CSS集群支持修改安全组吗？ 集群创建成功后，支持修改集群的安全组。 进行安全组切换前，请确保业务接入时需要的9200端口已经放开，错误的安全组配置可能会导致业务无法访问，请谨慎操作。 建议在业务空闲时操作。 2023年2月之前创建的集群无法进行安全组修改，建议使用备份与恢复迁移集群数据至新集群后，进行安全组修改。 登录云搜索服务控制台。 选择“集群管理”进入集群列表。 单击对应集群的名称，进入集群基本信息页面。 在“安全组”右侧，单击“更改安全组”。 图1 更改安全组 在“更改安全组”弹窗中，选择需要替换的安全组，单击“确定”启动更改任务。 父主题： 安全模式集群

功能特性 数据安全中心 为您提供的功能如表1。 表1 功能概览 功能特性 说明 参考文档 资产地图 数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据等多种维度查看资产的安全状况。可协助您快速发现风险资产并快速进行风险处理操作。 资产可视化 数据服务资产：涵盖了云上所有数据资产，包含OBS、RDS、 CS S、Hive以及Hbase等。 数据风险：数据关联分级分类结果，一览展示各个数据风险级别。 分区展示：根据云上资源VPC展示各个资产所在区域，和业务区域关联。 出口可视 数据出口：识别云上关键数据出口，包含EIP/NAT/APIGateway/Roma等。 出口关联资产：云上出口和数据关联，结合分级分类结果，一览数据出口风险。 级联关联：数据出口包含直接出口和级联间接出口，不同展示方式。 策略可视 数据安全策略：云原生能力检测数据资产的安全策略，一览策略风险。 策略推荐：根据数据资产等级推荐不同的安全策略配置。 资产地图 资产管理 资产中心：DSC支持管理OBS、数据库、大数据和 MRS 数据资产。 资产目录：查看不同业务域或不同类型数据的统计信息。 数据探索：查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 元数据任务：用户可以创建元数据任务扫描数据资产，数据资产信息会以元数据的形式被采集、收纳到DSC中，后续用户可以对数据资产进行分级分类管理。 资产分组管理：对现有数据进行分组管理。 资产管理 敏感数据识别 数据自动分级分类：精确识别敏感数据和文件，覆盖结构化（RDS、DWS等）和非结构化（OBS）两种数据类型，实现云上全场景覆盖。 文件类型：支持近200种非结构化文件。 数据类型：支持数十种个人隐私数据类型，包含中英文。 图片类型：支持识别（png、jpeg、x-portable-pixmap、tiff、bmp、gif、jpx、jp2总共8种类型）图片中的敏感文字，包含中英文。 合规模板：多种内置合规知识库，如GDPR，PCI DSS，HIPAA等。 自动识别敏感数据 自动识别敏感数据及个人隐私数据。 支持自定义规则，场景适配不同行业。 提供可视化识别结果。 DSC服务敏感数据的识别时长将由您所扫描数据源的数据量、扫描规则数、扫描模式决定，具体请参见DSC扫描时长。 新建敏感数据识别任务 数据脱敏 DSC的数据脱敏支持静态脱敏和动态脱敏。 DSC的数据脱敏特点： 不影响用户数据：从原始数据库读取数据，通过精确的脱敏引擎，对用户的敏感数据实施静态脱敏，脱敏结果另行存放，不会影响原始的用户数据。 支持云上各类场景：支持RDS，ECS自建数据库，大数据合规。 满足多种脱敏需求：用户可以通过20+种预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏，DSC支持的脱敏算法详见脱敏算法。 实现一键合规：基于扫描结果自动提供脱敏合规建议，一键配置脱敏规则。 同时，DSC提供了数据动态脱敏的API接口供您使用，具体请参考数据动态脱敏。 DSC通过内置和自定义脱敏算法，实现对RDS、Elasticsearch、MRS、Hive、HBase以及 DLI 数据进行脱敏，具体的脱敏时长请参见DSC脱敏时长。 配置脱敏规则 数据水印 针对数据库、文档以及图片提供了注入和提取水印的功能。 版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。 追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。 同时，DSC提供了数据动态添加水印和提取数据水印的API接口供您使用，具体请参考API接口参考。 水印注入 态势大屏 数据安全中心默认提供一个综合 态势感知 大屏，对云上风险资产、识别任务、脱敏任务、水印任务、事件、告警等信息进行综合展示和分析，实现一屏全面感知，帮助用户快速识别资产综合态势，对风险资产和紧急告警快速做出响应。 态势大屏 告警管理 当DBSS有系统或者业务方面的风险告警事件时，会将告警事件推送到DSC，用户可以在DSC控制台确认相关的告警事件。 告警管理 事件管理 数据安全中心对接数据库审计、 云堡垒机 等安全组件，对各组件事件进行统一管理，会将事件实时推送到DSC，用户可以对事件进行确认和处理。也可以将告警页面的告警转事件。 事件管理 OBS使用审计 数据安全中心服务根据敏感数据规则对OBS桶进行识别，根据识别的敏感数据进行监控，监控到敏感数据的异常事件相关操作后，会将监控结果展示在异常事件处理页面中，用户可根据需要对异常事件进行处理。 OBS使用审计 设备管理 设备管理的作用是纳管第三方设备，包含应用数据审计设备、应用数据安全网关设备、数据库防火墙设备、数据库加密设备，进行状态监控和告警展示，将风险和告警呈现给客户。 用户可单击DSC设备列表“操作”列“登录”，跳转到第三方设备管理页面。 设备管理 多账号管理 开启多账号管理功能后，安全管理员在安全运营账号中对所有成员账号进行统一的数据安全防护，而无需逐个登录到成员账号。 多账号管理 告警通知 通过设置告警通知，当敏感数据检测完成后或异常事件处理监测到异常事件时，DSC会将其检测结果通过用户设置的接收通知方式发送给用户。 告警通知

修订记录 发布日期 修改说明 2024-07-01 第二十九次正式发布。 修改功能特性章节。 2024-04-15 第二十八次正式发布。 修改功能特性章节。 2024-01-15 第二十八次正式发布。 修改使用约束章节。 2023-11-30 第二十七次正式发布。 修改功能特性章节。 2023-09-30 第二十六次正式发布。 修改功能特性章节。 2023-06-30 第二十五次正式发布。 修改功能特性章节。 2023-03-30 第二十四次正式发布。 修改功能特性章节。 2023-01-31 第二十三次正式发布。 修改个人数据保护机制章节。 2023-01-16 第二十二次正式发布。 修改功能特性章节。 2022-11-09 第二十一次正式发布。 增加安全章节。 2022-09-30 第二十次正式发布。 修改功能特性章节。 2022-03-11 第十九次正式发布。 修改功能特性章节，优化相关描述。 2022-01-26 第十八次正式发布。 增加“图解数据安全中心”章节。 2021-12-28 第十七次正式发布。 修改如下章节： 规格版本差异 2021-09-22 第十六次正式发布。 修改计费说明章节。 2021-09-14 第十五次正式发布。 修改功能特性章节。 修改计费说明章节。 2021-06-18 第十四次正式发布。 修改与其他云服务的关系章节，增加与裸金属服务器的关系。 修改使用约束章节，支持的数据库类别增加裸金属服务器。 2021-05-18 第十三次正式发布。 修改使用约束章节，增加厂商的相关描述。 2021-04-30 第十二次正式发布。 修改功能特性章节，敏感数据识别增加图片类型。 修改使用约束章节，feedback问题修改。 2021-03-11 第十一次正式发布。 修改功能特性章节。 2021-02-27 第十次正式发布。 修改计费说明章节，DSC正式商用。 增加规格版本差异章节。 2021-02-19 第九次正式发布。 修改使用约束章节，增加了RDS数据库的使用限制。 2021-02-03 第八次正式发布。 修改使用约束章节，MySQL数据库支持8.0版本。 2021-01-13 第七次正式发布。 修改功能特性章节，增加了数据脱敏和水印的功能。 2021-01-04 第六次正式发布。 修改1.13-DSC权限管理章节，增加了DSC的系统策略。 2020-12-18 第五次正式发布。 增加使用约束章节。 2020-12-14 第四次正式发布。 增加个人数据保护机制章节。 2020-11-26 第三次正式发布。 优化与其他云服务的关系，增加了与 数据湖 服务的关系。 2020-11-16 第二次正式发布。 优化功能特性章节。 2020-09-30 第一次正式发布。

数据脱敏功能支持的数据源类型 表3 数据脱敏功能支持的数据源 脱敏类型 资产类型 支持的数据源类型 数据库脱敏 数据库 SQLServer、MySQL、TDSQL、PostgreSQL、DMDBMS、KingBase、OpenGauss、Oracle、DWS Elasticsearch脱敏 大数据 Elasticsearch Hive脱敏 Hive HBase脱敏 HBase DLI脱敏 大数据 DLI MRS脱敏 MRS MRS_HIVE

DSC支持的数据源类型及版本 数据安全中心支持的资产类型及版本如表1所示。 表1 DSC支持的数据源类型及版本 数据源类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017_SE、2017_EE、2017_WEB 2016_SE、2016_EE、2016_WEB 2014_SE、2014_EE 2012_SE、2012_EE、2012_WEB 2008_R2_EE、2008_R2_WEB KingBase V8 DMDBMS（达梦） 7、8 GaussDB for openGauss 1.4 PostgreSQL 11、10、9.6、9.5、9.4、9.1 TDSQL 10.3.X Oracle 11、12 DDS 4.2、4.0、3.4 DWS 4.2、4.0、3.4 ElasticSearch 5.x、6.x、7.x DLI 1.0 Hive 1.0 HBase 1.0 OBS V3

DSC支持的华为云数据源 关系型数据库（Relational Database Service，RDS） 对象存储服务 （Object Storage Service，OBS） OBS只支持桶列表，不支持并行文件系统。 数据仓库 服务（Data Warehouse Service，DWS） 文档数据库服务（Document Database Service，DDS） MapReduce服务 （MapReduce Service，MRS） 云搜索服务 （Cloud Search Service，CSS） 数据湖探索 服务（Data Lake Insight，DLI） 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库

关于通用漏洞披露（CVE） CVE（Common Vulnerabilities and Exposures）是已公开披露的各种计算机安全漏洞，所发现的每个漏洞都有一个专属的CVE编号。Huawei Cloud EulerOS为保障系统安全性，紧密关注业界发布的CVE信息，并会及时修复系统内各类软件漏洞，增强系统的安全性。您可在Huawei Cloud EulerOS的安全公告中查看安全更新记录。 Huawei Cloud EulerOS 1.1安全公告 Huawei Cloud EulerOS 2.0安全公告 根据CVSS（Common Vulnerability Scoring System）评分，Huawei Cloud EulerOS将安全更新分为四个等级： Critical（高风险，必须安装） Important（较高风险，强烈建议安装） Moderate（中等风险，推荐安装） Low（低风险，可选安装） 若您目前已安装Huawei Cloud EulerOS 1.1及以上版本，您可以根据以下操作查询并安装安全更新，修复系统漏洞。本章节以Huawei Cloud EulerOS 2.0为例举例说明。 Huawei Cloud EulerOS系统版本不同，部分显示可能与本文档存在差异，以实际显示为准。 父主题： 对HCE OS进行安全更新

审计 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的DataArts Insight操作列表详见云审计服务支持的DataArts Insight操作列表说明。用户开通云审计服务并创建和配置追踪器后，CTS开始记录操作事件用于审计。关于如何开通云审计服务以及如何查看追踪事件，请参考《云审计服务快速入门》中的相关章节。 CTS支持配置关键操作通知。用户可将与 IAM 相关的高危敏感操作，作为关键操作加入到CTS的实时监控列表中进行监控跟踪。当用户使用DataArts Insight服务时，如果触发了监控列表中的关键操作，那么CTS会在记录操作日志的同时，向相关订阅者实时发送通知。

代码样例 Token认证机制支持API，用户可在二次开发样例的Producer()和Consumer()中对其进行配置。 Producer()配置的样例代码如下： public static Properties initProperties() { Properties props = new Properties(); KafkaProperties kafkaProc = KafkaProperties.getInstance(); // Broker地址列表 props.put(BOOTSTRAP_SERVER, kafkaProc.getValues(BOOTSTRAP_SERVER, "localhost:21007")); // 客户端ID props.put(CLIENT_ID, kafkaProc.getValues(CLIENT_ID, "DemoProducer")); // Key序列化类 props.put(KEY_SERIALIZER, kafkaProc.getValues(KEY_SERIALIZER, "org.apache.kafka.common.serialization.StringSerializer")); // Value序列化类 props.put(VALUE_SERIALIZER, kafkaProc.getValues(VALUE_SERIALIZER, "org.apache.kafka.common.serialization.StringSerializer")); // 协议类型:当前支持配置为SASL_PLAINTEXT或者PLAINTEXT props.put(SECURITY_PROTOCOL, kafkaProc.getValues(SECURITY_PROTOCOL, "SASL_PLAINTEXT")); // 服务名 props.put(SASL_KERBEROS_SERVICE_NAME, "kafka"); // 域名 props.put(KERBEROS_DOMAIN_NAME, kafkaProc.getValues(KERBEROS_DOMAIN_NAME, "hadoop.hadoop.com")); // 分区类名 props.put(PARTITIONER_NAME, kafkaProc.getValues(PARTITIONER_NAME, "com.huawei.bigdata.kafka.example.SimplePartitioner")); // 生成Token配置 StringBuilder token = new StringBuilder(); String LINE_SEPARATOR = System.getProperty("line.separator"); token.append("org.apache.kafka.common.security.scram.ScramLoginModule required").append(LINE_SEPARATOR); /** * 用户自己生成的Token的TOKENID */ token.append("username=\"PPVz2cxuQC-okwJVZnFKFg\"").append(LINE_SEPARATOR); /** * 用户自己生成的Token的HMAC */ token.append("password=\"pL5nHsIUODg5u0dRM+o62cOIf/j6yATSt6uaPBYfIb29dj/jbpiAnRGSWDJ6tL4KXo89dot0axcRIDsMagyN4g==\"").append(LINE_SEPARATOR); token.append("tokenauth=true;"); // 用户使用的SASL机制，配置为SC RAM -SHA-512 props.put("sasl.mechanism", "SCRAM-SHA-512"); props.put("sasl.jaas.config", token.toString()); return props; } Consumer()配置的样例代码如下： public static Properties initProperties() { Properties props = new Properties(); KafkaProperties kafkaProc = KafkaProperties.getInstance(); // Broker连接地址 props.put(BOOTSTRAP_SERVER, kafkaProc.getValues(BOOTSTRAP_SERVER, "localhost:21007")); // Group id props.put(GROUP_ID, kafkaProc.getValues(GROUP_ID, "DemoConsumer")); // 是否自动提交offset props.put(ENABLE_AUTO_COMMIT, kafkaProc.getValues(ENABLE_AUTO_COMMIT, "true")); // 自动提交offset的时间间隔 props.put(AUTO_COMMIT_INTERVAL_MS, kafkaProc.getValues(AUTO_COMMIT_INTERVAL_MS,"1000")); // 会话超时时间 props.put(SESSION_TIMEOUT_MS, kafkaProc.getValues(SESSION_TIMEOUT_MS, "30000")); // 消息Key值使用的反序列化类 props.put(KEY_DESERIALIZER, kafkaProc.getValues(KEY_DESERIALIZER, "org.apache.kafka.common.serialization.StringDeserializer")); // 消息内容使用的反序列化类 props.put(VALUE_DESERIALIZER, kafkaProc.getValues(VALUE_DESERIALIZER, "org.apache.kafka.common.serialization.StringDeserializer")); // 安全协议类型 props.put(SECURITY_PROTOCOL, kafkaProc.getValues(SECURITY_PROTOCOL, "SASL_PLAINTEXT")); // 服务名 props.put(SASL_KERBEROS_SERVICE_NAME, "kafka"); // 域名 props.put(KERBEROS_DOMAIN_NAME, kafkaProc.getValues(KERBEROS_DOMAIN_NAME, "hadoop.hadoop.com")); // 生成Token配置 StringBuilder token = new StringBuilder(); String LINE_SEPARATOR = System.getProperty("line.separator"); token.append("org.apache.kafka.common.security.scram.ScramLoginModule required").append(LINE_SEPARATOR); /** * 用户自己生成的Token的TOKENID */ token.append("username=\"PPVz2cxuQC-okwJVZnFKFg\"").append(LINE_SEPARATOR); /** * 用户自己生成的Token的HMAC */ token.append("password=\"pL5nHsIUODg5u0dRM+o62cOIf/j6yATSt6uaPBYfIb29dj/jbpiAnRGSWDJ6tL4KXo89dot0axcRIDsMagyN4g==\"").append(LINE_SEPARATOR); token.append("tokenauth=true;"); // 用户使用的SASL机制，配置为SCRAM-SHA-512 props.put("sasl.mechanism", "SCRAM-SHA-512"); props.put("sasl.jaas.config", token.toString()); return props; }

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

操作步骤 使用具有“管理员”权限的帐号（例如，administrator）登录Windows弹性云服务器。 在浏览器地址栏输入Agent安装包地址，下载并解压缩安装包。 运行“CMD命令提示符”，找到安装包所在路径。 执行.\hostguard_setup.exe /silent命令，完成安装Agent。 安装Agent成功后，建议删除Agent的安装包。 安装成功后，需要等待5~10分钟左右Agent才会自动刷新Agent状态。

日志 MRS集群所有组件日志（如HDFS服务全部日志）支持通过主机接入的方式对接 云日志 服务。云日志服务（LTS）用于收集来自主机和云服务的日志数据，通过海量日志数据的分析与处理，可以将云服务和应用程序的可用性和性能最大化，为您提供实时、高效、安全的日志处理能力，帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。具体对接指导请参见MRS服务如何对接云日志服务。 同时 FusionInsight Manager支持在线检索并显示组件的日志内容，用于问题定位等其他日志查看场景，详细操作指导请参见在线检索日志。FusionInsight Manager支持批量导出各个服务角色所有实例生成的日志，无需手工登录单个节点获取，详细操作指导请参见下载日志。

审计 MRS服务在管理控制台上的操作日志，例如创建或删除MRS集群的日志记录，通过云审计服务（Cloud Trace Service，CTS）实现。CTS是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录MRS的管理事件和数据事件用于审计。 图1 CTS记录MRS事件 同时FusionInsight Manager也提供了审计功能，可以记录用户对集群Manager页面操作信息。管理员可通过“审计”页面查看用户在Manager上的历史操作记录，用于安全事件中定位问题原因及划分责任。审计管理页面介绍请参见审计管理页面概述。Manager的审计日志默认保存在数据库中，如果长期保留可能引起数据目录的磁盘空间不足问题，管理员如果需要将审计日志保存到其他归档服务器，可以在FusionInsight Manager设置转储参数及时自动转储，便于管理审计日志信息。审计日志转储操作指导请参见配置审计日志转储。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全