检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
新增自定义脱敏算法 系统内置多种针对敏感数据的脱敏算法,如果默认脱敏算法不能满足业务需求,您可以创建自定义的脱敏算法。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“动态脱敏 > 脱敏算法”。 在“脱敏算法列表”页面,单击右上角的“添加自定义算法”。
操作结果 脱敏规则创建完成后,可以在列表中查看和管理新建的脱敏规则。添加的脱敏规则自动处于开启状态。 图3 脱敏规则 脱敏完成后,非白名单用户查询数据库的明文数据,显示的是脱敏数据。 图4 脱敏后数据 相关操作 在脱敏规则列表中,您可以管理脱敏规则。 单击启用/停用栏按钮,可以启用/停用脱敏规则。
存在问题,并解决相应问题再进行配置,具体操作,请参见仿真加密测试。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“数据加密 > 加密队列管理”。 单击右上角的“新增加密队列”。 在“新增加密队列”对话框中,设置加密信息,相关参数如表1所示。
STATE 加密表的select 加密表的insert 加密表的alter 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“资产管理 > 数据源管理”。 单击右上角的“添加数据源”。 在添加数据源对话框中,设置资产信息,详细信息如表3所示。
仿真加密测试 在配置加密队列前,建议先通过仿真加密测试,检查加密是否存在问题。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“业务测试 > 仿真测试”。 单击“新增加密测试”。 在“新增加密测试”对话框中,配置测试目标,相关参数如表1所示。
件将切换到bypass状态。 init:插件与管理端建立连接后的默认初始状态,随后会根据应用实际情况切换显示到online或者bypass。 操作步骤 登录数据库加密与访问控制系统。 在左侧导航栏,选择“数据加密 > bypass管理”。 单击页面右上角的“插件下载”,下载插件安装包gde-agent
如果您需要支持模糊查询功能,则加密参数必须配置为十六进制。 使用约束 仅在系统中没有配置资产时可以修改密文编码方式。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“数据加密 > 加密参数”。 在“加密参数”页面的“密文编码方式”
在配置解密队列之前,建议先进行仿真解密测试,验证解密功能。 前提条件 需要解密测试的表格已经在加密队列中完成加密,即已完成配置加密队列。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“业务测试 > 仿真测试”。 单击“新增解密测试”。 在“新增解密测试”对话框中,配置测试目标。
参数设置白名单,各参数之间为“且”的关系,若配置多个参数需同时满足才可生效。满足脱敏白名单时,可查看未脱敏的明文数据。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“动态脱敏 > 脱敏策略”。 选择“数据类型 > 数据源名称”。
用户可以在算法查看页面查看系统支持的加密算法。 前提条件 确保已初始化密钥,具体初始化密钥操作,请参见初始化密钥章节。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“数据加密 > 算法查看”。 在“算法查看”页面,查看算法具体信息。
查看和下载日志 在加密日志页面中,可以下载加解密队列日志和代理端日志。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“数据加密 > 加密日志”。 配置和下载代理端日志。 在采集代理日志区域,单击“修改”,配置采集的代理端日志级别。
创建脱敏规则。 在脱敏之前,数据表信息为正常明文信息(数据未加密或加密后进行用户授权),示例如图1所示。 图1 脱敏前查询结果 创建脱敏规则 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“敏感数据发现 > 敏感数据扫描”。 在扫描任务列表页面,找到目标数据资产,单击“查看”。
查看扫描任务执行结果 敏感数据发现任务执行完成后,系统会扫描并识别数据资产中的敏感数据。您可以在执行结果中查看具体的敏感数据信息。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“敏感数据发现 > 敏感数据扫描”。 (可选)设置搜索项,并单击搜索,查询指定数据资产。
扫描资产的敏感数据 通过敏感数据发现任务,您可以自动获取数据资产中的敏感数据表信息。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“敏感数据发现 > 敏感数据扫描”。 找到目标数据资产,单击“任务配置”。 在任务配置对话框中,配置敏感数据发现任务。
种子串、将匹配的子串做替换或者从某个串中取出符合某个条件的子串等。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择“敏感数据发现 > 数据类型管理”。 在“数据类型列表”页面,单击右上角的“添加自定义类型”。 在添加自定义类型对话框中,配置自定义数据类型。
单击“初始化表”,开始对数据表进行初始化。 单击“完成”,创建加密队列。 结果验证 加密队列创建完成后,在“数据加密 > 加密队列管理”中查看和管理新建的加密队列。 加密队列完成存量数据加密后会自动移出。此时队列为已移出状态,但系统还会继续进行正常加密数据。 图4 全密文模式 再
10 数据库运维安全管理系统 IP地址:192.168.12.59 MySQL数据库 IP地址:192.168.11.78 数据库版本:MySQL 5.7 添加数据资产 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理 > 资产配置”,在页面右上角单击“添加”。
策略应用流程 数据库运维安全管理系统支持多种策略的设置与应用,以实现各种数据级的访问控制,策略应用流程如图1所示。 图1 策略应用流程 系统管理员添加数据资产,并进行相应设置。具体说明请参见添加数据资产。 进行防护策略设置,包括策略基本配置、集合配置、自定义策略(SQL策略、包过
具体操作请参见系统管理员操作指导。 安全管理员 secadmin 主要负责系统用户管理和系统安全管理。默认密码和购买实例时设置的sysadmin用户密码相同,首次登录进行重置密码。 具体操作请参见安全管理员操作指导。 审计管理员 audadmin 主要负责对系统管理员和安全管理员的操作行
10 数据库运维安全管理系统 IP地址:192.168.12.59 MySQL数据库 IP地址:192.168.11.78 数据库版本:MySQL 5.7 添加数据资产 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理 > 资产配置 ”。 单击右上角的“添加”。