SQL Server 2019中的SENSITIVITY CLASSIFICATION命令
對于數據庫管理員而言���,常見的日常實踐涉及運行多個旨在確保數據庫安全性和完整性的操作�����。 因此�,在任何情況下,我們都不應忽略存儲在數據庫中的敏感數據的重要性����。 有鑒于此,我們很高興演示SQL Server 2019中引入的新的ADD SENSITIVITY CLASSIFICATION命令����,該命令允許將敏感度分類元數據添加到數據庫列中。
數據保護為什么重要
有許多類型的應用程序可以為用戶存儲敏感信息�����,例如信用卡號����,密碼,醫(yī)療保健信息���,ID����,SSN����,以及其他應用程序��,例如憑證數據�����,商業(yè)秘密��,證書�����。
此類信息的泄漏或破壞可能導致可怕的后果��,因為公司可能被迫向客戶和金融機構支付數百萬美元的損害賠償����。
為了符合個人數據(例如GDPR或醫(yī)療數據(HIPAA))的法規(guī)���,該公司需要獲得數據安全性和保護性的最佳實踐����。
該命令提供了什么
數據庫中最敏感的數據主要是指業(yè)務�����,財務�,醫(yī)療保健或個人信息。 要建立高級別的組織數據保護��,您應該執(zhí)行的關鍵步驟是發(fā)現敏感數據�����,然后對其進行分類��。 這是新命令將發(fā)揮最大優(yōu)勢的地方�����。
最重要的是�,它將幫助您滿足數據隱私標準和法規(guī)遵從性要求。 此外�����,借助它的幫助��,您可以實施多種方案來監(jiān)視(審計)和警告對敏感數據的異常訪問。 最后����,您將能夠加強包含高度敏感數據的數據庫的安全性并管理對其的訪問。
綜上所述����,合規(guī)性實踐中的關鍵點之一是要知道必須保護哪些數據,對這些數據進行分類�,僅允許被允許查看或修改該數據的有限數量的人員訪問,并不斷監(jiān)視對您的敏感數據的訪問�����。 了解所有訪問模式���。
ADD SENSITIVITY CLASSIFICATION命令的工作方式
首先���,讓我提醒您,SSMS v17.5中引入了類似的功能–數據發(fā)現和分類�。除了ADD SENSITIVITY CLASSIFICATION命令外,SSMS向導還允許對數據進行分類并使用靈敏度標簽對其進行標記���。要了解這兩者的詳細信息和區(qū)別�����,請參閱關于SSMS中SQL數據發(fā)現和分類的文章����。
現在讓我們更詳細地討論“添加靈敏度分類”命令��。因此����,本節(jié)將處理與發(fā)現,分類和標記數據庫中包含敏感數據的列有關的最重要問題��,以及查看數據庫的當前分類狀態(tài)�。
以下是敏感數據分類中使用的兩個元數據屬性:
標簽是主要的分類屬性。他們的任務是定義存儲在列中的數據的敏感度級別���。您可以將您的數據表示為公開�,常規(guī)��,機密�,高度機密等。
信息類型為數據庫列中存儲的數據類型提供了附加說明�����。 它們指示您的敏感數據涉及的字段,無論是銀行����,聯系方式,憑據��,財務還是其他�。
等級定義靈敏度等級,范圍從無到嚴格����,如下所示:
SQL語言
要將靈敏度分類添加到數據庫對象,只需應用以下語言:
將靈敏度分類添加到
[, ...n ]
用 ( [, ...n ] )
::=
{
[schema_name.]table_name.column_name
}
::=
{
LABEL = string |
LABEL_ID = guidOrString |
INFORMATION_TYPE = string |
INFORMATION_TYPE_ID = guidOrString |
RANK = NONE | LOW | MEDIUM | HIGH | CRITICAL
}
讓我們考慮以下示例:
除此之外���,SQL Server 2019引入了sys.sensitivity_classifications系統目錄視圖����,該視圖返回信息類型和敏感度標簽����。 您可以使用它來管理數據庫分類以及生成報告。 限制是僅對列支持分類�����。
使用以下查詢來查看具有相應分類的所有分類列:
SELECT
SCHEMA_NAME(sys.all_objects.schema_id) as SchemaName,
sys.all_objects.name AS [TableName], sys.all_columns.name As [ColumnName], [Label], [Information_Type]
FROM
sys.sensitivity_classifications
left join sys.all_objects on sys.sensitivity_classifications.major_id = sys.all_objects.object_id
left join sys.all_columns on sys.sensitivity_classifications.major_id = sys.all_columns.object_id
and sys.sensitivity_classifications.minor_id = sys.all_columns.column_id
請參見下面的示例輸出:
數據庫審核
數據庫審計涉及分析和跟蹤與數據庫安全性,訪問和使用��,數據創(chuàng)建��,更改或刪除有關的數據庫用戶活動�����。 審計是數據庫安全性的重要組成部分����,因為數據庫管理員和顧問通常必須確保訪問數據的權限僅授予有需要的人員�,而沒有其他權限。
不可否認���,任何組織中最關鍵的部分就是其數據����。 可能有許多用戶可能擁有操作數據的權限����,并且非常重要的一點是����,未經授權的用戶不要編輯所有機密和受限制的數據��。
應用ADD SENSITIVITY CLASSIFICATION命令�����,您可以快速輕松地檢測出最易受攻擊的數據并將其分類�����。 之后�����,將分類狀態(tài)添加到審核日志中���,這有助于監(jiān)視對敏感數據的訪問以達到合規(guī)性和審核目的����。
在SQL Complete中添加靈敏度分類
與SQL Server 2019中引入的最新更改保持一致��,Devart團隊非常高興地宣布發(fā)布新的SQL Complete v6.6�����。 該工具是具有強大的自動完成功能的SQL數據庫開發(fā),管理和管理的出色解決方案���。 新版本的其他有益更新包括對ADD SENSITIVITY CLASSIFICATION命令的支持�����。 讓我們概述一下SQL Complete中新功能的工作方式����。
SQL Complete 6.6使您可以通過提示顯示數據庫列中數據漏洞的敏感度標簽輕松地對數據庫列進行分類��。 借助該工具的建議�,您可以根據數據敏感度級別快速輕松地標記列�。
除了靈敏度標簽外,一列還可以具有另一個屬性–信息類型����,它為存儲在數據庫列中的數據類型提供了額外的粒度。 同樣�,SQL Complete 6.6的快速而全面的提示大大促進了數據分類。
在建議窗口中�����,根據敏感度,SQL Complete 6.6根據GDPR用黑色或紅色圓圈標記包含個人或機密信息的列�。
總結
關于這一點,讓我們概述新功能必須提供的主要功能和優(yōu)勢��。 添加敏感度分類是SQL Server 2019中引入的一項強大功能��,旨在提高數據庫安全性和對數據保護規(guī)則的遵從性�����。 借助其幫助����,您可以輕松發(fā)現包含潛在敏感數據的列,創(chuàng)建報告以及添加分類元數據����。 通過使用該命令,您確?�?梢苑奖愕剡M行數據庫審核����,并使對敏感數據的訪問受到控制�����。
