Compartilhar via


Descoberta e classificação de dados SQL

Aplica-se: SQL Server

A Descoberta e a Classificação de Dados acrescentam recursos para descobrir, classificar, rotular e gerar relatórios dos dados confidenciais em seus bancos de dados. Isso pode ser feito via T-SQL ou usando o SSMS (SQL Server Management Studio). A descoberta e a classificação dos dados mais confidenciais (de negócios, financeiros, de serviços de saúde, etc.) podem desempenhar um papel fundamental na dimensão da proteção de informações organizacionais. Isso pode servir como infraestrutura para:

  • Ajudar a atender aos padrões de privacidade de dados.
  • Monitorar o acesso a bancos de dados/colunas que contêm dados altamente confidenciais.

Observação

O recurso Descoberta e Classificação de Dados é compatível com o SQL Server 2012 ou posterior, podendo ser usado com o SSMS 17.5 ou posterior. Para o Banco de Dados SQL do Azure, confira Descoberta e Classificação de Dados do Banco de Dados SQL do Azure.

Visão geral

A Descoberta e Classificação de Dados cria um paradigma de proteção de informações no Banco de Dados SQL, na Instância Gerenciada de SQL e no Azure Synapse, destinado à proteção dos dados e não apenas do banco de dados. Atualmente, ela dá suporte aos seguintes recursos:

  • Descoberta e recomendações – o mecanismo de classificação verifica o banco de dados e identifica colunas que contenham dados possivelmente confidenciais. Em seguida, ele fornece uma maneira fácil de examinar e aplicar as recomendações de classificação apropriada, bem como de classificar as colunas manualmente.
  • Definição de rótulos – rótulos de classificação de confidencialidade podem ser marcados com persistência em colunas.
  • Visibilidade – o estado de classificação do banco de dados pode ser exibido em um relatório detalhado que pode ser impresso ou exportado para ser usado para fins de auditoria e conformidade.

Descobrindo, classificando e rotulando colunas confidenciais

A seção a seguir descreve as etapas para descobrir, classificar e rotular colunas que contenham dados confidenciais no banco de dados, bem como exibir o estado atual de classificação do banco de dados e exportar relatórios.

A classificação inclui dois atributos de metadados:

  • Rótulos – os atributos de classificação principais, usados para definir o nível de confidencialidade dos dados armazenados na coluna.
  • Tipos de informações – fornecem mais granularidade para o tipo dos dados armazenados na coluna.

Para classificar o banco de dados do SQL Server:

  1. No SSMS (SQL Server Management Studio), conecte-se ao SQL Server.

  2. No Pesquisador de Objetos do SSMS, selecione o banco de dados que gostaria de classificar e escolha Tarefas>Descoberta e Classificação de Dados>Classificar Dados....

    Captura de tela que mostra o Pesquisador de Objetos do SSMS com Tarefas > Descoberta de Dados e Classificação > Classificar Dados... selecionado.

  3. O mecanismo de classificação verifica o banco de dados em busca de colunas (com base apenas nos nomes das colunas) que contenham dados potencialmente confidenciais e fornece uma lista de classificações de colunas recomendadas:

    • Para exibir a lista de classificações de coluna recomendadas, selecione a caixa de notificação de recomendações na parte superior ou no painel de recomendações na parte inferior da janela:

      Captura de tela que mostra uma notificação que indica “Encontramos 39 colunas com recomendações de classificação. Clique aqui para exibi-las.”

      Captura de tela mostrando a notificação

    • Examine a lista de recomendações:

      • Para aceitar uma recomendação para uma coluna específica, marque a caixa de seleção na coluna à esquerda da linha relevante. Você também pode marcar todas as recomendações como aceitas, marcando a caixa de seleção no cabeçalho da tabela de recomendações.

      • Também é possível alterar o tipo de informações e o rótulo de confidencialidade recomendados usando as caixas suspensas.

      Captura de tela mostrando a lista de recomendações.

    • Para aplicar as recomendações selecionadas, selecione o botão Salvar recomendações selecionadas.

      Captura de tela do botão Aceitar recomendações selecionadas.

Observação

O mecanismo de recomendação que realiza a descoberta de dados automática e fornece recomendações de colunas confidenciais é desabilitado quando o modo de política de Proteção de Informações do Microsoft Purview é usado.

  1. Para exibir as colunas classificadas, selecione o esquema apropriado e a tabela correspondente no menu suspenso e, em seguida, selecione Carregar Colunas.

    captura de tela de classificação de dados SSMS carregando colunas classificadas.

  2. Você também pode classificar manualmente as colunas como uma alternativa ou, além da classificação de recomendação:

    • Selecione Adicionar classificação no menu superior da janela.

      Captura de tela mostrando o menu superior com a opção Adicionar classificação em destaque.

    • Na janela de contexto que é aberta, insira o nome da coluna que você deseja classificar, o tipo de informações e o rótulo de confidencialidade. Esquema e tabela são selecionados com base nas entradas na página principal.

      Captura de tela mostrando a janela de contexto Adicionar classificação.

    • Se quiser adicionar a classificação para todas as colunas não classificadas para uma tabela específica em uma única tentativa, selecione Todos os Não Classificados no menu suspenso Coluna da página Adicionar Classificação.

      captura de tela de classificação de dados SSMS selecionando todas as colunas não classificadas

  3. Para concluir sua classificação e definir um rótulo (uma marca) persistente para as colunas do banco de dados com os novos metadados de classificação, selecione o botão Salvar no menu superior da janela.

    Captura de tela mostrando o menu superior com a opção Salvar em destaque.

  4. Para gerar um relatório com um resumo completo do estado de classificação do banco de dados, selecione Exibir Relatório no menu superior da janela. (Você também pode gerar um relatório usando o SSMS. Selecione o banco de dados em que gostaria de gerar o relatório e escolha Tarefas>Descoberta e Classificação de Dados>Gerar Relatório...)

    Captura de tela mostrando o menu superior com a opção Exibir Relatório em destaque.

    Captura de tela mostrando o Relatório de Classificação de Dados SQL.

Classificação do banco de dados ao usar a Política de Proteção de Informações do Microsoft Purview

Observação

A Proteção de Informações da Microsoft (abreviada como PIM) foi renomeada como Proteção de Informações do Microsoft Purview. Os termos “PIM” e “Proteção de Informações do Microsoft Purview” geralmente são usados indistintamente neste documento, mas ambos fazem referência ao mesmo conceito.

Os rótulos de Proteção de Informações do Microsoft Purview fornecem uma maneira simples e uniforme para os usuários classificarem dados confidenciais no SQL Server. Os rótulos de confidencialidade de PIM são criados e gerenciados no centro de conformidade do Microsoft 365 [renomeado para Portal de Conformidade do Microsoft Purview]. Para saber como criar e publicar rótulos confidenciais de PIM no Portal de Conformidade do Microsoft Purview, confira o artigo Microsoft Information Protection sensitivity labels.

No momento, é possível usar o SSMS para classificar dados na origem (SQL Server) usando rótulos de Proteção de Informações do Microsoft Purview, que são usados no Power BI, no Office e em outros produtos da Microsoft. Esses rótulos de sensibilidade são aplicados no nível da coluna em um banco de dados, o mesmo que a política de Proteção de Informações do SQL.

Os relatórios ou conjuntos de dados do Power BI que se conectam a dados rotulados com confidencialidade em fontes de dados compatíveis podem herdar esses rótulos automaticamente, de modo que os dados permaneçam confidenciais quando trazidos para o Power BI e exportados para aplicativos downstream. A disponibilidade da política de MIP no SSMS permite que você conquiste uma solução de classificação completa em toda a empresa.

Etapas para configurar a política de Proteção de Informações do Microsoft Purview

  1. No SSMS (SQL Server Management Studio), conecte-se ao SQL Server.

  2. No Pesquisador de Objetos do SSMS, selecione o banco de dados que gostaria de classificar e selecione Tarefas>Descoberta e Classificação de Dados>Definir Política de Proteção de Informações da Microsoft

    Captura de tela para definir política de Proteção de Informações da Microsoft no SSMS

  3. Uma janela de autenticação para o Microsoft 365 definir a política de Proteção de Informações da Microsoft será exibida. Selecione Entrar e insira ou selecione uma credencial de usuário válida para se autenticar no seu locatário do Microsoft 365.

    Captura de tela de autenticação para definir a Política de Proteção de Informações da Microsoft

  4. Se a autenticação for bem-sucedida, você verá uma janela pop-up com status de Êxito.

    Captura de tela da configuração bem-sucedida da Política de Proteção de Informações da Microsoft no SSMS

  5. Opcional – se você quiser entrar em qualquer uma das nuvens soberanas da Microsoft para se autenticar no Microsoft 365, vá para SSMS >Ferramentas >Opções>Serviços do Azure>Nuvem do Azure e altere o Nome para a nuvem soberana da Microsoft relevante.

    Captura de tela da seleção do tipo de nuvem do Azure no SSMS

  6. Na janela do Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados que gostaria de classificar e escolha Tarefas>Descoberta e Classificação de Dados>Classificar Dados. Agora você pode adicionar uma nova classificação usando rótulos de sensibilidade da MIP definidos em seu locatário do Microsoft 365 e usar esses rótulos para classificar colunas no SQL Server.

    Escolhendo rótulos de sensibilidade da Política de Proteção de Informações da Microsoft no SSMS

    A descoberta e a recomendação automáticas de dados ficam desabilitadas no modo da Política de Proteção de Informações da Microsoft. Elas estão disponíveis atualmente apenas no modo da Política de Proteção de Informações do SQL.

Para redefinir a Política de Proteção de Informações como padrão ou a Proteção de Informações do SQL, vá até o Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados e escolha Tarefas>Descoberta e Classificação de Dados>Redefinir Política de Proteção de Informações como Padrão. Isso aplicará a política padrão ou a de Proteção de Informações do SQL e você poderá classificar os dados usando SQL rótulos de sensibilidade do SQL, em vez de rótulos MIP.

Captura de tela da redefinição da Política de Proteção de Informações no SSMS

Para habilitar a Política de Proteção de Informações de um arquivo JSON personalizado, vá para o Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados e escolha Tarefas>Descoberta de Dados e Classificação>Definir Arquivo de Política de Proteção de Informações.

Observação

Um ícone de aviso indica que a coluna foi classificada anteriormente usando uma Política de Proteção de Informações diferente do modo de política selecionado no momento. Por exemplo, se você estiver atualmente no modo Proteção de Informações da Microsoft e uma das colunas tiver sido classificada anteriormente usando a Política de Proteção de Informações do SQL ou a Política de Proteção de Informações de um arquivo de política personalizado, você verá um ícone de aviso em relação a essa coluna. Você pode decidir se deseja alterar a classificação da coluna para qualquer um dos rótulos de sensibilidade disponíveis no modo de política atual ou deixá-la como está. Captura de tela do aviso de Classificação de Dados de políticas incompatíveis

Gerenciar Política de Proteção de Informações com o SSMS

Você pode gerenciar a Política de Proteção de Informações usando o SSMS 18.4 ou posterior:

  1. No SSMS (SQL Server Management Studio), conecte-se ao SQL Server.

  2. No Pesquisador de Objetos do SSMS, selecione um dos seus bancos de dados e escolha Tarefas>Descoberta e Classificação de Dados.

    As seguintes opções de menu permitem que você gerencie a Política de Proteção de Informações:

  • Definir a Política de Proteção de Informações da Microsoft: define a Política de Proteção de Informações como Política de Proteção de Informações do Microsoft Purview.

  • Definir Arquivo da Política de Proteção de Informações: usa a Política de Proteção de Informações do SQL, conforme definido no arquivo JSON selecionado. (Confira o Arquivo da Política de Proteção de Informações padrão)

  • Exportar Política de Proteção de Informações: exporta a Política de Proteção de Informações para um arquivo JSON.

  • Redefinir a Política de Proteção de Informações: redefine a Política de Proteção de Informações para a Política de Proteção de Informações do SQL padrão.

Importante

O arquivo da política de proteção de informações não é armazenado no SQL Server. O SSMS usa uma Política de Proteção de Informações padrão. Se uma Política de Proteção de Informações personalizada falhar, o SSMS não poderá usar a política padrão. A classificação de dados falha. Para resolver isso, clique em Redefinir a Política de Proteção de Informações para usar a política padrão e habilitar a classificação de dados novamente.

Acessando os metadados de classificação

O SQL Server 2019 apresenta a exibição do catálogo do sistema sys.sensitivity_classifications. Essa exibição retorna tipos de informações e rótulos de confidencialidade.

Nas instâncias do SQL Server 2019, consulte sys.sensitivity_classifications para examinar todas as colunas classificadas com as classificações correspondentes. Por exemplo:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Antes do SQL Server 2019, os metadados de classificação para tipos de informações e rótulos de confidencialidade estão localizados nas seguintes Propriedades Estendidas:

  • sys_information_type_name
  • sys_sensitivity_label_name

Para as instâncias do SQL Server 2017 e anterior, o seguinte exemplo retorna todas as colunas classificadas com as classificações correspondentes:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Permissões

Em instâncias do SQL Server 2019, a exibição da classificação exige a permissão EXIBIR QUALQUER CLASSIFICAÇÃO DE CONFIDENCIALIDADE. Para obter mais informações, consulte Metadata Visibility Configuration.

Antes do SQL Server 2019, os metadados podem ser acessados usando a exibição do catálogo de Propriedades Estendidassys.extended_properties.

O gerenciamento da classificação requer a permissão ALTERAR QUALQUER CLASSIFICAÇÃO DE CONFIDENCIALIDADE. A ALTER ANY SENSITIVITY CLASSIFICATION está implícita na permissão de banco de dados ALTER ou pelo servidor de permissão CONTROL SERVER.

Gerenciar classificações

Você pode usar o T-SQL para adicionar ou remover classificações de coluna, bem como para recuperar todas as classificações do banco de dados inteiro.

Próximas etapas

Para o Banco de Dados SQL do Azure, confira Descoberta e Classificação de Dados do Banco de Dados SQL do Azure.

Considere proteger suas colunas confidenciais aplicando mecanismos de segurança no nível da coluna: