SQL Server 2019中的SENSITIVITY CLASSIFICATION命令
对于数据库管理员而言,常见的日常实践涉及运行多个旨在确保数据库安全性和完整性的操作。 因此,在任何情况下,我们都不应忽略存储在数据库中的敏感数据的重要性。 有鉴于此,我们很高兴演示SQL Server 2019中引入的新的ADD SENSITIVITY CLASSIFICATION命令,该命令允许将敏感度分类元数据添加到数据库列中。
数据保护为什么重要
有许多类型的应用程序可以为用户存储敏感信息,例如信用卡号,密码,医疗保健信息,ID,SSN,以及其他应用程序,例如凭证数据,商业秘密,证书。
此类信息的泄漏或破坏可能导致可怕的后果,因为公司可能被迫向客户和金融机构支付数百万美元的损害赔偿。
为了符合个人数据(例如GDPR或医疗数据(HIPAA))的法规,该公司需要获得数据安全性和保护性的最佳实践。
该命令提供了什么
数据库中最敏感的数据主要是指业务,财务,医疗保健或个人信息。 要建立高级别的组织数据保护,您应该执行的关键步骤是发现敏感数据,然后对其进行分类。 这是新命令将发挥最大优势的地方。
最重要的是,它将帮助您满足数据隐私标准和法规遵从性要求。 此外,借助它的帮助,您可以实施多种方案来监视(审计)和警告对敏感数据的异常访问。 最后,您将能够加强包含高度敏感数据的数据库的安全性并管理对其的访问。
综上所述,合规性实践中的关键点之一是要知道必须保护哪些数据,对这些数据进行分类,仅允许被允许查看或修改该数据的有限数量的人员访问,并不断监视对您的敏感数据的访问。 了解所有访问模式。
ADD SENSITIVITY CLASSIFICATION命令的工作方式
首先,让我提醒您,SSMS v17.5中引入了类似的功能–数据发现和分类。除了ADD SENSITIVITY CLASSIFICATION命令外,SSMS向导还允许对数据进行分类并使用灵敏度标签对其进行标记。要了解这两者的详细信息和区别,请参阅关于SSMS中SQL数据发现和分类的文章。
现在让我们更详细地讨论“添加灵敏度分类”命令。因此,本节将处理与发现,分类和标记数据库中包含敏感数据的列有关的最重要问题,以及查看数据库的当前分类状态。
以下是敏感数据分类中使用的两个元数据属性:
标签是主要的分类属性。他们的任务是定义存储在列中的数据的敏感度级别。您可以将您的数据表示为公开,常规,机密,高度机密等。
信息类型为数据库列中存储的数据类型提供了附加说明。 它们指示您的敏感数据涉及的字段,无论是银行,联系方式,凭据,财务还是其他。
等级定义灵敏度等级,范围从无到严格,如下所示:
SQL语言
要将灵敏度分类添加到数据库对象,只需应用以下语言:
将灵敏度分类添加到
[, ...n ]
用 ( [, ...n ] )
::=
{
[schema_name.]table_name.column_name
}
::=
{
LABEL = string |
LABEL_ID = guidOrString |
INFORMATION_TYPE = string |
INFORMATION_TYPE_ID = guidOrString |
RANK = NONE | LOW | MEDIUM | HIGH | CRITICAL
}
让我们考虑以下示例:
除此之外,SQL Server 2019引入了sys.sensitivity_classifications系统目录视图,该视图返回信息类型和敏感度标签。 您可以使用它来管理数据库分类以及生成报告。 限制是仅对列支持分类。
使用以下查询来查看具有相应分类的所有分类列:
SELECT
SCHEMA_NAME(sys.all_objects.schema_id) as SchemaName,
sys.all_objects.name AS [TableName], sys.all_columns.name As [ColumnName], [Label], [Information_Type]
FROM
sys.sensitivity_classifications
left join sys.all_objects on sys.sensitivity_classifications.major_id = sys.all_objects.object_id
left join sys.all_columns on sys.sensitivity_classifications.major_id = sys.all_columns.object_id
and sys.sensitivity_classifications.minor_id = sys.all_columns.column_id
请参见下面的示例输出:
数据库审核
数据库审计涉及分析和跟踪与数据库安全性,访问和使用,数据创建,更改或删除有关的数据库用户活动。 审计是数据库安全性的重要组成部分,因为数据库管理员和顾问通常必须确保访问数据的权限仅授予有需要的人员,而没有其他权限。
不可否认,任何组织中最关键的部分就是其数据。 可能有许多用户可能拥有操作数据的权限,并且非常重要的一点是,未经授权的用户不要编辑所有机密和受限制的数据。
应用ADD SENSITIVITY CLASSIFICATION命令,您可以快速轻松地检测出最易受攻击的数据并将其分类。 之后,将分类状态添加到审核日志中,这有助于监视对敏感数据的访问以达到合规性和审核目的。
在SQL Complete中添加灵敏度分类
与SQL Server 2019中引入的最新更改保持一致,Devart团队非常高兴地宣布发布新的SQL Complete v6.6。 该工具是具有强大的自动完成功能的SQL数据库开发,管理和管理的出色解决方案。 新版本的其他有益更新包括对ADD SENSITIVITY CLASSIFICATION命令的支持。 让我们概述一下SQL Complete中新功能的工作方式。
SQL Complete 6.6使您可以通过提示显示数据库列中数据漏洞的敏感度标签轻松地对数据库列进行分类。 借助该工具的建议,您可以根据数据敏感度级别快速轻松地标记列。
除了灵敏度标签外,一列还可以具有另一个属性–信息类型,它为存储在数据库列中的数据类型提供了额外的粒度。 同样,SQL Complete 6.6的快速而全面的提示大大促进了数据分类。
在建议窗口中,根据敏感度,SQL Complete 6.6根据GDPR用黑色或红色圆圈标记包含个人或机密信息的列。
总结
关于这一点,让我们概述新功能必须提供的主要功能和优势。 添加敏感度分类是SQL Server 2019中引入的一项强大功能,旨在提高数据库安全性和对数据保护规则的遵从性。 借助其帮助,您可以轻松发现包含潜在敏感数据的列,创建报告以及添加分类元数据。 通过使用该命令,您确保可以方便地进行数据库审核,并使对敏感数据的访问受到控制。