检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在路由列表区域,单击“添加路由”。 在“添加路由”对话框中,设置路由信息。 图1 配置网络地址 表1 配置网络地址 参数 说明 目标地址 即目标网络IP地址。 子网掩码 配置目标地址的子网掩码。 下一跳地址 配置下一跳地址,一般是网关地址。 接口 选择接口方式: 自动:系统根据目标地址,自动选择流量外发网卡。
网络配置 您可在“平台管理 > 网络设置”页面配置设备的网卡信息、DNS和路由信息。 配置网卡信息 配置路由信息 父主题: 平台管理
数据库安全加密管理 通过管理控制台可登录实例侧,同时可对实例进行重启、关闭、解绑EIP等操作。 登录管理控制台。 单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 选择“数据库安全加密”,查看数据库安全加密实例。 远程登录 在目标实例“操作”列单击“远程登录”。
数据库运维实例管理 通过管理控制台可登录实例侧,同时可对实例进行重启、关闭、解绑EIP等操作。 登录管理控制台。 单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 选择“数据库安全运维”,查看数据库安全运维实例。 远程登录 在目标实例“操作”列单击“远程登录”。
创建配置项 用于存储工作负载所需待审计的数据库信息,在Agent容器工作负载中作为文件使用。 操作步骤 在左侧导航树中,选择“配置中心 > 配置项”,单击“创建配置项”,如图1所示。 图1 进入创建配置项入口 在“创建配置项”页面中,设置配置参数。如图2所示,相关参数如表1所示。
sysadmin:系统管理员,日常维护数据库运维安全管理系统,例如配置数据资产、配置防护策略、审批运维工单、查看审计日志等。需要资产管理、策略防护、工单审批、审计日志等菜单权限。 secadmin:安全管理员,系统管理数据库运维安全管理系统,例如人员管理、系统配置等。需要审批架构的菜单权限。 组网需求 图1 反向代理组网
数据库安全审计采用旁路模式部署,通过Agent(数据库节点或应用节点安装Agent)获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,从而实现数据库安全审计功能。 因此,您在业务侧使用中间件不影响数据库安全审计功能,不会导致Agent监听SQL失败或者审计没有数据。
则。 (可选)配置脱敏白名单。 配置脱敏规则并启用后,默认情况下访问数据库的明文数据时,您只能看到脱敏后的数据。配置脱敏白名单后,白名单中的用户访问数据库可查看到明文数据。具体操作,请参见1.4.8.3 配置脱敏白名单。 配置完成后,您可以代理访问验证脱敏规则配置效果。 动态脱敏典型配置
状态码 状态码 描述 200 成功 400 请求参数错误 403 认证失败 500 服务器内部错误 错误码 请参见错误码。 父主题: 管理侧查询
配置KMS对接 密钥管理的密钥源支持从KMS系统中获取。 KMS系统(Key Management Service)作为一种密码平台产品,可以为第三方密码应用提供密钥管理服务。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“密钥管理
在左侧导航栏,选择“资产管理 > 资产配置”,在页面右上角单击“添加”。 在添加资产对话框中,配置资产信息。 图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以“
管理基本配置 本章节介绍如何对数据库防护策略进行基本的配置,并应用生效。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略设置”,并在策略设置页面,单击“基本配置”页签。 在当前已选择资产中,选择目标资产。 勾选需要应用的策略,单击。
同时,也支持在数据加密模块直接创建加密队列。具体操作,请参见配置加密队列。 授权管理。 配置加密后,默认情况下访问数据库时,您只能看到加密后的数据。应用系统正常运行需要获取加密前的数据,此时您需要为应用系统进行授权操作。具体操作,请参见管理授权。 配置完成后,您可以通过以下方式验证配置结果。 使用已授权的客户端地
使用安全管理员secadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“系统运维 > 系统设置”。 单击“外发配置”。 配置SYSLOG服务器信息。 图1 配置SYSLOG服务器 表1 配置SYSLOG服务器 参数 说明 状态 选择开启或关闭日志推送至SYSLOG服务器。 IP地址 设置SYSLOG服务器的IP地址。
在左侧导航栏,选择“策略防护 > 策略设置”。 单击“基本配置”页签。 在当前已选择资产中,选择目标资产。 勾选启用虚拟补丁。 单击编辑图标。 选择风险等级。 单击“确定”。 单击右上角的“策略应用”,使配置生效。 验证配置效果 通过代理方式连接数据库。具体操作,请参见通过代理连接数据库。
启用安全配置 安全管理员可以通过用户登录安全设置、账号密码安全设置以及网络访问安全配置三方面保障系统自身的安全性。 设置用户登录安全 设置账号密码安全 启用网络访问安全配置 父主题: 系统运维
配置系统访问安全 系统管理员可以通过平台登录安全设置、账号密码安全设置、网络访问安全设置三方面保障系统自身的安全性。 操作步骤 使用安全管理员secadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“系统运维 > 系统设置”。 在页面左侧,单击“安全设置”。 在平台
配置解密队列 如果数据库不再需要加密,可通过配置解密队列进行解密。配置解密后,对应的数据库列中的信息将变为加密前的明文数据。 您可以在“加密队列管理”页面,找到目标加密队列,单击“添加至解密队列”创建解密队列;也可以在“解密队列管理”页面创建解密队列。 此处以在“解密队列管理”页面为例,介绍如何创建解密队列。
配置加密队列 如果您已了解数据库表结构,可以直接在加密队列管理页面直接添加。配置加密后,未授权用户查询对应的数据库信息时,将只查看到密文内容。 如果对敏感数据分布不了解,可使用敏感数据发现功能扫描您的数据库,在识别结果中创建加密队列,对数据库表进行加密,具体操作请参见在结果中创建加密队列。
添加Agent的方式 选择已有Agent。 创建Agent 创建Agent 安装节点类型 当“添加方式”选择“创建Agent”时,需配置该参数。 数据库端 应用端 应用端 安装节点IP “安装节点类型”选择“应用端”时,需配置该参数。 配置RAC集群时,填写集群节点Public-IP字段的值。 172
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
