检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
图1 新增加密测试 表1 仿真测试 参数 说明 数据源名称 资产的资产名称。 模式名 资产的模式名。 表名 资产的表名。 加密算法 在下拉栏中选择加密的算法。 可以在查看加密算法页面查看支持的算法类型。 校验算法 在下拉栏中选择校验的算法。 校验算法用于重要数据的完整性校验,可以在查看加密算法页面查看支持的算法类型。
阻断SQL语句 在异常记录列,查看阻断的SQL语句数量。 单击“查看日志”,查看阻断的具体SQL语句和错误提示。 图10 阻断SQL语句日志 单击“分析报表”,可用查看系统对此表格的加密建议。 图11 分析建议 业务测试结果表明此数据库表如果加密的话将影响业务的SQL语句运行,所以不建议对此数据库表进行加密操作。
单击“新增解密测试”。 在“新增解密测试”对话框中,配置测试目标。 图1 新增解密测试 单击“保存”。 测试完成后,用户可以在列表中查看测试结果,单击“详情”查看解密流程中各个节点的完成情况。 测试完成后,单击“删除”,删除此仿真解密测试。 如果测试后需要配置解密队列,需要先删除此仿真解密测试。
业务测试和分析 在正式使用加密前,建议先对数据库进行测试,检验业务中使用的SQL语句是否能够在加密环境中使用,排除加密后可能影响的业务错误,降低业务测试成本。进行数据加密后,数据的特征发生变化,由原来的中文、英文、数字变成了十六进制字串符。从而导致部分原来可以正常执行的SQL在数据加密后无法执行。
通过“安装Agent”方式审计数据库时,关闭数据库的SSL是必要操作。如果您开启了数据库SSL,将无法获取审计数据。 如果想一直开启数据库的SSL来保证数据库的安全性,建议您了解免Agent审计数据库的相关内容:免Agent审计数据库。 操作步骤 以MySQL数据库自带的客户端为例说明,操作步骤如下:
名称为“salelicense.pdf”的销售许可证。 解除浏览器拦截 首次下载,可能会遇到浏览器拦截限制。请参照以下步骤解除浏览器拦截。 以Chrome浏览器为例,检查浏览器右上角的地址栏,确认是否被浏览器拦截。 选择“始终允许https://console.huaweicloud
步骤一:进行仿真解密测试 在为数据库表进行解密前,先进行仿真解密测试,检查数据库是否满足解密要求。 使用sysadmin用户登录实例Web控制台。 在左侧导航栏中,选择“业务测试 > 仿真测试”。 单击“新增解密测试”。 在“新增解密测试”对话框中,配置测试目标。 图2 新增解密测试 单击“保存”。
单击“新增加密测试”。 在“新增加密测试”对话框中,配置测试目标。 图5 新增加密测试 单击“保存”。 测试完成后,用户可以在列表中查看测试结果,单击“详情”查看加密流程中各个节点的完成情况。 测试完成后,单击“删除”,删除此仿真加密测试。 如果仿真测试存在问题,请根据页面提示排查问题。
恢复服务能力,保障服务和数据的持久性和可靠性。 表1 DBSS可信架构分类 可信架构分类 可信架构能力项 目标 分类 检测 入侵检测 支持主机异常检测,部署主机安全服务,检测率准确率98%以上。检测时长1分钟 安全 监控 针对微服务的异常日志出对应的告警 系统 承受 数据备份 支
通过代理连接数据库所示,其中: 服务器地址:使用代理服务器IP,即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。 端口:使用代理端口,例如9587。 图3 通过代理连接数据库 单击“测试链接”,测试是否能够连接到数据库。 测试通过后,单击“下一步”,按照界面提示完成操作。 验证配置效果
RK密钥来源 配置RK(根密钥)来源,支持以下来源: 系统内置:系统内置的固定密钥,仅限于测试使用。 密钥平台:系统对接的密钥平台。 如何配置密钥平台,请参见配置KMS对接。 配置后,在密钥平台中选择平台厂商。 说明: KMS需要的权限:KMS CMKFullAccess。 DSK密钥来源 配置DSK密钥来源,支持以下来源:
系统设置”。 在用户登录安全设置区域,设置用户登录的安全性。 图1 平台登录安全设置 表1 平台登录安全设置 参数 说明 安全管理方式 支持使用HTTPS安全模式。 动态验证码 选择登录时是否启用动态验证码。 启用后,系统登录时,输入正确的动态验证码是必要条件之一,可以防暴力破解密码。
操作步骤 使用安全管理员datadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“运维管理 > 安全客户端”。 单击Web安全客户端右侧的“查看”。 将光标移动到资产名上并单击。 单击“Edit Connection”。 单击“OPTIONS”页签,进行连接设置。如果为数据库操作员开启了密码代填,则可跳过此步骤。
^\d{6}$ 原始数据 正则表达式能检测的正确数据。 输入正则表达式能检测的正确数据,单击“测试”对正则表达式进行检测。 628307 结果 显示测试的结果: 命中 未命中 说明: 测试结果为“命中”:表示正则表达式无误; 测试结果为“未命中”:表示正则表达式有误。 命中 填
说明 资产名称 资产的资产名称。 模式名 资产的模式名。 表名 资产的表名。 加密算法 在下拉栏中选择加密的算法。 可以在查看加密算法页面查看支持的算法类型。 校验算法 在下拉栏中选择校验的算法。 校验算法用于重要数据的完整性校验,可以在查看加密算法页面查看支持的算法类型。 每批条数
数据源名称 数据资产的资产名称。 模式名 资产的模式名。 表名 资产的表名。 加密算法 在下拉栏中选择加密的算法。 可以在查看加密算法页面查看支持的算法类型。 校验算法 在下拉栏中选择校验的算法。 校验算法用于重要数据的完整性校验,可以在查看加密算法页面查看支持的算法类型。 每批条数
通过代理连接数据库所示,其中: 服务器地址:使用代理服务器IP,即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。 端口:使用代理端口,例如9587。 图3 通过代理连接数据库 单击测试链接,测试是否能够连接到数据库。 测试通过后,单击下一步,按照界面提示完成操作。 生成客户端语句 在DBeaver工具上连接数据资产。
在配置解密队列前,建议先进行仿真解密测试,检验解密过程中是否存在问题,具体操作请参见仿真解密测试。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏中,选择“数据加密 > 解密队列管理”。 单击右上角的“新增解密队列”。 在“新增解密队列”对话框中,设置需要解密的数据相关信息。
添加数据资产 本章节将介绍如何在系统上添加需要保护的数据资产(数据库、大数据等),操作过程中将以添加Oracle数据库为例,请根据实际情况添加相应的数据资产。 使用约束 表1 数据库运维支持纳管的数据源及版本 兼容性软件名称 兼容版本情况 功能差异化描述 数据库 版本 协议解析单向
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
