Descoberta e classificação de dados SQL
Aplica-se: SQL Server
A Descoberta e a Classificação de Dados acrescentam recursos para descobrir, classificar, rotular e gerar relatórios dos dados confidenciais em seus bancos de dados. Isso pode ser feito via T-SQL ou usando o SSMS (SQL Server Management Studio). A descoberta e a classificação dos dados mais confidenciais (de negócios, financeiros, de serviços de saúde, etc.) podem desempenhar um papel fundamental na dimensão da proteção de informações organizacionais. Isso pode servir como infraestrutura para:
- Ajudar a atender aos padrões de privacidade de dados.
- Monitorar o acesso a bancos de dados/colunas que contêm dados altamente confidenciais.
Observação
O recurso Descoberta e Classificação de Dados é compatível com o SQL Server 2012 ou posterior, podendo ser usado com o SSMS 17.5 ou posterior. Para o Banco de Dados SQL do Azure, confira Descoberta e Classificação de Dados do Banco de Dados SQL do Azure.
Visão geral
A Descoberta e Classificação de Dados cria um paradigma de proteção de informações no Banco de Dados SQL, na Instância Gerenciada de SQL e no Azure Synapse, destinado à proteção dos dados e não apenas do banco de dados. Atualmente, ela dá suporte aos seguintes recursos:
- Descoberta e recomendações – o mecanismo de classificação verifica o banco de dados e identifica colunas que contenham dados possivelmente confidenciais. Em seguida, ele fornece uma maneira fácil de examinar e aplicar as recomendações de classificação apropriada, bem como de classificar as colunas manualmente.
- Definição de rótulos – rótulos de classificação de confidencialidade podem ser marcados com persistência em colunas.
- Visibilidade – o estado de classificação do banco de dados pode ser exibido em um relatório detalhado que pode ser impresso ou exportado para ser usado para fins de auditoria e conformidade.
Descobrindo, classificando e rotulando colunas confidenciais
A seção a seguir descreve as etapas para descobrir, classificar e rotular colunas que contenham dados confidenciais no banco de dados, bem como exibir o estado atual de classificação do banco de dados e exportar relatórios.
A classificação inclui dois atributos de metadados:
- Rótulos – os atributos de classificação principais, usados para definir o nível de confidencialidade dos dados armazenados na coluna.
- Tipos de informações – fornecem mais granularidade para o tipo dos dados armazenados na coluna.
Para classificar o banco de dados do SQL Server:
No SSMS (SQL Server Management Studio), conecte-se ao SQL Server.
No Pesquisador de Objetos do SSMS, selecione o banco de dados que gostaria de classificar e escolha Tarefas>Descoberta e Classificação de Dados>Classificar Dados....
O mecanismo de classificação verifica o banco de dados em busca de colunas (com base apenas nos nomes das colunas) que contenham dados potencialmente confidenciais e fornece uma lista de classificações de colunas recomendadas:
Para exibir a lista de classificações de coluna recomendadas, selecione a caixa de notificação de recomendações na parte superior ou no painel de recomendações na parte inferior da janela:
Examine a lista de recomendações:
Para aceitar uma recomendação para uma coluna específica, marque a caixa de seleção na coluna à esquerda da linha relevante. Você também pode marcar todas as recomendações como aceitas, marcando a caixa de seleção no cabeçalho da tabela de recomendações.
Também é possível alterar o tipo de informações e o rótulo de confidencialidade recomendados usando as caixas suspensas.
Para aplicar as recomendações selecionadas, selecione o botão Salvar recomendações selecionadas.
Observação
O mecanismo de recomendação que realiza a descoberta de dados automática e fornece recomendações de colunas confidenciais é desabilitado quando o modo de política de Proteção de Informações do Microsoft Purview é usado.
Para exibir as colunas classificadas, selecione o esquema apropriado e a tabela correspondente no menu suspenso e, em seguida, selecione Carregar Colunas.
Você também pode classificar manualmente as colunas como uma alternativa ou, além da classificação de recomendação:
Selecione Adicionar classificação no menu superior da janela.
Na janela de contexto que é aberta, insira o nome da coluna que você deseja classificar, o tipo de informações e o rótulo de confidencialidade. Esquema e tabela são selecionados com base nas entradas na página principal.
Se quiser adicionar a classificação para todas as colunas não classificadas para uma tabela específica em uma única tentativa, selecione Todos os Não Classificados no menu suspenso Coluna da página Adicionar Classificação.
Para concluir sua classificação e definir um rótulo (uma marca) persistente para as colunas do banco de dados com os novos metadados de classificação, selecione o botão Salvar no menu superior da janela.
Para gerar um relatório com um resumo completo do estado de classificação do banco de dados, selecione Exibir Relatório no menu superior da janela. (Você também pode gerar um relatório usando o SSMS. Selecione o banco de dados em que gostaria de gerar o relatório e escolha Tarefas>Descoberta e Classificação de Dados>Gerar Relatório...)
Classificação do banco de dados ao usar a Política de Proteção de Informações do Microsoft Purview
Observação
A Proteção de Informações da Microsoft (abreviada como PIM) foi renomeada como Proteção de Informações do Microsoft Purview. Os termos “PIM” e “Proteção de Informações do Microsoft Purview” geralmente são usados indistintamente neste documento, mas ambos fazem referência ao mesmo conceito.
Os rótulos de Proteção de Informações do Microsoft Purview fornecem uma maneira simples e uniforme para os usuários classificarem dados confidenciais no SQL Server. Os rótulos de confidencialidade de PIM são criados e gerenciados no centro de conformidade do Microsoft 365 [renomeado para Portal de Conformidade do Microsoft Purview]. Para saber como criar e publicar rótulos confidenciais de PIM no Portal de Conformidade do Microsoft Purview, confira o artigo Microsoft Information Protection sensitivity labels.
No momento, é possível usar o SSMS para classificar dados na origem (SQL Server) usando rótulos de Proteção de Informações do Microsoft Purview, que são usados no Power BI, no Office e em outros produtos da Microsoft. Esses rótulos de sensibilidade são aplicados no nível da coluna em um banco de dados, o mesmo que a política de Proteção de Informações do SQL.
Os relatórios ou conjuntos de dados do Power BI que se conectam a dados rotulados com confidencialidade em fontes de dados compatíveis podem herdar esses rótulos automaticamente, de modo que os dados permaneçam confidenciais quando trazidos para o Power BI e exportados para aplicativos downstream. A disponibilidade da política de MIP no SSMS permite que você conquiste uma solução de classificação completa em toda a empresa.
Etapas para configurar a política de Proteção de Informações do Microsoft Purview
No SSMS (SQL Server Management Studio), conecte-se ao SQL Server.
No Pesquisador de Objetos do SSMS, selecione o banco de dados que gostaria de classificar e selecione Tarefas>Descoberta e Classificação de Dados>Definir Política de Proteção de Informações da Microsoft
Uma janela de autenticação para o Microsoft 365 definir a política de Proteção de Informações da Microsoft será exibida. Selecione Entrar e insira ou selecione uma credencial de usuário válida para se autenticar no seu locatário do Microsoft 365.
Se a autenticação for bem-sucedida, você verá uma janela pop-up com status de Êxito.
Opcional – se você quiser entrar em qualquer uma das nuvens soberanas da Microsoft para se autenticar no Microsoft 365, vá para SSMS >Ferramentas >Opções>Serviços do Azure>Nuvem do Azure e altere o Nome para a nuvem soberana da Microsoft relevante.
Na janela do Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados que gostaria de classificar e escolha Tarefas>Descoberta e Classificação de Dados>Classificar Dados. Agora você pode adicionar uma nova classificação usando rótulos de sensibilidade da MIP definidos em seu locatário do Microsoft 365 e usar esses rótulos para classificar colunas no SQL Server.
A descoberta e a recomendação automáticas de dados ficam desabilitadas no modo da Política de Proteção de Informações da Microsoft. Elas estão disponíveis atualmente apenas no modo da Política de Proteção de Informações do SQL.
Para redefinir a Política de Proteção de Informações como padrão ou a Proteção de Informações do SQL, vá até o Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados e escolha Tarefas>Descoberta e Classificação de Dados>Redefinir Política de Proteção de Informações como Padrão. Isso aplicará a política padrão ou a de Proteção de Informações do SQL e você poderá classificar os dados usando SQL rótulos de sensibilidade do SQL, em vez de rótulos MIP.
Para habilitar a Política de Proteção de Informações de um arquivo JSON personalizado, vá para o Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados e escolha Tarefas>Descoberta de Dados e Classificação>Definir Arquivo de Política de Proteção de Informações.
Observação
Um ícone de aviso indica que a coluna foi classificada anteriormente usando uma Política de Proteção de Informações diferente do modo de política selecionado no momento. Por exemplo, se você estiver atualmente no modo Proteção de Informações da Microsoft e uma das colunas tiver sido classificada anteriormente usando a Política de Proteção de Informações do SQL ou a Política de Proteção de Informações de um arquivo de política personalizado, você verá um ícone de aviso em relação a essa coluna. Você pode decidir se deseja alterar a classificação da coluna para qualquer um dos rótulos de sensibilidade disponíveis no modo de política atual ou deixá-la como está.
Gerenciar Política de Proteção de Informações com o SSMS
Você pode gerenciar a Política de Proteção de Informações usando o SSMS 18.4 ou posterior:
No SSMS (SQL Server Management Studio), conecte-se ao SQL Server.
No Pesquisador de Objetos do SSMS, selecione um dos seus bancos de dados e escolha Tarefas>Descoberta e Classificação de Dados.
As seguintes opções de menu permitem que você gerencie a Política de Proteção de Informações:
Definir a Política de Proteção de Informações da Microsoft: define a Política de Proteção de Informações como Política de Proteção de Informações do Microsoft Purview.
Definir Arquivo da Política de Proteção de Informações: usa a Política de Proteção de Informações do SQL, conforme definido no arquivo JSON selecionado. (Confira o Arquivo da Política de Proteção de Informações padrão)
Exportar Política de Proteção de Informações: exporta a Política de Proteção de Informações para um arquivo JSON.
Redefinir a Política de Proteção de Informações: redefine a Política de Proteção de Informações para a Política de Proteção de Informações do SQL padrão.
Importante
O arquivo da política de proteção de informações não é armazenado no SQL Server. O SSMS usa uma Política de Proteção de Informações padrão. Se uma Política de Proteção de Informações personalizada falhar, o SSMS não poderá usar a política padrão. A classificação de dados falha. Para resolver isso, clique em Redefinir a Política de Proteção de Informações para usar a política padrão e habilitar a classificação de dados novamente.
Acessando os metadados de classificação
O SQL Server 2019 apresenta a exibição do catálogo do sistema sys.sensitivity_classifications
. Essa exibição retorna tipos de informações e rótulos de confidencialidade.
Nas instâncias do SQL Server 2019, consulte sys.sensitivity_classifications
para examinar todas as colunas classificadas com as classificações correspondentes. Por exemplo:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
label,
rank,
rank_desc
FROM sys.sensitivity_classifications sc
JOIN sys.objects O
ON sc.major_id = O.object_id
JOIN sys.columns C
ON sc.major_id = C.object_id AND sc.minor_id = C.column_id
Antes do SQL Server 2019, os metadados de classificação para tipos de informações e rótulos de confidencialidade estão localizados nas seguintes Propriedades Estendidas:
sys_information_type_name
sys_sensitivity_label_name
Para as instâncias do SQL Server 2017 e anterior, o seguinte exemplo retorna todas as colunas classificadas com as classificações correspondentes:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
sensitivity_label
FROM
(
SELECT
IT.major_id,
IT.minor_id,
IT.information_type,
L.sensitivity_label
FROM
(
SELECT
major_id,
minor_id,
value AS information_type
FROM sys.extended_properties
WHERE NAME = 'sys_information_type_name'
) IT
FULL OUTER JOIN
(
SELECT
major_id,
minor_id,
value AS sensitivity_label
FROM sys.extended_properties
WHERE NAME = 'sys_sensitivity_label_name'
) L
ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
) EP
JOIN sys.objects O
ON EP.major_id = O.object_id
JOIN sys.columns C
ON EP.major_id = C.object_id AND EP.minor_id = C.column_id
Permissões
Em instâncias do SQL Server 2019, a exibição da classificação exige a permissão EXIBIR QUALQUER CLASSIFICAÇÃO DE CONFIDENCIALIDADE. Para obter mais informações, consulte Metadata Visibility Configuration.
Antes do SQL Server 2019, os metadados podem ser acessados usando a exibição do catálogo de Propriedades Estendidassys.extended_properties
.
O gerenciamento da classificação requer a permissão ALTERAR QUALQUER CLASSIFICAÇÃO DE CONFIDENCIALIDADE. A ALTER ANY SENSITIVITY CLASSIFICATION está implícita na permissão de banco de dados ALTER ou pelo servidor de permissão CONTROL SERVER.
Gerenciar classificações
Você pode usar o T-SQL para adicionar ou remover classificações de coluna, bem como para recuperar todas as classificações do banco de dados inteiro.
- Adicione/atualize a classificação de uma ou mais colunas: ADD SENSITIVITY CLASSIFICATION
- Remova a classificação de uma ou mais colunas: DROP SENSITIVITY CLASSIFICATION
Próximas etapas
Para o Banco de Dados SQL do Azure, confira Descoberta e Classificação de Dados do Banco de Dados SQL do Azure.
Considere proteger suas colunas confidenciais aplicando mecanismos de segurança no nível da coluna:
- Máscara de Dados Dinâmicos para ofuscar as colunas confidenciais em uso.
- Always Encrypted para criptografar as colunas confidenciais em repouso.