检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将DSC资源委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用DSC服务的其它功能。
操作场景 对于不受信任的访问者,您可配置黑名单。系统支持从应用、账号、客户端IP等维度配置黑名单。配置黑名单后,命中黑名单的访问会被直接阻断,且命中黑名单的审计日志风险等级会标记为“非法”。 例如,对于应用demo,客户端IP172.xx.xx.28为不受信任的IP,您可以添加黑名单阻断来自这个IP的所有访问。
API数据安全防护添加应用后,将根据启用的敏感数据标签来识别接口中的敏感数据资产,梳理至“敏感数据资产”页面。 您可在敏感数据资产页面查看各应用中包含的敏感数据,形成敏感数据的统计概览。 系统将根据启用的敏感数据标签对识别到的敏感数据资产进行梳理,您可在敏感数据资产页面查看系统识别到的敏感数据资产。 前提条件
在“账号组”区域,单击“添加”,添加账号组。 单击账号组名称,进入4.a添加的账号组。 在账号列表区域,单击“添加”,添加账号标识并选择该账号所属的账号组,完成后保存。 图1 添加账号 添加的账号标识须选择已识别到的账号。 父主题: 账号资产
数据安全中心服务中已预置多种字符脱敏规则。内置的脱敏规则不支持删除,自定义的规则可以在规则列表的“操作”列,单击“删除”,删除规则。 所有的规则都支持编辑,在规则列表的“操作”列,单击“编辑测试”,修改规则。 关键字替换 利用自定义的字符串替换数据中匹配到的关键字,达到脱敏的效果。例如:原始数据为ab
开启了云审计服务后,系统开始记录DSC资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看DSC的云审计日志 登录管理控制台。 单击管理控制台左上角的,选择区域或项目。 单击页面左上方的,在右方的弹框中选择“管理与监管 > 云审计服务”,进入云审计服务信息页面。 单击左侧导航树的“事件列表”,进入事件列表信息页面。
单击“配置措施”进入“配置措施”界面。 单击取消不需要的措施,取消勾选的措施将不会在策略基线表中显示。 内置措施:DSC针对数据不同周期依据华为云数据安全治理经验内置相应的措施,鼠标移动到措施名称可以查看内置措施的说明。 自定义措施:新增的自定义措施将显示在基线策略表中。 单击“新增”,进入“新增自定义保护措施”界面。
将数据库表中字符串类型字段的内容用其SHA256的摘要值代替。 该算法执行完后,结果的长度可能超过原表中列允许的最大长度。该算法按照SHA256输出长度调整列的长度。 SHA512 将数据库表中字符串类型字段的内容用其SHA512的摘要值代替。 该算法执行完后,结果的长度可能超过原表中列允许的最大长
单击“配置措施”进入“配置措施”界面。 单击取消不需要的措施,取消勾选的措施将不会在策略基线表中显示。 内置措施:DSC针对数据不同周期依据华为云数据安全治理经验内置相应的措施,鼠标移动到措施名称可以查看内置措施的说明。 自定义措施:新增的自定义措施将显示在基线策略表中。 单击“新增”,进入“新增自定义保护措施”界面。
新增自定义脱敏算法 操作场景 对于系统内置的敏感数据标签,系统内置了相应的脱敏算法,您可以更新系统内置的脱敏算法,也可新增自定义的脱敏算法。配置并启用脱敏规则后,系统将根据配置的脱敏算法对接口中的敏感数据进行脱敏。脱敏算法可在配置脱敏行业模板时进行引用,具体操作,请参见配置脱敏模板。
SHA256/512 该算法将指定字段的内容用其SHA256/SHA512的摘要值代替。 请求参数 表1 请求参数 参数 是否必选 参数类型 描述 algorithm 是 String 算法类型,SHA256/SHA512 parameters 是 Object 参数,该算法无参数可忽略
规则匹配:用于指定和识别文本字符串(如特定字符,单词或字符模式)的一种简洁而灵活的方式。 说明: 对于MRS中的HIVE数据,在敏感数据识别时,当前仅支持“匹配类型”为“规则匹配”、“规则”为“内容 > 包含”的方式。 匹配逻辑 选择匹配逻辑: AND:关键字都需要包含。 OR:仅需要包含其中一个关键字。
个人数据保护机制 为了确保您的个人数据(例如,用户名、密码、手机号码等)不被未经过认证、授权的实体或者个人获取,DSC通过控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。 收集范围 DSC收集及产生的个人数据如表1所示: 表1 个人数据范围列表 类型
标准版)的DSC升级到更高版本(专业版),也可以根据需求增加数据库扩展包和OBS扩展包的数量。 前提条件 已通过IAM对用户绑定“DSC FullAccess”权限的用户组,具体的操作请参见创建用户并授权使用DSC。 已购买任一版本的数据安全中心服务。 约束条件 已到期的服务版本,不支持直接升级,请先完成续费再升级。
填充方式为PKCS7-Padding(即CMS-Padding)。 加密脱敏的密文中,前16字节存放IV值,后续为对应的密文内容。加密密文为二进制,脱敏引擎输入的密文经过Base64编码,以字符串的形式存储在数据库中。 请求参数 表1 请求参数 参数 是否必选 参数类型 描述 algorithm
白名单配置 API数据安全防护支持配置白名单策略。命中白名单策略的访问会被放行,访问的风险等级被标记为可信 。 组网需求 API数据安全防护的组网配置情况如下图1所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端PC IP地址:172.16.212.65 API数据安全防护
在列表区域找到目标规则,单击其右侧的图标,启用规则。 如果需要批量启用多个规则,则在列表区域勾选多个目标内置规则,单击右上角的“批量操作 > 启用”。 相关操作 后续您可以根据需要,在“内置规则列表”页签进行以下管理操作: 编辑内置规则:单击目标规则右侧的“编辑”,编辑规则适用的应用范围、风险等级、攻击规则、响应动作等。
DSC能通过内置规则和自定义规则从OBS、RDS、Elasticsearch、DWS、DLI等的海量数据中分析并识别出敏感对象。 DSC支持的数据源如表1所示。 表1 支持的数据源 数据源 具体的数据类型 扫描限制 RDS(关系型数据库) MySQL、SqlServer、PostgreSQL类型。
按需计费是一种先使用再付费的计费模式,适用于无需任何预付款或长期承诺的用户。数据安全中心部分API接口支持按需计费,详细请参见适用计费项,控制台功能仅支持包年/包月的计费方式,本文将介绍按需计费API接口的计费规则。 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务,例如电商抢购、临时测试、科学计算。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
