检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
资产识别与管理 DBSS服务实例创建在用户的弹性云服务器上,用户通过该实例,为RDS、ECS/BMS自建的数据库提供安全审计功能。 DBSS对接了RMS(资源管理服务)、TMS(标签管理服务),用户可通过登录这些服务页面查看DBSS实例信息。 父主题: 安全
数据库安全审计规则可增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测,可以帮助您监控识别访问“脏表”的SQL语句,及时发现数据安全风险。 前提条件 用户需要在待审计的实例中添加无用的数据库、表或字段,作为脏表检测的对象。
最近1周”或自定义时间段,查看选择时间范围内的事件信息。或在列表上方的搜索框中选择属性筛选,或输入关键字搜索,搜索指定的事件。 图1 事件列表 单击需要查看的事件名称,查看该事件的信息。 图2 查看事件信息 父主题: 云审计服务支持的关键操作
添加客户端语句过滤白名单 在客户端操作SQL语句时,会固定产生一些不需要记录的语句。这些语句可能会干扰您识别正常的SQL操作语句。通过添加客户端语句过滤白名单,审计日志将不记录这些客户端语句,避免因匹配到特定策略后产生误报。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
设置抽样扫描的抽样数量。 抽样扫描,指从数据集合中抽取一定数量的数据进行识别。抽样越多,识别越精准;抽样越少,扫描速度越快。 最大线程数 设置任务使用的最大线程数。 敏感数据发现任务可以使用多线程,线程数越多,扫描效率越高,同时占用的设备资源也越多。 选择模式 选择需要加密的数据库模式(Schema)。
扫描结果 参数 说明 数据源名称 敏感信息所在的数据资产名称。 模式 敏感信息所在的模式。 表名 敏感信息所在的表名/视图名。 表列数 数据库表的表列数。 是否可加密 数据库表是否支持加密。 不可加密原因 如果表不可加密,提示不可加密的原因。 敏感数据发现时间 敏感数据发现时间。 图1
通过敏感数据发现任务,自动扫描和识别出数据资产中的敏感数据。具体操作,请参见扫描资产的敏感数据。 (可选)查看任务执行结果。 通过查看任务执行结果,查看命中的敏感数据。具体操作,请参见查看扫描任务执行结果。 创建脱敏规则。 您可以在敏感数据发现任务的结果中,根据敏感数据信息创建加密
在目标数据源的脱敏规则列表页面,单击“添加自定义规则”。 在“添加脱敏规则”对话框中,配置脱敏规则参数。相关参数如表1所示。 表1 添加脱敏规则 参数 说明 规则名称 设置脱敏规则的名称。 模式 选择数据资产的模式。 表名 选择数据资产的表名。 列名 选择需要脱敏的列名。 可以在1
主机使用的字符集,测试主机连接后自动获取。 主机操作系统 主机的操作系统信息,测试主机连接后自动获取。 内核 主机的内核信息,测试主机连接后自动获取。 指标监控阈值 设置主机监控指标(CPU、内存、IO、网络)的阈值。系统仅在阈值范围内对数据库数据进行加密,降低对业务的影响。 日志信息
验业务中使用的SQL语句是否能够在加密环境中使用,排除加密后可能影响的业务错误,降低业务测试成本。进行数据加密后,数据的特征发生变化,由原来的中文、英文、数字变成了十六进制字串符。从而导致部分原来可以正常执行的SQL在数据加密后无法执行。 例如:字符串模糊查询、数值的运算、范围查找等。
如何修改Agent的CPU和内存的阈值? 数据库安全审计Agent的CPU阈值和内存阈值用户不能直接修改: Agent安装在数据库端的用户,若有需求,请您联系技术支持修改数据库安全审计Agent的阈值。 Agent安装在应用端的用户,您可以按照以下操作步骤在添加Agent时,配置CPU阈值和内存阈值。
Service,DBSS)。数据库安全服务是一个智能的数据库安全服务,基于大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。 您可以使用本文档提供的API对实例、规则进行相关操作,如创建、查询、删除等。支持的全部操作请参见API。 在调用数据库安全
回放审计日志语句 如果在查看审计日志时部分内容不好识别,您可以通过回放审计日志涉及的语句了解信息。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“审计日志 > 日志检索”。 根据资产类型,单击对应的日志页签(例如单击SQL日志)。 单击最新日志或者检索列表,查看审计日志。
执行风险扫描 风险管控支持手动扫描风险信息、查看系统审计的风险问题和配置风险告警接收方式。 通过多个维度为资产进行风险扫描,识别资产的潜在风险,并支持导出风险报表。 背景信息 目前支持资产类型Oracle、SQL Server、DB2、DM7。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
SQL审计存在功能和范围上的差异,如表1所示。 表1 差异比较 审计 功能 范围 RDS SQL审计 只记录SQL访问操作。 应用于使用RDS数据库场景。 DBSS审计 审计所有的数据库风险操作。在记录SQL访问的基础上进行安全检测、统计分析、风险识别、生成报表等功能,保障云上数据库的安全。 应
单击右上角的“新增加密队列”。 在“新增加密队列”对话框中,设置加密信息,相关参数如表1所示。 表1 新增加密队列 参数 说明 资产名称 资产的资产名称。 模式名 资产的模式名。 表名 资产的表名。 加密算法 在下拉栏中选择加密的算法。 可以在查看加密算法页面查看支持的算法类型。
name 否 String 实例名称。只能由中文字符,英文字母,数字,下划线,中划线组成的字符串,长度小于等于64。不能为空字符串。 comment 否 String 实例描述信息,只能由中文字符,英文字母,数字,下划线,中划线,空格组成的字符串,长度小于等于255。可以为空字符串。
Agent的数据库所属的实例。 单击“数据库列表”列表页面下方的展开Agent的详细信息,在Agent所在行的“操作”列,单击“下载agent”。将Agent安装包下载到本地。 安装Agent。 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点(例如使用WinSCP工具)。
与其他云服务的关系 数据库安全服务与其他云服务的关系的依赖关系如图1所示。 图1 数据库安全服务与其他云服务的关系示意图 与弹性云服务器的关系 数据库安全服务实例创建在弹性云服务器上,用户可以通过该实例,为弹性云服务器上的自建数据库提供安全审计功能。 与关系型数据库的关系 数据库
安全 责任共担 资产识别与管理 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 监控安全风险 认证证书
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
