检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
新增解密队列 勾选“启动队列”,创建完成后自动启动解密队列。 单击“完成”,创建解密队列。 步骤三:验证配置效果 解密后,通过原数据库地址或者通过代理地址,查询数据库表内容,示例如下图4所示,表示数据库表已经恢复。 图4 通过代理查询结果 父主题: 步骤三:系统功能配置及使用场景举例
TBase(TBase(PG) V2.15.17.3.6 √ √ × × × GreemPlum 4.3.8.1 √ × × √ √ 前提条件 已获取资产IP地址、端口号、资产类型、数据库账号、数据库密码、数据库名/实例名等信息。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。
登录IP限制 设置是否限制访问来源: 接受所有IP:不限制访问来源。 限制IP:仅支持允许登录IP地址名单中的IP访问数据库加密与访问控制的Web控制台。 允许登录IP地址 填写允许登录的IP地址,多个地址用换行隔开。 网络权限配置 设置是否禁止ICMP探测和SSH登录。 启用禁止ICMP探
”或“本地登录”。 方式二:通过方式一进入的数据库加密与访问控制页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。 访问地址:https://服务器弹性IP地址:端口,例如https://100.xx.xx.54:9595。 (可选)在安全告警页面,单击“高级”。
执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。
选择应用该风险操作的数据库。 您可以勾选“全部数据库”或选择某数据库使用该风险操作规则。 - 客户端IP/IP段 输入客户端的IP地址或IP地址段。 IP地址支持IPv4(例如,192.168.1.1)和IPv6(例如,fe80:0000:0000:0000:0000:0000:0000:0000)格式。
待加密系统故障后切换到激活状态。 bypass:激活状态,插件状态正常。插件已检测到加密系统异常,插件开始工作,修改应用连接从网关代理到直连数据库,并对jdbc请求中的数据进行加解密。 当应用配置连接的是网关加密代理地址且应用到网关加密代理地址不通时,插件将切换到bypass状态。
找到目标加密数据库表,单击“客户端授权”。 在“客户端授权”对话框中,设置客户端IP地址范围、时间范围和星期范围,单击“保存”。 图7 客户端授权 IP地址范围支持设置起始IP和结束IP,单击按钮可以添加多个IP地址范围,最多设置5个IP地址范围。 找到目标加密数据库表,单击“用户授权”。 在“用户授权
读写分离/RAC 如果数据库是读写分离部署,需要勾选此选项,并设置从数据库节点信息。 数据源地址 设置数据库的IP地址。 数据源端口 设置数据库的连接端口。 代理地址 从下拉框中选择代理地址,即数据库访问与控制的IP地址。 代理端口 设置代理端口。运维人员通过代理IP + 代理端口访问数据库。 取值范围:1025-65535。
执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。
脱敏规则及脱敏白名单是否配置成功: 用户的IP地址为172.16.215.108(非脱敏白名单中的地址),通过代理方式访问数据库,只能查看到脱敏数据。 图7 脱敏数据 用户的IP地址为172.16.215.107(脱敏白名单中的地址),通过代理方式访问数据库,能查看到明文数据。 图8
该参数。指待审计的应用端节点的IP地址,只能填写一个。 IP地址必须为应用端节点的内网IP地址,支持IPv4和IPv6格式。 须知: 当审计RDS关系型数据库且应用端在云下时,代理端将作为应用端,此时,“安装节点IP”需要配置为代理端的IP地址。 192.168.1.1 审计网卡名称
登录IP限制 设置是否限制访问来源: 接受所有IP:不限制访问来源。 限制IP:仅支持允许登录IP地址名单中的IP访问数据库加密与访问控制的Web控制台。 允许登录IP地址 填写允许登录的IP地址,多个地址用换行隔开。 网络权限配置 设置是否禁止ICMP探测和SSH登录。 启用禁止ICMP探
果的具体操作。 表2 数据库示例信息说明 数据库类型 POSTGRESQL 数据库版本 7.4 数据库IP地址 192.168.1.31 应用端IP地址 (安装节点IP地址) 192.168.1.132 端口 8000 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。
000)和UDP协议(端口为7000-7100)规则。 源地址可以是单个IP地址、IP地址段或安全组: 单个IP地址:例如192.168.10.10/32。 IP地址段:例如192.168.52.0/24。 所有IP地址:0.0.0.0/0。 安全组:例如sg-abc。 图5 “添加入方向规则”对话框
要添加至数据库安全服务防护的数据库。 自建数据库 数据库名称 您可以自定义添加的数据库的名称。 test1 IP地址 添加的数据库的IP地址。 IP必须为内网IP地址,支持IPv4和IPv6格式。 IPv4:192.168.1.1 IPv6:fe80:0000:0000:0000
要添加至数据库安全服务防护的数据库。 自建数据库 数据库名称 您可以自定义添加的数据库的名称。 test1 IP地址 添加的数据库的IP地址。 IP必须为内网IP地址,支持IPv4和IPv6格式。 IPv4:192.168.1.1 IPv6:fe80:0000:0000:0000
权限。 组网需求 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:172.16.197.57 数据库运维安全管理系统 IP地址:172.16.35.212 MySQL数据库 IP地址:172.16.47.63 数据库版本:MySQL 5.7 添加数据资产 使用系
执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP/域名 执行SQL语句所在的数据库的IP地址/域名。 客户端端口 执行SQL语句所在的客户端的端口。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
