Обнаружение и классификация данных

Область применения:База данных SQL AzureУправляемый экземпляр SQL AzureAzure Synapse Analytics

Обнаружение и классификация данных — встроенная функция Базы данных SQL Azure, Управляемого экземпляра SQL Azure и Azure Synapse Analytics. Она предоставляет базовые возможности для обнаружения, классификации и маркировки конфиденциальных данных в вашей базе, а также создания по ним отчетности.

К наиболее конфиденциальным данным относятся деловые, финансовые, медицинские и персональные данные. Она может использоваться в качестве инфраструктуры для следующего:

• Помощь в достижении соответствия стандартам конфиденциальности данных и требованиям регулятивного соблюдения.
• Различные сценарии безопасности, такие как мониторинг (аудит) доступа к конфиденциальным данным.
• Управление доступом к базам данных, содержащим конфиденциальные данные, и усиление их защиты.

Понятие обнаружения и классификации данных.

Для классификации и обнаружения данных в настоящее время поддерживаются следующие возможности:

• Обнаружение и рекомендации. Подсистема классификации проверяет базы данных и выявляет столбцы, содержащие потенциально конфиденциальные данные. Затем она позволяет легко просмотреть их и применить рекомендуемую классификацию на портале Azure.

• Маркировка: Метки конфиденциальности и классификации можно постоянно применять к столбцам, используя новые атрибуты метаданных, добавленные в механизм базы данных SQL Server. Затем эти метаданные могут использоваться в сценариях аудита, основанных на конфиденциальности.

• Конфиденциальность результирующего набора запроса. Конфиденциальность результирующего набора запроса вычисляется в режиме реального времени для аудита.

• Видимость. Состояние классификации базы данных можно просмотреть на информационной панели портала Azure. Кроме того, можно скачать отчет в формате Excel для использования в целях соблюдения требований и аудита, а также других задач.

Обнаружение, классификация и добавление меток к столбцам конфиденциальных данных

В этом разделе описываются действия для выполнения следующих операций.

• Обнаружение, классификация и добавление меток к столбцам, содержащим конфиденциальные данные в базе данных.
• Просмотр текущего состояния классификации базы данных и экспорт отчетов.

Классификация включает в себя два типа атрибутов метаданных:

• Метки — основные атрибуты классификации, служащие для определения уровня конфиденциальности данных, хранящихся в столбце.
• Типы сведений — атрибуты, предоставляющие более детальную информацию о типе данных, хранящихся в столбце.

Политика защиты информации

Azure SQL предоставляет политики SQL Information Protection и Microsoft Information Protection для классификации данных. Можно выбрать любую из них в зависимости от ваших требований.

Политика SQL Information Protection

Обнаружение данных и классификация поставляется со встроенным набором меток конфиденциальности и типов сведений с логикой обнаружения, характерной для логического сервера SQL. Можно продолжить использование меток защиты, доступных в файле политики по умолчанию, или настроить собственную таксономию. Для этого задайте набор и приоритет конструкций классификации для своей среды.

Определение и настройка таксономии классификации

Определение и настройка таксономии классификации выполняются централизованно в одном месте для всей организации Azure. Это расположение находится в Microsoft Defender for Cloud в рамках вашей политики безопасности. Только пользователь с правами администратора в корневой группе управления организации может выполнить эту задачу.

В процессе управления политикой можно определить нестандартные метки, ранжировать их и связать их с выбранным набором типов сведений. Кроме того, можно добавить собственные пользовательские типы сведений и настроить их с помощью строковых шаблонов. Шаблоны добавляются в логику обнаружения для идентификации этого типа данных в базах данных.

Дополнительные сведения см. в статье о Настройке политики защиты информации SQL в Microsoft Defender for Cloud (предварительная версия).

После определения политики на уровне организации можно приступить к классификации отдельных баз данных с помощью настроенной политики.

Классификация баз данных в режиме политики SQL Information Protection

1. Переход на портал Azure.

2. Перейдите к разделу Обнаружение и классификация данных под заголовком Безопасность на панели "База данных SQL Azure". Вкладка "Обзор" содержит сводку текущего состояния классификации базы данных. В сводку включен подробный список всех классифицированных столбцов, которые можно отфильтровать для отображения только частей схемы, типов сведений и меток. Если вы еще не классифицировали столбцы, перейдите к шагу 4.

   

3. Чтобы скачать отчет в формате Excel, выберите пункт Экспорт в верхнем меню панели.

4. Чтобы начать классификацию данных, выберите вкладку Классификация на странице Обнаружение и классификация данных.

   Подсистема классификации ищет в базе данных столбцы с потенциально конфиденциальными данными и предоставляет список рекомендованных классификаций столбцов.

5. Просмотрите и примените рекомендации по классификации:

   • Чтобы просмотреть список рекомендуемых классификаций столбцов, выберите область рекомендаций в нижней части панели.

   • Чтобы применить рекомендацию для определенного столбца, установите флажок в левом столбце соответствующей строки. Чтобы пометить все рекомендации как принятые, установите крайний левый флажок в заголовке таблицы рекомендаций.

   • Чтобы применить выбранные рекомендации, нажмите кнопку Принять выбранные рекомендации.

   

1. Столбцы можно классифицировать вручную вместо использования рекомендованных классификаций или в дополнение к ним:

   1. В меню, расположенном вверху панели, выберите пункт Добавить классификацию.

   2. В открывшемся контекстном окне выберите схему, таблицу и столбец, которые нужно классифицировать, а затем выберите тип сведений и метку конфиденциальности.

   3. После этого нажмите кнопку Добавить классификацию в нижней части контекстного окна.

   

2. Чтобы завершить классификацию и сохранить метки (теги) столбцов базы данных с новыми метаданными классификации, в меню вверху окна выберите команду Сохранить на странице Классификация.

политика Защита информации Microsoft Purview

Метки защиты информации Microsoft Purview предоставляют простой и унифицированный способ классификации конфиденциальных данных в разных приложениях Microsoft. Метки конфиденциальности MIP создаются и управляются в портале соответствия требованиям Microsoft Purview. Сведения о создании и публикации меток конфиденциальности MIP на портале соответствия требованиям Microsoft Purview см. в статье "Создание и публикация меток конфиденциальности".

Предварительные требования для перехода на политику Защита информации Microsoft Purview

• Настройка и изменение политики защиты информации в База данных SQL Azure задает соответствующую политику защиты информации для всех баз данных в клиенте. Пользователь или лицо должны иметь разрешение администратора безопасности на уровне клиента, чтобы изменить политику защиты информации с политики SQL Information Protection на политику MIP или наоборот.
• Пользователь или лицо, обладающее ролью администратора безопасности уровня арендатора, может применять политику на уровне корневой группы управления арендатора. Дополнительные сведения см. в разделе Предоставление разрешений на уровне арендатора себе.
• Для вашего клиента настроена активная подписка Microsoft 365, и для текущего пользователя опубликованы метки. Для получения дополнительной информации см. Создание и настройка меток конфиденциальности и их политик.

Классификация базы данных в режиме политики Защита информации Microsoft Purview

1. Переход на портал Azure.

2. Перейдите к своей базе данных в Базе данных SQL Azure.

3. Перейдите в раздел "Обнаружение данных" и "Классификация " в разделе "Безопасность " в области базы данных.

4. Чтобы выбрать политику Microsoft Information Protection, откройте вкладку Обзор и выберите Настроить.

5. В параметрах политики Information Protection выберите Microsoft Information Protection и нажмите Сохранить.

   

6. Если перейти на вкладку "Классификация" или выбрать "Добавить классификацию", теперь в раскрывающемся списке меток конфиденциальности появятся метки конфиденциальности Microsoft 365.

   

   

• Пока вы находитесь в режиме политики MIP, тип информации — [n/a], а автоматическое обнаружение данных и рекомендации остаются отключенными.

• В уже проклассифицированном столбце может появиться значок предупреждения, если это было сделано с помощью другой политики Information Protection, отличной от активной. Например, если столбец был проклассифицирован с помощью метки политики SQL Information Protection, а потом вы переключились на политику Microsoft Information Protection. Вы увидите значок предупреждения для этого конкретного столбца. Этот значок предупреждения не указывает на проблему, но используется только для информационных целей.

  

Включение контроля доступа для конфиденциальных данных с помощью политик Защита информации Microsoft Purview (общедоступная предварительная версия)

База данных SQL Azure поддерживает возможность принудительного управления доступом к столбцам с конфиденциальными данными, которые были помечены с помощью меток чувствительности Защиты информации Microsoft Purview (MIP) и политики доступа Microsoft Purview Защита информации.

Политики доступа в Purview позволяют организациям защищать конфиденциальные данные в своих источниках данных. Они позволяют пользователям, таким как корпоративные администраторы безопасности и соответствия требованиям, настраивать и применять действия контроля доступа к конфиденциальным данным в своих базах данных, гарантируя, что конфиденциальные данные не могут быть доступны несанкционированным пользователям для определенной метки конфиденциальности. Политики доступа Purview применяются на уровне столбца для базы данных SQL Azure, обеспечивая защиту конфиденциальных данных без запрета доступа к неконфиденциальным столбцам данных в таблицах базы данных.

Чтобы настроить и применить политики доступа Purview, пользователю требуется допустимая лицензия Microsoft 365, а база данных должна быть зарегистрирована на карте данных Purview и сканирована, чтобы метки конфиденциальности MIP назначались Purview столбцам базы данных, содержащим конфиденциальные данные. После назначения меток конфиденциальности пользователь может настроить политики доступа Purview для принудительного запрета действий в столбцах базы данных с определенной меткой конфиденциальности, ограничивая доступ к конфиденциальным данным в этих столбцах только разрешенным пользователем или группой пользователей.

Настройка и включение политики доступа в Purview для базы данных SQL Azure

Выполните следующие действия, чтобы настроить и использовать политики доступа Purview для База данных SQL Azure:

1. Убедитесь, что у вас есть необходимые условия лицензии для Microsoft 365 и Purview.
2. Настройте роли и разрешения для пользователей.
3. Создание или расширение меток конфиденциальности в Purview для базы данных SQL Azure. Кроме того, убедитесь, что вы публикуете метки конфиденциальности для необходимых пользователей в организации.
4. Зарегистрируйте и проверьте базу данных SQL Azure, чтобы автоматически применять метки конфиденциальности.
5. Создайте и настройте политику управления доступом в Purview для База данных SQL Azure.

После настройки и публикации политики доступа в Purview любая попытка несанкционированного пользователя запустить запрос T-SQL для доступа к столбцам в базе данных SQL с меткой конфиденциальности, заданной политикой, завершится ошибкой. Если тот же запрос не содержит конфиденциальные столбцы, запрос будет выполнен успешно.

Ограничения

При создании геореплики базы данных или ее копии метки конфиденциальности, назначенные столбцам в базе данных-источнике, не будут автоматически передаваться в новую или вторичную базу данных, а политики Purview управления доступом не будут автоматически применяться к новой или вторичной базе данных. Чтобы включить управление доступом в новой или вторичной базе данных, зарегистрируйте и сканируйте его отдельно в Purview. Затем настройте все политики доступа для включения новой или вторичной базы данных.

Мониторинг доступа к конфиденциальным данным

Важным аспектом классификации является возможность контролировать доступ к конфиденциальным данным. Аудит Azure SQL был расширен — в журнал аудита добавлено новое поле data_sensitivity_information. В этом поле регистрируются классификации (метки) конфиденциальности данных, возвращаемых запросом. Приведем пример:

Это действия, которые фактически подлежат аудиту ввиду конфиденциальности информации:

• ИЗМЕНИТЬ ТАБЛИЦУ ... УДАЛИТЬ СТОЛБЕЦ
• BULK INSERT
• ВЫБЕРИТЕ
• Удалить
• ВСТАВИТЬ
• Слияние
• ОБНОВЛЕНИЕ
• Обновить текст
• НАПИСАТЬТЕКСТ
• DROP TABLE
• Резервное копирование
• DBCC CloneDatabase
• SELECT INTO
• INSERT INTO EXEC
• ОЧИСТИТЬ ТАБЛИЦУ
• DBCC SHOW_STATISTICS
• sys.dm_db_stats_histogram

Используйте sys.fn_get_audit_file, чтобы возвращать сведения из файла аудита, хранящегося в учетной записи службы хранилища Azure.

Разрешения

Эти встроенные роли могут считывать классификацию данных в базе данных:

• Владелец
• Читатель
• Участник
• Диспетчер безопасности SQL
• Администратор доступа пользователей

Ниже приведены необходимые действия для чтения классификации данных в базе данных:

• Microsoft.Sql/servers/databases/currentSensitivityLabels/*
• Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
• Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Эти встроенные роли могут изменять классификацию данных в базе данных:

• Владелец
• Участник
• Диспетчер безопасности SQL

Ниже приведено необходимое действие для изменения классификации данных в базе данных:

• Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Дополнительные сведения о разрешениях на основе ролей см. в документации Azure RBAC.

Управление классификациями

Для управления классификациями можно использовать T-SQL, REST API или PowerShell.

Использование T-SQL

Используйте T-SQL, чтобы добавить или удалить классификацию столбца или извлечь все классификации всей базы данных.

Дополнительные сведения об использовании T-SQL для классификаций см. по следующим ссылкам:

• Чтобы добавить или обновить классификацию одного или нескольких столбцов: Добавить классификацию чувствительности
• Удаление классификации одного или нескольких столбцов: DROP SENSITIVITY CLASSIFICATION
• Просмотр всех классификаций в базе данных: sys.sensitivity_classifications

Используйте командлеты PowerShell

Осуществляйте управление классификациями и рекомендациями для базы данных SQL Azure и управляемого экземпляра SQL Azure посредством PowerShell.

Командлеты PowerShell для базы данных SQL Azure

• Get-AzSqlDatabaseSensitivityClassification
• Set-AzSqlDatabaseSensitivityClassification
• Remove-AzSqlDatabaseSensitivityClassification
• Get-AzSqlDatabaseSensitivityRecommendation
• Enable-AzSqlDatabaseSensitivityRecommendation
• Disable-AzSqlDatabaseSensitivityRecommendation (Отключить рекомендацию по чувствительности базы данных Sql Az)

Командлеты PowerShell для управляемого экземпляра SQL Azure

• Get-AzSqlInstanceDatabaseSensitivityClassification
• Set-AzSqlInstanceDatabaseSensitivityClassification
• Remove-AzSqlInstanceDatabaseSensitivityClassification
• Get-AzSqlInstanceDatabaseSensitivityRecommendation
• Enable-AzSqlInstanceDatabaseSensitivityRecommendation
• Disable-AzSqlInstanceDatabaseSensitivityRecommendation

Использование REST API

Можно использовать REST API для программного управления классификациями и рекомендациями. Опубликованные REST API поддерживают следующие операции:

• Create Or Update. Создает или обновляет метку конфиденциальности указанного столбца.
• Delete. Удаляет метку конфиденциальности указанного столбца.
• Disable Recommendation. Отключает рекомендации по уровням чувствительности для указанного столбца.
• Enable Recommendation. Включает рекомендации по чувствительности для указанного столбца. (По умолчанию рекомендации включены для всех столбцов.)
• Get. Получает метку конфиденциальности указанного столбца.
• List Current By Database. Получает список текущих меток конфиденциальности для конкретной базы данных.
• List Recommended By Database. Получает список рекомендуемых меток конфиденциальности для конкретной базы данных.

Получение метаданных классификаций с помощью драйверов SQL

Для получения метаданных классификации можно использовать следующие драйверы SQL:

• Microsoft.Data.SqlClient
• драйвер ODBC;
• драйвер OLE DB;
• драйвер JDBC.
• Драйверы Microsoft SQL Server для PHP

Часто задаваемые вопросы о дополнительных возможностях классификации

Вопрос: Заменит ли Microsoft Purview SQL Data Discovery & Classification или будет ли SQL Data Discovery & Classification в ближайшее время прекращён? Ответ. Мы продолжаем поддерживать обнаружение и классификацию данных SQL и рекомендуем принять Microsoft Purview , который имеет более широкие возможности для обеспечения расширенных возможностей классификации и управления данными. Если мы решим прекратить поддержку какой-либо службы, функции, API или SKU, вы получите предварительное уведомление с указанием пути миграции или перехода. Узнайте больше о политиках жизненного цикла Майкрософт здесь.

Следующие шаги

• Рекомендуется настроить Аудит базы данных SQL Azure для мониторинга и аудита доступа к классифицированным конфиденциальным данным.
• Для просмотра презентации об обнаружении и классификации данных обратитесь к документации Обнаружение, классификация, добавление меток и защита данных SQL | Предоставленные данные.
• Сведения о классификации баз данных SQL Azure и Azure Synapse Analytics с использованием меток Microsoft Purview и команд T-SQL см. в статье Классификация данных SQL Azure с помощью меток Microsoft Purview.