Découverte de données de base de données SQL et SQL Data Warehouse et classification des AzureAzure SQL Database and SQL Data Warehouse data discovery & classification

Découverte et classification des données (actuellement en préversion) offre des fonctionnalités avancées intégrées à Azure SQL Database pour la découverte, la classification, l'étiquetage & et la protection des données sensibles dans vos bases de données.Data discovery & classification (currently in preview) provides advanced capabilities built into Azure SQL Database for discovering, classifying, labeling & protecting the sensitive data in your databases. La découverte et la classification de vos données les plus sensibles (professionnelles/financières, soins de santé, informations d’identification personnelle, etc.) peuvent jouer un rôle essentiel dans la protection des informations de l’organisation.Discovering and classifying your most sensitive data (business, financial, healthcare, personally identifiable data (PII), and so on.) can play a pivotal role in your organizational information protection stature. Elles peuvent servir d’infrastructure pour :It can serve as infrastructure for:

  • Aider à répondre aux normes de confidentialité des données et aux exigences de conformité aux normes.Helping meet data privacy standards and regulatory compliance requirements.
  • Divers scénarios de sécurité, comme la surveillance (audit) et la génération d’alertes en cas d’accès anormaux aux données sensibles.Various security scenarios, such as monitoring (auditing) and alerting on anomalous access to sensitive data.
  • Contrôler l’accès et renforcer la sécurité des bases de données contenant des données sensibles.Controlling access to and hardening the security of databases containing highly sensitive data.

Données découverte et classification fait partie de la sécurité avancée des données (ADS) offre, qui est un package unifié incluant des fonctionnalités de sécurité avancées SQL.Data discovery & classification is part of the Advanced Data Security (ADS) offering, which is a unified package for advanced SQL security capabilities. L'accès au composant Découverte et classification des données ainsi que sa gestion se font via le portail SQL ADS central.data discovery & classification can be accessed and managed via the central SQL ADS portal.

Notes

Ce document est lié à la base de données SQL Azure et Azure SQL Data Warehouse.This document relates to Azure SQL Database and Azure SQL Data Warehouse. Par souci de simplicité, la base de données SQL est utilisée pour faire référence à SQL Database et SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse. Pour SQL Server (en local), consultez découverte de données SQL et la Classification.For SQL Server (on premises), see SQL Data Discovery and Classification.

Présentation de Découverte et classification des donnéesWhat is data discovery & classification

Découverte et classification des données introduit un ensemble de services avancés et de nouvelles fonctionnalités SQL qui forment un nouveau paradigme de protection des informations SQL visant à protéger les données, et pas seulement la base de données :Data discovery & classification introduces a set of advanced services and new SQL capabilities, forming a new SQL Information Protection paradigm aimed at protecting the data, not just the database:

  • Découverte et recommandationsDiscovery & recommendations

    Le moteur de classification analyse votre base de données et identifie les colonnes contenant des données potentiellement sensibles.The classification engine scans your database and identifies columns containing potentially sensitive data. Il vous permet ensuite de vérifier et d’appliquer facilement les recommandations de classification appropriées par le biais du portail Azure.It then provides you an easy way to review and apply the appropriate classification recommendations via the Azure portal.

  • ÉtiquetageLabeling

    Vous pouvez appliquer de manière permanente des étiquettes de classification de sensibilité sur des colonnes à l’aide de nouveaux attributs de métadonnées de classification introduits dans le moteur SQL.Sensitivity classification labels can be persistently tagged on columns using new classification metadata attributes introduced into the SQL Engine. Vous pouvez ensuite utiliser ces métadonnées pour des scénarios avancés d’audit et de protection basés sur la sensibilité.This metadata can then be utilized for advanced sensitivity-based auditing and protection scenarios.

  • Sensibilité du jeu de résultats de requêteQuery result set sensitivity

    La sensibilité du jeu de résultats de requête est calculée en temps réel à des fins d’audit.The sensitivity of query result set is calculated in real time for auditing purposes.

  • VisibilitéVisibility

    Vous pouvez afficher l’état de classification de la base de données dans un tableau de bord détaillé dans le portail.The database classification state can be viewed in a detailed dashboard in the portal. Vous pouvez aussi télécharger un rapport (au format Excel) à utiliser entre autres à des fins de conformité et d’audit.Additionally, you can download a report (in Excel format) to be used for compliance & auditing purposes, as well as other needs.

Découvrir, classer et étiqueter des colonnes contenant des données sensiblesDiscover, classify & label sensitive columns

La section suivante décrit les étapes de découverte, de classification et d’étiquetage des colonnes contenant des données sensibles dans votre base de données, ainsi que l’affichage de l’état actuel de la classification de votre base de données et l’exportation de rapports.The following section describes the steps for discovering, classifying, and labeling columns containing sensitive data in your database, as well as viewing the current classification state of your database and exporting reports.

La classification comprend deux attributs de métadonnées :The classification includes two metadata attributes:

  • Étiquettes : principaux attributs de classification, utilisés pour définir le niveau de confidentialité des données stockées dans la colonne.Labels – The main classification attributes, used to define the sensitivity level of the data stored in the column.
  • Types d’informations : spécifiez une granularité supplémentaire concernant le type des données stockées dans la colonne.Information Types – Provide additional granularity into the type of data stored in the column.

Définir et personnaliser votre taxonomie de classificationDefine and customize your classification taxonomy

La fonctionnalité Découverte et classification des données SQL comprend un ensemble intégré d'étiquettes de sensibilité, ainsi qu'un ensemble intégré de types d'informations et de logiques de découverte.SQL data discovery & classification comes with a built-in set of sensitivity labels and a built-in set of information types and discovery logic. Vous avez désormais la possibilité de personnaliser cette taxonomie, et de définir un jeu et un classement de constructions de classification spécialement pour votre environnement.You now have the ability to customize this taxonomy and define a set and ranking of classification constructs specifically for your environment.

La définition et la personnalisation de votre taxonomie de classification s’effectuent au même endroit pour l’ensemble de votre locataire Azure.Definition and customization of your classification taxonomy is done in one central place for your entire Azure tenant. Cet emplacement se trouve dans Azure Security Center, dans la section relative à votre stratégie de sécurité.That location is in Azure Security Center, as part of your Security Policy. Seules les personnes disposant de droits d’administration pour le groupe d’administration racine du locataire peuvent effectuer cette tâche.Only someone with administrative rights on the Tenant root management group can perform this task.

Dans le cadre de la gestion des stratégies Information Protection, vous pouvez définir des étiquettes personnalisées, les classer et les associer à un ensemble de types d’informations.As part of the Information Protection policy management, you can define custom labels, rank them, and associate them with a selected set of information types. Vous pouvez également ajouter vos propres types d’informations personnalisées et les configurer avec des modèles de chaîne, que vous ajoutez à la logique de découverte qui sert à identifier ce type de données dans vos bases de données.You can also add your own custom information types and configure them with string patterns, which are added to the discovery logic for identifying this type of data in your databases. Pour plus d’informations sur la personnalisation et la gestion de votre stratégie, consultez le Guide pratique sur les stratégies Information Protection.Learn more about customizing and managing your policy in the Information Protection policy how-to guide.

Une fois que la stratégie au niveau du locataire a été définie, vous pouvez passer à la classification des bases de données à l’aide de votre stratégie personnalisée.Once the tenant-wide policy has been defined, you can continue with the classification of individual databases using your customized policy.

Classer votre base de données SQLClassify your SQL Database

  1. Accédez au portail Azure.Go to the Azure portal.

  2. Accédez à Advanced Data Security sous l’en-tête Sécurité du volet Azure SQL Database.Navigate to Advanced Data Security under the Security heading in your Azure SQL Database pane. Cliquez pour activer Advanced Data Security, puis cliquez sur la carte Découverte et classification des données (préversion).Click to enable advanced data security, and then click on the Data discovery & classification (preview) card.

    Analyser une base de données

  3. L’onglet Vue d’ensemble comprend une synthèse de l’état actuel de la classification de la base de données, notamment une liste détaillée de toutes les colonnes classifiées, que vous pouvez aussi filtrer pour afficher uniquement des parties de schéma, des types d’informations et des étiquettes spécifiques.The Overview tab includes a summary of the current classification state of the database, including a detailed list of all classified columns, which you can also filter to view only specific schema parts, information types and labels. Si vous n’avez pas encore classifié de colonne, passez à l’étape 5.If you haven’t yet classified any columns, skip to step 5.

    Résumé de l’état actuel de la classification

  4. Pour télécharger un rapport au format Excel, cliquez sur l’option Exporter dans le menu en haut de la fenêtre.To download a report in Excel format, click on the Export option in the top menu of the window.

    Exporter vers Excel

  5. Pour commencer à classifier vos données, cliquez sur l’onglet Classification en haut de la fenêtre.To begin classifying your data, click on the Classification tab at the top of the window.

    Classer les données

  6. Le moteur de classification analyse votre base de données à la recherche de colonnes contenant des données potentiellement sensibles, et il fournit une liste de classifications de colonnes recommandées.The classification engine scans your database for columns containing potentially sensitive data and provides a list of recommended column classifications. Pour afficher et appliquer les recommandations de classification :To view and apply classification recommendations:

    • Pour afficher la liste des classifications de colonnes recommandées, cliquez sur le panneau de recommandations en bas de la fenêtre :To view the list of recommended column classifications, click on the recommendations panel at the bottom of the window:

      Classer les données

    • Passez en revue la liste des recommandations. Pour accepter une recommandation pour une colonne spécifique, cochez la case dans la colonne de gauche de la ligne concernée.Review the list of recommendations – to accept a recommendation for a specific column, check the checkbox in the left column of the relevant row. Vous pouvez également accepter toutes les recommandations en cochant la case dans l’en-tête de table de recommandations.You can also mark all recommendations as accepted by checking the checkbox in the recommendations table header.

      Passer en revue la liste des recommandations

    • Pour appliquer les recommandations sélectionnées, cliquez sur le bouton bleu Accepter les recommandations sélectionnées.To apply the selected recommendations, click on the blue Accept selected recommendations button.

      Appliquer les recommandations

  7. Vous pouvez aussi, en guise d’alternative, classifier manuellement des colonnes ou, en plus de la classification basée sur les recommandations :You can also manually classify columns as an alternative, or in addition, to the recommendation-based classification:

    • Cliquez sur Ajouter une classification dans le menu en haut de la fenêtre.Click on Add classification in the top menu of the window.

      Ajouter manuellement une classification

    • Dans la fenêtre contextuelle qui apparaît, sélectionnez le schéma > table > colonne que vous souhaitez classifier, ainsi que l’étiquette de sensibilité et le type d’informations.In the context window that opens, select the schema > table > column that you want to classify, and the information type and sensitivity label. Cliquez sur le bouton bleu Ajouter une classification en bas de la fenêtre contextuelle.Then click on the blue Add classification button at the bottom of the context window.

      Sélectionner une colonne à classer

  8. Pour terminer votre classification et étiqueter de manière permanente les colonnes de base de données avec les nouvelles métadonnées de classification, cliquez sur Enregistrer dans le menu en haut de la fenêtre.To complete your classification and persistently label (tag) the database columns with the new classification metadata, click on Save in the top menu of the window.

    Enregistrer

Audit de l’accès aux données sensiblesAuditing access to sensitive data

Un aspect important du paradigme de protection des informations est la possibilité de surveiller l’accès aux données sensibles.An important aspect of the information protection paradigm is the ability to monitor access to sensitive data. L’audit Azure SQL Database a été amélioré pour inclure dans le journal d’audit un nouveau champ nommé data_sensitivity_information, qui enregistre las classifications de la sensibilité (étiquettes) des données réelles retournées par la requête.Azure SQL Database Auditing has been enhanced to include a new field in the audit log called data_sensitivity_information, which logs the sensitivity classifications (labels) of the actual data that was returned by the query.

Journal d’audit

Gérer la classification des données à l’aide de T-SQLManage data classification using T-SQL

Vous pouvez utiliser T-SQL pour ajouter/supprimer des classifications de colonne, ainsi que pour récupérer toutes les classifications pour la base de données entière.You can use T-SQL to add/remove column classifications, as well as retrieve all classifications for the entire database.

Notes

Quand vous utilisez T-SQL pour gérer les étiquettes, aucune validation n’est effectuée pour vérifier que les étiquettes ajoutées à une colonne existent dans la stratégie de protection des informations de l’organisation (ensemble des étiquettes qui apparaissent dans les recommandations du portail).When using T-SQL to manage labels, there is no validation that labels added to a column exist in the organizational information protection policy (the set of labels that appear in the portal recommendations). Il vous appartient d’effectuer cette validation.It is therefore up to you to validate this.

Vous pouvez également utiliser des API REST pour gérer par programme les classifications.You can also use REST APIs to programmatically manage classifications. Les API REST publiées prennent en charge les opérations suivantes :The published REST APIs support the following operations:

Gérer la découverte de données et de classification à l’aide d’Azure PowerShellManage data discovery and classification using Azure PowerShell

Vous pouvez utiliser PowerShell pour obtenir toutes les colonnes recommandées dans une base de données SQL Azure et une instance gérée.You can use PowerShell to get all the recommended columns in an Azure SQL database and a managed instance.

PowerShell Cmdlets pour Azure SQL databasePowerShell Cmdlets for Azure SQL database

PowerShell Cmdlets pour l’instance managéePowerShell Cmdlets for managed instance

AutorisationsPermissions

Les rôles intégrés suivants peuvent lire la classification des données d’une base de données SQL Azure : Owner, Reader, Contributor, SQL Security Manager et User Access Administrator.The following built-in roles can read the data classification of an Azure SQL database: Owner, Reader, Contributor, SQL Security Manager and User Access Administrator.

Les rôles intégrés suivants peuvent modifier la classification des données d’une base de données SQL Azure : Owner, Contributor, SQL Security Manager.The following built-in roles can modify the data classification of an Azure SQL database: Owner, Contributor, SQL Security Manager.

En savoir plus sur RBAC pour les ressources AzureLearn more about RBAC for Azure resources

Étapes suivantesNext steps