Klassifizierung sensibler Daten

In diesem Thema erfahren Sie, wie die Klassifizierung sensibler Daten funktioniert.

Informationen zur Verwendung kundenspezifischer Klassifikatoren finden Sie unter Benutzerdefinierte Klassifizierung sensibler Daten.

Überblick

Die Klassifizierung sensibler Daten ist ein mehrstufiger Prozess, bei dem die von Snowflake definierten System-Tags den Spalten zugeordnet werden, indem die Felder und Metadaten auf personenbezogene Daten analysiert werden. Diese Daten können von einem Datentechniker mithilfe von SQL und Snowsight nachverfolgt werden. Data Engineers können Spalten in einer Tabelle klassifizieren, um festzustellen, ob die Spalte bestimmte Arten von Daten enthält, die nachverfolgt oder geschützt werden müssen, z. B. einen eindeutigen Bezeichner (Pass- oder Bankkontodaten), einen Quasi-Bezeichner (die Stadt, in der die Person lebt) oder einen sensiblen Wert (das Gehalt einer Person).

Durch das Verfolgen der Daten mit einem System-Tag und den Schutz der Daten durch eine Maskierungs- oder Zeilenzugriffsrichtlinie können Data Engineers den mit den Daten verbundenen Governance-Status verbessern. Das Gesamtergebnis der Klassifizierungs- und Datenschutzmaßnahmen besteht in einer verbesserten Einhaltung von Datenschutzbestimmungen.

Sie können eine einzelne Tabelle oder Tabellen in einem Schema klassifizieren. Snowflake bietet vordefinierte System-Tags, mit denen Sie Spalten klassifizieren und taggen können. Sie können aber auch kundenspezifische Klassifikatoren verwenden, um auf der Grundlage Ihres Wissens über Ihre Daten eigene semantische Kategorien zu definieren. Sie können sich auch für einen Ansatz entscheiden, bei dem Snowflake-System-Tags und kundenspezifische Klassifikatoren je nach dem von Ihnen angestrebten Governance-Status verwendet werden.

Die Klassifizierung bietet Datenschutz- und Data Governance-Administratoren die folgenden Vorteile:

Datenzugriff:

Die Ergebnisse der Klassifizierung von Spaltendaten können Administratoren der Identitäts- und Zugriffsverwaltung dabei helfen, ihre Snowflake-Rollenhierarchien zu evaluieren und zu pflegen, um sicherzustellen, dass die Snowflake-Rollen die passenden Berechtigungen für den Zugriff auf sensible oder PII-Daten haben.

Datenfreigabe (Data Sharing):

Der Klassifizierungsprozess kann helfen, den Speicherort von PII Daten zu identifizieren und zu bestätigen. Anschließend kann ein Data Sharing-Anbieter anhand der Klassifizierungsergebnisse entscheiden, ob die Daten freigeben werden können und wie die PII-Daten einem Data Sharing-Verbraucher zur Verfügung gestellt werden sollen.

Anwendung von Richtlinien:

Die Nutzung von Spalten, die PII-Daten enthalten, wie z. B. beim Verweisen auf Spalten in Basistabellen, um eine Ansicht oder materialisierte Ansicht zu erstellen, kann dabei helfen, die beste Methode zum Schutz der Daten entweder mit einer Maskierungsrichtlinie oder einer Zeilenzugriffsrichtlinie zu bestimmen.

System-Tags und Kategorien

System-Tags sind Tags, die Snowflake erstellt, verwaltet und über die freigegebene SNOWFLAKE-Datenbank zur Verfügung stellt. Es gibt zwei System-Tags für die Klassifizierung, die beide im Schema SNOWFLAKE.CORE vorhanden sind:

  • SNOWFLAKE.CORE.SEMANTIC_CATEGORY

  • SNOWFLAKE.CORE.PRIVACY_CATEGORY

Der Data Engineer weist diese Tags einer Spalte zu, die personenbezogene oder sensible Daten enthält.

Zeichenfolgenwerte:

Snowflake speichert die Zuweisung eines System-Tags zu einer Spalte als Schlüssel-Wert-Paar, wobei der Wert eine Zeichenfolge ist. Snowflake definiert die zulässigen Zeichenfolgenwerte für jedes Klassifizierungs-System-Tag, da Snowflake diese System-Tags verwaltet.

Die Tag-Namen SEMANTIC_CATEGORY und PRIVACY_CATEGORY entsprechen den Klassifizierungskategorien, die Snowflake den Spaltendaten während des Spalten-Sampling-Prozesses zuordnet (d. h. Tag-Namen und Kategorienamen verwenden die gleichen Wörter):

Semantische Kategorie:

Die semantische Kategorie kennzeichnet personenbezogene Attribute.

Beispiele für personenbezogene Attribute, die von der Klassifizierung unterstützt werden, sind Name, Alter und Geschlecht. Diese drei Attribute sind mögliche Zeichenfolgenwert bei der Zuweisung des SEMANTIC_CATEGORY-Tags zu einer Spalte.

Die Klassifizierung kann Informationen aus verschiedenen Ländern wie Australien, Kanada oder dem Vereinigten Königreich erkennen. Wenn Ihre Tabellenspalte beispielsweise Informationen zu Telefonnummern enthält, kann der Analyseprozess die verschiedenen Telefonnummernwerte aus jedem dieser Länder unterscheiden.

Datenschutzkategorie:

Wenn die Analyse ergibt, dass die Spaltendaten einer semantischen Kategorie entsprechen, ordnet Snowflake die Spalte außerdem einer Datenschutzkategorie zu. Die Datenschutzkategorie hat drei Werte: „identifier“ für Identifikatoren, „quasi-identifier“ für Quasi-Identifikatoren und „sensitive“ für sensible Daten. Diese drei Werte sind die Zeichenfolgenwerte, die bei der Zuweisung des Klassifizierungs-System-Tags PRIVACY_CATEGORY zu einer Spalte angegeben werden können.

  • Identifikator („identifier“): Attribute mit diesem Wert dienen der eindeutigen Identifizierung einer Person. Beispiele sind Name, Sozialversicherungsnummer und Telefonnummer.

    Bezeichnerattribute sind gleichbedeutend mit direkte Identifikatoren.

  • Quasi-Identifikatoren („quasi-identifier“): Diese Attribute können eine Person eindeutig identifizieren, wenn zwei oder mehr dieser Attribute kombiniert werden. Zu den Attributen gehören beispielsweise Alter und Geschlecht.

    Quasi-Identifikatoren sind ein Synonym für indirekte Identifikatoren.

  • Sensible Daten („sensitive“): Diese Attribute werden nicht als ausreichend angesehen, um eine Person zu identifizieren, sondern sind Informationen, die die Person aus Gründen des Datenschutzes eher nicht preisgeben möchte.

    Derzeit ist das einzige Attribut, das Snowflake als sensibel bewertet, das Gehalt.

  • Unempfindlich Daten („insensitive“): Diese Attribute enthalten keine personenbezogenen oder sensiblen Informationen.

Die folgende Tabelle fasst die Beziehung zwischen jeder Klassifizierungskategorie und jedem System-Tag, sowie den Zeichenfolgenwerten jedes Klassifizierungs-System-Tags zusammen: Snowflake unterstützt internationale SEMANTIC_CATEGORY-Tag-Werte, die sich auf bestimmte Länder beziehen. Die Ländercodes basieren auf dem Standard ISO 3166-1 ALPHA-2. Andere semantische Kategorien, wie EMAIL und GENDER, haben keinen Ländercode. Um internationale Informationen zu verfolgen, können Data Engineers beim Setzen eines System-Tags auf einer Spalte den Wert aus der Spalte der SEMANTIC_CATEGORY-Tag-Werte verwenden.

PRIVACY_CATEGORY-Werte

SEMANTIC_CATEGORY-Werte

Unterstützte Länder

IDENTIFIER

  • BANK_ACCOUNT

  • DRIVERS_LICENSE

  • MEDICARE_NUMBER

  • NATIONAL_IDENTIFIER

  • ORGANIZATION_IDENTIFIER

  • PASSPORT

  • PHONE_NUMBER

  • STREET_ADDRESS

  • TAX_IDENTIFIER

  • EMAIL

  • IBAN

  • IMEI

  • IP_ADDRESS

  • NAME

  • PAYMENT_CARD

  • URL

  • VIN

  • CA, NZ, US

  • AU, CA, NZ, US

  • AU, NZ

  • CA, NZ, SG, UK, US (SSN)

  • AU, NZ, SG

  • AU, CA, NZ, SG, US

  • AU, CA, JP, UK, US

  • CA, US

  • AU, NZ, US (EIN, ITIN)

QUASI_IDENTIFIER

  • ADMINISTRATIVE_AREA_1

  • ADMINISTRATIVE_AREA_2

  • CITY

  • POSTAL_CODE

  • AGE

  • COUNTRY

  • DATE_OF_BIRTH

  • ETHNICITY

  • GENDER

  • LAT_LONG

  • LATITUDE

  • LONGITUDE

  • MARITAL_STATUS

  • OCCUPATION

  • YEAR_OF_BIRTH

  • CA, NZ, US

  • US

  • CA, NZ, US

  • AU, CA, CH, JP, NZ, UK, US

SENSITIVE

  • SALARY

Bemerkung

Enthält Informationen des öffentlichen Sektors, die unter der Open Government Licence v3.0 lizenziert sind.

Mehrere Zeichenfolgenwerte semantischer Tags aus allen drei Datenschutzkategorien können nach bestehenden Gesetzen und Vorschriften als „sensible personenbezogene Daten“, „Besondere Datenkategorien“ oder Ähnliches gelten und zusätzliche Schutzmaßnahmen oder Kontrollen erfordern.

Unterstützte Objekte und Datentypen

Snowflake unterstützt das Klassifizieren von Daten, die in allen Typen von Tabellen und Ansichten gespeichert sind, wie externen Tabellen, materialisierten Ansichten und sicheren Ansichten.

Beachten Sie, dass Snowflake keine Klassifizierung auf freigegebenen Tabellen und freigegebenen Schemas auf der Seite des Verbrauchers unterstützt. Wenn eine Tabelle vom Anbieter erstellt und in die Ausgangsfreigabe des Anbieters gestellt wird, funktioniert die Klassifizierung nur, wenn sie von der Seite des Anbieters aufgerufen wird.

Sie können Tabellen- und Ansichtsspalten für alle unterstützten Datentypen klassifizieren, mit Ausnahme der folgenden Datentypen:

  • ARRAY

  • BINARY

  • GEOGRAPHY

  • OBJECT

  • VARIANT

    Beachten Sie, dass Sie eine Spalte mit dem Datentyp VARIANT klassifizieren können, wenn der Spaltendatentyp in einen NUMBER- oder STRING-Datentyp umgewandelt werden kann. Snowflake klassifiziert die Spalte nicht, wenn die Spalte JSON-, XML- oder andere semistrukturierte Daten enthält.

  • VECTOR

Wenn eine Tabelle Spalten enthält, deren Datentyp nicht unterstützt wird, oder die Spalte nur NULL-Werte enthält, ignoriert der Klassifizierungsprozess diese Spalten und nimmt sie nicht in die Ausgabe auf.

Wichtig

Wenn Ihre Daten NULL-Werte mit einem anderen Wert als NULL darstellen, kann die Genauigkeit der Klassifizierungsergebnisse beeinträchtigt werden.

Empfehlungen

Um das Klassifizierungs-Feature einzusetzen und das Tracking der PII-Daten zu optimieren, gehen Sie wie folgt vor:

Validierung:

Fragen Sie zuerst die Account Usage-Ansichten ab:

  • ACCESS_HISTORY: Ermitteln der Tabellen- und Ansichtsobjekte, auf die am häufigsten zugegriffen wird.

  • OBJECT_DEPENDENCIES: Ermitteln von Metadaten-Referenzen zwischen zwei oder mehreren Objekten.

Verwenden Sie die Ergebnisse der Abfragen, um die Zuweisung der Klassifizierungs-System-Tags auf Schema- oder Datenbankebene zu priorisieren.

Spaltennamen:

Verwenden Sie sinnvolle Spaltennamen in Ihren Tabellenobjekten, und schulen Sie die Tabellenersteller, sich an die internen Richtlinien für die Tabellenerstellung zu halten.

Datentypen:

Verwenden Sie sinnvolle Datentypen für Spalten. So sollte zum Beispiel eine AGE-Spalte mit Altersangaben den Datentyp NUMBER haben.

VARIANT:

Wenn eine Spalte den Datentyp VARIANT hat, führen Sie vor dem Klassifizieren der Tabelle den Befehl FLATTEN auf der Spalte aus.

Tabellen und Schemas klassifizieren

Nachdem Sie alle benutzerdefinierten Klassifizierer definiert haben, die Sie verwenden möchten, sind Sie bereit, Ihre sensiblen Daten zu klassifizieren. Sie können die folgenden Methoden verwenden:

Verwalten Sie die Klassifizierung sensibler Daten

Berechtigungsreferenz

Mit dem Berechtigungsmodell für die Datenklassifizierung können Datenschutzadministratoren festlegen, welche Personas Tabellen klassifizieren und Spalten taggen dürfen. So kann beispielsweise eine einzige Rolle über alle erforderlichen Berechtigungen verfügen, oder der Datenschutzadministrator kann Berechtigungen an verschiedene Rollen delegieren, um die Anforderungen der Aufgabentrennung (Separation of Duties, SoD) zu erfüllen. Ein Beispiel für eine tragfähige Kombination von Berechtigungen wird im Abschnitt Erste Schritte zum Klassifizieren von Daten von Sensible Daten manuell klassifizieren vorgestellt.

Als Administrator haben Sie verschiedene Optionen, je nachdem, wie Sie die beteiligten Rollen oder Personas verwalten möchten. Die Optionen bieten Flexibilität bei der von Ihnen gewünschten Governance-Struktur. Beispiel:

  • Der Tabelleneigentümer (d. h. die Rolle mit der Berechtigung OWNERSHIP für die Tabelle) kann die Tabelle klassifizieren und System-Tags auf den Spalten festlegen.

  • Eine kundenspezifische Rolle mit der SELECT-Berechtigung für die Tabelle und der APPLY TAG-Berechtigung für das Konto kann die Tabelle klassifizieren und System-Tags auf den Spalten festlegen.

  • Wenn Sie möchten, dass verschiedene Rollen oder Personas am Klassifizieren und Tagging von Spalten beteiligt sind, können Sie einer Rolle die SELECT-Berechtigung für die Tabelle und einer anderen Rolle die APPLY TAG-Berechtigung für das Konto erteilen.

In der folgenden Tabelle sind die verschiedenen Optionen zum Klassifizieren einer Tabelle, zum Festlegen der Datenklassifizierungs-System-Tags auf Spalten und zum Durchführen dieser beiden Aufgaben zusammengefasst:

Berechtigung oder Rolle

Tabellen klassifizieren

System-Tags für Spalten festlegen

SELECT für die Tabelle oder Ansicht

OWNERSHIP für die Tabelle

APPLY TAG für das Konto

ACCOUNTADMIN-Rolle

OWNERSHIP für die Datenbank oder das Schema

Wichtig

  • Für das Klassifizieren von Tabellen ist ein aktives Warehouse erforderlich. Die Rolle, mit der eine Tabelle klassifiziert wird, muss mindestens über die USAGE-Berechtigung für ein Warehouse verfügen.

  • Sie können einer Kontorolle die Datenbankrolle SNOWFLAKE.GOVERNANCE_VIEWER zuweisen, damit Benutzer mit dieser Kontorolle die Ansicht DATA_CLASSIFICATION_LATEST abfragen und so die neuesten Ergebnisse einer klassifizierten Tabelle anzeigen können.

Tracking von System-Tags

Snowflake bietet integrierte Ansichten und Funktionen zur Verfolgung der Verwendung von System-Tags für die Klassifizierung:

  • Um die Spalten zu ermitteln, denen in Ihrem Konto ein System-Tag zugewiesen ist, fragen Sie die Account Usage-Ansicht TAG_REFERENCES ab:

    SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.TAG_REFERENCES
    WHERE TAG_NAME = 'PRIVACY_CATEGORY'
    ORDER BY OBJECT_DATABASE, OBJECT_SCHEMA, OBJECT_NAME, COLUMN_NAME;
    Copy

  • Um für eine Tabelle oder eine Ansicht in einer bestimmten Datenbank die Spalten zu ermitteln, denen ein System-Tag zugewiesen ist, rufen Sie die Information Schema-Tabellenfunktion TAG_REFERENCES auf:

    SELECT * FROM
  TABLE(
    MY_DB.INFORMATION_SCHEMA.TAG_REFERENCES(
      'my_db.my_schema.hr_data.fname',
      'COLUMN'
    ));
    Copy

  • Um alle Tags zu ermitteln, die in jeder Spalte einer Tabelle oder einer Ansicht innerhalb einer bestimmten Datenbank zugewiesen wurden, rufen Sie die Information Schema-Tabellenfunktion TAG_REFERENCES_ALL_COLUMNS auf:

    SELECT * from
  TABLE(
    MY_DB.INFORMATION_SCHEMA.TAG_REFERENCES_ALL_COLUMNS(
      'my_db.my_schema.hr_data',
      'table'
    ));
    Copy

  • Um einen bestimmten Tag-Wert für eine Spalte zu ermitteln, rufen Sie die Systemfunktion SYSTEM$GET_TAG auf:

    SELECT SYSTEM$GET_TAG(
  'SNOWFLAKE.CORE.PRIVACY_CATEGORY',
  'hr_data.fname',
  'COLUMN'
  );
    Copy
Sprache: Deutsch