Exercice - Classifier une base de données Azure SQL

  • 10 minutes

Dans cet exercice, vous créez votre groupe de ressources et une base de données unique Azure SQL Database contenant les exemples de données AdventureWorksLT.

  1. Connectez-vous au portail Azure en utilisant le compte avec lequel vous avez activé le bac à sable Azure. Vérifiez que vous vous trouvez dans l’annuaire Microsoft Learn Sandbox.

  2. Dans la page d’accueil, sous Services Azure, sélectionnez Créer une ressource. Le volet Créer une ressource apparaît.

  3. Dans le volet de menu gauche, sélectionnez Bases de données, puis Base de données SQL. Le volet Créer une base de données SQL Database s’affiche.

    Screenshot of the SQL Database create page.

  4. Sous l’onglet Informations de base, entrez les valeurs suivantes pour chaque paramètre.

    Paramètre Valeur
    Détails du projet
    Abonnement Abonnement Concierge
    Groupe de ressources Utiliser le groupe existant [nom du groupe de ressources de bac à sable]
    Détails de la base de données
    Nom de la base de données Entrez LearnDataPolicy.
    Serveur Sous la liste déroulante, sélectionnez le lien Créer nouveau. Le volet Créer un serveur de base de données SQL s’affiche.
    Nom du serveur Entrez un nom de serveur global unique.
    Emplacement Sélectionnez un emplacement valide dans la liste suivante.
    Méthode d'authentification Sélectionnez Utiliser l’authentification SQL.
    Connexion d’administrateur du serveur Identificateur de la base de données qui sert de nom de connexion pour l’administrateur principal.
    Mot de passe Entrez un mot de passe valide d’au moins 8 caractères et contenant des caractères de trois des catégories suivantes : majuscules, minuscules, chiffres et caractères non alphanumériques.

    Le bac à sable gratuit vous permet de créer des ressources dans un sous-ensemble des régions globales Azure. Sélectionnez une région dans la liste suivante au moment où vous créez des ressources :

    • USA Ouest 2
    • États-Unis - partie centrale méridionale
    • USA Centre
    • USA Est
    • Europe Ouest
    • Asie Sud-Est
    • Japon Est
    • Brésil Sud
    • Australie Sud-Est
    • Inde centrale

  5. Sélectionnez OK. Le volet Créer une base de données SQL réapparaît.

  6. Ensuite, sous l’onglet Informations de base, entrez les valeurs suivantes pour chaque paramètre.

    Paramètre Valeur
    Détails de la base de données
    Voulez-vous utiliser un pool élastique SQL ? Sélectionnez Non.

  7. Sélectionnez l’onglet Sécurité en haut de la fenêtre.

  8. Entrez la valeur suivante comme paramètre.

    Paramètre Valeur
    Microsoft Defender pour SQL Activez Microsoft Defender pour SQL, vérifiez que l’option Démarrer l’essai gratuit est sélectionnée.

  9. Sélectionnez l’onglet Paramètres supplémentaires en haut de la fenêtre.

  10. Entrez la valeur suivante comme paramètre.

    Paramètre Valeur
    Source de données
    Données existantes Sélectionnez Exemple.

  11. Laissez le reste des valeurs par défaut, puis sélectionnez Vérifier + créer en bas de l’écran.

  12. Passez en revue les paramètres finaux et sélectionnez Créer en bas de l’écran.

Le déploiement du serveur avec les exemples de données prend quelques minutes. Une fois l’opération terminée, sélectionnez Accéder à la ressource pour accéder au volet Vue d’ensemble de votre nouvelle base de données SQL.

SQL Information Protection (SQL IP)

SQL IP offre un ensemble de services avancés et de fonctionnalités SQL, qui forment un nouveau paradigme de protection des informations dans SQL, visant à protéger les données, et non pas seulement la base de données :

  • Audit Azure SQL : L’audit Azure SQL effectue le suivi des événements de base de données et les écrit dans un journal d’audit dans votre compte de stockage Azure, espace de travail Log Analytics ou Event Hubs.
  • Découverte et classification des données : La fonctionnalité Découverte et classification des données est intégrée à Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics. Elle offre des fonctionnalités avancées pour la découverte, la classification, l’étiquetage et le signalement des données sensibles dans vos bases de données.
  • Masquage dynamique des données : Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics prennent en charge le masquage dynamique des données. Le masquage dynamique des données limite l’exposition des données sensibles en les masquant aux utilisateurs sans privilège.
  • Microsoft Defender pour le cloud : Analyse votre base de données et fournit des recommandations pour améliorer la sécurité. Vous permet également de configurer et de surveiller les alertes de sécurité.
  • Transparent Data Encryption : Transparent Data Encryption chiffre vos bases de données, sauvegardes et journaux au repos sans changer votre application. Pour activer le chiffrement, accédez à chaque base de données.

Classifier votre base de données SQL

Nous allons classifier les données de cet exemple de base de données Azure SQL. Dans le volet de votre base de données SQL :

  1. Dans le volet du menu de gauche, sous Sécurité, sélectionnez Microsoft Defender pour le cloud. Le volet Microsoft Defender pour le cloud s’affiche pour votre base de données SQL.

  2. Si Microsoft Defender pour SQL n’est pas activé, sélectionnez le lien (Configurer). Le volet Paramètres du serveur s’affiche.

  3. Vérifiez que Microsoft Defender pour SQL est activé, puis sélectionnez Enregistrer. Comme indiqué dans les instructions précédentes, vous pouvez activer cette option dans le cadre de la création de la base de données. L’activation prend une minute.

  4. Dans le volet du menu de gauche, sous Sécurité, sélectionnez Découverte et classification des données. Le volet Découverte et classification des données s’affiche.

  5. L’état initial comporte 15 colonnes avec des recommandations de classification. Sélectionnez ce lien pour passer en revue les recommandations. Si vous n’avez pas encore exécuté la vérification, faites-le maintenant.

    Screenshot of the Data discovery and classification pane, Overview tab with the previously mentioned items displaying.

  6. Sélectionnez toutes les colonnes, puis Accepter les recommandations sélectionnées.

    Screenshot that shows all the columns selected.

  7. Dans la barre de menus supérieure, sélectionnez Enregistrer pour enregistrer les recommandations, puis revenez au volet Découverte et classification des données.

  8. Consultez Découverte et classification des données. Notez qu’il inclut un récapitulatif de l’état actuel de la classification de la base de données, notamment une liste détaillée de toutes les colonnes classifiées. Vous pouvez également filtrer cette vue pour voir seulement des parties du schéma, des types d’informations et des étiquettes spécifiques.

    Screenshot of the Data discovery and classification pane, Overview tab with the previously mentioned items now displaying with 15 columns.

  9. Sous l’onglet Vue d’ensemble, dans la barre de menus supérieure, sélectionnez Exporter pour télécharger un rapport au format Excel. Sélectionnez Télécharger.

    Screenshot of the Data discovery and classification pane with Export selected.

Personnaliser la classification

L’onglet Classification liste les colonnes et la façon dont les données sont classifiées.

Screenshot of the Classification tab.

Comme vous l’avez vu précédemment, le moteur de classification analyse votre base de données à la recherche de colonnes contenant des données potentiellement sensibles, et il fournit une liste de classifications de colonnes recommandées.

Vous pouvez prendre les classifications suggérées comme nous l’avons fait précédemment, ou bien classifier manuellement les colonnes à la place ou en plus de la classification basée sur les recommandations.

  1. Dans la barre de menus supérieure, sélectionnez Ajouter une classification. Le volet Ajouter une classification s’affiche.

    Screenshot of the Data discovery and classification pane with Add classification selected.

  2. Configurez les cinq champs :

    • Nom du schéma
    • Nom de la table
    • Nom de la colonne
    • Type d’informations
    • Étiquette de sensibilité

    Screenshot of the Add classification pane, with the previously mentioned fields called out.

  3. Sélectionnez Ajouter une classification.

  4. Pour terminer votre classification et étiqueter de façon permanente les colonnes de base de données avec les nouvelles métadonnées de classification, sélectionnez Enregistrer dans la barre du menu supérieur.

  5. Vous devriez maintenant voir les onglets Vue d’ensemble et Classification en haut du volet.

  6. Sélectionnez l’onglet Classification, puis changez certaines des classifications pour les colonnes identifiées (par exemple, définissez PasswordHash sur Hautement confidentiel dans les colonnes Étiquette de sensibilité).

  7. Vous pouvez également filtrer les données affichées à l’aide des zones de filtre situées sous les graphes de l’onglet Vue d’ensemble.

Superviser l’accès aux données sensibles

Un aspect important du paradigme de protection des informations est la possibilité de superviser l’accès aux données sensibles. L’audit Azure SQL Database a été amélioré en incluant un nouveau champ dans le journal d’audit. Le champ data_sensitivity_information journalise les classifications de sensibilité (étiquettes) des données réelles renvoyées par la requête.

Screenshot of field logs, with data sensitivity categorizations of Confidential.

Vous pouvez configurer l’audit Azure SQL Database pour effectuer la supervision et l’audit de l’accès à vos données sensibles classifiées.