SQL-Datenermittlung und -klassifizierung

Gilt für:yes SQL Server (alle unterstützten Versionen)

Die Datenermittlungsklassifizierung & bietet Funktionen zum &, Klassifizieren und Bezeichnenvertraulicher Daten in Ihren Datenbanken. Dies kann über T-SQL oder mit SQL Server Management Studio (SSMS) erfolgen. Ermitteln und Klassifizieren Ihrer vertraulichsten Daten (Unternehmen, Finanzen, Gesundheitswesen usw.) kann eine entscheidende Rolle in der Information Protection-Struktur Ihrer Organisation spielen. Sie kann für Folgendes als Infrastruktur gelten:

  • Maßnahmen zum Einhalten von Datenschutzstandards.
  • Überwachen des Zugriffs auf Datenbanken/Spalten, die hochsensible Daten enthalten

Hinweis

Die Datenermittlungsklassifizierung & wird &. Informationen zu Azure SQL-Datenbank finden Sie unter Azure SQL-Datenbank-Datenermittlungsklassifizierung.

Übersicht

Die Datenermittlungsklassifizierung & bildet ein neues Informationsschutzparadigma für SQL-Datenbank, SQL verwaltete Instanz und Azure Synapse, das auf den Schutz der Daten und nicht nur der Datenbank abzielt. Derzeit werden die folgenden Funktionen unterstützt:

  • Ermittlungsempfehlungen : Die Klassifizierungs-Engine scannt Ihre Datenbank und identifiziert Spalten, die potenziell vertrauliche Daten enthalten. Dann besteht die einfache Möglichkeit zum Überprüfen und Anwenden der geeigneten Empfehlungen zur Klassifizierung und zum manuellen Klassifizieren von Spalten.
  • Bezeichnung: Sensible Daten können dauerhaft mit Klassifizierungsbezeichnungen gekennzeichnet werden.
  • Sichtbarkeit : Der Datenbankklassifizierungsstatus kann in einem detaillierten Bericht angezeigt werden, der gedruckt oder exportiert werden kann, um für Compliance- und Überwachungszwecke verwendet zu werden.

Ermitteln, Klassifizieren von & Bezeichnungen sensibler Spalten

Im folgenden Abschnitt werden die Schritte zum Ermitteln, Klassifizieren und Bezeichnen von Spalten mit sensiblen Daten in Ihrer Datenbank sowie das Anzeigen des aktuellen Klassifizierungsstatus Ihrer Datenbank und das Exportieren von Berichten beschrieben.

Die Klassifizierung umfasst zwei Metadatenattribute:

  • Bezeichnungen: Die wichtigsten Klassifizierungsattribute zum Definieren der Vertraulichkeitsstufe der in der Spalte gespeicherten Daten.
  • Informationstypen: Bieten mehr Granularität für den Typ der in der Spalte gespeicherten Daten.

Klassifizieren Ihrer SQL Server-Datenbank:

  1. Stellen Sie in SQL Server Management Studio (SSMS) eine Verbindung mit dem SQL Server her.

  2. Wählen Sie im SSMS Objekt-Explorer die Datenbank aus, die Sie klassifizieren möchten, und wählen Sie TasksDatenermittlungund KlassifizierungDatenklassifizieren... aus.

    Screenshot showing the S S M S Object Explorer with Tasks > Data Discovery and Classification > Classify Data... selected.

  3. Die Klassifizierungsengine prüft Ihre Datenbank auf Spalten, die potenziell sensible Daten enthalten, und erstellt eine Liste der empfohlenen Spaltenklassifizierungen:

    • Um die Liste der empfohlenen Spaltenklassifizierungen anzuzeigen, wählen Sie das Benachrichtigungsfeld Empfehlungen oben oder den Empfehlungsbereich unten im Fenster aus:

      Screenshot showing the notification that says We have found 39 columns with classification recommendations. Click here to view them.

      Screenshot showing the notification that says 39 columns with classification recommendations (click to view).

    • Überprüfen Sie die Liste der Empfehlungen:

      • Zum Akzeptieren einer Empfehlung für eine bestimmte Spalte aktivieren Sie das Kontrollkästchen in der linken Spalte der entsprechenden Zeile. Sie können auch alle Empfehlungen als akzeptiert markieren, indem Sie das Kontrollkästchen im Tabellenkopf der Empfehlungen aktivieren.

      • Sie können den empfohlenen Informationstyp und die Vertraulichkeitsbezeichnung auch in den Dropdownfeldern ändern.

      Screenshot showing the list of recommendations.

    • Um die ausgewählten Empfehlungen anzuwenden, wählen Sie die Schaltfläche Ausgewählte Empfehlungen speichern aus.

      Screenshot of the Accept selected recommendations button.

  4. Um die klassifizierten Spalten anzuzeigen, wählen Sie das entsprechende Schema und die entsprechende Tabelle aus der Dropdown-Dropdown-Tabelle aus, und wählen Sie dann Spalten laden aus.

    screenshot of S S M S data classification loading classified columns.

  5. Alternativ oder zusätzlich zur empfehlungsbasierten Klassifizierung können Sie Spalten auch manuell klassifizieren:

    • Wählen Sie im oberen Menü des Fensters Klassifizierung hinzufügen aus.

      Screenshot showing the top menu with the Add classification option called out.

    • Geben Sie im daraufhin geöffneten Kontextfenster den Spaltennamen, den Sie klassifizieren möchten, den Informationstyp und die Vertraulichkeitsbezeichnung ein. Schema und Tabelle werden basierend auf den Einträgen auf der Hauptseite ausgewählt.

      Screenshot showing the Add Classification context window.

    • Wenn Sie die Klassifizierung für alle nicht klassifizierten Spalten für eine bestimmte Tabelle in einem einzigen Versuch hinzufügen möchten, wählen Sie in der Dropdown-Spalte der Seite Klassifizierung hinzufügen die Option Alle nicht klassifizierten Spalten aus.

      screenshot of S S M S data classification selecting all unclassified columns

  6. Wählen Sie im oberen Menü des Fensters die Schaltfläche Speichern aus, um ihre Klassifizierung abzuschließen und die Datenbankspalten dauerhaft mit den neuen Klassifizierungsmetadaten zu bezeichnen (markieren).

    Screenshot showing the top menu with the Save option called out.

  7. Um einen Bericht mit einer vollständigen Zusammenfassung des Datenbankklassifizierungsstatus zu generieren, wählen Sie im oberen Menü des Fensters Bericht anzeigen aus. Sie können auch über SSMS einen Bericht erstellen. Wählen Sie die Datenbank aus, in der Sie den Bericht generieren möchten, und wählen Sie TasksDatenermittlungund KlassifizierungBerichtgenerieren...)

    Screenshot showing the top menu with the View Report option called out.

    Screenshot showing the SQL Data Classification Report.

Klassifizieren Ihrer Datenbank mithilfe Microsoft Information Protection-Richtlinie

Microsoft Information Protection Bezeichnungen (manchmal als MIP abgekürzt) bieten Ihren Benutzern eine einfache und einheitliche Möglichkeit, vertrauliche Daten in SQL Server zu klassifizieren. MIP-Vertraulichkeitsbezeichnungen werden im Microsoft 365 Compliance Center erstellt und verwaltet. Informationen zum Erstellen und Veröffentlichen von sensiblen MIP-Bezeichnungen in Microsoft 365 Compliance Center finden Sie im Artikel Microsoft Information Protection Vertraulichkeitsbezeichnungen.

Jetzt können Sie SSMS verwenden, um Daten in der Quelle (SQL Server) mithilfe Microsoft Information Protection Bezeichnungen zu klassifizieren, die in Power BI, Office und anderen Microsoft-Produkten verwendet werden. Diese Vertraulichkeitsbezeichnungen werden auf Spaltenebene in einer Datenbank angewendet, wie die SQL Information Protection Richtlinie.

Power BI Datasets oder Berichte, die eine Verbindung mit Daten mit Vertraulichkeitsbezeichnungen in unterstützten Datenquellen herstellen, können diese Bezeichnungen automatisch erben, sodass die Daten klassifiziert bleiben, wenn sie in Power BI übertragen und in Downstreamanwendungen exportiert werden. Die Verfügbarkeit der MIP-Richtlinie in SSMS ermöglicht es Ihnen, eine end-to-end-Unternehmensklassifizierungslösung zu erzielen.

Schritte zum Konfigurieren von MIP

  1. Stellen Sie in SQL Server Management Studio (SSMS) eine Verbindung mit dem SQL Server her.

  2. Wählen Sie im SSMS Objekt-Explorer die Datenbank aus, die Sie klassifizieren möchten, und wählen Sie TasksDatenermittlungund KlassifizierungRichtlinieMicrosoft Information Protection festlegen aus.

    Screenshot to sset Microsoft Information Protection Policy in S S M S

  3. Ein Authentifizierungsfenster für Microsoft 365 zum Festlegen der Microsoft Information Protection-Richtlinie wird angezeigt. Wählen Sie Anmelden aus, und geben Sie gültige Benutzeranmeldeinformationen ein, um sich bei Ihrem Microsoft 365 Mandanten zu authentifizieren.

    Screenshot of authenticating to set Microsoft Information Protection Policy

  4. Wenn die Authentifizierung erfolgreich ist, wird ein Popupfenster mit dem Status Erfolgreich angezeigt.

    Screenshot of successfully setting Microsoft Information Protection Policy in S S M S

  5. Optional: Wenn Sie sich bei einer der Sovereign Clouds von Microsoft anmelden möchten, um sich bei Microsoft 365 zu authentifizieren, wechseln Sie zu SSMS >>>>>>>> Cloud, und ändern Sie den Namen in die entsprechende Sovereign Cloud von Microsoft.

    Screenshot of selecting type of Azure cloud in S S M S

  6. Klicken Sie im fenster SSMS Objekt-Explorer mit der rechten Maustaste auf die Datenbank, die Sie klassifizieren möchten, und wählen Sie TasksDatenermittlungund KlassifizierungDatenklassifizieren aus. Sie können jetzt eine neue Klassifizierung mithilfe von MIP-Vertraulichkeitsbezeichnungen hinzufügen, die in Ihrem Microsoft 365 Mandanten definiert sind, und diese Bezeichnungen verwenden, um Spalten in SQL Server zu klassifizieren.

    Choosing Microsoft Information Protection Policy sensitivity labels in S S M S

    Die automatische Datenermittlung und -empfehlung ist im Microsoft Information Protection Richtlinienmodus deaktiviert. Sie ist derzeit nur im SQL Information Protection Richtlinienmodus verfügbar.

  7. Um die Information Protection Richtlinie auf standard oder SQL Information Protection zurückzusetzen, wechseln Sie zum SSMS Objekt-Explorer, klicken Sie mit der rechten Maustaste auf die Datenbank, und wählen Sie TasksDatenermittlungund KlassifizierungRichtlinieInformation Protection auf Standard festlegen aus. Dadurch wird die Standard- oder SQL Information Protection-Richtlinie angewendet, und Sie können die Daten mithilfe SQL Vertraulichkeitsbezeichnungen anstelle von MIP-Bezeichnungen klassifizieren.

    Screenshot of resetting Information Protection Policy in S S M S

  8. Um Information Protection Richtlinie aus einer benutzerdefinierten JSON-Datei zu aktivieren, wechseln Sie zum SSMS Objekt-Explorer, klicken Sie mit der rechten Maustaste auf die Datenbank, und wählen Sie TasksDatenermittlungund KlassifizierungRichtlinie Information Protection Richtliniendatei festlegen aus.

Hinweis

Ein Warnsymbol gibt an, dass die Spalte zuvor mit einem anderen Information Protection Policy klassifiziert wurde als der aktuell ausgewählte Richtlinienmodus. Wenn Sie sich beispielsweise derzeit im Microsoft Information Protection-Modus befinden und eine der Spalten zuvor mithilfe SQL Information Protection Policy oder Information Protection Policy aus einer benutzerdefinierten Richtliniendatei klassifiziert wurde, wird ein Warnsymbol für diese Spalte angezeigt. Sie können entscheiden, ob Sie die Klassifizierung der Spalte in eine der Vertraulichkeitsbezeichnungen ändern möchten, die im aktuellen Richtlinienmodus verfügbar sind, oder sie unverändert lassen möchten. Screenshot of Data Classification warning of mismatched policies

Verwalten Information Protection Richtlinie mit SSMS

Sie können die Information Protection-Richtlinie mit SSMS 18.4 oder höher verwalten:

  1. Stellen Sie in SQL Server Management Studio (SSMS) eine Verbindung mit dem SQL Server her.

  2. Wählen Sie im SSMS Objekt-Explorer eine Ihrer Datenbanken und dann TasksDatenermittlungund Klassifizierung aus.

    Mit den folgenden Menüoptionen können Sie die Information Protection-Richtlinie verwalten:

  • Legen Sie Microsoft Information Protection Richtlinie fest: Legt die Information Protection-Richtlinie auf Microsoft Information Protection Richtlinie fest.

  • Festlegen Information Protection Richtliniendatei: verwendet die SQL Information Protection-Richtlinie, wie in der ausgewählten JSON-Datei definiert. (Siehe standardmäßige Information Protection-Richtliniendatei)

  • Exportieren Information Protection Richtlinie: Exportiert die Information Protection-Richtlinie in eine JSON-Datei.

  • Information Protection Richtlinie zurücksetzen: Setzt die Information Protection-Richtlinie auf die Standardrichtlinie SQL Information Protection zurück.

Wichtig

Die Information Protection-Richtliniendatei wird nicht in SQL Server gespeichert. SSMS verwendet eine Standardrichtlinie für Information Protection. Wenn eine angepasste Information Protection-Richtlinie fehlschlägt, können SSMS die Standardrichtlinie nicht verwenden. Die Datenklassifizierung schlägt fehl. Klicken Sie auf Information Protection-Richtlinie zurücksetzen, damit die Standardrichtlinie verwendet, das Problem behoben und die Datenklassifizierung ausgeführt wird.

Zugriff auf Klassifizierungsmetadaten

In SQL Server 2019 wird die Systemkatalogsicht sys.sensitivity_classifications eingeführt. Diese Sicht gibt Informationstypen und Vertraulichkeitsbezeichnungen zurück.

Fragen Sie für SQL Server 2019-Instanzen sys.sensitivity_classifications ab, um alle klassifizierten Spalten mit dazugehörigen Klassifizierungen zu überprüfen. Beispiel:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

In Versionen vor SQL Server 2019 werden die Klassifizierungsmetadaten für Informationstypen und Vertraulichkeitsbezeichnungen in den folgenden erweiterten Eigenschaften gespeichert:

  • sys_information_type_name
  • sys_sensitivity_label_name

Bei Instanzen von SQL Server 2017 und älteren Versionen gibt das folgende Codebeispiel alle klassifizierten Spalten mit der jeweiligen Klassifizierung zurück:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Berechtigungen

Bei SQL Server 2019-Instanzen erfordert die Anzeige der Klassifizierung die Berechtigung BELIEBIGE VERTRAULICHKEITSKLASSIFIZIERUNG ANZEIGEN. Weitere Informationen finden Sie unter Metadata Visibility Configuration.

In Instanzen vor SQL Server 2019 können Sie mithilfe der Katalogsicht für erweiterte Eigenschaften (sys.extended_properties) auf die Metadaten zugreifen.

Zum Verwalten von Klassifizierungen ist die Berechtigung BELIEBIGE VERTRAULICHKEITSKLASSIFIZIERUNG ÄNDERN erforderlich. Die Berechtigung ALTER ANY SENSITIVITY CLASSIFICATION wird von der Datenbankberechtigung ALTER oder der Serverberechtigung CONTROL SERVER impliziert.

Verwalten von Klassifizierungen

Sie können T-SQL verwenden, um Spaltenklassifizierungen hinzuzufügen oder zu entfernen und auch alle Klassifizierungen für die gesamte Datenbank abzurufen.

Nächste Schritte

Weitere Azure SQL-Datenbank finden Sie unter Azure SQL-Datenbank Der Datenermittlungklassifizierung.

Ziehen Sie in Betracht, Ihre sensiblen Spalten durch Anwenden von Sicherheitsmechanismen auf der Spaltenebene zu schützen: