Data Discovery & Classification

BERLAKU UNTUK: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Data Discovery & Classification disertakan dalam Azure SQL Database, Azure SQL Managed Instance, dan Azure Synapse Analytics. Ini menyediakan kemampuan dasar untuk menemukan, mengklasifikasikan, melabeli, dan melaporkan data sensitif dalam database Anda.

Data Anda yang paling sensitif mungkin mencakup informasi bisnis, keuangan, kesehatan, atau pribadi. Ini dapat berfungsi sebagai infrastruktur untuk:

• Membantu memenuhi standar privasi data dan persyaratan untuk kepatuhan terhadap peraturan.
• Berbagai skenario keamanan, seperti pemantauan (auditing) akses ke data sensitif.
• Mengontrol akses ke dan mengeraskan keamanan database yang berisi data yang sangat sensitif.

Catatan

Untuk informasi tentang SQL Server lokal, lihat SQL Data Discovery & Classification.

Apa itu Data Discovery & Classification?

Data Discovery & Classification saat ini mendukung kemampuan berikut:

• Discovery and recommendation: Mesin klasifikasi memindai database Anda dan mengidentifikasi kolom yang berisi data yang berpotensi sensitif. Ini kemudian memberi Anda cara mudah untuk meninjau dan menerapkan klasifikasi yang direkomendasikan melalui portal Microsoft Azure.

• Labeling: Anda dapat menerapkan label klasifikasi sensitivitas secara terus-menerus ke kolom dengan menggunakan atribut metadata baru yang telah ditambahkan ke mesin database SQL Server. Metadata ini kemudian dapat digunakan untuk skenario audit berbasis sensitivitas.

• Query result-set sensitivity: Sensitivitas kumpulan hasil kueri dihitung secara real time untuk tujuan audit.

• Visibility: Anda dapat melihat status klasifikasi database di dasbor terperinci di portal Microsoft Azure. Selain itu, Anda bisa mengunduh laporan dalam format Excel untuk digunakan untuk tujuan kepatuhan dan audit serta kebutuhan lainnya.

Temukan, klasifikasikan, dan beri label pada kolom sensitif

Bagian ini menjelaskan langkah-langkah untuk:

• Menemukan, mengklasifikasikan, dan melabel kolom yang berisi data sensitif dalam database Anda.
• Menampilkan status klasifikasi database Anda saat ini dan mengekspor laporan.

Klasifikasi ini mencakup dua atribut metadata:

• Label: Atribut klasifikasi utama, digunakan untuk menentukan tingkat sensitivitas data yang disimpan dalam kolom.
• Information type: Atribut yang menyediakan informasi lebih terperinci tentang tipe data yang disimpan dalam kolom.

Kebijakan Perlindungan Informasi

Azure SQL menawarkan kebijakan Perlindungan Informasi SQL dan kebijakan Perlindungan Informasi Microsoft dalam klasifikasi data, dan Anda dapat memilih salah satu dari dua kebijakan ini berdasarkan persyaratan Anda.

Kebijakan Perlindungan Informasi SQL

Penemuan & Klasifikasi Data dilengkapi dengan seperangkat label sensitivitas dan jenis informasi bawaan dengan logika penemuan yang asli dari server logis SQL. Anda dapat terus menggunakan label perlindungan yang tersedia di file kebijakan default, atau Anda dapat menyesuaikan taksonomi ini. Anda dapat menentukan set dan peringkat konstruksi klasifikasi khusus untuk lingkungan Anda.

Tentukan dan sesuaikan taksonomi klasifikasi Anda

Anda mendefinisikan dan mengkustomisasi taksonomi klasifikasi Anda di satu tempat terpusat untuk seluruh organisasi Azure Anda. Lokasi itu ada di Pertahanan Microsoft untuk Cloud, sebagai bagian dari kebijakan keamanan Anda. Hanya seseorang dengan hak administratif pada grup manajemen akar organisasi yang dapat melakukan tugas ini.

Sebagai bagian dari manajemen kebijakan, Anda dapat menentukan label khusus, memberi peringkat, dan mengaitkannya dengan set jenis informasi yang dipilih. Anda juga dapat menambahkan tipe informasi kustom Anda sendiri dan mengonfigurasinya dengan pola string. Pola ditambahkan ke logika penemuan untuk mengidentifikasi jenis data ini di database Anda.

Untuk informasi selengkapnya, lihat Menyesuaikan kebijakan perlindungan informasi SQL di Pertahanan Microsoft untuk Cloud (Pratinjau).

Setelah kebijakan di seluruh organisasi ditentukan, Anda dapat melanjutkan mengklasifikasikan database masing-masing dengan menggunakan kebijakan yang dikustomisasi.

Mengklasifikasikan database dalam mode kebijakan Perlindungan Informasi SQL

Catatan

Contoh di bawah ini menggunakan Azure SQL Database, tetapi Anda harus memilih produk yang sesuai yang ingin Anda konfigurasikan Data Discovery & Classification.

1. Buka portal Microsoft Azure.

2. Masuk ke Data Discovery & Classification di bawah judul Keamanan di panel Azure SQL Database Anda. Tab Overview menyertakan ringkasan status klasifikasi database saat ini. Ringkasan ini menyertakan daftar terperinci dari semua kolom rahasia, yang juga bisa Anda filter untuk memperlihatkan hanya bagian skema, tipe informasi, dan label tertentu. Jika Anda belum mengklasifikasikan kolom apa pun, lewati ke langkah 4.

   

3. Untuk mengunduh laporan dalam format Excel, pilihExport di menu atas panel.

4. Untuk mulai mengklasifikasikan data Anda, pilih tab Classification pada halaman Data Discovery & Classification.

   Mesin klasifikasi memindai database Anda untuk kolom yang berisi data yang berpotensi sensitif dan menyediakan daftar klasifikasi kolom yang direkomendasikan.

5. Lihat dan terapkan rekomendasi klasifikasi:

   • Untuk menampilkan daftar klasifikasi kolom yang direkomendasikan, pilih panel recommendation di bagian bawah panel.

   • Untuk menerima rekomendasi untuk kolom tertentu, pilih kotak centang di kolom kiri baris yang relevan. Untuk menandai semua rekomendasi sebagai diterima, pilih kotak centang paling kiri di header tabel rekomendasi.

   • Untuk menerapkan rekomendasi yang dipilih, pilih Accept selected recommendations.

   

6. Anda juga dapat mengklasifikasikan kolom secara manual, sebagai alternatif atau selain klasifikasi berbasis rekomendasi:

   1. Pilih Add classification di menu atas panel.

   2. Di jendela konteks yang terbuka, pilih skema, tabel, dan kolom yang ingin Anda klasifikasikan, dan tipe informasi dan label sensitivitas.

   3. Pilih Add classification di ujung bawah jendela context.

   

7. Untuk menyelesaikan klasifikasi Anda dan secara terus-menerus memberi label (tag) kolom database dengan metadata klasifikasi baru, pilihSave di halamanClassification.

Kebijakan Perlindungan Informasi Microsoft

Label Perlindungan Informasi Microsoft (MIP) menyediakan cara yang sederhana dan seragam bagi pengguna untuk mengklasifikasikan data sensitif secara seragam di berbagai aplikasi Microsoft. Label sensitivitas MIP dibuat dan dikelola di pusat kepatuhan Microsoft 365. Untuk mempelajari cara membuat dan menerbitkan label sensitif MIP di pusat kepatuhan Microsoft 365, lihat artikel, Membuat dan menerbitkan label sensitivitas.

Prasyarat untuk beralih ke kebijakan MIP

• Pengguna saat ini memiliki izin admin keamanan di seluruh penyewa untuk menerapkan kebijakan di tingkat grup manajemen akar penyewa. Untuk informasi selengkapnya, lihat Memberikan izin di seluruh penyewa untuk Anda sendiri.
• Penyewa Anda memiliki langganan Microsoft 365 aktif dan Anda memiliki label yang diterbitkan untuk pengguna saat ini. Untuk informasi selengkapnya, lihat Membuat dan mengonfigurasi label sensitivitas dan kebijakannya.

Mengklasifikasikan database dalam mode kebijakan Perlindungan Informasi Microsoft

1. Buka portal Microsoft Azure.

2. Arahkan ke database Anda di Azure SQL Database

3. Buka Penemuan & Klasifikasi Data di bawah judul Keamanan di panel database Anda.

4. Untuk memilih kebijakan Perlindungan Informasi Microsoft, pilih tab Gambaran Umum, dan pilih Konfigurasikan.

5. Pilih Kebijakan Perlindungan Informasi Microsoft di opsi Kebijakan Perlindungan Informasi, dan pilih Simpan.

   

6. Jika Anda membuka tab Klasifikasi, atau memilih Tambahkan klasifikasi, Anda sekarang akan melihat label sensitivitas M365 muncul di dropdown Label sensitivitas.

   

   

• Jenis informasi adalah [n/a] saat Anda berada dalam mode kebijakan MIP dan penemuan & rekomendasi data otomatis tetap dinonaktifkan.

• Ikon peringatan mungkin muncul di kolom yang sudah diklasifikasikan jika kolom tersebut diklasifikasikan menggunakan kebijakan Perlindungan Informasi yang berbeda dari kebijakan yang sedang aktif. Misalnya, jika kolom diklasifikasikan dengan label menggunakan kebijakan Perlindungan Informasi SQL sebelumnya dan sekarang Anda berada dalam mode kebijakan Perlindungan Informasi Microsoft. Anda akan melihat ikon peringatan terhadap kolom tertentu. Ikon peringatan ini tidak menunjukkan masalah apa pun, tetapi hanya digunakan untuk tujuan informasi.

  

Akses audit ke data sensitif

Aspek penting dari klasifikasi adalah kemampuan untuk memantau akses ke data sensitif. Azure SQL Auditing telah ditingkatkan untuk menyertakan bidang baru dalam log audit yang dipanggildata_sensitivity_information. Bidang ini mencatat klasifikasi sensitivitas (label) data yang dikembalikan oleh kueri. Berikut contohnya:

Ini merupakan aktivitas yang sebenarnya dapat diaudit dengan informasi sensitivitas:

• ALTER TABLE ... DROP COLUMN
• BULK INSERT
• DELETE
• INSERT
• MERGE
• UPDATE
• UPDATETEXT
• WRITETEXT
• DROP TABLE
• CADANGAN
• DBCC CloneDatabase
• SELECT INTO
• INSERT INTO EXEC
• POTONG TABEL
• DBCC SHOW_STATISTICS
• sys.dm_db_stats_histogram

Gunakan sys.fn_get_audit_file untuk menampilkan informasi dari file audit yang disimpan di akun Azure Storage.

Izin

Peran bawaan ini dapat membaca klasifikasi data dari database:

• Pemilik
• Pembaca
• Kontributor
• Pengelola Keamanan SQL
• Administrator Akses Pengguna

Berikut adalah tindakan yang diperlukan untuk membaca klasifikasi data dari database:

• Microsoft.Sql/server/databases/currentSensitivityLabels/*
• Microsoft.Sql/server/databases/recommendedSensitivityLabels/*
• Microsoft.Sql/server/database/skema/tabel/kolom/sensitivitasLabels/*

Peran bawaan ini dapat mengubah klasifikasi data database:

• Pemilik
• Kontributor
• Pengelola Keamanan SQL

Berikut adalah tindakan yang diperlukan untuk memodifikasi klasifikasi data dari database:

• Microsoft.Sql/server/database/skema/tabel/kolom/sensitivitasLabels/*

Pelajari lebih banyak tentang izin berbasis peranAzure RBAC.

Catatan

Peran bawaan Azure SQL di bagian ini berlaku untuk kumpulan SQL khusus (sebelumnya SQL DW) tetapi tidak tersedia untuk kumpulan SQL khusus dan sumber daya SQL lainnya dalam ruang kerja Azure Synapse. Untuk SQL sumber daya di ruang kerja Azure Synapse, gunakan tindakan yang tersedia untuk klasifikasi data untuk membuat peran Azure kustom sesuai kebutuhan untuk pelabelan. Untuk informasi selengkapnya tentang Microsoft.Synapse/workspaces/sqlPools operasi penyedia, lihat Microsoft.Synapse.

Mengelola klasifikasi

Anda dapat menggunakan T-SQL, REST API, atau PowerShell untuk mengelola klasifikasi.

Gunakan T-SQL

Anda dapat menggunakan T-SQL untuk menambahkan atau menghapus klasifikasi kolom, dan untuk mengambil semua klasifikasi untuk seluruh database.

Catatan

Saat Anda menggunakan T-SQL untuk mengelola label, tidak ada validasi bahwa label yang Anda tambahkan ke kolom ada dalam kebijakan perlindungan informasi organisasi (kumpulan label yang muncul di rekomendasi portal). Jadi, terserah Anda untuk memvalidasi ini.

Untuk informasi tentang menggunakan T-SQL untuk klasifikasi, lihat referensi berikut:

• Untuk menambahkan atau memperbarui klasifikasi satu kolom atau lebih: ADD SENSITIVITY CLASSIFICATION
• Untuk menghapus klasifikasi dari satu atau lebih kolom: DROP SENSITIVITY CLASSIFICATION
• Untuk menampilkan semua klasifikasi pada database: sys.sensitivity_classifications

Gunakan PowerShell Cmdlets

Kelola klasifikasi dan rekomendasi untuk Azure SQL Database dan Azure SQL Managed Instance menggunakan PowerShell.

PowerShell Cmdlet untuk Azure SQL Database

• Get-AzSqlDatabaseSensitivityClassification
• Set-AzSqlDatabaseSensitivityClassification
• Remove-AzSqlDatabaseSensitivityClassification
• Get-AzSqlDatabaseSensitivityRecommendation
• Enable-AzSqlDatabaseSensitivityRecommendation
• Disable-AzSqlDatabaseSensitivityRecommendation

Cmdlet PowerShell untuk Azure SQL Managed Instance

• Get-AzSqlInstanceDatabaseSensitivityClassification
• Set-AzSqlInstanceDatabaseSensitivityClassification
• Remove-AzSqlInstanceDatabaseSensitivityClassification
• Get-AzSqlInstanceDatabaseSensitivityRecommendation
• Enable-AzSqlInstanceDatabaseSensitivityRecommendation
• Disable-AzSqlInstanceDatabaseSensitivityRecommendation

Menggunakan REST API

Anda dapat menggunakan REST API untuk mengelola klasifikasi dan rekomendasi secara terprogram. REST API yang dipublikasikan mendukung operasi berikut:

• Create or Update: Membuat atau memperbarui label sensitivitas kolom yang ditentukan.
• Delete: Menghapus label sensitivitas dari kolom yang ditentukan.
• Disable Recommendation: Menonaktifkan rekomendasi sensitivitas pada kolom yang ditentukan.
• Enable Recommendation: Menonaktifkan rekomendasi sensitivitas pada kolom yang ditentukan. (Rekomendasi diaktifkan secara default di semua kolom.)
• Get: Mendapatkan label sensitivitas dari kolom yang ditentukan.
• List Current By Database: Mendapatkan label sensitivitas saat ini dari database yang ditentukan.
• List Recommended By Database: Mendapatkan label sensitivitas saat ini dari database yang ditentukan.

Mengambil metadata klasifikasi menggunakan driver SQL

Anda dapat menggunakan driver SQL berikut untuk mengambil metadata klasifikasi:

• ODBC Driver
• OLE DB Driver
• JDBC Driver
• Microsoft Drivers for PHP for SQL Server

FAQ - Kemampuan klasifikasi tingkat lanjut

Pertanyaan: Akankah Azure Purview mengganti SQL Data Discovery & Classification atau SQL Data Discovery & Classification akan diberhentikan segera? Jawab: Kami terus mendukung SQL Data Discovery & Classification dan mendorong Anda untuk mengadopsi Azure Purview yang memiliki kemampuan lebih banyak untuk mendorong kemampuan klasifikasi tingkat lanjut dan tata kelola data. Jika kami memutuskan untuk menghentikan layanan, fitur, API, atau SKU apa pun, Anda akan menerima pemberitahuan terlebih dahulu termasuk jalur migrasi atau transisi. Pelajari selengkapnya tentang kebijakan Siklus Hidup Microsoft di sini.

Langkah berikutnya

• Pertimbangkan untuk mengonfigurasi Azure SQL Auditing untuk memantau dan mengaudit akses ke data sensitif anda yang diklasifikasikan.
• Untuk presentasi yang menyertakan Discovery & Classification data, lihat Menemukan, mengklasifikasikan, memberi label, & melindungi data SQL | Data yang Terekspos.
• Untuk mengklasifikasikan Database Azure SQL dan Analitik Azure Synapse dengan label Azure Purview menggunakan perintah T-SQL, lihat Classify your Azure SQL data using Azure Purview labels.