检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在消息中心页面查看最近的通知告警等信息。 单击右上角的“消息管理”,配置需要接收的消息。 ①:消息开关,配置是否需要推送此类型消息。 ②:单击编辑,编辑推送的消息模板。 ③:单击修改,设置消息接收的角色,仅部分消息类型支持配置。 图2 消息管理 父主题: 系统管理
在左侧导航栏,选择“资产管理 > 资产配置”,在页面右上角单击“添加”。 在“添加资产”对话框中,配置资产信息。 图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以
则。 (可选)配置脱敏白名单。 配置脱敏规则并启用后,默认情况下访问数据库的明文数据时,您只能看到脱敏后的数据。配置脱敏白名单后,白名单中的用户访问数据库可查看到明文数据。具体操作,请参见1.4.8.3 配置脱敏白名单。 配置完成后,您可以代理访问验证脱敏规则配置效果。 动态脱敏典型配置
使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理 > 资产配置 ”。 单击右上角的“添加”。 在添加资产对话框中,设置资产信息和反向代理部署模式并开启web认证。 图2 添加数据资产 单击“保存”,保存数据资产的配置信息。 添加账号信息 使用系统管理员sysadmin账号登录数据库运维管理系统。
主机信息和日志信息为可选操作,数据库服务器需要开启SSH服务。 配置完成后,单击“测试数据库连接”,检查是否能够连上数据库。 单击“测试账号权限”,检查数据库账号权限是否满足加密要求。 单击“保存”,保存数据资产的配置信息。 步骤二:创建业务分析任务 在加密之前,创建业务分析任务,测试业务SQL是否支持。
在“新增解密测试”对话框中,配置测试目标。 图2 新增解密测试 单击“保存”。 测试完成后,用户可以在列表中查看测试结果,单击“详情”查看解密流程中各个节点的完成情况。 如果仿真测试存在问题,请根据页面提示排查问题。 测试完成后,单击“删除”,删除此仿真解密测试。 如果测试后需要配置解密队列,需要先删除此仿真解密测试。
启用网络访问安全配置 操作步骤 使用安全管理员secadmin账号登录数据库运维管理系统。 在左侧导航栏,选择系统运维 > 系统设置。 单击安全配置页签。 在网络访问安全设置区域,设置网络访问限制。 图1 网络访问安全设置 表1 网络访问安全设置 参数 说明 登录IP限制 设置是否限制访问来源:
如不涉及权限使用场景,可以不配置该权限。 如涉及,可以提前使用有权限的账号创建要使用的obs桶即可。 obs:object:PutObject agent在CCE场景部署时,将实例配置信息上传到obs桶。 是 如不涉及权限使用场景,可以不配置该权限。 如需使用,必须配置该权限才能将实例信息正常导出,无规避措施。
在左侧导航栏,选择“资产管理 > 资产配置”,在页面右上角单击“添加”。 在添加资产对话框中,配置资产信息。 图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以“
添加Agent的方式 选择已有Agent。 创建Agent 创建Agent 安装节点类型 当“添加方式”选择“创建Agent”时,需配置该参数。 数据库端 应用端 应用端 安装节点IP “安装节点类型”选择“应用端”时,需配置该参数。 配置RAC集群时,填写集群节点Public-IP字段的值。 172
备份与恢复配置信息 数据库加密与访问控制支持通过手动和自动备份系统配置文件,方便故障情况下恢复数据。 备份配置信息 备份配置信息将备份所有配置信息,包括系统配置、资产管理、敏感数据发现和密钥管理等信息。为了系统的灾备能力,建议定期备份系统配置信息。 使用系统管理员sysadmin账号登录实例Web控制台。
同时,也支持在数据加密模块直接创建加密队列。具体操作,请参见配置加密队列。 授权管理。 配置加密后,默认情况下访问数据库时,您只能看到加密后的数据。应用系统正常运行需要获取加密前的数据,此时您需要为应用系统进行授权操作。具体操作,请参见管理授权。 配置完成后,您可以通过以下方式验证配置结果。 使用已授权的客户端地
数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“审计规则”。
”或“数据控制(DCL)”的操作。 操作 操作对象 单击“添加操作对象”后,输入“目标数据库”、“目标表”和“字段”信息。单击“确定”,添加操作对象。 - 执行结果 设置“影响行数”和“执行时长”的执行条件后,输入行数和时长值,执行条件包括: 大于 小于 等于 大于等于 小于等于
SQL白名单 添加SQL白名单 管理SQL白名单 父主题: 配置审计规则
禁用SQL注入规则 SQL注入规则默认开启,您可以根据使用需要禁用SQL注入规则。禁用SQL注入规则后,该审计规则在审计中将不生效。 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。
要自定义添加对应的SQL规则,添加后可以对成功连接数据库安全审计的所有数据进行安全审计。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规
业务场景(容器化部署应用、数据库(RDS关系型数据库)数量大),能够显著提升产品配置的效率,降低配置的复杂度,减少运维人员的日常维护压力。详细的操作步骤请参见:容器化部署数据库安全审计Agent。 数据库安全审计的配置操作流程如图1所示。 图1 数据库安全审计配置流程图 有关数据库安全审计配置操作的详细介绍,请参见:
数据库审计实例规则配置最佳实践 建议您开启风险告警,配置了风险告警后,当数据库访问触发了审计规则时,DBSS才能及时将风险通知给您,操作详情请参见设置告警通知。 场景一:核心资产数据库表的异常访问、告警 示例:某电商网站后台分为多个微服务,分别为订单管理服务、用户管理服务、商品搜
添加SQL白名单 可将发现的有风险SQL语句添加为白名单,添加后审计SQL语句时白名单SQL语句将被忽略。 约束限制 数据报表支持已扫描且存在风险的SQL语句加入白名单。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务 D
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
