检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
添加数据资产 本章节将介绍如何在系统上添加需要保护的数据资产(数据库、大数据等),操作过程中将以添加Oracle数据库为例,请根据实际情况添加相应的数据资产。 使用约束 表1 数据库运维支持纳管的数据源及版本 兼容性软件名称 兼容版本情况 功能差异化描述 数据库 版本 协议解析单向
数据库安全审计Agent相关 数据库安全审计的Agent提供哪些功能? 数据库安全审计的Agent可以安装在哪些Windows操作系统上? 数据库安全审计的Agent可以安装在哪些Linux操作系统上? 数据库安全审计Agent的进程名称是什么? (Linux操作系统)安装Agent时没有安装脚本执行权限,如何处理?
虚拟补丁防护配置举例 虚拟补丁规则功能是通过内置数据库特征漏洞库信息,并将其转化为防护特征攻击的特征策略,对命中策略的攻击进行虚拟补丁拦截防护。 组网需求 图1 反向代理组网示例 表1 组网参数说明 设备 说明 客户端 IP地址:172.16.196.33 数据库运维安全管理系统
构造请求 本节介绍如何构造REST API的请求,并以调用IAM服务的获取用户Token说明如何调用API,该API获取用户的Token,Token可以用于调用其他API时鉴权。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987。
场景三:业务测试典型配置举例 数据库加密与访问控制支持通过业务分析功能对数据库资产进行前期分析,排除加密后可能影响的业务错误,业务测试流程如图1所示。 图1 业务测试流程 组网说明 数据库加密与访问控制采用反向代理方式,典型组网如下图2所示。 图2 典型组网 前提条件 设备和应用系统路由可达。
数据库安全审计操作类 如何配置数据库安全审计? 如何关闭数据库SSL? 如何设置数据库安全审计的INSERT审计策略? 如何验证已完成数据库安全审计配置? 如何对所有数据库设置数据库安全审计规则? 如何查看数据库安全审计的版本信息? 如何查看数据库安全审计所有的告警信息? PC通
如何处理Agent与数据库安全审计实例之间通信异常? 故障现象 在数据库端或应用端安装Agent后,在数据库上输入SQL语句,SQL语句列表中未显示该SQL语句。 建议您按照本章节的操作步骤进行处理: 检查添加的数据库信息以及审计状态 检查数据库安全审计实例的安全组规则 检查安装节点的Agent程序运行状态
数据库慢SQL检测 操作场景 数据库安全审计默认提供一条“数据库慢SQL检测”的风险操作,用于检测原始审计日志的响应时间大于1秒的SQL语句。 通过数据库慢SQL检测,您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息并根据实际需求对慢SQL进行优化。 数据库安全审计支持以下执行语句类型检测:
场景一:加密操作流程及加密功能典型配置 加密操作流程 数据库加密与访问控制的加密操作流程图和流程介绍如下图1所示。 图1 加密操作流程 (首次)初始化密钥。 首次使用系统时,根据密钥来源初始化密钥。具体操作,请参见初始化密钥。 添加数据源。 在使用数据脱敏功能前,您需要将数据资产
审计与日志 审计 DBSS向用户提供数据库审计功能,可以对普通用户、管理员账户的所有活动情况进行审计,并生成合规性报告。DBSS通过记录流量、入侵、异常监控、数据脱敏、远程工作等日志,锁定异常操作到人,对特定事件实时告警,对TOP活动进行可视化呈现,满足ISO27001、信息安全
业务字典配置举例 该模块可配置业务字段,配置的业务名称可以用来翻译日志中的信息。可添加业务字典的项有IP、账号、操作、操作对象。添加的业务字典都可进行编辑和修改。 组网需求 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统
审计RDS关系型数据库(免安装Agent) 方案概述 本文档介绍了如何对关系型数据库(应用部署于ECS)进行安全审计。对于部分关系型数据库,DBSS服务支持免安装Agent模式,无需安装Agent,即可开启数据库安全审计。 如果您需要安全审计的数据库类型如表1所示,请参见本节内容。
工单审批配置举例 对于超出一般访问控制权限以外的运维操作,运维人员如确需执行的,数据库运维安全管理系统还提供了工单审批机制。运维人员可以预先将需要操作的语句、脚本、对象以及所需要的权限填入工单进行申请,由系统指定的审批人员批准之后,方可在指定的时间窗口内进行。 操作完成后权限自动收回,完美兼顾安全和业务。
场景四:动态脱敏典型配置举例 动态脱敏操作流程 数据库加密与访问控制支持配置动态脱敏策略,对数据库资产中的明文数据进行脱敏展示,动态脱敏流程如图1所示。 图1 动态脱敏流程 添加数据源。 在使用数据脱敏功能前,您需要将数据资产添加到系统中。具体操作,请参见添加数据资产。 (可选)配置行业模板和敏感数据类型。
业务测试和分析 在正式使用加密前,建议先对数据库进行测试,检验业务中使用的SQL语句是否能够在加密环境中使用,排除加密后可能影响的业务错误,降低业务测试成本。进行数据加密后,数据的特征发生变化,由原来的中文、英文、数字变成了十六进制字串符。从而导致部分原来可以正常执行的SQL在数据加密后无法执行。
添加风险操作 数据库安全审计内置了“数据库拖库检测”和“数据库慢SQL检测”两条检测规则,帮助您及时发现数据库安全风险。同时,您也可以通过添加风险操作,自定义数据库需要审计的风险操作规则。 一条审计数据只能命中风险操作中的一个规则。 前提条件 数据库安全审计实例的状态为“运行中”。
Web安全客户端配置举例 数据库运维安全管理系统为用户提供Web认证功能,资产开启Web认证后,未经过认证的数据库客户端不可访问该资产。数据库操作员可以先登录数据库运维安全管理系统,随后通过Web安全客户端或本机上的数据库客户端访问该资产。 组网需求 图1 反向代理组网 表1 组网说明
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
