Classificatie van gegevensontdekking &

van toepassing op:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics-

Data Discovery & Classificatie maakt deel uit van Azure SQL Database, Azure SQL Managed Instance en Azure Synapse Analytics. Het biedt basismogelijkheden voor het detecteren, classificeren, labelen en rapporteren van gevoelige gegevens in uw databases.

Uw meest gevoelige gegevens kunnen zakelijke, financiële, gezondheidszorg- of persoonlijke gegevens bevatten. Het kan fungeren als infrastructuur voor:

• Helpen voldoen aan standaarden voor gegevensprivacy en vereisten voor naleving van regelgeving.
• Verschillende beveiligingsscenario's, zoals bewakingstoegang (controle) tot gevoelige gegevens.
• Toegang tot databases die zeer gevoelige gegevens bevatten controleren en de beveiliging daarvan versterken.

Notitie

Zie SQL Data Discovery & Classificationvoor meer informatie over SQL Server on-premises.

Tip

Toegangsbeveiliging op basis van labels met microsoft Purview Information Protection-beleid is nu beschikbaar als preview-versie. Zie Toegangsbeheer inschakelen voor gevoelige gegevens met microsoft Purview Information Protection-beleid (openbare preview)voor meer informatie.

Wat is Gegevensdetectie & Classificatie?

Data Discovery & Classification ondersteunt momenteel de volgende mogelijkheden:

• Detectie en aanbevelingen: De classificatie-engine scant uw database en identificeert kolommen die mogelijk gevoelige gegevens bevatten. Het biedt u vervolgens een eenvoudige manier om aanbevolen classificatie te controleren en toe te passen via Azure Portal.

• labelen: U kunt vertrouwelijkheidsclassificatielabels permanent toepassen op kolommen met behulp van nieuwe metagegevenskenmerken die zijn toegevoegd aan de SQL Server-database-engine. Deze metagegevens kunnen vervolgens worden gebruikt voor controlescenario's op basis van gevoeligheid.

• gevoeligheid voor queryresultatenset: De gevoeligheid van een queryresultatenset wordt in realtime berekend voor controledoeleinden.

• Zichtbaarheid: U kunt de status van de databaseclassificatie weergeven in een gedetailleerd dashboard in Azure Portal. U kunt ook een rapport in Excel-indeling downloaden om te gebruiken voor nalevings- en controledoeleinden en andere behoeften.

Gevoelige kolommen detecteren, classificeren en labelen

In deze sectie worden de stappen beschreven voor:

• Kolommen detecteren, classificeren en labelen die gevoelige gegevens in uw database bevatten.
• De huidige classificatiestatus van uw database weergeven en rapporten exporteren.

De classificatie bevat twee metagegevenskenmerken:

• Labels: de belangrijkste classificatiekenmerken die worden gebruikt om het vertrouwelijkheidsniveau te definiëren van de gegevens die zijn opgeslagen in de kolom.
• informatietypen: kenmerken die gedetailleerdere informatie bieden over het type gegevens dat in de kolom is opgeslagen.

Information Protection-beleid

Azure SQL biedt zowel SQL Information Protection-beleid als Microsoft Information Protection-beleid in gegevensclassificatie en u kunt een van deze twee beleidsregels kiezen op basis van uw behoeften.

SQL Information Protection-beleid

Gegevensdetectie & Classificatie wordt geleverd met een ingebouwde set vertrouwelijkheidslabels en informatietypen met detectielogica die systeemeigen is voor de logische SQL-server. U kunt de beveiligingslabels blijven gebruiken die beschikbaar zijn in het standaardbeleidsbestand of u kunt deze taxonomie aanpassen. U kunt een set en classificatie definiëren van classificatieconstructies specifiek voor uw omgeving.

Uw classificatietaxonomie definiëren en aanpassen

U definieert en past uw classificatietaxonomie op één centrale plaats aan voor uw hele Azure-organisatie. Deze locatie bevindt zich in Microsoft Defender voor Cloud, als onderdeel van uw beveiligingsbeleid. Alleen iemand met beheerdersrechten voor de hoofdbeheergroep van de organisatie kan deze taak uitvoeren.

Als onderdeel van beleidsbeheer kunt u aangepaste labels definiëren, rangschikken en koppelen aan een geselecteerde set informatietypen. U kunt ook uw eigen aangepaste gegevenstypen toevoegen en deze configureren met tekenreekspatronen. De patronen worden toegevoegd aan de detectielogica voor het identificeren van dit type gegevens in uw databases.

Voor meer informatie, zie Het beleid voor SQL-gegevensbeveiliging aanpassen in Microsoft Defender voor Cloud (Preview).

Nadat het organisatiebrede beleid is gedefinieerd, kunt u afzonderlijke databases blijven classificeren met behulp van uw aangepaste beleid.

Database classificeren in sql Information Protection-beleidsmodus

Notitie

In het onderstaande voorbeeld wordt Azure SQL Database gebruikt, maar u moet het juiste product selecteren dat u wilt configureren voor data detectie en &-classificatie.

1. Ga naar de Azure Portal.

2. Ga naar Gegevensdetectie & Classificatie onder de kop Beveiliging in het deelvenster Azure SQL Database. Het tabblad Overzicht bevat een overzicht van de huidige classificatiestatus van de database. De samenvatting bevat een gedetailleerde lijst met alle geclassificeerde kolommen, die u ook kunt filteren om alleen specifieke schemaonderdelen, informatietypen en labels weer te geven. Als u nog geen kolommen hebt geclassificeerd, gaat u verder met stap 4.

   

3. Als u een rapport wilt downloaden in Excel-indeling, selecteert u Exporteren in het bovenste menu van het deelvenster.

4. Als u uw gegevens wilt classificeren, selecteert u het tabblad Classificatie op de pagina Gegevensdetectie & Classificatie.

   De classificatie-engine scant uw database op kolommen met mogelijk gevoelige gegevens en biedt een lijst met aanbevolen kolomclassificaties.

5. Classificatieaanaanveling weergeven en toepassen:

   • Als u de lijst met aanbevolen kolomclassificaties wilt weergeven, selecteert u het deelvenster aanbevelingen onderaan het deelvenster.

   • Als u een aanbeveling voor een specifieke kolom wilt accepteren, schakelt u het selectievakje in de linkerkolom van de relevante rij in. Als u alle aanbevelingen wilt markeren als geaccepteerd, schakelt u het meest linkse selectievakje in de koptekst van de aanbevelingentabel in.

   • Als u de geselecteerde aanbevelingen wilt toepassen, selecteert u Geselecteerde aanbevelingen accepteren.

   

Notitie

De aanbevelingsengine, die automatische gegevensdetectie en aanbevelingen voor gevoelige kolommen biedt, wordt uitgeschakeld wanneer de beleidsmodus Microsoft Purview Information Protection wordt gebruikt.

1. U kunt kolommen ook handmatig classificeren, als alternatief of naast de classificatie op basis van aanbevelingen:

   1. Selecteer Classificatie toevoegen in het bovenmenu van het paneel.

   2. Selecteer in het contextvenster dat wordt geopend het schema, de tabel en de kolom die u wilt classificeren en het informatietype en het vertrouwelijkheidslabel.

   3. Selecteer Classificatie toevoegen onderaan het contextvenster.

   

2. Als u uw classificatie wilt voltooien en de databasekolommen permanent wilt labelen (taggen) met de nieuwe classificatiemetagegevens, selecteert u Opslaan op de pagina Classificatie.

Microsoft Purview Information Protection-beleid

Notitie

Microsoft Information Protection (MIP) is omgedoopt tot Microsoft Purview Information Protection. Zowel "MIP" als "Microsoft Purview Information Protection" worden in dit document door elkaar gebruikt, maar verwijzen naar hetzelfde concept.

Microsoft Purview Information Protection-labels bieden een eenvoudige en uniforme manier voor gebruikers om gevoelige gegevens uniform te classificeren in verschillende Microsoft-toepassingen. MIP-vertrouwelijkheidslabels worden gemaakt en beheerd in de Microsoft Purview-complianceportal. Zie Vertrouwelijkheidslabels maken en publicerenvoor meer informatie over het maken en publiceren van MIP-gevoelige labels in de Microsoft Purview-complianceportal.

Vereisten om over te schakelen naar Microsoft Purview Information Protection-beleid

• Als u informatiebeveiligingsbeleid instelt/wijzigt in Azure SQL Database, wordt het respectieve informatiebeveiligingsbeleid ingesteld voor alle databases onder de tenant. De gebruiker of persona moet over tenantbrede Beveiligingsbeheerder machtigingen beschikken om het informatiebeveiligingsbeleid te wijzigen van SQL Information Protection naar MIP-beleid, of andersom.
• De gebruiker of persona met een tenantbrede beveiligingsbeheerder machtiging kan beleid toepassen op het niveau van de hoofdbeheergroep van de tenant. Zie Tenantbrede machtigingen verlenen aan uzelfvoor meer informatie.
• Uw tenant heeft een actief Microsoft 365-abonnement en u hebt labels gepubliceerd voor de huidige gebruiker. Zie Vertrouwelijkheidslabels en hun beleidmaken en configureren voor meer informatie.

Database classificeren in microsoft Purview Information Protection-beleidsmodus

1. Ga naar de Azure Portal.

2. Navigeer naar uw database in Azure SQL Database

3. Ga naar Data Discovery & Classificatie onder de kop Beveiliging in het databasedeelvenster.

4. Als u Microsoft Information Protection-beleidwilt selecteren, selecteert u het tabblad Overzicht en selecteert u configureren.

5. Selecteer Microsoft Information Protection-beleid in de Information Protection--opties en selecteer Opslaan.

   

6. Als u naar het tabblad Classificatie gaat of Classificatie toevoegenselecteert, ziet u nu dat Microsoft 365-vertrouwelijkheidslabels worden weergegeven in de vervolgkeuzelijst Vertrouwelijkheidslabel.

   

   

• Het informatietype is [n/a] terwijl u in de MIP-beleidsmodus bent en de automatische gegevensdetectie-aanbevelingen & uitgeschakeld blijven.

• Er kan een waarschuwingspictogram worden weergegeven voor een al geclassificeerde kolom als de kolom is geclassificeerd met behulp van een ander Information Protection-beleid dan het huidige actieve beleid. Als de kolom bijvoorbeeld eerder is geclassificeerd met een label volgens het SQL Information Protection-beleid en nu in de Microsoft Information Protection-modus staat. U ziet een waarschuwingspictogram voor die specifieke kolom. Dit waarschuwingspictogram geeft geen probleem aan, maar wordt alleen gebruikt voor informatiedoeleinden.

  

Toegangsbeheer inschakelen voor gevoelige gegevens met microsoft Purview Information Protection-beleid (openbare preview)

Azure SQL Database ondersteunt de mogelijkheid om toegangsbeheer af te dwingen voor de kolommen met gevoelige gegevens die zijn gelabeld met behulp van Microsoft Purview Information Protection -vertrouwelijkheidslabels (MIP) met microsoft Purview Information Protection-toegangsbeleid.

Met toegangsbeleid in Purview kunnen organisaties gevoelige gegevens in hun gegevensbronnen beveiligen. Ze stellen personen zoals ondernemingsbeveiligings-/nalevingsbeheerders in staat om acties voor toegangsbeheer op gevoelige gegevens in hun databases te configureren en af te dwingen, zodat gevoelige gegevens niet kunnen worden geopend door onbevoegde gebruikers voor een bepaald vertrouwelijkheidslabel. Het Purview-toegangsbeleid wordt op kolomniveau-granulariteit afgedwongen voor de Azure SQL-database, waardoor gevoelige gegevens worden beveiligd zonder de toegang tot niet-gevoelige gegevenskolommen in de databasetabellen te blokkeren.

Als u Purview-toegangsbeleid wilt configureren en afdwingen, moet de gebruiker beschikken over een geldige Microsoft 365-licentie en moet de database worden geregistreerd in de Purview-gegevenstoewijzing en gescand, zodat MIP-vertrouwelijkheidslabels worden toegewezen door Purview aan de databasekolommen met gevoelige gegevens. Zodra vertrouwelijkheidslabels zijn toegewezen, kan de gebruiker Purview-toegangsbeleid configureren om weigeren acties af te dwingen op databasekolommen met een specifiek vertrouwelijkheidslabel, waardoor de toegang tot gevoelige gegevens in deze kolommen wordt beperkt tot een toegestane gebruiker of gebruikersgroep.

Toegangsbeleid configureren en inschakelen in Purview voor Azure SQL-database

Volg de onderstaande lijst met stappen voor het configureren en gebruiken van Purview-toegangsbeleid voor Azure SQL Database:

1. Zorg ervoor dat u beschikt over de vereiste licentievereisten voor Microsoft 365 en Purview.
2. rollen en machtigingen instellen voor uw gebruikers.
3. Vertrouwelijkheidslabels maken of uitbreiden in Purview naar Azure SQL Database. Zorg er ook voor dat u de vertrouwelijkheidslabels publiceert naar de vereiste gebruikers in uw organisatie.
4. Registreer en scan uw Azure SQL-database om automatisch vertrouwelijkheidslabels toe te passen.
5. beleid voor toegangsbeheer maken en configureren in Purview voor Azure SQL Database.

Zodra het toegangsbeleid is geconfigureerd en gepubliceerd in Purview, mislukt een poging van een onbevoegde gebruiker om een T-SQL-query uit te voeren voor toegang tot kolommen in een SQL-database met een vertrouwelijkheidslabel dat is gericht op het beleid. Als dezelfde query geen gevoelige kolommen bevat, slaagt de query.

Beperkingen

Wanneer u een geo-replica van een database maakt of kopieert, worden vertrouwelijkheidslabels die zijn toegewezen aan kolommen in de primaire database, niet automatisch naar de nieuwe/secundaire database gestroomd en wordt het purview-toegangsbeheerbeleid niet automatisch toegepast op de nieuwe/secundaire database. Als u toegangsbeheer wilt inschakelen voor de nieuwe/secundaire database, registreert en scant u deze afzonderlijk in Purview. Configureer vervolgens toegangsbeleid om ook de nieuwe/secundaire database op te nemen.

Toegang tot gevoelige gegevens controleren

Een belangrijk aspect van de classificatie is de mogelijkheid om de toegang tot gevoelige gegevens te bewaken. Azure SQL Auditing is uitgebreid met een nieuw veld in het auditlogboek met de naam data_sensitivity_information. Dit veld registreert de vertrouwelijkheidsclassificaties (labels) van de gegevens die zijn geretourneerd door een query. Hier volgt een voorbeeld:

Dit zijn de activiteiten die daadwerkelijk kunnen worden gecontroleerd met vertrouwelijkheidsinformatie:

• ALTER TABLE ... DROP COLUMN (wijzig tabel ... verwijder kolom)
• BULK INSERT
• SELECTEREN
• VERWIJDEREN
• INVOEGEN
• FUSEREN
• UPDATE
• UPDATETEXT
• WRITETEXT
• DROP TABLE
• BACKUP
• DBCC CloneDatabase
• SELECT INTO
• INVOEGEN IN EXEC
• TRUNCATE TABLE
• DBCC SHOW_STATISTICS
• sys.dm_db_stats_histogram

Gebruik sys.fn_get_audit_file om informatie te retourneren uit een auditbestand dat is opgeslagen in een Azure Storage-account.

Machtigingen

Deze ingebouwde rollen kunnen de gegevensclassificatie van een database lezen:

• Eigenaar
• Lezer
• Donateur
• SQL Beveiligingsbeheer
• Beheerder voor gebruikerstoegang

Dit zijn de vereiste acties om de gegevensclassificatie van een database te lezen:

• Microsoft.Sql/servers/databases/currentSensitivityLabels/*
• Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
• Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Deze ingebouwde rollen kunnen de gegevensclassificatie van een database wijzigen:

• Eigenaar
• Donateur
• SQL Beveiligingsbeheerder

Dit is de vereiste actie om de gegevensclassificatie van een database te wijzigen:

• Microsoft.Sql/servers/databases/schema's/tables/columns/sensitivityLabels/*

Meer informatie over op rollen gebaseerde machtigingen in Azure RBAC-.

Notitie

De ingebouwde Azure SQL-rollen in deze sectie zijn van toepassing op een toegewezen SQL-pool (voorheen SQL DW), maar zijn niet beschikbaar voor toegewezen SQL-pools en andere SQL-resources in Azure Synapse-werkruimten. Voor SQL-resources in Azure Synapse-werkruimten gebruikt u de beschikbare acties voor gegevensclassificatie om zo nodig aangepaste Azure-rollen te maken voor etikettering. Voor meer informatie over de bewerkingen van de Microsoft.Synapse/workspaces/sqlPools leverancier, zie Microsoft.Synapse.

Classificaties beheren

U kunt T-SQL, een REST API of PowerShell gebruiken om classificaties te beheren.

T-SQL gebruiken

U kunt T-SQL gebruiken om kolomclassificaties toe te voegen of te verwijderen en om alle classificaties voor de hele database op te halen.

Notitie

Wanneer u T-SQL gebruikt om labels te beheren, is er geen validatie dat labels die u toevoegt aan een kolom in het informatiebeveiligingsbeleid van de organisatie bestaan (de set labels die worden weergegeven in de portalaanbeveling). Het is dus aan u om dit te valideren.

Zie de volgende verwijzingen voor informatie over het gebruik van T-SQL voor classificaties:

• De classificatie van een of meer kolommen toevoegen of bijwerken: VERTROUWELIJKHEIDSCLASSIFICATIE toevoegen
• De classificatie verwijderen uit een of meer kolommen: DROP SENSITIVITY CLASSIFICATION
• Om alle classificaties in de database te bekijken: sys.sensitivity_classifications

PowerShell-cmdlets gebruiken

Beheer classificaties en aanbevelingen voor Azure SQL Database en Azure SQL Managed Instance met behulp van PowerShell.

PowerShell-cmdlets voor Azure SQL Database

• Get-AzSqlDatabaseSensitivityClassification
• Set-AzSqlDatabaseSensitivityClassification
• Remove-AzSqlDatabaseSensitivityClassification
• Get-AzSqlDatabaseSensitivityRecommendation
• Enable-AzSqlDatabaseSensitivityRecommendation
• Disable-AzSqlDatabaseSensitivityRecommendation

PowerShell-cmdlets voor Azure SQL Managed Instance

• Get-AzSqlInstanceDatabaseSensitivityClassification
• Set-AzSqlInstanceDatabaseSensitivityClassification
• Remove-AzSqlInstanceDatabaseSensitivityClassification
• Get-AzSqlInstanceDatabaseSensitivityRecommendation
• Enable-AzSqlInstanceDatabaseSensitivityRecommendation
• Disable-AzSqlInstanceDatabaseSensitivityRecommendation

De REST API gebruiken

U kunt de REST API gebruiken om classificaties en aanbevelingen programmatisch te beheren. De gepubliceerde REST API ondersteunt de volgende bewerkingen:

• maken of bijwerken: hiermee wordt het vertrouwelijkheidslabel van de opgegeven kolom gemaakt of bijgewerkt.
• Verwijderen: Hiermee verwijdert u het vertrouwelijkheidslabel van de opgegeven kolom.
• Aanbeveling uitschakelen: hiermee worden vertrouwelijkheidsaanaanvelingen voor de opgegeven kolom uitgeschakeld.
• Aanbeveling inschakelen: Hiermee worden vertrouwelijkheidsaanbevelingen voor de opgegeven kolom ingeschakeld. (Aanbevelingen zijn standaard ingeschakeld voor alle kolommen.)
• Ophalen: hiermee haalt u het vertrouwelijkheidslabel van de opgegeven kolom op.
• Lijst huidige per database: Hiermee haalt u de huidige vertrouwelijkheidslabels van de opgegeven database op.
• Lijst Aanbevolen Door Database: Haalt de aanbevolen vertrouwelijkheidslabels van de opgegeven database op.

Metagegevens van classificaties ophalen met behulp van SQL-stuurprogramma's

U kunt de volgende SQL-stuurprogramma's gebruiken om metagegevens voor classificatie op te halen:

• Microsoft.Data.SqlClient-
• ODBC-stuurprogramma
• OLE DB-stuurprogramma
• JDBC-stuurprogramma
• Microsoft-stuurprogramma's voor PHP voor SQL Server-

Veelgestelde vragen - Geavanceerde classificatiemogelijkheden

vraag: wordt Microsoft Purview SQL Data Discovery & Classification vervangen of wordt SQL Data Discovery & Classification binnenkort buiten gebruik gesteld? Answer: We blijven SQL Data Discovery & Classification ondersteunen en u aanmoedigen om Microsoft Purview- te gebruiken die uitgebreidere mogelijkheden biedt om geavanceerde classificatiemogelijkheden en gegevensbeheer te stimuleren. Als we besluiten om een service, functie, API of SKU buiten gebruik te stellen, ontvangt u vooraf een kennisgeving, inclusief een migratie- of overgangspad. Meer informatie over het levenscyclusbeleid van Microsoft hier.

Volgende stappen

• Overweeg om Azure SQL Auditing- te configureren voor het bewaken en controleren van toegang tot uw geclassificeerde gevoelige gegevens.
• Zie voor een presentatie met gegevensdetectie & Classificatie SQL-gegevens detecteren, classificeren, labelen & SQL-gegevens beveiligen | Gegevens weergegeven.
• Als u uw Azure SQL Databases en Azure Synapse Analytics wilt classificeren met Microsoft Purview-labels met behulp van T-SQL-opdrachten, raadpleegt u Uw Azure SQL-gegevens classificeren met behulp van Microsoft Purview-labels.