检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用安全管理员secadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“系统运维 > 系统设置”。 单击“外发配置”。 配置SYSLOG服务器信息。 图1 配置SYSLOG服务器 表1 配置SYSLOG服务器 参数 说明 状态 选择开启或关闭日志推送至SYSLOG服务器。 IP地址 设置SYSLOG服务器的IP地址。
在左侧导航栏,选择“策略防护 > 策略设置”。 单击“基本配置”页签。 在当前已选择资产中,选择目标资产。 勾选启用虚拟补丁。 单击编辑图标。 选择风险等级。 单击“确定”。 单击右上角的“策略应用”,使配置生效。 验证配置效果 通过代理方式连接数据库。具体操作,请参见通过代理连接数据库。
配置系统访问安全 系统管理员可以通过平台登录安全设置、账号密码安全设置、网络访问安全设置三方面保障系统自身的安全性。 操作步骤 使用安全管理员secadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“系统运维 > 系统设置”。 在页面左侧,单击“安全设置”。 在平台
值,执行条件包括: 大于 小于 等于 大于等于 小于等于 - 单击“保存”。 相关操作 如何对所有数据库设置数据库安全审计规则? 如何设置数据库安全审计的INSERT审计策略? 父主题: 配置审计规则
备份与恢复配置信息 数据库加密与访问控制支持通过手动和自动备份系统配置文件,方便故障情况下恢复数据。 备份配置信息 备份配置信息将备份所有配置信息,包括系统配置、资产管理、敏感数据发现和密钥管理等信息。为了系统的灾备能力,建议定期备份系统配置信息。 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。
在消息中心页面查看最近的通知告警等信息。 单击右上角的“消息管理”,配置需要接收的消息。 ①:消息开关,配置是否需要推送此类型消息。 ②:单击编辑,编辑推送的消息模板。 ③:单击修改,设置消息接收的角色,仅部分消息类型支持配置。 图2 消息管理 父主题: 安全管理
则。 (可选)配置脱敏白名单。 配置脱敏规则并启用后,默认情况下访问数据库的明文数据时,您只能看到脱敏后的数据。配置脱敏白名单后,白名单中的用户访问数据库可查看到明文数据。具体操作,请参见1.4.8.3 配置脱敏白名单。 配置完成后,您可以代理访问验证脱敏规则配置效果。 动态脱敏典型配置
反向代理部署配置举例 反向代理模式,数据库运维安全管理系统通过代理资产进行安全防护。本示例组网情况如图1 反向代理组网所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192.168.12.59 MySQL数据库
如何修改Agent的CPU和内存的阈值? 数据库安全审计Agent的CPU阈值和内存阈值用户不能直接修改: Agent安装在数据库端的用户,若有需求,请您联系技术支持修改数据库安全审计Agent的阈值。 Agent安装在应用端的用户,您可以按照以下操作步骤在添加Agent时,配置CPU阈值和内存阈值。
启用网络访问安全配置 操作步骤 使用安全管理员secadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择系统运维 > 系统设置。 单击安全配置页签。 在网络访问安全设置区域,设置网络访问限制。 图1 网络访问安全设置 表1 网络访问安全设置 参数 说明 登录IP限制 设置是否限制访问来源:
如不涉及权限使用场景,可以不配置该权限。 如涉及,可以提前使用有权限的账号创建要使用的obs桶即可。 obs:object:PutObject agent在CCE场景部署时,将实例配置信息上传到obs桶。 是 如不涉及权限使用场景,可以不配置该权限。 如需使用,必须配置该权限才能将实例信息正常导出,无规避措施。
添加Agent的方式 选择已有Agent。 创建Agent 创建Agent 安装节点类型 当“添加方式”选择“创建Agent”时,需配置该参数。 数据库端 应用端 应用端 安装节点IP “安装节点类型”选择“应用端”时,需配置该参数。 配置RAC集群时,填写集群节点Public-IP字段的值。 172
主机信息和日志信息为可选操作,数据库服务器需要开启SSH服务。 配置完成后,单击“测试数据库连接”,检查是否能够连上数据库。 单击“测试账号权限”,检查数据库账号权限是否满足加密要求。 单击“保存”,保存数据资产的配置信息。 步骤二:创建业务分析任务 在加密之前,创建业务分析任务,测试业务SQL是否支持。
使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理 > 资产配置 ”。 单击右上角的“添加”。 在添加资产对话框中,设置资产信息和反向代理部署模式并开启web认证。 图2 添加数据资产 单击“保存”,保存数据资产的配置信息。 添加账号信息 使用系统管理员sysadmin账号登录数据库运维管理系统。
场景二:解密操作流程及解密功能典型配置 解密操作流程 数据库加密与访问控制的解密操作流程图和流程介绍如下图1所示。 图1 解密操作流程 (可选)仿真解密测试。 通过仿真解密测试,检查目标是否支持解密。具体操作,请参见仿真解密测试。 创建解密队列 创建解密队列,解密数据。具体操作,请参见配置解密队列。 解密功能典型配置
同时,也支持在数据加密模块直接创建加密队列。具体操作,请参见配置加密队列。 授权管理。 配置加密后,默认情况下访问数据库时,您只能看到加密后的数据。应用系统正常运行需要获取加密前的数据,此时您需要为应用系统进行授权操作。具体操作,请参见管理授权。 配置完成后,您可以通过以下方式验证配置结果。 使用已授权的客户端地
zip”复制到该主机任意一个目录下。 进入Agent安装包所在目录,并解压缩安装包。 进入解压后的文件夹,双击“install.bat”执行文件。 安装成功,界面如图4所示,按任意键结束安装。 图4 Agent安装成功 安装完成后,在Windows任务管理器中查看“dbss_audit_agent”进程。 如
在左侧导航栏,选择“资产管理 > 资产配置”,在页面右上角单击“添加”。 在添加资产对话框中,配置资产信息。 图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以“
相关操作 除了添加数据库安全审计的审计范围,您还可以通过启用或禁用SQL注入检测,以及添加风险操作,设置数据库安全审计的审计规则。 父主题: 配置审计规则
SQL白名单 添加SQL白名单 管理SQL白名单 父主题: 配置审计规则