检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
步骤三:系统功能配置及使用场景举例 场景一:加密操作流程及加密功能典型配置 场景二:解密操作流程及解密功能典型配置 场景三:业务测试典型配置举例 场景四:动态脱敏典型配置举例 父主题: 开通并使用数据库安全加密
添加SQL白名单 可将发现的有风险SQL语句添加为白名单,添加后审计SQL语句时白名单SQL语句将被忽略。 约束限制 数据报表支持已扫描且存在风险的SQL语句加入白名单。 添加已扫描SQL语句 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数
步骤三:系统功能配置及使用场景举例 快速使用指南 反向代理部署配置举例 自定义策略阻断举例 客户端语句过滤白名单配置举例 虚拟补丁防护配置举例 业务字典配置举例 Web安全客户端配置举例 工单审批配置举例 父主题: 开通并使用数据库运维
管理SQL白名单 可对已添加的SQL语句白名单进行编辑、禁用、删除等操作。 前提条件 需要关联的SQL语句已经添加至白名单。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 在左侧导
在该数据库所在行的“操作”列,单击“开启”,开启审计功能。 导出数据库配置 开启审计功能后,您需要将数据库配置导入OBS桶。 在左侧导航树中,选择“实例列表”,进入“实例列表”界面。 单击“导出数据库配置”。 图2 导出数据库配置 “导出数据库配置”为隐藏按钮,请在“实例列表”界面的访问链接后面添加“
如何验证已完成数据库安全审计配置? 开启数据库安全审计功能后,请参考以下操作步骤验证已正确配置数据库安全审计。 在安装Agent的节点输入一条SQL语句(例如“show databases”)。 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 >
请参见添加数据资产。 进行防护策略设置,包括策略基本配置、集合配置、自定义策略(SQL策略、包过滤策略、客户端语句过滤白名单)、设置虚拟补丁。具体说明请参见策略设置。 勾选要启用的策略并应用使之生效。具体说明请参见管理基本配置。 在后续操作中,您可在审计日志中查看到命中策略的记录。具体说明请参见查看审计日志信息。
快速使用指南 运维人员操作管理体系流程 策略应用流程 父主题: 步骤三:系统功能配置及使用场景举例
自定义策略阻断举例 此示例展示在反向代理的系统部署模式下,配置自定义策略。如果访问行为匹配策略,则根据策略执行操作。 本示例组网情况如下图1 反向代理组网所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192
库运维安全管理系统。 在左侧导航栏,选择“系统运维 > 系统设置”。 单击“安全配置”页签。 在账号密码安全设置区域,设置密码安全要求。 图1 账号密码安全设置 单击“确定”。 父主题: 启用安全配置
设置用户登录安全 操作步骤 使用安全管理员secadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“系统运维 > 系统设置”。 单击“安全配置”页签。 在用户登录安全设置区域,设置用户登录的安全性。 图1 平台登录安全设置 表1 平台登录安全设置 参数 说明 安全管理方式 支持使用HTTPS安全模式。
设置加密参数 配置加密后密文的编码方式,支持十六进制和BASE64等。如果您需要支持模糊查询功能,则加密参数必须配置为十六进制。 使用约束 仅在系统中没有配置资产时可以修改密文编码方式。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“数据加密
运维人员操作管理体系流程 数据库运维安全管理系统设置了完善的运维人员操作管理体系,流程如图1所示。 图1 运维人员操作管理流程 安全管理员需先添加审批人(系统管理员)与申请人(数据库操作员)账号。具体说明请参见手动创建账号。 新增的账号需先经安全管理员审核通过。具体说明请参见审核账号。
信息。 图1 消息中心 单击右上角的“消息管理”,配置需要接收的消息。 图2 消息管理 ①:消息开关,配置是否需要推送此类型消息。 ②:单击编辑,编辑推送的消息模板。 ③:单击修改,设置消息接收的角色,仅部分消息类型支持配置。 父主题: 安全管理
数据库安全审计Agent的CPU阈值和内存阈值用户不能直接修改: Agent安装在数据库端的用户,若有需求,请您联系技术支持修改数据库安全审计Agent的阈值。 Agent安装在应用端的用户,您可以按照以下操作步骤在添加Agent时,配置CPU阈值和内存阈值。 登录安装Agent的节点,卸载Agent程序。 登录数据库安全服务控制台。
据库没有审计数据怎么办? 故障现象 DBSS实例审计Postgres的RDS数据库没有审计数据 可能原因 DBSS审计实例配置不正确,请重新检查配置 若配置没有问题,还是没有审计数据,那就需要在连接数据库实例的时候用非SSL的方式去连接。 解决办法 使用如下命令,连接数据库: psql
自动备份 配置自动备份,系统会定时自动备份产品日志。 操作步骤 使用安全管理员secadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“日志设置 > 备份还原”。 在备份配置区域,设置自动备份方式。 图1 自动备份 表1 自动备份 参数 说明 备份方式 选择自动备份。
仿真解密测试 在配置解密队列之前,建议先进行仿真解密测试,验证解密功能。 前提条件 需要解密测试的表格已经在加密队列中完成加密,即已完成配置加密队列。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“业务测试 > 仿真测试”。 单击“新增解密测试”。
导入对象存储卷 导出数据库配置后,您需要为待审计数据库连接的集群在对象存储卷中导入数据库配置(dbss-audit-agent-{projectid}),用于Agent容器工作负载的云存储中,实现批量部署数据库安全审计Agent。 准备工作 为了确保挂载方式使用对象存储桶的可靠性
仿真加密测试 在配置加密队列前,建议先通过仿真加密测试,检查加密是否存在问题。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“业务测试 > 仿真测试”。 单击“新增加密测试”。 在“新增加密测试”对话框中,配置测试目标,相关参数如表1所示。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
