检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
审计RDS关系型数据库(免安装Agent) 方案概述 本文档介绍了如何对关系型数据库(应用部署于ECS)进行安全审计。对于部分关系型数据库,DBSS服务支持免安装Agent模式,无需安装Agent,即可开启数据库安全审计。 如果您需要安全审计的数据库类型如表1所示,请参见本节内容。
FullAccess敏感权限配置 DBSS的full权限集涉及部分用户的敏感权限,比如订单支付、obs桶创建和文件上传、委托的创建及委托权限设置等。 这部分权限对用户资产影响较大,故不在系统预置权限集中添加,需通过说明文档方式,由用户手动添加。 相关敏感权限说明如表1所示,权限详情如下:
描述 id 是 String 实例ID。可在查询实例列表接口的ID字段获取。 delete_publicip 否 Boolean 是否删除弹性IP delete_volume 否 Boolean 是否删除磁盘 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述
容器化部署数据库安全审计Agent 场景说明 添加数据库并导出数据库配置 在CCE集群节点中安装Agent 开启数据库安全审计 查看审计结果
请您根据数据库的类型以及部署场景,在数据库端或应用端安装Agent。数据库常见的部署场景说明如下: ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。
流程指引 本节内容指引您快速启用数据库安全审计服务DBSS。 背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启S
uninstall audit agent completed! 在Windows操作系统上卸载Agent 进入Agent安装文件的目录。 双击“uninstall.bat”执行文件,卸载Agent。 验证Agent已卸载成功。 打开任务管理器,查看“dbss_audit_agent”进程已停止。
见如何选择数据库安全审计的Agent安装节点?。 图1 一个应用端连接了多个数据库 连接的数据库类型包括: 全是ECS/BMS自建数据库 全是RDS关系型数据库 ECS/BMS自建数据库与RDS关系型数据库 父主题: 数据库安全审计Agent相关
DBSS服务审计实例网关IP有限制吗? 用户主机不可占用DBSS审计实例的网关IP地址,其余并无限制。 父主题: 产品咨询类
子网具有物理地域属性:通用可用区不能使用边缘可用区的子网,边缘可用区不能使用通用可用区的子网 分配Ipv4地址 选择Ipv4地址。 弹性IP(可选) 选择绑定实例的弹性IP。 图4 高级配置和登录信息 表4 高级配置和登录信息参数说明 参数名称 参数说明 取值样例 实例名称 自动生成,也可自定义名称。
None 操作指导 数据库安全服务 DBSS 操作视频 02:35 数据库安全服务快速入门 云容器引擎 CCE 简介 07:25 云容器引擎简介 云容器引擎 CCE 服务介绍 03:23 云容器引擎服务介绍 计算 云容器引擎 CCE 熟悉云容器引擎控制台 02:35 熟悉云容器引擎控制台
子网具有物理地域属性:通用可用区不能使用边缘可用区的子网,边缘可用区不能使用通用可用区的子网 - 分配Ipv4地址 选择Ipv4地址。 自动分配IP地址 弹性IP(可选) 选择绑定实例的弹性IP。 - 图4 高级配置和登录信息 表4 高级配置和登录信息参数说明 参数名称 参数说明 取值样例 实例名称 自动生成,也可自定义名称。
数据库安全审计可以应用于哪些场景? 数据库安全审计采用数据库旁路部署方式,在不影响用户业务的前提下,可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。 基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。
流程指引 背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 有关审计数据的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
“添加本地磁盘”对话框 单击“确定”。 选择“云存储”页签,单击“添加云存储”,在弹出的对话框中,输入以下参数,其他保持默认,如图6所示。 云存储类型:对象存储 分配方式:使用已有存储 云存储名称:导入对象存储卷中创建的对象存储PVC名称。 挂载路径:将数据存储挂载到容器上的路径(/tmp/dbss/agent)
object 数据库信息 表4 database 参数 是否必选 参数类型 描述 db_classification 是 String 数据库分类 ECS:自建数据库 name 是 String 数据库名称 type 是 String 数据库类型 MYSQL ORACLE POSTGRESQL
查看备份审计日志信息 表1 审计日志参数说明 参数名称 说明 日志名称 日志的名称,由系统自动生成。 备份时间 执行日志备份操作的时间。 文件大小 日志的文件大小。 备份方式 日志的备份方式。 sha256 备份日志的校验值。 备份范围 日志的备份时间段。 任务状态 日志的备份状态。 在
户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮
通过配置如下可满足隐私数据的合规要求: 开启“隐私数据脱敏”开关:开启后会对审计日志中的隐私数据进行脱敏存储。 关闭“存储结果集”开关:关闭后,审计日志含有隐私信息的结果集将不会存储到审计日志中。 开启所有的隐私保护规则。 图4 审计日志隐私合规配置
添加Agent时,在什么场景下需要选择“选择已有Agent”添加方式? 当数据库安全审计Agent的运行状态为“休眠中”时,如何处理? 待审计的RDS如果连接了多台ECS,如何部署Agent? 如何选择数据库安全审计的Agent安装节点? 如何运行数据库安全审计Agent程序? 如何查看数据库安全审计Agent的运行状态?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
