检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
策略防护 概述 策略设置 自定义策略 设置虚拟补丁 父主题: 系统管理员操作指南
虚拟补丁防护配置举例 虚拟补丁规则功能是通过内置数据库特征漏洞库信息,并将其转化为防护特征攻击的特征策略,对命中策略的攻击进行虚拟补丁拦截防护。 组网需求 图1 反向代理组网示例 表1 组网参数说明 设备 说明 客户端 IP地址:172.16.196.33 数据库运维安全管理系统
数据库客户端工具。 资产客户端MAC 数据库客户端工具所在PC的MAC。 应用客户端IP 三层防护,应用端的IP。 应用用户组 三层防护,应用端的用户组。 时间组 时间段组。 应用用户 三层防护,应用用户。 目标信息 目标表 访问资产的表。 数据库 数据库信息。例如,MySQL数据库中的test模式,可以表示为mySQL
据内置数据库漏洞特征库信息,对命中策略的攻击进行虚拟补丁拦截防护。虚拟补丁规则例外能防止正常业务运行下误报情况的发生。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 虚拟补丁”,进入虚拟补丁页面后,单击“虚拟补丁规则”页签。
概述 策略防护功能包括策略设置、自定义策略、虚拟补丁策略模块。 系统支持配置多种维度策略,策略组合种类多达数百种,能够精准实现各种数据级的访问控制。 主体颗粒度可细化至用户、IP、主机、程序、时间、频次等。 客体颗粒度可达针对表、列、行数等。 行为颗粒度可达基本操作、特权操作、SQL语句、异常、存储过程等。
策略设置 管理基本配置 管理集合配置 父主题: 策略防护
管理基本配置 本章节介绍如何对数据库防护策略进行基本的配置,并应用生效。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略设置”,并在策略设置页面,单击“基本配置”页签。 在当前已选择资产中,选择目标资产。 勾选需要应用的策略,单击。
自定义策略 添加SQL策略 添加包过滤策略 启用或禁用策略 添加客户端语句过滤白名单 父主题: 策略防护
在左侧导航栏,选择“策略防护 > 策略设置”,并在策略设置页面,单击“集合配置”页签。 将鼠标移动到资产客户端IP集,单击右侧显示的。 设置开始IP和结束IP,单击“确定”。 图2 添加资产客户端IP集 配置完成后,您可以在配置策略时选择对应的集合。例如,在“策略防护 > 策略定义”页
策略在创建时默认为启用状态,您可以根据实际情况启用或者禁用。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略定义”。 切换到目标策略,例如,单击“SQL策略”页签。 如果需要切换单个策略,请参考此步骤。 图1 切换策略状态 单击目标策略组前面的图标,展开策略。
包过滤策略只支持桥接代理模式,其他模式下请勿进行相关配置。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略定义”,并在策略定义页面,单击“包过滤策略”页签。 单击策略名称,在策略汇总区域,配置五元组信息和匹配规则操作,单击右上角的“保存”。
户端语句,避免因匹配到特定策略后产生误报。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略定义”。 单击“客户端语句过滤白名单”页签,并单击“添加”。 在添加客户端语句过滤白名单对话框中,添加数据。 图1 添加白名单 表1
hx_process_status 防护实例进程状态 该指标用于展示防护实例的进程状态。 说明: 该防护实例已不再维护。 0/1 0:进程状态异常 1:进程状态正常 数据库审计实例 1分钟 hx_port_stats 防护实例端口状态 该指标用于展示防护实例的端口状态。 说明: 该防护实例已不再维护。
一个数据库安全审计实例可以审计多少个数据库实例? 入门版:只支持审计1个数据库实例。 基础版:最多审计3个数据库实例。 专业版:最多审计6个数据库实例。 高级版:最多审计30个数据库实例。 父主题: 数据库安全审计功能类
查看监控指标 您可以通过管理控制台,查看DBSS的相关指标,及时了解数据库安全状况,并通过指标设置防护策略。 前提条件 DBSS已对接云监控,即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作,请参见设置监控告警规则。 操作步骤 登录管理控制台。 单击页面左上方的,选择“管理与监管
反向代理部署配置举例 反向代理模式,数据库运维安全管理系统通过代理资产进行安全防护。本示例组网情况如图1 反向代理组网所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192.168.12.59 MySQL数据库
需要工单申请菜单权限。 sysadmin:系统管理员,日常维护数据库运维安全管理系统,例如配置数据资产、配置防护策略、审批运维工单、查看审计日志等。需要资产管理、策略防护、工单审批、审计日志等菜单权限。 secadmin:安全管理员,系统管理数据库运维安全管理系统,例如人员管理、系统配置等。需要审批架构的菜单权限。
为什么购买实例后不能马上查看创建中的实例? 购买数据库安全防护实例或购买数据库安全审计实例时,由于实例所在的虚拟机创建系统盘和网络配置需要少许时间,所以需要在虚拟机配置完成才能查看创建中的实例。 购买数据库安全服务实例后,建议您刷新页面后,再查看创建中的实例。 父主题: 产品咨询类
utf8mb4”。 图5 SET的SQL内容 添加客户端过滤白名单 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略定义”。 单击“客户端语句过滤白名单”页签,进入页面后,单击“添加”。 在添加客户端语句过滤白名单对话框中,添加过滤信息。 图6
dbss:auditInstance:getSpecification 查询数据库安全防护实例列表 dbss:defendInstance:list 绑定或解绑EIP dbss:defendInstance:eipOperate 删除数据库安全防护实例 dbss:defendInstance:delete 删除数据库安全审计实例
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
