检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
添加业务字典 对于IP地址、SQL操作等专业信息,系统支持通过业务字典功能,将这些专业信息翻译成用户容易理解的业务信息。 系统支持配置的业务字典类型包括IP、账号、操作和操作对象。 添加IP类型的业务字典 添加账号类型的业务字典 添加操作类型的业务字典 添加操作对象类型的业务字典
手动备份 配置手动备份,系统会立即创建全量的产品日志备份文件或增量的产品日志备份文件。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“日志管理 > 备份还原”。 在备份配置区域,设置手动备份方式。 图1 手动备份 手动备份支持全量备份和增量备份两种方式:
数据库安全审计等保最佳实践 DBSS可以从审计日志的天数、审计合规的报表、审计日志的隐私合规的配置来进一步满足等保合规。 审计日志天数的合规配置 相关审计法规规定,审计日志至少保留半年。DBSS服务会自动预测审计实例的剩余存储空间是否能够满足半年审计日志的合规要求,若不满足会给出界面提示。
执行风险扫描 风险管控支持手动扫描风险信息、查看系统审计的风险问题和配置风险告警接收方式。 通过多个维度为资产进行风险扫描,识别资产的潜在风险,并支持导出风险报表。 背景信息 目前支持资产类型Oracle、SQL Server、DB2、DM7。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
概述 策略防护功能包括策略设置、自定义策略、虚拟补丁策略模块。 系统支持配置多种维度策略,策略组合种类多达数百种,能够精准实现各种数据级的访问控制。 主体颗粒度可细化至用户、IP、主机、程序、时间、频次等。 客体颗粒度可达针对表、列、行数等。 行为颗粒度可达基本操作、特权操作、SQL语句、异常、存储过程等。
100~192.168.0.120 192.168.1.100~192.168.1.120 用户授权 wordpress用户支持查询、添加、修改权限。 配置后结果如下: 如果用户的IP地址为192.168.0.105,通过代理方式,使用wordpress访问数据库,可以查看到明文数据。 如果用户的IP地址为192
支持的数据库类型为MySQL。 逃生插件的安装仅支持jre8及以上、linux_x86环境。 插件状态 插件部署在客户的应用系统上。插件状态有三种: online:准备状态,插件状态正常。可以通过心跳进行状态检测,加密系统会定期推送相应的加密配置和密钥文件到插件端。等待加密系统故障后切换到激活状态。
已经初始化密钥,详细操作请参见初始化密钥。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“密钥管理 > 密钥配置”。 在密钥更新区域,配置手动更新或者周期性更新数据源密钥DSK。 图1 密钥更新 如果手动更新数据源密钥DSK,请按照以下步骤进行操作: 单击“立即更新密钥”。
在下拉栏中选择启用或禁用,默认启用。 单击“确定”。 使配置生效,您需要进行以下步骤: 在左侧导航栏,选择“策略防护 > 策略设置”。 在基本配置页的应用的策略栏勾选启用SQL策略。 单击启用SQL策略旁的。 在策略列表页面勾选客户端语句过滤白名单,单击“确定”。 在基本配置页单击策略应用,配置生效。 更多信息,请参见管理基本配置。
审计才能对添加的数据库进行审计。 如果该安全组已配置安装节点的入方向规则,请执行步骤五:安装Agent。 如果该安全组未配置安装节点的入方向规则,请按照本节内容进行配置。 安全组规则也可以在成功安装Agent后进行添加。 获取安装节点IP地址。 在数据库列表的上方,单击“添加安全组规则”。
生成报表 如果需要根据报表模板“定时发送报表”,请参考此步骤: 找到目标报表模板,单击“定时报表配置”。 在定时报表配置对话框中,设置定时报表生成。 图3 定时报表配置 表2 定时报表配置 参数 说明 启用计划 勾选启用计划,开启定时生成报表。 频率设置 选择定时发送报表次数。可选项包括:
创建脱敏规则 通过创建脱敏规则,可对数据库中的明文数据起到脱敏效果,保障数据安全。 如果您已了解数据库表结构,可以在脱敏策略页面直接添加规则脱敏规则。配置脱敏规则后,非脱敏白名单用户查询对应的数据库信息时,将只查看到脱敏数据。 如果对敏感数据分布不了解,可使用1.4.6 敏感数据发现功能扫描
单击策略组前面的展开图标,查看策略。 图5 展开策略组 单击策略名称,在策略详情页面修改策略信息。 如果设置策略详情时要使用集合组,请先进行集合配置,详情参见管理集合配置。 图6 修改策略详情 表3 策略详情 参数 说明 基本信息 风险等级 命中策略告警的级别。 响应动作 命中策略动作设置阻断或通过。
查看高可用信息 若系统采用高可用部署,您可以在“系统管理 > 高可用管理”页面查看高可用信息,包括主备机IP与VIP、主备机的运行时间以及各项指标的状态。 若采用高可用模式,对于已有数据资产的单机组HA的场景,请注意以下事项: 若增加VIP地址,需要将所有已有数据源的代理地址手动修改为VIP地址;
单击“下一步:权限配置”。 图1 指定共享资源 进入“权限配置”页面,选择指定资源类型支持的共享权限,配置完成后,单击页面右下角的“下一步:指定使用者”。 图2 权限配置 进入“指定使用者”页面,指定共享资源的使用者,配置完成后,单击页面右下角的“下一步:配置确认”。 图3 指定使用者
在左侧导航栏,选择“运维管理 > 人员管理”。 在账号列表中,查看数据库操作员相关信息。 授权数据库操作员访问数据资产,请参考此步骤。 找到目标数据库操作员,单击“配置中心”。 在账号设置对话框中,对数据库操作员进行目标资产账号授权。 图1 关联数据资产 表1 关联数据资产 参数 说明 授权账号 选择已添加的资产账号。
计费样例 计费场景 某用户于2023/07/01 15:30:00购买了一个包周期的数据库安全审计实例,规格配置如下: 规格:基础版 用了一段时间后,用户发现数据库安全服务当前规格无法满足业务需要,于2023/07/20 9:00:00升级规格为专业版。因为该数据库安全服务打算长
使用安全管理员datadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“运维管理 > 工单申请”。 单击“工单申请”,在“发起审批”对话框中,设置工单信息。 配置工单信息。 图1 发起审批 表1 发起审批 参数 说明 申请名称 运维工单申请名称。 资产名称 在下拉栏中选择需要运维的数据资产。数据资产需要已经添加到系统。
配置加密队列前进行敏感数据识别,具体操作,请参见扫描资产的敏感数据。 在数据源列表“策略配置”列单击,跳转到脱敏规则配置页面。建议在配置脱敏规则前进行敏感数据识别,具体操作,请参见扫描资产的敏感数据。 在数据源列表“操作”列单击“编辑”,修改数据资产信息。 在数据源列表“操作”列单击“删除”,删除不再需要的数据资产。
容器化部署数据库安全审计Agent 场景说明 添加数据库并导出数据库配置 在CCE集群节点中安装Agent 开启数据库安全审计 查看审计结果
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
