你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 中的 SQL 信息保护策略
SQL 信息保护的数据发现和分类机制提供了用于发现、标记和报告数据库中的敏感数据以及对其进行分类的高级功能。 Azure SQL 数据库、Azure SQL 托管实例以及 Azure Synapse Analytics 中均内置了此机制。
分类机制基于以下两个元素:
- 标签 - 这是主要的分类属性,用于定义存储在列中的数据的敏感度级别。
- 信息类型 - 为列中存储的数据的类型提供其他粒度。
Defender for Cloud 中的信息保护策略选项提供了一组预定义的标签和信息类型,这些标签和信息类型充当分类引擎的默认值。 可以根据组织的需要自定义策略,如下所述。
如何访问 SQL 信息保护策略?
可通过三种方法来访问信息保护策略:
- (推荐)通过 Defender for Cloud 的“环境设置”页访问
- 通过安全建议“应对 SQL 数据库中的敏感数据进行分类”访问
- 通过 Azure SQL DB 数据发现页访问
每个选项都显示在以下相关选项卡中。
通过 Defender for Cloud 的“环境设置”页访问策略
在 Defender for Cloud 的“环境设置”页中,选择“SQL 信息保护” 。
注意
此选项仅对具有租户级别权限的用户显示。 向你自己授予租户范围的权限。
自定义信息类型
若要管理和自定义信息类型,请执行以下操作:
选择“管理信息类型”。
若要添加新类型,请选择“创建信息类型”。 可以为信息类型配置名称、描述和搜索模式字符串。 搜索模式字符串可以选择使用带有通配符的关键字(使用字符 %),自动发现引擎根据列的元数据使用该关键字来识别数据库中的敏感数据。
还可以通过添加其他搜索模式字符串、禁用某些现有字符串或更改描述来修改内置类型。
提示
无法删除内置类型或更改其名称。
信息类型按发现排名升序列出,这意味着列表中排名较高的类型先尝试匹配。 要更改信息类型之间的排名,请将类型拖动到表格中的正确位置,或使用“上移”和“下移”按钮更改顺序。
完成后,选择“确定”。
完成信息类型管理后,请确保关联相关类型和相关标签,方法是选择特定标签的“配置”,然后根据需要添加或删除信息类型。
若要应用更改,请选择主“标签”页中的“保存” 。
导出和导入策略
可以下载包含定义的标签和信息类型的 JSON 文件,在选择的编辑器中编辑该文件,然后导入更新后的文件。
注意
需要租户级别的权限才能导入策略文件。
权限
要自定义 Azure 租户的信息保护策略,需要对租户的根管理组执行以下操作:
- Microsoft.Security/informationProtectionPolicies/read
- Microsoft.Security/informationProtectionPolicies/write
有关详细信息,请参阅授予和请求租户范围的可见性。
使用 Azure PowerShell 管理 SQL 信息保护
- Get-AzSqlInformationProtectionPolicy:检索有效的租户 SQL 信息保护策略。
- Set-AzSqlInformationProtectionPolicy:设置有效的租户 SQL 信息保护策略。