Clasificación y detección de datosData Discovery & Classification

SE APLICA A: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

La clasificación y detección de datos está integrada en Azure SQL Database, Instancia administrada de Azure SQL y Azure Synapse Analytics.Data Discovery & Classification is built into Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics. Ofrece funcionalidades avanzadas para detectar, clasificar, etiquetar e informar de los datos confidenciales de las bases de datos.It provides advanced capabilities for discovering, classifying, labeling, and reporting the sensitive data in your databases.

Los datos más confidenciales pueden incluir información empresarial, financiera, sanitaria o personal.Your most sensitive data might include business, financial, healthcare, or personal information. La detección y clasificación de estos datos puede representar un rol fundamental en el enfoque de la protección de la información de la organización.Discovering and classifying this data can play a pivotal role in your organization's information-protection approach. Puede servir como infraestructura para lo siguiente:It can serve as infrastructure for:

  • Ayudar a satisfacer los estándares de privacidad de datos y los requisitos de cumplimiento normativo.Helping to meet standards for data privacy and requirements for regulatory compliance.
  • Varios escenarios de seguridad, como la supervisión (auditoría) y las alertas relacionadas con accesos anómalos a información confidencial.Various security scenarios, such as monitoring (auditing) and alerting on anomalous access to sensitive data.
  • Controlar el acceso y mejorar la seguridad de las bases de datos que contienen información altamente confidencial.Controlling access to and hardening the security of databases that contain highly sensitive data.

Nota

Para información sobre SQL Server local, consulte Clasificación y detección de datos de SQL.For information about SQL Server on-premises, see SQL Data Discovery & Classification.

¿Qué es la clasificación y detección de datos?What is Data Discovery & Classification?

La clasificación y detección de datos presenta un conjunto de servicios avanzados y nuevas capacidades de Azure.Data Discovery & Classification introduces a set of advanced services and new capabilities in Azure. Constituye un nuevo paradigma de protección de la información para SQL Database, Instancia administrada de SQL y Azure Synapse, destinado no solo a proteger la base de datos, sino también los datos.It forms a new information-protection paradigm for SQL Database, SQL Managed Instance, and Azure Synapse, aimed at protecting the data and not just the database. El paradigma incluye:The paradigm includes:

  • Detección y recomendaciones: el motor de clasificación examina la base de datos e identifica las columnas que contienen datos potencialmente confidenciales.Discovery and recommendations: The classification engine scans your database and identifies columns that contain potentially sensitive data. A continuación, le proporciona una manera sencilla de revisar y aplicar la clasificación recomendada a través de Azure Portal.It then provides you with an easy way to review and apply recommended classification via the Azure portal.

  • Etiquetado: puede aplicar etiquetas de clasificación de confidencialidad de forma persistente a las columnas, usando los nuevos atributos de metadatos que se han agregado al motor de base de datos de SQL Server.Labeling: You can apply sensitivity-classification labels persistently to columns by using new metadata attributes that have been added to the SQL Server database engine. A continuación, estos metadatos se pueden utilizar para escenarios avanzados de auditoría y protección basados en la confidencialidad.This metadata can then be used for advanced, sensitivity-based auditing and protection scenarios.

  • Confidencialidad del conjunto de resultados de consulta: la confidencialidad del conjunto de resultados de consulta se calcula en tiempo real con fines de auditoría.Query result-set sensitivity: The sensitivity of a query result set is calculated in real time for auditing purposes.

  • Visibilidad: puede ver el estado de clasificación de la base de datos en un panel detallado en Azure Portal.Visibility: You can view the database-classification state in a detailed dashboard in the Azure portal. Además, puede descargar un informe en formato Excel para usarlo con fines de auditoría y cumplimiento de normas, así como para otras necesidades.Also, you can download a report in Excel format to use for compliance and auditing purposes and other needs.

Detección, clasificación y etiquetado de columnas confidencialesDiscover, classify, and label sensitive columns

En esta sección se describen los pasos para:This section describes the steps for:

  • La detección, clasificación y etiquetado de columnas que contienen información confidencial en la base de datos.Discovering, classifying, and labeling columns that contain sensitive data in your database.
  • La visualización del estado de clasificación actual de la base de datos y exportación de informes.Viewing the current classification state of your database and exporting reports.

La clasificación incluye dos atributos de metadatos:The classification includes two metadata attributes:

  • Etiquetas: los atributos principales de clasificación, que se usan para definir el nivel de confidencialidad de los datos almacenados en la columna.Labels: The main classification attributes, used to define the sensitivity level of the data stored in the column.
  • Tipos de información: atributos que proporcionan información más detallada sobre el tipo de datos almacenados en la columna.Information types: Attributes that provide more granular information about the type of data stored in the column.

Definir y personalizar la taxonomía de clasificaciónDefine and customize your classification taxonomy

La función de clasificación y detección de datos incluye un conjunto integrado de etiquetas de confidencialidad y un conjunto integrado de tipos de información y lógica de detección.Data Discovery & Classification comes with a built-in set of sensitivity labels and a built-in set of information types and discovery logic. Ahora puede personalizar esta taxonomía y definir un conjunto y la categoría de construcciones de clasificación específicamente para su entorno.You can now customize this taxonomy and define a set and ranking of classification constructs specifically for your environment.

Se define y personaliza la taxonomía de clasificación en una ubicación central para toda la organización de Azure.You define and customize of your classification taxonomy in one central place for your entire Azure organization. Esa ubicación se encuentra en Azure Security Center, como parte de la directiva de seguridad.That location is in Azure Security Center, as part of your security policy. Solo un usuario con derechos administrativos en el grupo de administración raíz de la organización puede realizar esta tarea.Only someone with administrative rights on the organization's root management group can do this task.

Como parte de la administración de directivas de protección de la información, puede definir etiquetas personalizadas, clasificarlas y asociarlas con un conjunto seleccionado de tipos de información.As part of policy management for information protection, you can define custom labels, rank them, and associate them with a selected set of information types. También puede agregar sus propios tipos de información personalizados y configurarlos con patrones de cadena.You can also add your own custom information types and configure them with string patterns. Los patrones se agregan a la lógica de detección para identificar este tipo de datos en las bases de datos.The patterns are added to the discovery logic for identifying this type of data in your databases.

Para más información, consulte Personalización de la directiva de SQL Information Protection en Azure Security Center (versión preliminar).For more information, see Customize the SQL information protection policy in Azure Security Center (Preview).

Una vez definida la directiva de toda la organización, puede continuar con la clasificación de bases de datos individuales mediante la directiva personalizada.After the organization-wide policy has been defined, you can continue classifying individual databases by using your customized policy.

Clasificación de la base de datosClassify your database

Nota

En el ejemplo siguiente se usa Azure SQL Database, pero debe seleccionar el producto adecuado para el que quiera configurar la clasificación y detección de datos.The below example uses Azure SQL Database, but you should select the appropriate product that you want to configure Data Discovery & Classification.

  1. Vaya a Azure Portal.Go to the Azure portal.

  2. Vaya a Clasificación y detección de datos en el encabezado Seguridad del panel de Azure SQL Database.Go to Data Discovery & Classification under the Security heading in your Azure SQL Database pane. La pestaña Información general incluye un resumen del estado de clasificación actual de la base de datos.The Overview tab includes a summary of the current classification state of the database. El resumen incluye una lista detallada de todas las columnas clasificadas, que también se pueden filtrar para mostrar solo partes específicas de esquema, tipos de información y etiquetas.The summary includes a detailed list of all classified columns, which you can also filter to show only specific schema parts, information types, and labels. Si aún no ha clasificado ninguna columna, vaya al paso 4.If you haven’t classified any columns yet, skip to step 4.

    Información general

  3. Para descargar un informe en formato de Excel, seleccione Exportar en el menú superior del panel.To download a report in Excel format, select Export in the top menu of the pane.

  4. Para empezar a clasificar los datos, seleccione la pestaña Clasificación en la página Clasificación y detección de datos.To begin classifying your data, select the Classification tab on the Data Discovery & Classification page.

    El motor de clasificación examina la base de datos en busca de columnas que contengan datos potencialmente confidenciales y proporciona una lista de clasificaciones de columna recomendadas.The classification engine scans your database for columns containing potentially sensitive data and provides a list of recommended column classifications.

  5. Visualice y aplique las recomendaciones de clasificación:View and apply classification recommendations:

    • Para ver la lista de clasificaciones de columnas recomendadas, seleccione el panel de recomendaciones en la parte inferior del panel.To view the list of recommended column classifications, select the recommendations panel at the bottom of the pane.

    • Para aceptar una recomendación para una columna específica, seleccione la casilla en la columna izquierda de la fila correspondiente.To accept a recommendation for a specific column, select the check box in the left column of the relevant row. Para marcar todas las recomendaciones como aceptadas, seleccione la casilla más a la izquierda del encabezado de la tabla de recomendaciones.To mark all recommendations as accepted, select the leftmost check box in the recommendations table header.

    • Para aplicar las recomendaciones seleccionadas, seleccione Aceptar las recomendaciones seleccionadas.To apply the selected recommendations, select Accept selected recommendations.

    Recomendaciones para la clasificación

  6. También puede clasificar las columnas manualmente, como alternativa a la clasificación basada en recomendaciones, o además de ella:You can also classify columns manually, as an alternative or in addition to the recommendation-based classification:

    1. Seleccione Agregar clasificación en el menú superior del panel.Select Add classification in the top menu of the pane.

    2. En la ventana contextual que se abre, seleccione el esquema, la tabla y la columna que quiera clasificar, así como el tipo de información y la etiqueta de confidencialidad.In the context window that opens, select the schema, table, and column that you want to classify, and the information type and sensitivity label.

    3. Seleccione Agregar clasificación en la parte inferior de la ventana contextual.Select Add classification at the bottom of the context window.

    Agregue clasificación de forma manual

  7. Para completar la clasificación y etiquetar de forma persistente las columnas de la base de datos con los nuevos metadatos de clasificación, seleccione Guardar en la página Clasificación.To complete your classification and persistently label (tag) the database columns with the new classification metadata, select Save in the Classification page.

Auditoría del acceso a datos confidencialesAudit access to sensitive data

Un aspecto importante del paradigma de protección de la información es la capacidad de supervisar el acceso a información confidencial.An important aspect of the information-protection paradigm is the ability to monitor access to sensitive data. Auditoría de Azure SQL se ha mejorado para incluir un nuevo campo en el registro de auditoría denominado data_sensitivity_information.Azure SQL Auditing has been enhanced to include a new field in the audit log called data_sensitivity_information. Este campo registra las clasificaciones de confidencialidad (etiquetas) de los datos devueltos por una consulta.This field logs the sensitivity classifications (labels) of the data that was returned by a query. Este es un ejemplo:Here's an example:

Registro de auditoría

PermisosPermissions

Estos roles integrados pueden leer la clasificación de datos de una base de datos:These built-in roles can read the data classification of a database:

  • PropietarioOwner
  • LectorReader
  • ColaboradorContributor
  • Administrador de seguridad SQLSQL Security Manager
  • Administrador de acceso de usuarioUser Access Administrator

Estos roles integrados pueden modificar la clasificación de datos de una base de datos:These built-in roles can modify the data classification of a database:

  • PropietarioOwner
  • ColaboradorContributor
  • Administrador de seguridad SQLSQL Security Manager

Obtenga información sobre los permisos basados en roles en RBAC de Azure.Learn more about role-based permissions in Azure RBAC.

Administración de clasificacionesManage classifications

Puede usar T-SQL, una API de REST o PowerShell para administrar las clasificaciones.You can use T-SQL, a REST API, or PowerShell to manage classifications.

Uso de T-SQLUse T-SQL

Puede utilizar T-SQL para agregar o quitar las clasificaciones de columna, y para recuperar todas las clasificaciones para toda la base de datos.You can use T-SQL to add or remove column classifications, and to retrieve all classifications for the entire database.

Nota

Al usar T-SQL para administrar las etiquetas, no se valida que las etiquetas que se agregan a una columna existan en la directiva de protección de información de la organización (el conjunto de etiquetas que aparecen en las recomendaciones del portal).When you use T-SQL to manage labels, there's no validation that labels that you add to a column exist in the organization's information-protection policy (the set of labels that appear in the portal recommendations). Por lo tanto, validarlas es su decisión.So, it's up to you to validate this.

Para obtener información sobre el uso de T-SQL para las clasificaciones, vea las siguientes referencias:For information about using T-SQL for classifications, see the following references:

Uso de cmdlets de PowerShellUse PowerShell cmdlets

Administre clasificaciones y las recomendaciones de Azure SQL Database e Instancia administrada de Azure SQL mediante PowerShell.Manage classifications and recommendations for Azure SQL Database and Azure SQL Managed Instance using PowerShell.

Cmdlets de PowerShell para Azure SQL DatabasePowerShell cmdlets for Azure SQL Database

Cmdlets de PowerShell para Instancia administrada de Azure SQLPowerShell cmdlets for Azure SQL Managed Instance

Uso de la API de RESTUse the Rest API

Puede usar las API REST para administrar las clasificaciones y recomendaciones mediante programación.You can use the REST API to programmatically manage classifications and recommendations. Las API de REST publicadas admiten las siguientes operaciones:The published REST API supports the following operations:

Pasos siguientesNext steps