Deteção e Classificação de Dados

Aplica-se a:Banco de Dados SQL do Azure Azure SQLManaged InstanceAzure Synapse Analytics

A Deteção e Classificação de Dados está incorporada na Base de Dados SQL do Azure, no Azure SQL Managed Instance e no Azure Synapse Analytics. Proporciona capacidades básicas para detetar, classificar, etiquetar e comunicar dados confidenciais nas bases de dados.

Os seus dados mais sensíveis podem incluir informações comerciais, financeiras, de cuidados de saúde ou pessoais. Pode funcionar como infraestrutura para:

• Ajudando a cumprir os padrões de privacidade de dados e os requisitos de conformidade regulamentar.
• Vários cenários de segurança, como monitoramento (auditoria) de acesso a dados confidenciais.
• Controlar o acesso e reforçar a segurança das bases de dados que contêm dados altamente sensíveis.

Nota

Para obter informações sobre o SQL Server local, consulte SQL Data Discovery & Classificação.

O que é Data Discovery & Classification?

Atualmente, o Data Discovery & Classification oferece suporte aos seguintes recursos:

• Descoberta e recomendações: o mecanismo de classificação verifica seu banco de dados e identifica colunas que contêm dados potencialmente confidenciais. Em seguida, ele fornece uma maneira fácil de revisar e aplicar a classificação recomendada por meio do portal do Azure.

• Rotulagem: você pode aplicar rótulos de classificação de sensibilidade persistentemente a colunas usando novos atributos de metadados que foram adicionados ao mecanismo de banco de dados do SQL Server. Esses metadados podem ser usados para cenários de auditoria baseados em sensibilidade.

• Sensibilidade do conjunto de resultados da consulta: A sensibilidade de um conjunto de resultados da consulta é calculada em tempo real para fins de auditoria.

• Visibilidade: você pode exibir o estado de classificação do banco de dados em um painel detalhado no portal do Azure. Além disso, você pode baixar um relatório no formato Excel para usar para fins de conformidade e auditoria e outras necessidades.

Detetar, classificar e etiquetar colunas confidenciais

Esta seção descreve as etapas para:

• Descobrir, classificar e rotular colunas que contêm dados confidenciais em seu banco de dados.
• Visualizar o estado atual de classificação do banco de dados e exportar relatórios.

A classificação inclui dois atributos de metadados:

• Rótulos: Os principais atributos de classificação, usados para definir o nível de sensibilidade dos dados armazenados na coluna.
• Tipos de informações: atributos que fornecem informações mais granulares sobre o tipo de dados armazenados na coluna.

Política de proteção de informações

O SQL do Azure oferece a política de Proteção de Informações SQL e a política de Proteção de Informações da Microsoft na classificação de dados, e você pode escolher uma dessas duas políticas com base em sua necessidade.

Política de Proteção de Informações SQL

O Data Discovery & Classification vem com um conjunto interno de rótulos de sensibilidade e tipos de informações com lógica de descoberta que é nativa do servidor lógico SQL. Você pode continuar usando os rótulos de proteção disponíveis no arquivo de política padrão ou personalizar essa taxonomia. Você pode definir um conjunto e uma classificação de construções de classificação especificamente para seu ambiente.

Definir e personalizar sua taxonomia de classificação

Você define e personaliza sua taxonomia de classificação em um local central para toda a sua organização do Azure. Esse local está no Microsoft Defender for Cloud, como parte da sua política de segurança. Somente alguém com direitos administrativos no grupo de gerenciamento raiz da organização pode fazer essa tarefa.

Como parte do gerenciamento de políticas, você pode definir rótulos personalizados, classificá-los e associá-los a um conjunto selecionado de tipos de informações. Você também pode adicionar seus próprios tipos de informações personalizadas e configurá-los com padrões de cadeia de caracteres. Os padrões são adicionados à lógica de descoberta para identificar esse tipo de dados em seus bancos de dados.

Para obter mais informações, consulte Personalizar a política de proteção de informações SQL no Microsoft Defender for Cloud (Visualização).

Depois que a política para toda a organização tiver sido definida, você poderá continuar classificando bancos de dados individuais usando sua política personalizada.

Classificar o banco de dados no modo de política de Proteção de Informações SQL

Nota

O exemplo abaixo usa o Banco de Dados SQL do Azure, mas você deve selecionar o produto apropriado que deseja configurar a Descoberta de Dados & Classificação.

1. Aceda ao portal do Azure.

2. Vá para Descoberta de Dados & Classificação sob o título Segurança no painel Banco de Dados SQL do Azure. A guia Visão geral inclui um resumo do estado atual da classificação do banco de dados. O resumo inclui uma lista detalhada de todas as colunas classificadas, que você também pode filtrar para mostrar apenas partes específicas do esquema, tipos de informações e rótulos. Se você ainda não classificou nenhuma coluna, pule para a etapa 4.

   

3. Para baixar um relatório no formato Excel, selecione Exportar no menu superior do painel.

4. Para começar a classificar seus dados, selecione a guia Classificação na página Descoberta de Dados & Classificação.

   O mecanismo de classificação verifica seu banco de dados em busca de colunas que contenham dados potencialmente confidenciais e fornece uma lista de classificações de colunas recomendadas.

5. Veja e aplique recomendações de classificação:

   • Para exibir a lista de classificações de coluna recomendadas, selecione o painel de recomendações na parte inferior do painel.

   • Para aceitar uma recomendação para uma coluna específica, marque a caixa de seleção na coluna esquerda da linha relevante. Para marcar todas as recomendações como aceitas, marque a caixa de seleção mais à esquerda no cabeçalho da tabela de recomendações.

   • Para aplicar as recomendações selecionadas, selecione Aceitar recomendações selecionadas.

   

6. Você também pode classificar colunas manualmente, como alternativa ou além da classificação baseada em recomendações:

   1. Selecione Adicionar classificação no menu superior do painel.

   2. Na janela de contexto que se abre, selecione o esquema, a tabela e a coluna que deseja classificar, bem como o tipo de informação e o rótulo de sensibilidade.

   3. Selecione Adicionar classificação na parte inferior da janela de contexto.

   

7. Para concluir sua classificação e rotular (marcar) persistentemente as colunas do banco de dados com os novos metadados de classificação, selecione Salvar na página Classificação .

Política de Proteção de Informações da Microsoft

Os rótulos de Proteção de Informações da Microsoft (MIP) fornecem uma maneira simples e uniforme para os usuários classificarem dados confidenciais uniformemente em diferentes aplicativos da Microsoft. Os rótulos de sensibilidade MIP são criados e gerenciados no centro de conformidade do Microsoft 365. Para saber como criar e publicar rótulos sensíveis a MIP no centro de conformidade do Microsoft 365, consulte o artigo Criar e publicar rótulos de sensibilidade.

Pré-requisitos para mudar para a política MIP

• O usuário atual tem permissões de administrador de segurança em todo o locatário para aplicar a política no nível do grupo de gerenciamento raiz do locatário. Para obter mais informações, consulte Conceder permissões para todo o locatário a si mesmo.
• O seu inquilino tem uma subscrição ativa do Microsoft 365 e tem etiquetas publicadas para o utilizador atual. Para obter mais informações, consulte Criar e configurar rótulos de sensibilidade e suas políticas.

Classificar o banco de dados no modo de política de Proteção de Informações da Microsoft

1. Aceda ao portal do Azure.

2. Navegue até seu banco de dados no Banco de Dados SQL do Azure

3. Vá para Descoberta de Dados & Classificação sob o título Segurança no painel do banco de dados.

4. Para selecionar a política de Proteção de Informações da Microsoft, selecione a guia Visão geral e selecione Configurar.

5. Selecione Política de Proteção de Informações da Microsoft nas opções de política de Proteção deInformações e selecione Salvar.

   

6. Se você for para a guia Classificação ou selecionar Adicionar classificação, verá os rótulos de sensibilidade M365 aparecerem na lista suspensa Rótulo de sensibilidade .

   

   

• O tipo de informação é [n/a] enquanto você está no modo de política MIP e as recomendações de descoberta automática de dados e permanecem desabilitadas.

• Um ícone de aviso pode aparecer em uma coluna já classificada se a coluna tiver sido classificada usando uma política de Proteção de Informações diferente da política ativa no momento. Por exemplo, se a coluna foi classificada com um rótulo usando a política de Proteção de Informações SQL anteriormente e agora você está no modo de diretiva de Proteção de Informações da Microsoft. Você verá um ícone de aviso contra essa coluna específica. Este ícone de aviso não indica qualquer problema, mas é utilizado apenas para fins informativos.

  

Auditar o acesso a dados confidenciais

Um aspeto importante da classificação é a capacidade de monitorar o acesso a dados sensíveis. A Auditoria SQL do Azure foi aprimorada para incluir um novo campo no log de auditoria chamado data_sensitivity_information. Este campo registra as classificações de sensibilidade (rótulos) dos dados retornados por uma consulta. Eis um exemplo:

Estas são as atividades que são realmente auditáveis com informações confidenciais:

• ALTER TABELA ... SOLTAR COLUNA
• BULK INSERT
• SELECIONAR
• DELETE
• INSERT
• MESCLAR
• ATUALIZAR
• TEXTO DE ATUALIZAÇÃO
• ESCREVER TEXTO
• DROP TABLE
• CÓPIA DE SEGURANÇA
• DBCC CloneDatabase
• SELECIONE EM
• INSERIR NO EXEC
• TRUNCATE TABLE
• DBCC SHOW_STATISTICS
• sys.dm_db_stats_histogram

Use sys.fn_get_audit_file para retornar informações de um arquivo de auditoria armazenado em uma conta de Armazenamento do Azure.

Permissões

Essas funções internas podem ler a classificação de dados de um banco de dados:

• Proprietário
• Leitor
• Contribuinte
• Gestor de Segurança SQL
• Administrador de Acesso do Utilizador

Estas são as ações necessárias para ler a classificação de dados de um banco de dados são:

• Microsoft.Sql/servers/databases/currentSensitivityLabels/*
• Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
• Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Essas funções internas podem modificar a classificação de dados de um banco de dados:

• Proprietário
• Contribuinte
• Gestor de Segurança SQL

Esta é a ação necessária para modificar a classificação de dados de um banco de dados são:

• Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Saiba mais sobre permissões baseadas em função no Azure RBAC.

Nota

As funções internas do SQL do Azure nesta seção se aplicam a um pool SQL dedicado (anteriormente SQL DW), mas não estão disponíveis para pools SQL dedicados e outros recursos SQL nos espaços de trabalho do Azure Sinapse. Para recursos SQL em espaços de trabalho do Azure Synapse, use as ações disponíveis para classificação de dados para criar funções personalizadas do Azure conforme necessário para rotulagem. Para obter mais informações sobre as operações do Microsoft.Synapse/workspaces/sqlPools provedor, consulte Microsoft.Synapse.

Gerir classificações

Você pode usar o T-SQL, uma API REST ou o PowerShell para gerenciar classificações.

Utilizar o T-SQL

Você pode usar o T-SQL para adicionar ou remover classificações de coluna e recuperar todas as classificações de todo o banco de dados.

Nota

Quando você usa o T-SQL para gerenciar rótulos, não há validação de que os rótulos adicionados a uma coluna existem na política de proteção de informações da organização (o conjunto de rótulos que aparecem nas recomendações do portal). Então, cabe a você validar isso.

Para obter informações sobre como usar o T-SQL para classificações, consulte as seguintes referências:

• Para adicionar ou atualizar a classificação de uma ou mais colunas: ADICIONAR CLASSIFICAÇÃO DE SENSIBILIDADE
• Para remover a classificação de uma ou mais colunas: CLASSIFICAÇÃO DE SENSIBILIDADE À QUEDA
• Para visualizar todas as classificações na base de dados: sys.sensitivity_classifications

Utilizar cmdlets do PowerShell

Gerencie classificações e recomendações para o Banco de Dados SQL do Azure e a Instância Gerenciada SQL do Azure usando o PowerShell.

Cmdlets do PowerShell para o Banco de Dados SQL do Azure

• Get-AzSqlDatabaseSensitivityClassification
• Set-AzSqlDatabaseSensitivityClassification
• Remove-AzSqlDatabaseSensitivityClassification
• Get-AzSqlDatabaseSensitivityRecomendação
• Enable-AzSqlDatabaSesensitivityRecomendação
• Disable-AzSqlDatabaseSensitivityRecomendação

Cmdlets do PowerShell para Instância Gerenciada SQL do Azure

• Get-AzSqlInstanceDatabaseSensitivityClassification
• Set-AzSqlInstanceDatabaseSensitivityClassification
• Remove-AzSqlInstanceDatabaseSensitivityClassification
• Get-AzSqlInstanceDatabaseSensitivityRecommendation
• Enable-AzSqlInstanceDatabaseSensitivityRecommendation
• Disable-AzSqlInstanceDatabaseSensitivityRecommendation

Utilizar a API REST

Você pode usar a API REST para gerenciar programaticamente classificações e recomendações. A API REST publicada suporta as seguintes operações:

• Criar ou atualizar: cria ou atualiza o rótulo de sensibilidade da coluna especificada.
• Excluir: exclui o rótulo de sensibilidade da coluna especificada.
• Desativar recomendação: desativa as recomendações de sensibilidade na coluna especificada.
• Ativar recomendação: habilita recomendações de sensibilidade na coluna especificada. (As recomendações são ativadas por padrão em todas as colunas.)
• Get: Obtém o rótulo de sensibilidade da coluna especificada.
• List Current By Database: Obtém os rótulos de sensibilidade atuais do banco de dados especificado.
• Lista recomendada pelo banco de dados: Obtém os rótulos de sensibilidade recomendados do banco de dados especificado.

Recuperar metadados de classificações usando drivers SQL

Você pode usar os seguintes drivers SQL para recuperar metadados de classificação:

• Microsoft.Data.SqlClient
• Controlador ODBC
• OLE DB Driver
• Controlador JDBC
• Drivers da Microsoft para PHP para SQL Server

FAQ - Recursos avançados de classificação

Pergunta: O Microsoft Purview substituirá o SQL Data Discovery & Classification ou o SQL Data Discovery & Classification será desativado em breve? Resposta: Continuamos a oferecer suporte ao SQL Data Discovery & Classification e incentivamos você a adotar o Microsoft Purview , que tem recursos mais avançados para impulsionar recursos avançados de classificação e governança de dados. Se decidirmos descontinuar qualquer serviço, funcionalidade, API ou SKU, receberá um aviso prévio, incluindo uma estratégia de migração ou transição. Saiba mais sobre as políticas de ciclo de vida da Microsoft aqui.

Próximos passos

• Considere configurar a Auditoria SQL do Azure para monitorar e auditar o acesso aos seus dados confidenciais classificados.
• Para uma apresentação que inclui Descoberta de dados e Classificação, consulte Descobrindo, classificando, rotulando & protegendo dados SQL | Dados expostos.
• Para classificar seus Bancos de Dados SQL do Azure e o Azure Synapse Analytics com rótulos do Microsoft Purview usando comandos T-SQL, consulte Classificar seus dados SQL do Azure usando rótulos do Microsoft Purview.