logga in och ange eller välj en giltig användarautentiseringsuppgift för att autentisera till din Microsoft 365-klientorganisation.

    Skärmbild av autentisering för att ange Microsoft Information Protection-princip

  4. Om autentiseringen lyckas visas ett popup-fönster med statusen Lyckades.

    Skärmbild av framgångsrikt inställd Microsofts informationsskyddspolicy i S S M S

  5. Valfritt – Om du vill logga in på något av Microsofts nationella moln för att autentisera till Microsoft 365 går du till SSMS >Tools>Options>Azure Services>Azure Cloud och ändrar namnet till relevant Microsoft-nationella moln.

    Skärmbild av att välja typ av Azure-moln i S S M S

  6. I fönstret Objektutforskaren i SSMS högerklickar du på den databas som du vill klassificera och väljer Uppgifter>Dataidentifiering och klassificering>Klassificera data. Nu kan du lägga till ny klassificering med hjälp av MIP-känslighetsetiketter som definierats i din Microsoft 365-klientorganisation och använda dessa etiketter för att klassificera kolumner i SQL Server.

    Välja Känslighetsetiketter för Microsoft Information Protection Policy i S S M S

    Automatisk dataidentifiering och rekommendation inaktiveras i Microsoft informationsskyddspolicyläge. Den är för närvarande endast tillgänglig i SQL Information Protection Policy-läge.

Om du vill återställa informationsskyddsprincipen till standard eller SQL Information Protection, går du till SSMS Objektutforskaren, högerklickar på databasen och väljer Uppgifter>Dataidentifiering och klassificering>Återställ informationsskyddsprincipen till standard. Detta tillämpar standard- eller SQL Information Protection-principen och du kan klassificera data med hjälp av SQL-känslighetsetiketter i stället för MIP-etiketter.

Skärmbild av återställning av informationsskyddsprincip i S S M S

Om du vill aktivera Information Protection-policy från en anpassad JSON-fil går du till SSMS Objektutforskaren, högerklickar på databasen och väljer Uppgifter>Dataidentifiering och klassificering>Information Protection Policy.

Anmärkning

En varningsikon anger att kolumnen tidigare klassificerades med en annan informationsskyddsprincip än det aktuella valda principläget. Om du till exempel för närvarande är i Microsoft Information Protection-läge och en av kolumnerna tidigare klassificerades med SQL Information Protection Policy eller Information Protection Policy från en anpassad principfil visas en varningsikon mot kolumnen. Du kan bestämma om du vill ändra klassificeringen av kolumnen till någon av de känslighetsetiketter som är tillgängliga i det aktuella principläget eller lämna den som den är. Skärmbild av dataklassificeringsvarning för missanpassade policyer

Hantera informationsskyddsprincip med SSMS

Du kan hantera informationsskyddsprincipen med SSMS 18.4 eller senare:

  1. I SQL Server Management Studio (SSMS) ansluter du till SQL Server.

  2. I SSMS-objektutforskaren väljer du en av dina databaser och väljer Uppgifter>Dataidentifiering och klassificering.

    Med följande menyalternativ kan du hantera informationsskyddsprincipen:

  • Ange Microsoft Information Protection Policy: tilldelar Information Protection Policy till Microsoft Purview Information Protection Policy.

  • Ange informationsskyddsprincipfil: använder SQL Information Protection-principen enligt definitionen i den valda JSON-filen. (Se standardfilen för policyn för informationsskydd)

  • Exportera informationsskyddsprincip: exporterar informationsskyddsprincipen till en JSON-fil.

  • Återställ informationsskyddsprincip: återställer informationsskyddsprincipen till standardprincipen för SQL Information Protection.

Viktigt!

Filen med informationsskyddsprinciper lagras inte i SQL Server. SSMS använder en standardprincip för informationsskydd. Om en anpassad informationsskyddsprincip misslyckas kan SSMS inte använda standardprincipen. Dataklassificeringen misslyckas. Lös problemet genom att klicka på Återställ informationsskyddsprincip för att använda standardprincipen och återaktivera dataklassificering.

Åtkomst till klassificeringsmetadata

SQL Server 2019 introducerar sys.sensitivity_classifications systemkatalogvyn. Den här vyn returnerar informationstyper och känslighetsetiketter.

På SQL Server 2019-instanser frågar du sys.sensitivity_classifications om du vill granska alla klassificerade kolumner med motsvarande klassificeringar. Till exempel:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Före SQL Server 2019 finns klassificeringsmetadata för informationstyper och känslighetsetiketter i följande utökade egenskaper:

  • sys_information_type_name
  • sys_sensitivity_label_name

För instanser av SQL Server 2017 och tidigare returnerar följande exempel alla klassificerade kolumner med motsvarande klassificeringar:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Behörigheter

För SQL Server 2019-instanser kräver visningsklassificering behörighetEN VISA ALLA KÄNSLIGHETSKLASSIFICERINGar . För mer information, se inställningar för metadatasynlighet.

Före SQL Server 2019 kan metadata nås med katalogvyn sys.extended_propertiesUtökade egenskaper .

Hantering av klassificering kräver ALTER ANY SENSITIVITY CLASSIFICATION-behörighet. ALTER ANY SENSITIVITY CLASSIFICATION underförstås av databasbehörigheten ALTER eller av serverbehörigheten CONTROL SERVER.

Hantera klassificeringar

Du kan använda T-SQL för att lägga till eller ta bort kolumnklassificeringar och även hämta alla klassificeringar för hela databasen.

Nästa steg

Information om Azure SQL Database finns i Azure SQL Database Data Discovery &Classification .

Överväg att skydda känsliga kolumner genom att använda säkerhetsmekanismer på kolumnnivå: