Descoberta e classificação de dados
Aplica-se a:Banco de Dados SQL do AzureInstância Gerenciada de SQL do AzureAzure Synapse Analytics
A Descoberta e Classificação de Dados é integrada ao Banco de Dados SQL do Azure, à Instância Gerenciada de SQL do Azure e ao Azure Synapse Analytics. Fornece as funcionalidades básicas para descobrir, classificar, rotular e relatar os dados confidenciais nos seus bancos de dados.
Os dados mais confidenciais podem incluir informações comerciais, financeiras, de saúde ou pessoais. Esse recurso pode funcionar como a infraestrutura para:
- Ajudar a atender aos padrões de privacidade de dados e requisitos de conformidade regulatória.
- Vários cenários de segurança, como o monitoramento (auditoria) de acesso anômalo a dados confidenciais.
- Controlar o acesso e fortalecer a segurança de bancos de dados que contêm dados altamente confidenciais.
Observação
Para obter informações sobre SQL Server local, consulte Descoberta e Classificação de Dados do SQL.
O que é a Descoberta e Classificação de Dados?
A detecção e classificação de dados atualmente suporta os seguintes recursos:
Descoberta e recomendações: o mecanismo de classificação examina o banco de dados e identifica colunas contendo dados potencialmente confidenciais. Em seguida, ele oferece uma forma fácil de examinar e aplicar a classificação recomendada por meio do portal do Azure.
Rotulagem: você pode aplicar rótulos de classificação de sensibilidade persistentemente a colunas usando novos atributos de metadados que foram adicionados ao mecanismo de banco de dados do SQL Server. Esses metadados podem ser usados para cenários de auditoria baseada em confidencialidade.
Confidencialidade do conjunto de resultados da consulta: a confidencialidade do conjunto de resultados da consulta é calculada em tempo real para fins de auditoria.
Visibilidade: é possível exibir o estado da classificação do banco de dados em um dashboard detalhado no portal do Azure. Além disso, você pode baixar um relatório no formato do Excel para fins de conformidade e auditoria e outras necessidades.
Descobrir, classificar e rotular colunas confidenciais
Esta seção descreve as etapas para:
- Descobrir, classificar e rotular as colunas que contêm dados confidenciais em um banco de dado.
- Ver o estado de classificação atual do banco de dados e exportar relatórios.
A classificação inclui dois atributos de metadados:
- Rótulos: os atributos de classificação principais, usados para definir o nível de confidencialidade dos dados armazenados na coluna.
- Tipos de informações: atributos que mostram informações mais granulares sobre o tipo de dados armazenados na coluna.
Política de Proteção de Informações
O SQL do Azure oferece a política de Proteção de Informações do SQL e da Microsoft na classificação de dados e você pode escolher qualquer uma dessas duas políticas com base nos seus requisitos.
Política de Proteção de Informações do SQL
A classificação e descoberta de dados tem um conjunto interno de rótulos de confidencialidade e tipos de informações com lógica de descoberta que é nativa do servidor lógico de SQL. Você pode continuar usando os rótulos de proteção disponíveis no arquivo de política padrão ou personalizar essa taxonomia. É possível definir um conjunto e uma classificação de constructos de classificação especificamente para seu ambiente.
Definir e personalizar sua taxonomia de classificação
Você define e personaliza a taxonomia de classificação em um só ponto central para toda a organização do Azure. Esse local está no Microsoft Defender para nuvem, como parte de sua política de segurança. Somente alguém com direitos administrativos no grupo de gerenciamento raiz da organização pode executar essa tarefa.
Como parte do gerenciamento de políticas, você pode definir rótulos personalizados, classificá-los e associá-los a um conjunto selecionado de tipos de informações. Você também pode adicionar seus próprios tipos de informações personalizados e configurá-los com padrões de cadeia de caracteres. Os padrões são adicionados à lógica de descoberta para identificar esse tipo de dados nos bancos de dados.
Para mais informações, consulte Personalizar a política de proteção de informações do SQL no Microsoft Defender para nuvem (versão prévia).
Após a definição da política para toda a organização, você pode continuar a classificação de bancos de dados individuais com a política personalizada.
Classificar o banco de dados no modo de política de Proteção de Informações do SQL
Observação
O exemplo a seguir usa o banco de dados SQL do Azure, mas você deve selecionar o produto apropriado em que deseja configurar a Descoberta e Classificação de Dados.
Vá para o Portal do Azure.
Navegue para Descoberta e Classificação de Dados no cabeçalho Segurança do painel do Banco de Dados SQL do Azure. A guia Visão Geral mostra um resumo do estado de classificação atual do banco de dados. O resumo inclui a lista detalhada de todas as colunas classificadas, que você também pode filtrar para mostrar apenas determinadas partes de esquema, tipos de informação e rótulos. Se você ainda não classificou nenhuma coluna, pule para a etapa 4.
Para baixar um relatório no formato Excel, clique na opção Exportar no menu superior do painel.
Para começar a classificar os dados, selecione a guia Classificação na página Descoberta e Classificação de Dados.
O mecanismo de classificação verifica o banco de dados em busca de colunas que contenham dados possivelmente confidenciais e mostra uma lista de classificações de coluna recomendadas.
Veja e aplique as recomendações de classificação:
Para ver a lista das classificações de colunas recomendadas, selecione o painel de recomendações na parte inferior do painel.
Para aceitar a recomendação de uma coluna específica, marque a caixa de seleção na coluna à esquerda da linha relevante. Para marcar todas as recomendações como aceitas, marque a última caixa de seleção à esquerda no cabeçalho da tabela de recomendações.
Para aplicar as recomendações selecionadas, selecione Aceitar recomendações selecionadas.
Você também pode classificar as colunas manualmente como uma alternativa ou além da classificação de recomendação:
Selecione Adicionar classificação no menu superior do painel.
Na janela de contexto que é aberta, selecionar o esquema, a tabela e a coluna que você deseja classificar e, em seguida, o tipo de informações e o rótulo de confidencialidade.
Selecione Adicionar classificação na parte inferior da janela de contexto.
Para concluir a classificação e rotular (marcar) de maneira persistente as colunas do banco de dados com os novos metadados de classificação, selecione Salvar na página Classificação.
Política de Proteção de Informações da Microsoft
Os rótulos de PIM (Proteção de Informações da Microsoft) fornecem uma forma simples e uniforme para que os usuários classifiquem dados confidenciais uniformemente em diferentes aplicativos da Microsoft. Os rótulos de confidencialidade da PIM são criados e gerenciados no Centro de conformidade do Microsoft 365. Para saber como criar e publicar rótulos confidenciais da PIM no Centro de conformidade do Microsoft 365, confira o artigo Criar e publicar rótulos de sensibilidade.
Pré-requisitos para mudar para a política de PIM
- O usuário atual tem permissões de Administrador de Segurança em todo o locatário para aplicar a política no nível do grupo de gerenciamento raiz do locatário. Para obter mais informações, confira Conceder permissões de todo o locatário para si mesmo.
- Seu locatário tem uma assinatura do Microsoft 365 ativa e você tem rótulos publicados do usuário atual. Para obter mais informações, confira Criar e configurar rótulos de confidencialidade e as respectivas políticas.
Classificar o banco de dados no modo de política de Proteção de Informações da Microsoft
Vá para o Portal do Azure.
Navegar para o seu banco de dados no Banco de Dados SQL do Azure
Acesse Classificação e Descoberta de Dados no título Segurança do painel do banco de dados.
Para selecionar a Política de Proteção de Informações da Microsoft, selecione a guia Visão Geral e Configurar.
Selecione a Política de Proteção de Informações da Microsoft nas opções Política de Proteção de Informações e selecione Salvar.
Se você acessar a guia Classificação ou selecionar Adicionar classificação, agora verá os rótulos de confidencialidade M365 aparecerem na lista suspensa Rótulo de confidencialidade.
O tipo de informações é
[n/a]
enquanto você está no modo de política de PIM e as recomendações e descoberta de dados automáticas permanecem desabilitadas.Um ícone de aviso poderá aparecer em uma coluna já classificada se a coluna tiver sido classificada usando uma política de Proteção de Informações diferente da política ativa atualmente. Por exemplo, se a coluna foi classificada com um rótulo usando a política de Proteção de Informações do SQL anteriormente e agora você está no modo de política de Proteção de Informações da Microsoft. Você verá um ícone de aviso nessa coluna específica. Esse ícone de aviso não indica nenhum problema, mas é usado apenas para fins de informações.
Auditar o acesso aos dados confidenciais
Um aspecto importante da classificação é a capacidade de monitorar o acesso a dados confidenciais. A Auditoria do SQL do Azure foi aprimorada para incluir um novo campo no log de auditoria, chamado data_sensitivity_information
. O campo registra as classificações de confidencialidade (rótulos) dos dados que foram retornados por uma consulta. Aqui está um exemplo:
Estas são as atividades que são realmente auditáveis com informações confidenciais:
- ALTER TABLE ... DROP COLUMN
- BULK INSERT
- SELECT
- Delete (excluir)
- INSERT
- MESCLAR
- UPDATE
- UPDATETEXT
- WRITETEXT
- DROP TABLE
- BACKUP
- DBCC CloneDatabase
- SELECT INTO
- INSERT INTO EXEC
- TRUNCATE TABLE
- DBCC SHOW_STATISTICS
- sys.dm_db_stats_histogram
Use sys.fn_get_audit_file para retornar informações de um arquivo de auditoria armazenado em uma conta de Armazenamento do Azure.
Permissões
Estas funções internas podem ler a classificação de dados de um banco de dados:
- Proprietário
- Leitor
- Colaborador
- Gerenciador de Segurança do SQL
- Administrador de Acesso do Usuário
Estas são as ações necessárias para ler a classificação de dados de um banco de dados:
- Microsoft.Sql/servers/databases/currentSensitivityLabels/*
- Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
- Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Estas funções internas podem modificar a classificação de dados de um banco de dados:
- Proprietário
- Colaborador
- Gerenciador de Segurança do SQL
Esta é a ação necessária para modificar a classificação de dados de um banco de dados:
- Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Saiba mais sobre permissões baseadas em função no RBAC do Azure.
Observação
As funções internas do SQL do Azure nesta seção se aplicam a um pool de SQL dedicado (anteriormente SQL DW), mas não estão disponíveis para pools de SQL dedicados e outros recursos do SQL nos espaços de trabalho do Azure Synapse. Para recursos SQL em espaços de trabalho do Azure Synapse, use as ações disponíveis para classificação de dados para criar funções personalizadas do Azure, conforme necessário para rotulamento. Para obter mais informações sobre as operações de provedor Microsoft.Synapse/workspaces/sqlPools
, consulte Microsoft.Synapse.
Gerenciar classificações
Você pode usar o T-SQL, uma API REST ou o PowerShell para gerenciar as classificações.
Usar T-SQL
Você pode usar o T-SQL para adicionar ou remover classificações de coluna, bem como para recuperar todas as classificações do banco de dados inteiro.
Observação
Ao usar o T-SQL para gerenciar rótulos, não há nenhuma validação de que os rótulos adicionados a uma coluna existem na política de proteção de informações organizacionais (o conjunto de rótulos exibido nas recomendações do portal). Portanto, cabe a você validar isso.
Para saber como usar o T-SQL para classificações, confira as seguintes referências:
- Para adicionar ou atualizar a classificação de uma ou mais colunas: ADD SENSITIVITY CLASSIFICATION
- Para remover a classificação de uma ou mais colunas: DROP SENSITIVITY CLASSIFICATION
- Para ver todas as classificações no banco de dados: sys.sensitivity_classifications
Usar cmdlets do PowerShell
Gerencie as classificações e as recomendações do Banco de Dados SQL do Azure e da Instância Gerenciada de SQL do Azure com o PowerShell.
Cmdlets do PowerShell para o Banco de Dados SQL do Azure
- Get-AzSqlDatabaseSensitivityClassification
- Set-AzSqlDatabaseSensitivityClassification
- Remove-AzSqlDatabaseSensitivityClassification
- Get-AzSqlDatabaseSensitivityRecommendation
- Enable-AzSqlDatabaSesensitivityRecommendation
- Disable-AzSqlDatabaseSensitivityRecommendation
Cmdlets do PowerShell para a Instância Gerenciada de SQL do Azure
- Get-AzSqlInstanceDatabaseSensitivityClassification
- Set-AzSqlInstanceDatabaseSensitivityClassification
- Remove-AzSqlInstanceDatabaseSensitivityClassification
- Get-AzSqlInstanceDatabaseSensitivityRecommendation
- Enable-AzSqlInstanceDatabaseSensitivityRecommendation
- Disable-AzSqlInstanceDatabaseSensitivityRecommendation
Usar a API REST
Você pode usar a API REST para gerenciar programaticamente classificações e recomendações. A API REST publicada dá suporte às seguintes operações:
- Criar ou Atualizar: Cria ou atualiza o rótulo de confidencialidade da coluna especificada.
- Excluir: exclui o rótulo de confidencialidade da coluna especificada.
- Desabilitar recomendação: desabilita as recomendações de confidencialidade da coluna especificada.
- Habilitar recomendação: habilita as recomendações de confidencialidade da coluna especificada. As recomendações são habilitadas por padrão em todas as colunas.
- Obter: obtém o rótulo de confidencialidade da coluna especificada.
- Lista por Banco de Dados Atual: obtém os rótulos de confidencialidade atuais do banco de dados especificado.
- Lista por Banco de Dados Recomendado: obtém os rótulos de confidencialidade recomendados do banco de dados especificado.
Recuperar metadados de classificações usando drivers SQL
Você pode usar os seguintes drivers SQL para recuperar metadados de classificação:
- Microsoft.Data.SqlClient
- Driver ODBC
- Driver OLE DB
- Driver JDBC
- Drivers da Microsoft para PHP para SQL Server
Perguntas frequentes – Recursos de classificação avançada
Pergunta: o Microsoft Purview substituirá a Descoberta e Classificação de Dados SQL ou a Descoberta e Classificação de Dados SQL será desativada em breve? Resposta: continuamos a oferecer suporte à Descoberta e Classificação de Dados SQL e incentivamos você a adotar o Microsoft Purview, que tem recursos mais avançados para impulsionar os recursos de classificação avançada e a governança de dados. Se decidirmos desativar qualquer serviço, recurso, API ou SKU, você receberá uma notificação com antecedência, incluindo um caminho de migração ou de transição. Saiba mais sobre as políticas de ciclo de vida da Microsoft aqui.
Próximas etapas
- Considere configurar a Auditoria do SQL do Azure para monitorar e auditar o acesso aos dados confidenciais classificados.
- Para ver uma apresentação que inclui a Descoberta e Classificação de Dados, confira Descobrir, classificar, rotular e proteger dados SQL | Expondo os dados.
- Para classificar bancos de dados SQL do Azure e o Azure Synapse Analytics com os rótulos do Microsoft Purview usando comandos do T-SQL, confira Classificar seus dados do SQL do Azure usando os rótulos do Microsoft Purview.
Comentários
https://aka.ms/ContentUserFeedback.
Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see:Enviar e exibir comentários de