检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
步骤一:添加数据库 数据库安全服务支持对华为云上的RDS关系型数据库、ECS/BMS自建数据库进行审计。购买数据库安全审计实例后,您需要将待审计的数据库添加至数据库安全审计实例中。 数据库安全服务支持审计的数据库类型及版本,请参见支持的数据库类型及版本。 前提条件 数据库安全审计实例的状态为“运行中”。
全性,建议您了解免Agent审计数据库的相关内容:免Agent审计数据库。 操作步骤 以MySQL数据库自带的客户端为例说明,操作步骤如下: 使用MySQL数据库自带的客户端,以root用户登录MySQL数据库。 执行以下命令,查看MySQL数据库连接的方式。 \s 如果界面回显
选择添加的数据库类别,“RDS数据库”或“自建数据库”。 说明: 当您选择“RDS数据库”类型时,可以直接选择您需要添加至数据库安全服务防护的数据库。 自建数据库 数据库名称 您可以自定义添加的数据库的名称。 test1 IP地址 添加的数据库的IP地址。 IP必须为内网IP地址,支持IPv4和IPv6格式。
步骤二:添加Agent 将待审计数据库添加至数据库安全审计实例后,您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,帮助您实现对数据库的安全审计。
设置您需要的描述。 地址类型 选择地址类型。地址类型包括: 不配置地址 IPv4 IPv6 IPv4 & IPv6 IP地址及子网掩码 IP地址:您的设备IP地址。根据您的网络规划决定,需要和数据库等数据资产互通。 子网掩码:设置您的子网掩码。根据您的网络规划决定。 网关地址 您的网关地址。
虚拟补丁规则功能是通过内置数据库特征漏洞库信息,并将其转化为防护特征攻击的特征策略,对命中策略的攻击进行虚拟补丁拦截防护。 组网需求 图1 反向代理组网示例 表1 组网参数说明 设备 说明 客户端 IP地址:172.16.196.33 数据库运维安全管理系统 IP地址:172.16.47
其他约束条件 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 Windows操作系统的Agent不支持审计IPv6数据库。 数据库开启SSL时,将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能,请关闭数据库的SS
反向代理模式,数据库运维安全管理系统通过代理资产进行安全防护。本示例组网情况如图1 反向代理组网所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192.168.12.59 MySQL数据库 IP地址:192
bypass:激活状态,插件状态正常。插件已检测到加密系统异常,插件开始工作,修改应用连接从网关代理到直连数据库,并对jdbc请求中的数据进行加解密。 当应用配置连接的是网关加密代理地址且应用到网关加密代理地址不通时,插件将切换到bypass状态。 操作步骤 登录实例Web控制台。 在左侧导航栏,选择“数据加密
使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“审计日志 > 业务字典”。 选择“操作”页签。 单击“添加”,配置业务字典信息,单击“确定”。 图1 IP类型业务字典 表1 IP类型业务字典 参数 说明 IP地址 设置IP地址。 IP类型 在下拉栏中选择IP地址类型,包括服务器端IP、客户端IP和应用端IP。
GaussDB for MySQL 兼容的数据库版本 MySQL 8.0 数据库IP地址 192.168.0.237 数据库端口 3306 约束与限制 待审计数据库与数据库安全审计需要在同一区域。 步骤一:购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数,详细操作请参见购买数据库安全审计。
介绍该场景下开启数据库安全审计功能和验证审计结果的具体操作。 表2 数据库示例信息说明 数据库类型 POSTGRESQL 数据库版本 7.4 数据库IP地址 192.168.1.31 应用端IP地址 (安装节点IP地址) 192.168.1.132 端口 8000 操作系统 LINUX64
设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192.168.12.59 MySQL数据库 IP地址:192.168.11.78 数据库版本:MySQL 5.7 添加数据资产 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理
可选参数。输入访问待审计数据库的IP地址或IP地址段。 IP必须为内网IP地址,支持IPv4和IPv6格式。 - 源端口 可选参数。输入访问待审计数据库的端口。 - 单击“确定”。 添加成功,审计范围列表新增一条状态为“已启用”的审计范围。 相关操作 除了添加数据库安全审计的审计范围,
数据量。 数据库开启SSL时,将不能使用数据库安全审计功能。 数据库开启强行加密,数据库安全审计将无法获取文件内容进行分析。 关闭数据库SSL 以MySQL数据库自带的客户端为例说明,操作步骤如下: 使用MySQL数据库自带的客户端,以root用户登录MySQL数据库。 执行以下命令,查看MySQL数据库连接的方式。
反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192.168.12.59 MySQL数据库 IP地址:192.168.11.78 数据库版本:MySQL 5.7 添加数据资产 使用系统管理员sysadmin账号登录数据库运维管理系统。
数据库审计实例规则配置最佳实践 建议您开启风险告警,配置了风险告警后,当数据库访问触发了审计规则时,DBSS才能及时将风险通知给您,操作详情请参见设置告警通知。 场景一:核心资产数据库表的异常访问、告警 示例:某电商网站后台分为多个微服务,分别为订单管理服务、用户管理服务、商品搜
数据源地址 设置数据库的IP地址。 数据源端口 设置数据库的连接端口。 代理地址 从下拉框中选择代理地址,即数据库访问与控制的IP地址。 代理端口 设置代理端口。运维人员通过代理IP + 代理端口访问数据库。 取值范围:1025-65535。 您可以在范围内设置一个任意的空闲端口。
数据库/实例名 填写数据库名称或者实例名称。 数据库账号 填写数据库登录用户名。 数据库密码 填写数据库登录密码。 web认证 开启Web认证后,仅通过认证的数据库操作员可以通过Web安全客户端或已认证的数据库客户端访问数据库。 后续操作,请参见通过Web安全客户端访问资产。
您可以勾选“全部数据库”或选择某数据库使用该风险操作规则。 - 客户端IP/IP段 输入客户端的IP地址或IP地址段。 IP地址支持IPv4(例如,192.168.1.1)和IPv6(例如,fe80:0000:0000:0000:0000:0000:0000:0000)格式。 192
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
