练习 - 对 Azure SQL 数据库进行分类

  • 10 分钟

在此练习中,你将创建资源组和包含 AdventureWorksLT 示例数据的 Azure SQL 数据库单一数据库

  1. 使用激活 Azure 沙盒时所用的同一个帐户登录 Azure 门户。 请确保你位于 Microsoft Learn 沙盒目录中。

  2. 在主页的“Azure 服务”下,选择“创建资源”。 此时会显示“创建资源”窗格。

  3. 在左侧菜单窗格中,依次选择“数据库”和“SQL 数据库”。 此时,“创建 SQL 数据库”窗格显示。

    Screenshot of the SQL Database create page.

  4. 在“基本信息”选项卡上,为每个设置输入以下值。

    设置
    项目详细信息
    订阅 Concierge 订阅
    资源组 使用现有组 [沙盒资源组名称]
    数据库详细信息
    数据库名称 输入 LearnDataPolicy
    服务器 在下拉列表中,选择“新建”链接。 此时将显示“创建 SQL 数据库服务器”窗格。
    服务器名称 请输入一个全局唯一的服务器名称
    位置 从以下列表中选择任何有效位置。
    身份验证方法 选择使用 SQL 身份验证
    服务器管理员登录名 用作主管理员登录名的数据库标识符
    密码 输入有效密码,至少包含八个字符,并包含以下三个类别中的字符:大写字符、小写字符、数字和非字母数字字符。

    使用免费沙盒,可以在部分 Azure 全球区域中创建资源。 创建资源时,请从下面的列表中选择一个区域:

    • 美国西部 2
    • 美国中南部
    • 美国中部
    • 美国东部
    • 西欧
    • 东南亚
    • Japan East
    • Brazil South
    • Australia Southeast
    • 印度中部

  5. 选择“确定”。 此时会再次显示“创建 SQL 数据库”窗格。

  6. 继续在“基本”选项卡上,为每个设置输入以下值。

    设置
    数据库详细信息
    是否要使用 SQL 弹性池? 请选择“否”。

  7. 选择窗口顶部附近的“安全性”选项卡。

  8. 为设置输入以下值。

    设置
    Microsoft Defender for SQL 启用 Microsoft Defender for SQL,验证是否已选择“开始免费试用”。

  9. 选择窗口顶部附近的“其他设置”选项卡。

  10. 为设置输入以下值。

    设置
    数据源
    使用现有数据 选择“示例”

  11. 将其余值保留为默认值,然后选择屏幕底部的“查看 + 创建”。

  12. 查看最终设置,然后选择屏幕底部的“创建”。

使用示例数据部署数据服务器需要几分钟时间。 完成后,选择“转到资源”,转到新 SQL 数据库的“概述”窗格。

SQL 信息保护 (SQL IP)

SQL IP 提供一组高级服务和 SQL 功能,在 SQL 中形成新的信息保护范例,旨在保护数据,而不仅仅是数据库:

  • Azure SQL 审核:Azure SQL 审核跟踪数据库事件,并将它们写入到 Azure 存储帐户、Log Analytics 工作区或事件中心内的审核日志中。
  • 数据发现和分类:数据发现和分类内置于 Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 中。 它提供用于发现、分类、标记和报告数据库中的敏感数据的高级功能。
  • 动态数据掩码:Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 支持动态数据掩码。 动态数据屏蔽通过对非特权用户屏蔽敏感数据来限制敏感数据的公开。
  • Microsoft Defender for Cloud:扫描数据库,并提出建议来提高安全性。 还允许设置和监视安全警报。
  • 透明数据加密:透明数据加密可对数据库、备份和日志进行静态加密,无需对应用程序进行任何更改。 若要启用加密,请转到各个数据库。

对 SQL DB 进行分类

让我们对该示例 Azure SQL 数据库中的数据进行分类。 在 SQL 数据库窗格中:

  1. 在左侧菜单窗格中,选择“Microsoft Defender for Cloud”。 随即显示针对你的 SQL 数据库的 Microsoft Defender for Cloud 窗格。

  2. 如果未启用 Microsoft Defender for SQL,请选择“配置”链接。 此时将显示“服务器设置”窗格。

  3. 确保 Microsoft Defender for SQL 已启用,然后选择“保存”。 如上述说明中所述,可在数据库创建期间启用此设置。 激活需要一分钟时间。

  4. 在左侧菜单窗格的“安全性”下,选择“数据发现和分类”。 此时将显示“数据发现和分类”

  5. 初始状态有 15 个包含分类建议的列。 选择该链接,查看建议。 如果你尚未运行检查,请立即执行此操作。

    Screenshot of the Data discovery and classification pane, Overview tab with the previously mentioned items displaying.

  6. 选择所有列,然后选择“接受所选的建议”。

    Screenshot that shows all the columns selected.

  7. 在顶部菜单栏中,选择“保存”以保存建议,然后跳转回“数据发现和分类”窗格

  8. 查看“数据发现和分类”。 请注意,该选项卡包含数据库当前分类状态的总结,其中包括所有已分类列的详细列表。 你也可以筛选此视图,以仅查看特定架构部分、信息类型和标签。

    Screenshot of the Data discovery and classification pane, Overview tab with the previously mentioned items now displaying with 15 columns.

  9. 在“概述”选项卡的顶部菜单栏中,选择“导出”以下载 Excel 格式的报表。 选择“下载” 。

    Screenshot of the Data discovery and classification pane with Export selected.

自定义分类

“分类”选项卡列出了列和数据的分类方式。

Screenshot of the Classification tab.

正如你先前所见,分类引擎会扫描数据库,查找包含潜在敏感数据的列,并提供“建议列分类”列表。

可按照之前所做的操作执行建议的分类,也可以手动将列分类为其替代项或除了基于建议的分类。

  1. 在顶部菜单栏中,选择“添加分类”。 此时将显示“添加分类”窗格。

    Screenshot of the Data discovery and classification pane with Add classification selected.

  2. 配置以下五个字段:

    • 架构名称
    • 表名
    • 列名
    • 信息类型
    • 敏感度标签

    Screenshot of the Add classification pane, with the previously mentioned fields called out.

  3. 选择“添加分类”。

  4. 要完成分类并使用新的分类元数据永久标记数据库的列,请在顶部菜单栏中选择“保存”。

  5. 你现在应能看到窗格顶部的“概述”和“分类”选项卡。

  6. 选择“分类”选项卡,并更改标识列的某些分类(例如,将“PasswordHash”设置为“敏感度”标签列中的“高度机密”)。

  7. 还可通过“概述”选项卡上图形正下方的筛选器框筛选要查看的数据。

监视对敏感数据的访问

IP 的一个重要方面是能够监视对敏感数据的访问。 Azure SQL 数据库审核已增强,可在审核日志中添加新字段。 Data_sensitivity_information 字段记录查询返回的实际数据的敏感度分类(标签)

Screenshot of field logs, with data sensitivity categorizations of Confidential.

请考虑配置 Azure SQL 数据库审核,以便对已分类的敏感数据的访问进行监视和审核。