SQL-Datenermittlung und -klassifizierungSQL Data Discovery and Classification

Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions)

Die Datenermittlung und -klassifizierung führt ein neues Tool in SQL Server Management Studio (SSMS) für das Ermitteln, Klassifizieren, Bezeichnen & Melden von vertraulichen Daten in Ihren Datenbanken ein.Data Discovery & Classification introduces a new tool built into SQL Server Management Studio (SSMS) for discovering, classifying, labeling & reporting the sensitive data in your databases. Die Ermittlung und Klassifizierung Ihrer sensibelsten Daten (geschäftliche, finanzielle, gesundheitliche usw.) kann im Informationsschutzformat Ihres Unternehmens eine entscheidende Rolle spielen.Discovering and classifying your most sensitive data (business, financial, healthcare, etc.) can play a pivotal role in your organizational information protection stature. Sie kann für Folgendes als Infrastruktur gelten:It can serve as infrastructure for:

  • Maßnahmen zum Einhalten von Datenschutzstandards.Helping meet data privacy standards.
  • Steuern des Zugriffs auf und Verstärken der Sicherheit von Datenbanken oder Spalten, die hochsensible Daten enthalten.Controlling access to and hardening the security of databases/columns containing highly sensitive data.

Hinweis

Die Datenermittlung und -klassifizierung wird in SQL Server 2012 und höher unterstützt und kann mit SSMS 17.5 oder höher verwendet werden.Data Discovery & Classification is supported for SQL Server 2012 and later, and can be used with SSMS 17.5 or later. Weitere Informationen zur Datenermittlung und -klassifizierung in Azure SQL-Datenbanken finden Sie unter Azure SQL-Datenbank – Datenermittlung und -klassifizierung.For Azure SQL Database, see Azure SQL Database Data Discovery & Classification.

ÜbersichtOverview

Die Datenermittlung und -klassifizierung führen eine Reihe von erweiterten Diensten ein, und sie bilden ein neues SQL Information Protection-Paradigma für den Schutz von Daten, nicht nur von der Datenbank:Data Discovery & Classification introduces a set of advanced services, forming a new SQL Information Protection paradigm aimed at protecting the data, not just the database:

  • Ermittlung und Empfehlungen: Die Klassifizierungsengine überprüft Ihre Datenbank und identifiziert Spalten, die möglicherweise sensible Daten enthalten.Discovery & recommendations - The classification engine scans your database and identifies columns containing potentially sensitive data. Dann besteht die einfache Möglichkeit zum Überprüfen und Anwenden der geeigneten Empfehlungen zur Klassifizierung und zum manuellen Klassifizieren von Spalten.It then provides you an easy way to review and apply the appropriate classification recommendations, as well as to manually classify columns.
  • Bezeichnung: Sensible Daten können dauerhaft mit Klassifizierungsbezeichnungen gekennzeichnet werden.Labeling - Sensitivity classification labels can be persistently tagged on columns.
  • Sichtbarkeit: Der Klassifizierungsstatus der Datenbank kann in einem detaillierten Bericht im Portal angezeigt werden, der zwecks Konformität und Überwachung sowie anderer Gründe ausgedruckt oder exportiert werden kann.Visibility - The database classification state can be viewed in a detailed report that can be printed/exported to be used for compliance & auditing purposes, as well as other needs.

Ermitteln, Klassifizieren und Bezeichnen von sensiblen SpaltenDiscovering, classifying & labeling sensitive columns

Im folgenden Abschnitt werden die Schritte zum Ermitteln, Klassifizieren und Bezeichnen von Spalten mit sensiblen Daten in Ihrer Datenbank sowie das Anzeigen des aktuellen Klassifizierungsstatus Ihrer Datenbank und das Exportieren von Berichten beschrieben.The following section describes the steps for discovering, classifying, and labeling columns containing sensitive data in your database, as well as viewing the current classification state of your database and exporting reports.

Die Klassifizierung umfasst zwei Metadatenattribute:The classification includes two metadata attributes:

  • Bezeichnungen: Die wichtigsten Klassifizierungsattribute zum Definieren der Vertraulichkeitsstufe der in der Spalte gespeicherten Daten.Labels - The main classification attributes, used to define the sensitivity level of the data stored in the column.
  • Informationstypen: Sie bieten zusätzliche Granularität für den Typ der in der Spalte gespeicherten Daten.Information Types - Provide additional granularity into the type of data stored in the column.

Klassifizieren Ihrer SQL Server-Datenbank:To classify your SQL Server database:

  1. Stellen Sie in SSMS (SQL Server Management Studio) eine Verbindung zu SQL Server her.In SQL Server Management Studio (SSMS) connect to the SQL Server.

  2. Klicken Sie im Objekt-Explorer von SSMS mit der rechten Maustaste auf die Datenbank, die Sie klassifizieren möchten, und wählen Sie dann Aufgaben > Datenermittlung und -klassifizierung > Daten klassifizieren… aus.In the SSMS Object Explorer, right click on the database that you would like to classify and choose Tasks > Data Discovery and Classification > Classify Data....

    Navigationsbereich

  3. Die Klassifizierungsengine prüft Ihre Datenbank auf Spalten, die potenziell sensible Daten enthalten, und erstellt eine Liste der empfohlenen Spaltenklassifizierungen:The classification engine scans your database for columns containing potentially sensitive data and provides a list of recommended column classifications:

    • Klicken Sie auf das Benachrichtigungsfeld für die Empfehlungen im oberen Rand des Fensters, oder klicken Sie auf den Bereich für Empfehlungen im unteren Rand des Fensters, um eine Liste der empfohlenen Spaltenklassifizierungen anzuzeigen:To view the list of recommended column classifications, click on the recommendations notification box at the top or the recommendations panel at the bottom of the window:

      Navigationsbereich

      Navigationsbereich

    • Überprüfen Sie die Liste der Empfehlungen:Review the list of recommendations:

      • Zum Akzeptieren einer Empfehlung für eine bestimmte Spalte aktivieren Sie das Kontrollkästchen in der linken Spalte der entsprechenden Zeile.To accept a recommendation for a specific column, check the checkbox in the left column of the relevant row. Sie können auch alle Empfehlungen als akzeptiert markieren, indem Sie das Kontrollkästchen im Tabellenkopf der Empfehlungen aktivieren.You can also mark all recommendations as accepted by checking the checkbox in the recommendations table header.

      • Sie können auch den empfohlenen Informationstyp und die Vertraulichkeitsbezeichnung mithilfe der Dropdownfelder ändern.You can also change the recommended Information Type and Sensitivity Label using the drop down boxes.

      Navigationsbereich

    • Klicken Sie zum Anwenden Ihrer ausgewählten Empfehlungen auf die blaue Schaltfläche Accept selected recommendations (Ausgewählte Änderungen akzeptieren).To apply the selected recommendations, click on the blue Accept selected recommendations button.

      Navigationsbereich

  4. Alternativ oder zusätzlich zur empfehlungsbasierten Klassifizierung können Sie Spalten auch manuell klassifizieren:You can also manually classify columns as an alternative, or in addition, to the recommendation-based classification:

    • Klicken Sie im oberen Menü des Fensters auf Klassifizierung hinzufügen.Click on Add classification in the top menu of the window.

      Navigationsbereich

    • Wählen Sie im daraufhin geöffneten Kontextfenster das Schema, die Tabelle und dann die Spalte, die Sie klassifizieren möchten, sowie den Informationstyp und die Vertraulichkeitsbezeichnung aus.In the context window that opens, select the schema > table > column that you want to classify, and the information type and sensitivity label. Klicken Sie dann auf die Schaltfläche Klassifizierung hinzufügen am unteren Rand des Kontextfensters.Then click on the blue Add classification button at the bottom of the context window.

      Navigationsbereich

  5. Klicken Sie im oberen Menü des Fensters auf Speichern, um Ihre Klassifizierung zu vervollständigen und die Datenbankspalten dauerhaft mit den neuen Klassifizierungsmetadaten zu bezeichnen (Tag).To complete your classification and persistently label (tag) the database columns with the new classification metadata, click on Save in the top menu of the window.

    Navigationsbereich

  6. Klicken Sie im oberen Menü des Fensters auf Bericht anzeigen, um einen Bericht mit einer vollständigen Zusammenfassung des Klassifizierungsstatus der Datenbank zu generieren.To generate a report with a full summary of the database classification state, click on View Report in the top menu of the window. Sie können auch über SSMS einen Bericht erstellen.(You can also generate a report using SSMS. Klicken Sie mit der rechten Maustaste auf die Datenbank, in der der Bericht erstellt werden soll, und wählen Sie Aufgaben > Datenermittlung und -klassifizierung > Bericht generieren… aus.Right click on the database where you would like to generate the report, and choose Tasks > Data Discovery and Classification > Generate Report...)

    Navigationsbereich

    Navigationsbereich

Verwalten der Information Protection-Richtlinie mit SSMSManage information protection policy with SSMS

Sie können die Information Protection-Richtlinie mit SSMS 18.4 oder höher verwalten:You can manage the information protection policy using SSMS 18.4 or later:

  1. Stellen Sie in SSMS (SQL Server Management Studio) eine Verbindung zu SQL Server her.In SQL Server Management Studio (SSMS) connect to the SQL Server.

  2. Klicken Sie im Objekt-Explorer in SSMS mit der rechten Maustaste auf eine Ihrer Datenbanken, und wählen Sie Aufgaben > Datenermittlung- und -klassifizierung aus.In the SSMS Object Explorer, right click on one of your databases and choose Tasks > Data Discovery and Classification.

    Mithilfe der folgenden Menüoptionen können Sie die Information Protection-Richtlinie verwalten:The following menu options allow you to manage the information protection policy:

  • Information Protection-Richtliniendatei festlegen: Hier wird die Information Protection-Richtlinie wie in der ausgewählten JSON-Datei definiert verwendet.Set Information Protection Policy File: uses the information protection policy as defined in the selected JSON file.

  • Information Protection-Richtlinie exportieren: Hier wird die Information Protection-Richtlinie in eine JSON-Datei exportiert.Export Information Protection Policy: exports the information protection policy to a JSON file.

  • Information Protection-Richtlinie zurücksetzen: Hier wird die Information Protection-Richtlinie auf die Information Protection-Standardrichtlinie zurückgesetzt.Reset Information Protection Policy: resets the information protection policy to the default information protection policy.

Wichtig

Die Information Protection-Richtliniendatei wird nicht in SQL Server gespeichert.Information protection policy file is not stored in the SQL Server. Für SSMS wird eine Information Protection-Standardrichtlinie verwendet.SSMS uses a default information protection policy. Wenn eine benutzerdefinierte Information Protection-Richtlinie nicht angewendet werden kann, kann in SSMS nicht die Standardrichtlinie verwendet werden.If an information protection policy customized fails, SSMS cannot use the default policy. Die Datenklassifizierung schlägt fehl.Data classification fails. Klicken Sie auf Information Protection-Richtlinie zurücksetzen, damit die Standardrichtlinie verwendet, das Problem behoben und die Datenklassifizierung ausgeführt wird.To resolve, click Reset Information Protection Policy to use the default policy and re-enable data classification.

Zugriff auf KlassifizierungsmetadatenAccessing the classification metadata

In SQL Server 2019 wird die Systemkatalogsicht sys.sensitivity_classifications eingeführt.SQL Server 2019 introduces sys.sensitivity_classifications system catalog view. Diese Sicht gibt Informationstypen und Vertraulichkeitsbezeichnungen zurück.This view returns information types and sensitivity labels.

Hinweis

Für diese Sicht ist die Berechtigung BELIEBIGE VERTRAULICHKEITSKLASSIFIZIERUNG ANZEIGEN erforderlich.This view requires VIEW ANY SENSITIVITY CLASSIFICATION permission. Weitere Informationen finden Sie unter Metadata Visibility Configuration.For more information, see Metadata Visibility Configuration.

Fragen Sie für SQL Server 2019-Instanzen sys.sensitivity_classifications ab, um alle klassifizierten Spalten mit dazugehörigen Klassifizierungen zu überprüfen.On SQL Server 2019 instances, query sys.sensitivity_classifications to review all classified columns with their corresponding classifications. Beispiel:For example:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    label,
    rank,
    rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
    JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

In Versionen vor SQL Server 2019 werden die Klassifizierungsmetadaten für Informationstypen und Vertraulichkeitsbezeichnungen in den folgenden erweiterten Eigenschaften gespeichert:Prior to SQL Server 2019, the classification metadata for information types and sensitivity labels is in the following Extended Properties:

  • sys_information_type_name
  • sys_sensitivity_label_name

Mithilfe der Katalogsicht für erweiterte Eigenschaften (sys.extended_properties) können Sie auf die Metadaten zugreifen.The metadata can be accessed using the Extended Properties catalog view sys.extended_properties.

Bei Instanzen von SQL Server 2017 und älteren Versionen gibt das folgende Codebeispiel alle klassifizierten Spalten mit der jeweiligen Klassifizierung zurück:For instances of SQL Server 2017 and prior, the following example returns all classified columns with their corresponding classifications:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Verwalten von KlassifizierungenManage classifications

Mit T-SQL können Sie Spaltenklassifizierungen hinzufügen/entfernen sowie alle Klassifizierungen für die gesamte Datenbank abrufen.You can use T-SQL to add/remove column classifications, as well as retrieve all classifications for the entire database.

Nächste SchritteNext steps

Weitere Informationen zur Datenermittlung und -klassifizierung in Azure SQL-Datenbanken finden Sie unter Azure SQL-Datenbank – Datenermittlung und -klassifizierung.For Azure SQL Database, see Azure SQL Database Data Discovery & Classification.

Ziehen Sie in Betracht, Ihre sensiblen Spalten durch Anwenden von Sicherheitsmechanismen auf der Spaltenebene zu schützen:Consider protecting your sensitive columns by applying column level security mechanisms: