Neem contact op
Bel mij terug

Inventarisatie van gevoelige gegevens

Door Reitse Eskens, Support Specialist BI

U heeft een database met heel veel data. Maar welke data is nu privacy gevoelig? Hoe komt u er achter welke kolommen in welke tabellen beter beveiligd moeten worden om te voorkomen dat onbevoegden de data zien die ze eigenlijk niet zouden mogen zien?

Een hulpmiddel hiervoor is in de laatste versies van SQL Server Management Studio (SSMS) ingebouwd. Hiermee kunt u een scan doen en de eerste impact bepalen. Hiervoor gebruiken we twee opties, als eerste de Classify Data, daarna de Vulnerability Assessment. In dit blog meer hierover.

Classify Data

Deze eerste optie voert een scan uit op uw database en bepaald welke kolommen, mogelijk, privacygevoelige informatie bevatten.

Als u deze taak uitvoert wordt de scan uitgevoerd en kan er een advies komen:

Als u op de link klikt komen de kolommen naar voren met de tabelnaam, kolomnaam, het type informatie wat bepaald is en welke niveau van gevoeligheid eraan gekoppeld wordt.

Ondanks dat deze data classificatie erg zijn best doet is er een kans op zogeheten ‘false positives’. Bekijk daarom ook goed of de getoonde kolommen daadwerkelijk informatie bevatten die valt onder de getoonde categorie.

U heeft de mogelijkheid om zowel de categorie als het informatie type aan te passen:

Voor deze demo is een database gekozen die hooguit op kolomnaam privacygevoelige data zou kunnen bevatten, de getoonde kolommen worden elk van een ander informatie type en label voorzien.

Mocht u zeker weten dat er een kolom in een tabel is die ook dit type gegevens bevat, maar die niet gezien is door de Data Classification, dan kunt u deze kolom zelf toevoegen:

De kolommen zijn geclassificeerd en de wijzigingen zijn opgeslagen. We kunnen nu een rapport maken om het geheel netjes te tonen:

Het rapport dat u krijgt ziet er als volgt uit:

Een kort overzicht met de verdeling van de labels en informatie types en daaronder een tabel met detail informatie waarop verdere actie ondernomen kan worden. Het rapport is alleen lezen, er vallen geen aanpassingen te doen aan de grafieken of de teksten. Het rapport is af te drukken als PDF, Word of Excel. Let er daarbij wel op dat de pagina-instelling op landscape staat. Via Print Layout ziet u een afdrukvoorbeeld.

Gebruik Page Setup om de oriëntatie aan te passen.

Vulnerability Assessment

In de vorige stap hebben de we kolommen met gevoelige data een classificatie gegeven, nu kunnen we die gegevens meenemen in een totaal overzicht van de eventuele zwaktes van de database.

We gaan nu klikken op ‘Scan For Vulnerabilities. Nadat we bepalen waar het rapport opgeslagen moet worden wordt de scan gestart en krijgen we het volgende resultaat:

In totaal worden er 52 controles uitgevoerd waarbij er bij deze demomachine 5 aandachtspunten zijn. Als je een check aanklikt verschijnt onderin beeld een uitleg van de check en de mogelijkheid om de huidige status als baseline te accepteren.

Voor elk van de 52 checks die gedaan worden kunt u dit doen.

Net als bij de data classificatie is de vulnerability assessment een startpunt. Ga met gezond verstand door de aanbevelingen heen en bepaal zelf of een controle ook daadwerkelijk terecht faalt.

Voorbeeld: als er technische (tooling) of functionele redenen zijn waarom bepaalde gebruikers in vaste databaserollen zitten (datareader, ddladmin etc), accepteer dit dan als de baseline. De controle zal daar de volgende keer niet meer over vallen, totdat er nieuwe gebruikers aan die specifieke rollen toegevoegd worden.

Beide nieuwe opties in de Management Studio dwingen de administrator om in ieder geval weer na te denken over de rechtenstructuur en de opgeslagen data. Bewustwording is de eerste stap!