Zasady ochrony informacji SQL w Microsoft Defender dla Chmury
Mechanizm odnajdywania i klasyfikacji danych usługi SQL Information Protection zapewnia zaawansowane funkcje odnajdywania, klasyfikowania, etykietowania i raportowania poufnych danych w bazach danych. Jest ona wbudowana w usługi Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics.
Mechanizm klasyfikacji jest oparty na następujących dwóch elementach:
- Labels — główne atrybuty klasyfikacji używane do definiowania poziomu poufności danych przechowywanych w kolumnie.
- Typy informacji — zapewnia dodatkowy stopień szczegółowości w typie danych przechowywanych w kolumnie.
Opcje zasad ochrony informacji w Defender dla Chmury zawierają wstępnie zdefiniowany zestaw etykiet i typów informacji, które służą jako wartości domyślne dla aparatu klasyfikacji. Zasady można dostosować zgodnie z potrzebami organizacji, jak opisano poniżej.
Jak mogę uzyskać dostęp do zasad ochrony informacji SQL?
Istnieją trzy sposoby uzyskiwania dostępu do zasad ochrony informacji:
- (Zalecane) Na stronie Ustawienia środowiska Defender dla Chmury
- Z zalecenia dotyczącego zabezpieczeń Poufne dane w bazach danych SQL powinny być klasyfikowane
- Na stronie odnajdywania danych usługi Azure SQL DB
Każdy z nich jest wyświetlany na odpowiedniej karcie poniżej.
Uzyskiwanie dostępu do zasad na stronie ustawień środowiska Defender dla Chmury
Na stronie Ustawienia środowiska Defender dla Chmury wybierz pozycję Ochrona informacji SQL.
Uwaga
Ta opcja jest wyświetlana tylko dla użytkowników z uprawnieniami na poziomie dzierżawy. Przyznaj sobie uprawnienia dla całej dzierżawy.
Dostosowywanie typów informacji
Aby zarządzać typami informacji i dostosowywać je:
Wybierz pozycję Zarządzaj typami informacji.
Aby dodać nowy typ, wybierz pozycję Utwórz typ informacji. Dla typu informacji można skonfigurować ciągi nazw, opisu i wzorca wyszukiwania. Ciągi wzorca wyszukiwania mogą opcjonalnie używać słów kluczowych z symbolami wieloznacznymi (przy użyciu znaku %), którego aparat zautomatyzowanego odnajdywania używa do identyfikowania poufnych danych w bazach danych na podstawie metadanych kolumn.
Możesz również zmodyfikować wbudowane typy, dodając dodatkowe ciągi wzorca wyszukiwania, wyłączając niektóre z istniejących ciągów lub zmieniając opis.
Napiwek
Nie można usuwać wbudowanych typów ani zmieniać ich nazw.
Typy informacji są wyświetlane w kolejności rosnącej klasyfikacji odnajdywania, co oznacza, że typy wyższe na liście próbują dopasować się jako pierwsze. Aby zmienić klasyfikację między typami informacji, przeciągnij typy do odpowiedniego miejsca w tabeli lub użyj przycisków Przenieś w górę i Przenieś w dół , aby zmienić kolejność.
Po zakończeniu wybierz przycisk OK .
Po zakończeniu zarządzania typami informacji pamiętaj, aby skojarzyć odpowiednie typy z odpowiednimi etykietami, wybierając pozycję Konfiguruj dla określonej etykiety i dodając lub usuwając odpowiednie typy informacji.
Aby zastosować zmiany, wybierz pozycję Zapisz na stronie głównej Etykiety .
Eksportowanie i importowanie zasad
Plik JSON można pobrać ze zdefiniowanymi etykietami i typami informacji, edytować plik w wybranym edytorze, a następnie zaimportować zaktualizowany plik.
Uwaga
Aby zaimportować plik zasad, musisz mieć uprawnienia na poziomie dzierżawy.
Uprawnienia
Aby dostosować zasady ochrony informacji dla dzierżawy platformy Azure, potrzebne są następujące akcje w głównej grupie zarządzania dzierżawy:
- Microsoft.Security/informationProtectionPolicies/read
- Microsoft.Security/informationProtectionPolicies/write
Dowiedz się więcej w temacie Udzielanie i żądanie widoczności całej dzierżawy.
Zarządzanie ochroną informacji SQL przy użyciu programu Azure PowerShell
- Get-AzSqlInformationProtectionPolicy: pobiera obowiązujące zasady ochrony informacji SQL dzierżawy.
- Set-AzSqlInformationProtectionPolicy: ustawia obowiązujące zasady ochrony informacji SQL dzierżawy.