检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当某个应用端连接了多个数据库时,如图1所示。如果连接该应用端的某个数据库(例如“DB1”),已在应用端添加了Agent(即“DB1”数据库在添加Agent时,“安装节点类型”选择“应用端”)。则连接该应用端的其他数据库在添加Agent时,只需要选择“选择已有Agent”添加方式(即选择“DB1”已添加的Agent)。
前提下,可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。 基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况。 提供审计报表模板库,
设置自定义的算法名称,方便后续管理。 关联数据类型 选择脱敏算法关联的敏感数据类型。 算法类型 设置脱敏数据保留的前后字符数。 遮蔽符号 选择脱敏使用的遮蔽符号。 算法说明 描述您的算法类型说明信息。 单击“保存”。 新增完成后,您可以在数据类型列表页面查看新增加的自定义脱敏算法。 图2
审计网卡名称 可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。 指待审计的应用端节点的网卡名称。 - CPU阈值(%) 可选参数。“安装节点类型”选择“应用端”时,可以配置该参数。 指待审计的应用端节点的CPU阈值,缺省值为“80”。 须知: 当服务器的CPU超过设置的阈值,
使用数据库操作员datadmin账号登录数据库运维管理系统。 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批被驳回或同意后被撤销,此时会被阻断。
审计人员及时发现各种异常行为和违规操作,并为快速定位分析、整体信息管理提供决策依据。 数据库服务器分析报表 数据库专项报表 分别为数据库活动用户统计、访问数据库来源IP数量统计、数据库登录及请求统计分析和使用数据库操作时间判断数据库服务器性能。 客户端IP分析报表 客户端专项报表 统计源IP中客户端应用程序、数据库用户数量和SQL语句数量。
据库提供旁路模式的数据库审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare Metal Server,BMS)的自建数据库 数据库安全审计支持的数据库类型及版本,请参见:数据库安全审计支持哪些数据库?。 父主题:
使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“敏感数据发现 > 敏感数据扫描”。 在扫描任务列表页面,找到目标数据资产,单击“查看”。 在扫描结果列表页面,找到目标数据库表,单击“添加脱敏规则”。 您也可以在扫描结果列表页面单击“批量添加脱敏规则”,将根据扫描敏感数据时使
在左侧导航树中选择“资源管理 > 存储管理”,选择“对象存储卷”页签,单击“导入”。 在弹出的“导入对象存储”对话框中,从列表里选择要导入的对象存储(dbss-audit-agent-{projectid})。 图2 “导入对象存储”对话框 按表1所示信息选择导入对象存储的集群和命名空间,如图2所示。
Agent参数说明所示。 表2 Agent参数说明 参数名称 说明 Agent ID Agent的ID,由系统自动生成。 安装节点类型 安装节点的类型,包括“数据库端”或“应用端”。 安装节点IP 安装Agent的节点的IP地址。 操作系统 安装Agent运行的操作系统。 审计网卡名称
使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏中,选择“数据加密 > 授权管理”。 在数据源列表中,单击目标数据源。 找到目标加密数据库表,单击“客户端授权”。 在“客户端授权”对话框中,设置客户端IP地址范围、时间范围和星期范围。 图1 客户端授权 IP地址
已经创建新的用户账号。 操作步骤 使用安全管理员secadmin账号登录实例Web控制台。 在左侧导航栏,选择“系统管理 > 账号审核”。 找到需要审核的账号,单击“通过”。 在提示框中,单击“确定”。 父主题: 系统管理
图1 自动审核 操作步骤 使用安全管理员secadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“系统管理 > 账号审核”。 找到需要审核的账号,单击“通过”。 在提示框中,单击“确定”。 父主题: 系统管理
发起运维工单申请。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“运维管理 > 工单审批”。 找到目标工单申请,单击“审批”进行编辑。 在编辑审批对话框中,设置审批意见,并单击“同意”(或者单击驳回)。 如果是SQL脚本,可以单击脚本名称,下载到本地进行审批。
操作命令:选择SQL操作关键字。 操作对象-表:设置数据库表名称。 操作对象-列:设置数据库列名称。 操作语句 在操作语句中直接输入具体的操作语句。 SQL脚本 在SQL脚本,单击请选择在本地选择SQL脚本。 在SQL脚本详情中可以查看脚本内容。 单击“确定”。 找到待提交工单,单击“提交”,在“确认”提示框中单击“确定”。
手动续费 包年/包月数据库安全服务从购买到被自动删除之前,您可以随时在DBSS控制台为数据库安全服务续费,以延长数据库安全服务的使用时间。 在云服务控制台续费 登录管理控制台。 单击左侧导航栏的图标,选择“安全与合规 > 数据库安全服务 DBSS”。 在左侧导航栏选择“实例列表”,进入“实例列表”页面。
入门实践 当您配置完数据库安全服务(DBSS)后,可以根据自身业务的业务场景使用DBSS提供的一系列常用实践。 表1 常用最佳实践 实践 描述 审计数据库 审计ECS数据库 数据库安全审计采用旁路部署模式,通过在数据库或应用系统服务器上部署数据库安全审计Agent,获取访问数据库
权。具体说明请参见添加数据资产。 系统管理员添加数据资产账号信息,用于给数据库操作员资产认证授权。具体说明请参见手动添加账号。 系统管理员找到目标数据库操作员,并进行资产授权操作。具体说明请参见管理运维人员。 随后数据库操作员对目标资产发起运维工单申请。具体说明请参见发起运维工单申请。
什么是数据库安全服务? 数据库安全服务(Database Security Service,DBSS)提供数据库安全审计、数据库加密与访问控制、数据库运维服务功能,数据库审计通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警。数据库加密与访问控
168.0.1,其服务端口为16000。 备Master节点IP为192.168.0.2,其服务端口为16000。 RegionServer1节点IP为192.168.0.3,其服务端口为16020。 RegionServer1节点IP为192.168.0.4,其服务端口为16020。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
