检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
具体创建步骤请参见:创建自定义策略。本章为您介绍常用的DBSS自定义策略样例。 DBSS自定义策略样例 示例1:授权用户查询数据库审计列表 { "Version": "1.1", "Statement": [ { "Effect":
风险扫描 查看“风险扫描结果”。 单击“风险报告”页签。 找到目标报告,单击“详情”。在查看报表页面,可以查看报表的详细统计信息。 图5 查看报表 单击“导出报表”,选择报表格式,将报表下载到本地。 父主题: 风险管控
QL进行优化。 数据库脏表检测 数据库安全审计规则可增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测,可以帮助您监控识别访问“脏表”的SQL语句,及时发现数据安全风险。
待审计的RDS如果连接了多台ECS,如何部署Agent? 当待审计的RDS连接了多台ECS,即多个应用端(ECS)连接同一个RDS时,所有的应用端都需要部署Agent,如图1所示。 图1 多个应用端连接同一个RDS 在完成添加数据库操作后,请您参照以下步骤部署Agent: 添加Agent。
在“选择实例”下拉列表框中,选择需要设置邮件通知的实例。 设置邮件通知,相关参数说明如表1所示。 图1 设置邮件通知 表1 邮件通知参数说明 参数名称 说明 取值样例 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知,当数据库发生设置的告警事件或生成报表时,数据库安全审计将发送通知邮件。
在左侧导航树中,选择“审计规则”。 在“选择实例”下拉列表框中,选择需要查看风险操作的实例。 选择“风险操作”页签。 查看风险操作信息,相关参数说明如表1所示。 可以在列表上方的搜索框中选择属性筛选,或输入关键字搜索,搜索指定的风险操作。 图3 查看风险操作信息 表1 风险操作信息参数说明 参数名称 说明
内部违规和不正当操作进行定位追责,保障数据资产安全。 部署简单 采用数据库旁路部署方式,操作简单,快速上手。 全量审计 支持对华为云上的RDS、ECS/BMS自建的数据库进行审计。 快速识别 实现99%+的应用关联审计、完整的SQL解析、精确的协议分析。 高效分析 每秒万次入库、海量存储、亿级数据秒级响应。
记录列表中。管理员可以通过访问记录列表,定期检查和审计。 前提条件 设备仅记录应用通过代理访问数据库的记录信息。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“数据加密 > 应用访问记录”进入“访问记录列表”界面。 在访问记录列表中,查看
PC通过内网访问RDS(即应用端在云下)时,如何使用数据库安全审计? 当PC通过专线内网访问RDS时,您可以将Agent安装到自建的代理端。此时,PC通过代理端访问数据库,数据库安全审计只能审计代理与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。 有关Agent
DBSS”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“实例列表”,进入“实例列表”界面。 单击需要查看告警信息的实例名称,选择“告警监控”,进入告警监控页面。 查看告警信息,如图1所示,相关参数说明如表1所示。 图1 查看告警信息 表1 告警信息参数说明 参数名称 说明 发生时间 告警发生的时间。
开启消息通知服务后,当数据库设置的告警事件发生或生成报表时,您可以收到告警或报表生成的消息通知。 在“告警通知”界面,您可以根据运维计划开启告警消息通知或关闭告警消息通知。 在“报表管理”界面,您可以根据运维计划开启报表生成消息通知或关闭报表生成消息通知。 关于SMN的详细内容,请参见《消息通知服务用户指南》。
数据库安全服务实例审计Postgres的RDS数据库没有审计数据怎么办? 故障现象 DBSS实例审计Postgres的RDS数据库没有审计数据 可能原因 DBSS审计实例配置不正确,请重新检查配置 若配置没有问题,还是没有审计数据,那就需要在连接数据库实例的时候用非SSL的方式去连接。
使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“动态脱敏 > 脱敏算法”。 在“脱敏算法列表”页面,单击右上角的“添加自定义算法”。 在添加自定义算法对话框中,配置自定义脱敏算法。 图1 添加自定义算法 表1 添加自定义算法 参数 说明 算法名称 设置自定义的算法名称,方便后续管理。 关联数据类型
仿真解密测试 在配置解密队列之前,建议先进行仿真解密测试,验证解密功能。 前提条件 需要解密测试的表格已经在加密队列中完成加密,即已完成配置加密队列。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏中,选择“业务测试 > 仿真测试”。 单击“新增解密测试”。
找到目标数据资产,单击“查看”。 在扫描结果列表页面,查看扫描全部结果。 表1 扫描结果 参数 说明 数据源名称 敏感信息所在的数据资产名称。 模式 敏感信息所在的模式。 表名 敏感信息所在的表名/视图名。 表列数 数据库表的表列数。 是否可加密 数据库表是否支持加密。 不可加密原因 如果表不可加密,提示不可加密的原因。
选择“每天”。 审计报表的合规配置 为了能够更及时、准确地了解合规状况,建议开启审计报表计划任务。 建议您优先设置如图2所示的报表计划任务。 图2 报表合规设置项 单击“设置任务”可对计划任务的参数进行设置,参数说明如表1所示。 图3 选择计划任务参数 表1 计划任务参数说明 参数名称
数据库列表”,进入数据库列表界面。 在“选择实例”下拉列表框中,选择需要添加数据库的实例,在数据库列表框左上方,单击“添加数据库”。 在弹出的对话框中,填写RAC集群数据库的信息。 示例:添加RAC集群节点RAC-Node-01的数据库。 图1 添加Oracel数据库 表2 数据库参数说明
单击右上角的“新增加密队列”。 在“新增加密队列”对话框中,设置加密信息,相关参数如表1所示。 表1 新增加密队列 参数 说明 资产名称 资产的资产名称。 模式名 资产的模式名。 表名 资产的表名。 加密算法 在下拉栏中选择加密的算法。 可以在查看加密算法页面查看支持的算法类型。
在扫描结果列表页面,找到目标数据库表,单击“添加脱敏规则”。 您也可以在扫描结果列表页面单击“批量添加脱敏规则”,将根据扫描敏感数据时使用的行业模板批量生成脱敏规则。如何配置行业模板,请参见新增行业模板。 在添加脱敏规则对话框中,设置脱敏信息,配置信息如表1所示。 表1 添加脱敏规则
开启或关闭当前SQL注入规则。 :开启 :关闭 正则表达式 目标SQL规则采用正则表达式检测的公式,需要您根据需要检测的内容来输入确定。 ^\d{6}$ 原始数据 正则表达式能检测的正确数据。 输入正则表达式能检测的正确数据,单击“测试”对正则表达式进行检测。 628307 结果 显示测试的结果:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
