检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
主机信息和日志信息为可选操作,数据库服务器需要开启SSH服务。 配置完成后,单击“测试数据库连接”,检查是否能够连上数据库。 单击“测试账号权限”,检查数据库账号权限是否满足加密要求。 单击“保存”,保存数据资产的配置信息。 步骤二:创建业务分析任务 在加密之前,创建业务分析任务,测试业务SQL是否支持。
启用网络访问安全配置 操作步骤 使用安全管理员secadmin账号登录数据库运维管理系统。 在左侧导航栏,选择系统运维 > 系统设置。 单击安全配置页签。 在网络访问安全设置区域,设置网络访问限制。 图1 网络访问安全设置 表1 网络访问安全设置 参数 说明 登录IP限制 设置是否限制访问来源:
场景二:解密操作流程及解密功能典型配置 解密操作流程 数据库加密与访问控制的解密操作流程图和流程介绍如下图1所示。 图1 解密操作流程 (可选)仿真解密测试。 通过仿真解密测试,检查目标是否支持解密。具体操作,请参见仿真解密测试。 创建解密队列 创建解密队列,解密数据。具体操作,请参见配置解密队列。 解密功能典型配置
同时,也支持在数据加密模块直接创建加密队列。具体操作,请参见配置加密队列。 授权管理。 配置加密后,默认情况下访问数据库时,您只能看到加密后的数据。应用系统正常运行需要获取加密前的数据,此时您需要为应用系统进行授权操作。具体操作,请参见管理授权。 配置完成后,您可以通过以下方式验证配置结果。 使用已授权的客户端地
在左侧导航栏,选择“资产管理 > 资产配置”,在页面右上角单击“添加”。 在添加资产对话框中,配置资产信息。 图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以“
相关操作 除了添加数据库安全审计的审计范围,您还可以通过启用或禁用SQL注入检测,以及添加风险操作,设置数据库安全审计的审计规则。 父主题: 配置审计规则
小于等于 - 单击“保存”。 相关操作 如何对所有数据库设置数据库安全审计规则? 如何设置数据库安全审计的INSERT审计策略? 父主题: 配置审计规则
SQL白名单 添加SQL白名单 管理SQL白名单 父主题: 配置审计规则
如不涉及权限使用场景,可以不配置该权限。 如涉及,可以提前使用有权限的账号创建要使用的obs桶即可。 obs:object:PutObject agent在CCE场景部署时,将实例配置信息上传到obs桶。 是 如不涉及权限使用场景,可以不配置该权限。 如需使用,必须配置该权限才能将实例信息正常导出,无规避措施。
配置脱敏白名单 支持在白名单列表页面添加脱敏白名单,支持从数据库用户名、IP范围、开始时间及结束时间这几个参数设置白名单,各参数之间为“且”的关系,若配置多个参数需同时满足才可生效。满足脱敏白名单时,可查看未脱敏的明文数据。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。
仅自定义创建的SQL注入规则可以使用删除功能,默认的规则仅可使用启用和禁用功能。 单击“操作”列的“删除”,对目标规则进行删除。 图5 删除SQL注入 父主题: 配置审计规则
测试结果为“未命中”:表示正则表达式有误。 命中 填写完成,确认信息无误,单击“确定”,添加完成,新增的SQL注入规则默认为SQL注入列表第一条。 父主题: 配置审计规则
数据库审计实例规则配置最佳实践 建议您开启风险告警,配置了风险告警后,当数据库访问触发了审计规则时,DBSS才能及时将风险通知给您,操作详情请参见设置告警通知。 场景一:核心资产数据库表的异常访问、告警 示例:某电商网站后台分为多个微服务,分别为订单管理服务、用户管理服务、商品搜
在消息中心页面查看最近的通知告警等信息。 单击右上角的“消息管理”,配置需要接收的消息。 ①:消息开关,配置是否需要推送此类型消息。 ②:单击编辑,编辑推送的消息模板。 ③:单击修改,设置消息接收的角色,仅部分消息类型支持配置。 图2 消息管理 父主题: 系统管理
添加SQL白名单 可将发现的有风险SQL语句添加为白名单,添加后审计SQL语句时白名单SQL语句将被忽略。 约束限制 数据报表支持已扫描且存在风险的SQL语句加入白名单。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务
管理SQL白名单 可对已添加的SQL语句白名单进行编辑、禁用、删除等操作。 前提条件 需要关联的SQL语句已经添加至白名单。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。
DBSS服务是否支持线下部署? 不支持。数据库安全服务需要部署在您所使用的云上的服务器中,您需要将相关的业务迁移至目标云上。 父主题: 数据库安全审计功能类
步骤三:系统功能配置及使用场景举例 场景一:加密操作流程及加密功能典型配置 场景二:解密操作流程及解密功能典型配置 场景三:业务测试典型配置举例 场景四:动态脱敏典型配置举例 父主题: 开通并使用数据库安全加密
返回数据库安全服务控制台。 在左侧导航树中,选择“数据库列表”,进入数据库列表界面。 在待开启数据库安全审计行的“操作”列,单击“开启”。 父主题: 容器化部署数据库安全审计Agent
步骤三:系统功能配置及使用场景举例 快速使用指南 反向代理部署配置举例 自定义策略阻断举例 客户端语句过滤白名单配置举例 虚拟补丁防护配置举例 业务字典配置举例 Web安全客户端配置举例 工单审批配置举例 父主题: 开通并使用数据库安全运维
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
