SQL-Datenermittlung und -klassifizierungSQL Data Discovery and Classification

GILT FÜR: jaSQL Server neinAzure SQL-DatenbankneinAzure SQL Data Warehouse neinParallel Data WarehouseAPPLIES TO: yesSQL Server noAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

Die Datenermittlung und -klassifizierung führt ein neues Tool in SSMS (SQL Server Management Studio) für das Ermitteln, Klassifizieren, Bezeichnen & Melden von sensiblen Daten in Ihren Datenbanken ein.Data Discovery & Classification introduces a new tool built into SQL Server Management Studio (SSMS) for discovering, classifying, labeling & reporting the sensitive data in your databases. Die Ermittlung und Klassifizierung Ihrer sensibelsten Daten (geschäftliche, finanzielle, gesundheitliche usw.) kann im Informationsschutzformat Ihres Unternehmens eine entscheidende Rolle spielen.Discovering and classifying your most sensitive data (business, financial, healthcare, etc.) can play a pivotal role in your organizational information protection stature. Sie kann für Folgendes als Infrastruktur gelten:It can serve as infrastructure for:

  • Maßnahmen zum Einhalten von Datenschutzstandards.Helping meet data privacy standards.
  • Steuern des Zugriffs auf und Verstärken der Sicherheit von Datenbanken oder Spalten, die hochsensible Daten enthalten.Controlling access to and hardening the security of databases/columns containing highly sensitive data.

Hinweis

Die Datenermittlung und -klassifizierung werden in SQL Server 2008 und höher unterstützt und können mit SSMS 17.5 oder höher verwendet werden.Data Discovery & Classification is supported for SQL Server 2008 and later, and can be used with SSMS 17.5 or later. Weitere Informationen zur Datenermittlung und -klassifizierung in Azure SQL-Datenbanken finden Sie unter Azure SQL-Datenbank – Datenermittlung und -klassifizierung.For Azure SQL Database, see Azure SQL Database Data Discovery & Classification.

ÜbersichtOverview

Die Datenermittlung und -klassifizierung führen eine Reihe von erweiterten Diensten ein, und sie bilden ein neues SQL Information Protection-Paradigma für den Schutz von Daten, nicht nur von der Datenbank:Data Discovery & Classification introduces a set of advanced services, forming a new SQL Information Protection paradigm aimed at protecting the data, not just the database:

  • Ermittlung und Empfehlungen: Die Klassifizierungsengine überprüft Ihre Datenbank und identifiziert Spalten, die möglicherweise sensible Daten enthalten.Discovery & recommendations - The classification engine scans your database and identifies columns containing potentially sensitive data. Dann besteht die einfache Möglichkeit zum Überprüfen und Anwenden der geeigneten Empfehlungen zur Klassifizierung und zum manuellen Klassifizieren von Spalten.It then provides you an easy way to review and apply the appropriate classification recommendations, as well as to manually classify columns.
  • Bezeichnung: Sensible Daten können dauerhaft mit Klassifizierungsbezeichnungen gekennzeichnet werden.Labeling - Sensitivity classification labels can be persistently tagged on columns.
  • Sichtbarkeit: Der Klassifizierungsstatus der Datenbank kann in einem detaillierten Bericht im Portal angezeigt werden, der zwecks Konformität und Überwachung sowie anderer Gründe ausgedruckt oder exportiert werden kann.Visibility - The database classification state can be viewed in a detailed report that can be printed/exported to be used for compliance & auditing purposes, as well as other needs.

Ermitteln, Klassifizieren und Bezeichnen von sensiblen SpaltenDiscovering, classifying & labeling sensitive columns

Im folgenden Abschnitt werden die Schritte zum Ermitteln, Klassifizieren und Bezeichnen von Spalten mit sensiblen Daten in Ihrer Datenbank sowie das Anzeigen des aktuellen Klassifizierungsstatus Ihrer Datenbank und das Exportieren von Berichten beschrieben.The following section describes the steps for discovering, classifying, and labeling columns containing sensitive data in your database, as well as viewing the current classification state of your database and exporting reports.

Die Klassifizierung umfasst zwei Metadatenattribute:The classification includes two metadata attributes:

  • Bezeichnungen: Die wichtigsten Klassifizierungsattribute zum Definieren der Vertraulichkeitsstufe der in der Spalte gespeicherten Daten.Labels - The main classification attributes, used to define the sensitivity level of the data stored in the column.
  • Informationstypen: Sie bieten zusätzliche Granularität für den Typ der in der Spalte gespeicherten Daten.Information Types - Provide additional granularity into the type of data stored in the column.

Klassifizieren Ihrer SQL Server-Datenbank:To classify your SQL Server database:

  1. Stellen Sie in SSMS (SQL Server Management Studio) eine Verbindung zu SQL Server her.In SQL Server Management Studio (SSMS) connect to the SQL Server.

  2. Führen Sie im Objekt-Explorer von SSMS einen Rechtsklick auf die Datenbank aus, die Sie klassifizieren möchten, und wählen Sie dann Tasks > Classify Data... (Aufgaben > Daten klassifizieren...) aus.In the SSMS Object Explorer, right click on the database that you would like to classify and choose Tasks > Classify Data....

    Navigationsbereich

  3. Die Klassifizierungsengine prüft Ihre Datenbank auf Spalten, die potenziell sensible Daten enthalten, und erstellt eine Liste der empfohlenen Spaltenklassifizierungen:The classification engine scans your database for columns containing potentially sensitive data and provides a list of recommended column classifications:

    • Klicken Sie auf das Benachrichtigungsfeld für die Empfehlungen im oberen Rand des Fensters, oder klicken Sie auf den Bereich für Empfehlungen im unteren Rand des Fensters, um eine Liste der empfohlenen Spaltenklassifizierungen anzuzeigen:To view the list of recommended column classifications, click on the recommendations notification box at the top or the recommendations panel at the bottom of the window:

      Navigationsbereich

      Navigationsbereich

    • Überprüfen Sie die Liste der Empfehlungen:Review the list of recommendations:

      • Zum Akzeptieren einer Empfehlung für eine bestimmte Spalte aktivieren Sie das Kontrollkästchen in der linken Spalte der entsprechenden Zeile.To accept a recommendation for a specific column, check the checkbox in the left column of the relevant row. Sie können auch alle Empfehlungen als akzeptiert markieren, indem Sie das Kontrollkästchen im Tabellenkopf der Empfehlungen aktivieren.You can also mark all recommendations as accepted by checking the checkbox in the recommendations table header.

      • Sie können auch den empfohlenen Informationstyp und die Vertraulichkeitsbezeichnung mithilfe der Dropdownfelder ändern.You can also change the recommended Information Type and Sensitivity Label using the drop down boxes.

      Navigationsbereich

    • Klicken Sie zum Anwenden Ihrer ausgewählten Empfehlungen auf die blaue Schaltfläche Accept selected recommendations (Ausgewählte Änderungen akzeptieren).To apply the selected recommendations, click on the blue Accept selected recommendations button.

      Navigationsbereich

  4. Alternativ oder zusätzlich zur empfehlungsbasierten Klassifizierung können Sie Spalten auch manuell klassifizieren:You can also manually classify columns as an alternative, or in addition, to the recommendation-based classification:

    • Klicken Sie im oberen Menü des Fensters auf Klassifizierung hinzufügen.Click on Add classification in the top menu of the window.

      Navigationsbereich

    • Wählen Sie im daraufhin geöffneten Kontextfenster das Schema, die Tabelle und dann die Spalte, die Sie klassifizieren möchten, sowie den Informationstyp und die Vertraulichkeitsbezeichnung aus.In the context window that opens, select the schema > table > column that you want to classify, and the information type and sensitivity label. Klicken Sie dann auf die Schaltfläche Klassifizierung hinzufügen am unteren Rand des Kontextfensters.Then click on the blue Add classification button at the bottom of the context window.

      Navigationsbereich

  5. Klicken Sie im oberen Menü des Fensters auf Speichern, um Ihre Klassifizierung zu vervollständigen und die Datenbankspalten dauerhaft mit den neuen Klassifizierungsmetadaten zu bezeichnen (Tag).To complete your classification and persistently label (tag) the database columns with the new classification metadata, click on Save in the top menu of the window.

    Navigationsbereich

  6. Klicken Sie im oberen Menü des Fensters auf Bericht anzeigen, um einen Bericht mit einer vollständigen Zusammenfassung des Klassifizierungsstatus der Datenbank zu generieren.To generate a report with a full summary of the database classification state, click on View Report in the top menu of the window.

    Navigationsbereich

    Navigationsbereich

Zugriff auf KlassifizierungsmetadatenAccessing the classification metadata

Die Klassifizierungsmetadaten für Informationstypen und Vertraulichkeitsstufen werden in den folgenden erweiterten Eigenschaften gespeichert:The classification metadata for Information Types and Sensitivity Labels is stored in the following Extended Properties:

  • sys_information_type_namesys_information_type_name
  • sys_sensitivity_label_namesys_sensitivity_label_name

Sie können mit der Ansicht des Katalogs der erweiterten Eigenschaften sys.extended_properties auf die Metadaten zugreifen.The metadata can be accessed using the Extended Properties catalog view sys.extended_properties.

Das folgenden Codebeispiel gibt alle klassifizierten Spalten mit der jeweiligen Klassifizierung zurück:The following code example returns all classified columns with their corresponding classifications:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Unter SQL Server 2019:Or on SQL Server 2019 :

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    label
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
    JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Nächste SchritteNext steps

Weitere Informationen zur Datenermittlung und -klassifizierung in Azure SQL-Datenbanken finden Sie unter Azure SQL-Datenbank – Datenermittlung und -klassifizierung.For Azure SQL Database, see Azure SQL Database Data Discovery & Classification.

Ziehen Sie in Betracht, Ihre sensiblen Spalten durch Anwenden von Sicherheitsmechanismen auf der Spaltenebene zu schützen:Consider protecting your sensitive columns by applying column level security mechanisms: