Partilhar via

Descoberta e classificação de dados SQL

Aplica-se a: SQL Server

O Data Discovery & Classification adiciona recursos para descobrir, classificar, rotular e relatar os dados confidenciais nos seus bancos de dados. Isto pode ser feito via T-SQL ou usando SQL Server Management Studio (SSMS). Descobrir e classificar os seus dados mais sensíveis (empresariais, financeiros, de saúde, etc.) pode desempenhar um papel fundamental na sua posição de proteção de informações organizacional. Pode servir de infraestrutura para:

  • Ajudar a cumprir as normas de privacidade de dados.
  • Monitorizar o acesso a bases de dados/colunas que contêm dados altamente sensíveis.

Observação

Descoberta e Classificação de Dados é suportada para SQL Server 2012 e posteriores, e pode ser utilizada com SSMS 17.5 ou versões seguintes. Para Azure SQL Database, veja Azure SQL Database Descoberta e Classificação de Dados.

Visão geral

Descoberta de Dados & A classificação constitui um novo paradigma de proteção da informação para a SQL Database, SQL Managed Instance e Azure Synapse, destinado a proteger os dados e não apenas a base de dados. Atualmente suporta as seguintes capacidades:

  • Descoberta e recomendações - O mecanismo de classificação verifica seu banco de dados e identifica colunas contendo dados potencialmente confidenciais. Em seguida, ele fornece uma maneira fácil de revisar e aplicar as recomendações de classificação apropriadas, bem como classificar manualmente as colunas.
  • Rotulagem - Os rótulos de classificação de sensibilidade podem ser associados persistentemente às colunas.
  • Visibilidade - O estado de classificação do banco de dados pode ser visualizado em um relatório detalhado que pode ser impresso ou exportado para ser usado para fins de conformidade e auditoria.

Descobrindo, classificando e rotulando colunas confidenciais

A seção a seguir descreve as etapas para descobrir, classificar e rotular colunas contendo dados confidenciais em seu banco de dados, bem como exibir o estado atual de classificação do banco de dados e exportar relatórios.

A classificação inclui dois atributos de metadados:

  • Rótulos - Os principais atributos de classificação, usados para definir o nível de sensibilidade dos dados armazenados na coluna.
  • Tipos de informações - Fornece mais granularidade no tipo de dados armazenados na coluna.

Para classificar a sua base de dados de SQL Server:

  1. No SQL Server Management Studio (SSMS), ligue-se ao SQL Server.

  2. No SSMS Object Explorer, selecione a base de dados que pretende classificar e escolha Tarefas>Descoberta e Classificação de Dados>Classificar Dados... .

    Captura de ecrã que mostra o Explorador de Objetos do SSMS com Tarefas Descoberta e Classificação de Dados Classificar Dados... selecionado.

  3. O mecanismo de classificação verifica seu banco de dados em busca de colunas (com base apenas em nomes de colunas) que contenham dados potencialmente confidenciais e fornece uma lista de classificações de colunas recomendadas:

    • Para visualizar a lista de classificações de coluna recomendadas, selecione a caixa de notificação de recomendações na parte superior ou o painel de recomendações na parte inferior da janela:

      Captura de tela mostrando a notificação que diz Encontramos 39 colunas com recomendações de classificação. Clique aqui para vê-los.

      Captura de tela mostrando a notificação que diz 39 colunas com recomendações de classificação (clique para ver).

    • Reveja a lista de recomendações:

      • Para aceitar uma recomendação para uma coluna específica, marque a caixa de seleção na coluna esquerda da linha relevante. Você também pode marcar todas as recomendações como aceitas marcando a caixa de seleção no cabeçalho da tabela de recomendações.

      • Também pode alterar o tipo de informação recomendada e o rótulo de sensibilidade utilizando as caixas suspensas.

      Captura de ecrã a mostrar a lista de recomendações.

    • Para aplicar as recomendações selecionadas, selecione o botão Salvar recomendações selecionadas .

      Captura de ecrã do botão Aceitar recomendações selecionadas.

Observação

O motor de recomendação, que faz descoberta automática de dados e fornece recomendações de colunas sensíveis, está desativado quando no modo de política do Microsoft Purview Information Protection.

  1. Para exibir as colunas classificadas, selecione o esquema apropriado e a tabela correspondente na lista suspensa e, em seguida, selecione Carregar colunas.

    Captura de ecrã do SSMS durante a classificação de dados e o carregamento de colunas classificadas.

  2. Você também pode classificar manualmente as colunas como uma alternativa ou, além disso, à classificação baseada em recomendações:

    • Selecione Adicionar classificação no menu superior da janela.

      Captura de ecrã a mostrar o menu superior com a opção Adicionar classificação realçada.

    • Na janela de contexto que se abre, introduza o nome da coluna que pretende classificar, o tipo de informação e a etiqueta de sensibilidade. O esquema e a tabela são selecionados com base nas entradas na página principal.

      Captura de ecrã que mostra a janela de contexto Adicionar Classificação.

    • Se desejar adicionar classificação a todas as colunas não classificadas de uma tabela específica numa única tentativa, selecione Todos os Não Classificados na lista suspensa Coluna da página Adicionar Classificação.

      captura de ecrã da classificação de dados do SSMS a selecionar todas as colunas não classificadas

  3. Para concluir sua classificação e rotular (marcar) persistentemente as colunas do banco de dados com os novos metadados de classificação, selecione o botão Salvar no menu superior da janela.

    Captura de tela mostrando o menu superior com a opção Salvar destacada.

  4. Para gerar um relatório com um resumo completo do estado de classificação do banco de dados, selecione Exibir relatório no menu superior da janela. (Você também pode gerar um relatório usando o SSMS. Selecione o banco de dados onde deseja gerar o relatório e escolha Tarefas>,Descoberta de Dados e Classificação>,Gerar Relatório...)

    Captura de ecrã a mostrar o menu superior com a opção Ver Relatório realçada.

    Captura de tela mostrando o Relatório de Classificação de Dados SQL.

Classifique a sua base de dados usando Microsoft Purview Information Protection Política

Observação

A Microsoft Information Protection (abreviada como MIP) foi rebatizada como Microsoft Purview Information Protection. Tanto os termos MIP como Microsoft Purview Information Protection são frequentemente usados de forma intercambiável neste documento, mas ambos referem-se ao mesmo conceito.

Microsoft Purview Information Protection etiquetas fornecem uma forma simples e uniforme para os seus utilizadores classificarem dados sensíveis em SQL Server. Os rótulos de sensibilidade MIP são criados e geridos no centro de conformidade Microsoft 365 [rebatizado como portal de conformidade Microsoft Purview]. Para saber como criar e publicar etiquetas de sensibilidade MIP no Portal de Conformidade do Microsoft Purview, consulte o artigo etiquetas de sensibilidade do Microsoft Information Protection.

Agora pode usar o SSMS para classificar dados na origem (SQL Server) usando etiquetas Microsoft Purview Information Protection, que são usadas no Power BI, Office e outros produtos Microsoft. Estas etiquetas de sensibilidade são aplicadas ao nível da coluna numa base de dados, tal como a política SQL Information Protection.

Os conjuntos de dados ou relatórios do Power BI que se conectam a dados rotulados como confidenciais em fontes de dados com suporte podem herdar esses rótulos automaticamente, para que os dados permaneçam classificados quando trazidos para o Power BI e exportados para aplicativos downstream. A disponibilidade da política de MIP no SSMS permite que você obtenha uma solução completa de classificação em toda a empresa.

Passos para configurar Microsoft Purview Information Protection política

  1. No SQL Server Management Studio (SSMS), ligue-se ao SQL Server.

  2. No Object Explorer SSMS, selecione a base de dados que pretende classificar e selecione Tarefas>Descoberta e Classificação de Dados>Definir Política Information Protection Microsoft

    Captura de ecrã para definir a Política de Proteção de Informação da Microsoft no SSMS

  3. Será exibida uma janela de autenticação para o Microsoft 365 definir a Microsoft Information Protection Policy. Selecione Iniciar Sessão e introduza ou selecione uma credencial de utilizador válida para autenticar junto do seu inquilino Microsoft 365.

    Captura de ecrã de autenticação para definir a Política de Proteção de Informação da Microsoft

  4. Se a autenticação for bem-sucedida, você verá uma janela pop-up com o status como Sucesso.

    Captura de ecrã da definição da Política de Microsoft Information Protection com sucesso no SSMS

  5. Opcional - Se quiser iniciar sessão em qualquer uma das cloud soberanas da Microsoft para autenticar em Microsoft 365, vá a SSMS >Tools>Options>Azure Services>Azure Cloud, e mudar o Nome para a cloud soberana Microsoft relevante.

    Captura de ecrã da seleção do tipo de nuvem de Azure no SSMS

  6. Na janela SSMS Object Explorer, clique com o botão direito na base de dados que pretende classificar e escolha Tarefas>Descoberta e Classificação de Dados>Classificar Dados. Agora pode adicionar novas classificações usando etiquetas de sensibilidade MIP definidas no seu tenant Microsoft 365 e usar essas etiquetas para classificar colunas no SQL Server.

    Escolher etiquetas de sensibilidade da Microsoft Information Protection Policy no SSMS

    A descoberta e recomendação automática de dados está desativada enquanto estiver no modo Microsoft Information Protection Policy. Está atualmente disponível apenas no modo SQL Information Protection Policy.

Para repor a Política de Proteção de Informação para o padrão ou SQL Information Protection, vá ao Object Explorer no SSMS, clique com o botão direito na base de dados e escolha Tarefas>Descoberta e Classificação de Dados>Repor Política de Proteção de Informação para o Padrão. Isto aplicará a política padrão ou SQL Information Protection e pode classificar os dados usando etiquetas de sensibilidade SQL em vez de etiquetas MIP.

Captura de ecrã da redefinição da política Information Protection no SSMS

Para ativar a Política de Proteção de Informação a partir de um ficheiro JSON personalizado, vá ao SSMS Object Explorer, clique com o botão direito na base de dados e escolha Tarefas>Descoberta e Classificação de Dados>Definir Ficheiro de Política de Proteção de Informação.

Observação

Um ícone de aviso indica que a coluna foi anteriormente classificada usando uma Política de Proteção de Informação diferente da atualmente selecionada. Por exemplo, se está atualmente no modo Microsoft Information Protection, e uma das colunas foi anteriormente classificada usando "SQL Information Protection Policy" ou "Information Protection Policy" a partir de um ficheiro de política personalizada, verá um ícone de aviso junto a essa coluna. Você pode decidir se deseja alterar a classificação da coluna para qualquer um dos rótulos de sensibilidade disponíveis no modo de política atual ou deixá-la como está. Captura de ecrã do aviso de Classificação de Dados sobre políticas incompatíveis

Gerir a Política de Proteção de Informação com SSMS

Pode gerir a Política de Information Protection usando a versão mais recente de SQL Server Management Studio:

  1. No SQL Server Management Studio (SSMS), ligue-se ao SQL Server.

  2. No Object Explorer SSMS, selecione uma das suas bases de dados e escolha Tarefas>Descoberta e Classificação de Dados.

    As seguintes opções de menu permitem-lhe gerir a Política de Information Protection:

  • Defina a Política de Proteção de Informações da Microsoft: define a Política de Proteção de Informações para a Política de Proteção de Informações do Microsoft Purview.

  • Ficheiro de Política de Proteção de Informação: utiliza a Política de Proteção de Informação SQL conforme definida no ficheiro JSON selecionado. (Ver o ficheiro de política predefinido Ficheiro de Política de Proteção de Informações)

  • Exportação da Política de Proteção de Informações: exporta a política de proteção de informações para um ficheiro JSON.

  • Reset Information Protection Policy: redefine a Política de Proteção de Informação para a Política Padrão de Proteção de Informação SQL.

Importante

O ficheiro de proteção de informação não está armazenado no SQL Server. O SSMS usa uma Política de Proteção de Informação padrão. Se uma Política de Information Protection personalizada falhar, o SSMS não pode usar a política padrão. A classificação de dados falha. Para resolver, clique em Reset Information Protection Policy para usar a política padrão e reativar a classificação de dados.

Acesso aos metadados de classificação

SQL Server 2019 introduz sys.sensitivity_classifications vista de catálogo do sistema. Esta vista devolve tipos de informação e etiquetas de sensibilidade.

Nas instâncias de SQL Server 2019, execute sys.sensitivity_classifications para analisar todas as colunas classificadas com as respetivas classificações. Por exemplo:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Antes do SQL Server 2019, os metadados de classificação para tipos de informação e etiquetas de sensibilidade encontravam-se nas seguintes Propriedades Estendidas:

  • sys_information_type_name
  • sys_sensitivity_label_name

Para instâncias do SQL Server 2017 e anteriores, o seguinte exemplo devolve todas as colunas classificadas com as respetivas classificações:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Permissões

Em instâncias do SQL Server 2019, a exibição de classificação requer a permissão VER QUALQUER CLASSIFICAÇÃO DE SENSIBILIDADE. Para obter mais informações, consulte Configuração de visibilidade de metadados.

Antes de SQL Server 2019, os metadados podiam ser acedidos usando a vista de catálogo de Propriedades Estendidas sys.extended_properties.

O gerenciamento da classificação requer a permissão ALTER ANY SENSITIVITY CLASSIFICATION. A CLASSIFICAÇÃO DE SENSIBILIDADE ALTER ANY está implícita pela permissão de banco de dados ALTER, ou pela permissão do servidor CONTROL SERVER.

Gerir classificações

Você pode usar o T-SQL para adicionar ou remover classificações de coluna e também recuperar todas as classificações para todo o banco de dados.

Próximos passos

Para Azure SQL Database, veja Azure SQL Database Descoberta e Classificação de Dados.

Considere proteger suas colunas confidenciais aplicando mecanismos de segurança no nível da coluna:

  • Last updated on