检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
规则。 如果问题已解决,结束操作。 如果问题仍存在,请执行检查数据库的Agent程序运行状态。 检查数据库的Agent程序运行状态 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录Agent的安装节点。 执行以下命令,查看Agent程序的运行状态。 ps
通过Web安全客户端访问资产 数据库操作员可以通过Web安全客户端访问资产。 在使用Web安全客户端前,需要系统管理员已经将数据库操作员和资产关联起来。具体操作,请参见管理运维人员。 操作步骤 使用安全管理员datadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“运维管理
在结果中创建加密队列 根据敏感数据发现结果,针对性的创建加密队列,本章节介绍如何在结果中创建加密队列。 在配置加密队列之前,建议先进行仿真加密测试,检验加密过程中是否会存在问题,并解决相应问题。 您也可以在数据加密中创建加密队列。具体操作,请参见配置加密队列。 在加密之前,数据表信息为正常明文信息,示例如图1所示。
配置解密队列 如果数据库不再需要加密,可通过配置解密队列进行解密。配置解密后,对应的数据库列中的信息将变为加密前的明文数据。 您可以在“加密队列管理”页面,找到目标加密队列,单击“添加至解密队列”创建解密队列;也可以在“解密队列管理”页面创建解密队列。 此处以在“解密队列管理”页面为例,介绍如何创建解密队列。
配置加密队列 如果您已了解数据库表结构,可以直接在加密队列管理页面直接添加。配置加密后,未授权用户查询对应的数据库信息时,将只查看到密文内容。 如果对敏感数据分布不了解,可使用敏感数据发现功能扫描您的数据库,在识别结果中创建加密队列,对数据库表进行加密,具体操作请参见在结果中创建加密队列。
可用区名称 zone_number Integer 可用区编号 az_type String 可用区类型 alias String 可用区中文别名 alias_us String 可用区英文别名 状态码: 400 表5 响应Body参数 参数 参数类型 描述 error Object
如何配置数据库安全审计? 购买数据库安全审计实例后,您需要将待审计的数据库添加到数据库安全审计实例中,并在数据库端、应用端或代理端安装Agent。当待审计的数据库连接到数据库安全审计实例后,数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计还支持批量部署流量采集Agen
地。 安装Agent。 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点(例如使用WinSCP工具)。 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录该节点。 执行以下命令,进入Agent安装包“xxx.tar.gz”所在目录。
场景一:加密操作流程及加密功能典型配置 加密操作流程 数据库加密与访问控制的加密操作流程图和流程介绍如下图1所示。 图1 加密操作流程 (首次)初始化密钥。 首次使用系统时,根据密钥来源初始化密钥。具体操作,请参见初始化密钥。 添加数据源。 在使用数据脱敏功能前,您需要将数据资产
数据加密和解密 设置加密参数 查看加密算法 仿真加密测试 配置加密队列 管理授权 仿真解密测试 配置解密队列 加密表管理 回滚表结构 安装Bypass插件 查询应用访问记录 父主题: 系统管理员操作指导
添加SQL注入规则 数据库安全审计提供“添加SQL注入规则”,您可根据需要自定义添加对应的SQL规则,添加后可以对成功连接数据库安全审计的所有数据进行安全审计。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。
入门实践 当您配置完数据库安全服务(DBSS)后,可以根据自身业务的业务场景使用DBSS提供的一系列常用实践。 表1 常用最佳实践 实践 描述 审计数据库 审计ECS数据库 数据库安全审计采用旁路部署模式,通过在数据库或应用系统服务器上部署数据库安全审计Agent,获取访问数据库
反向代理部署配置举例 反向代理模式,数据库运维安全管理系统通过代理资产进行安全防护。本示例组网情况如图1 反向代理组网所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192.168.12.59 MySQL数据库
步骤三:系统功能配置及使用场景举例 场景一:加密操作流程及加密功能典型配置 场景二:解密操作流程及解密功能典型配置 场景三:业务测试典型配置举例 场景四:动态脱敏典型配置举例 父主题: 开通并使用数据库安全加密
场景四:动态脱敏典型配置举例 动态脱敏操作流程 数据库加密与访问控制支持配置动态脱敏策略,对数据库资产中的明文数据进行脱敏展示,动态脱敏流程如图1所示。 图1 动态脱敏流程 添加数据源。 在使用数据脱敏功能前,您需要将数据资产添加到系统中。具体操作,请参见添加数据资产。 (可选)配置行业模板和敏感数据类型。
管理SQL注入规则 数据库安全审计的SQL注入规则默认开启,您可以对SQL注入规则执行禁用、启用、编辑和设置优先级操作。 一条审计数据只能命中SQL注入中的一个规则。 前提条件 数据库安全审计实例的状态为“运行中”。 启用SQL注入规则前,请确认SQL注入规则的状态为“已禁用”。
客户端语句过滤白名单配置举例 此示例中通过配置客户端语句过滤白名单,如果流量匹配策略,则过滤目标审计日志。 本示例组网情况如图1 反向代理组网所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192
手动添加账号 资产账号信息用于对数据库操作员的Web认证授权,以实现对人员访问的控制。 手动添加资产账号信息,用于对数据库操作员的Web认证授权,以实现对人员访问的控制。添加的账号信息也可用于对已授权人员的密码代填,实现数据库操作员免密访问和维护数据库,避免数据库账号密码的泄露。
自定义策略阻断举例 此示例展示在反向代理的系统部署模式下,配置自定义策略。如果访问行为匹配策略,则根据策略执行操作。 本示例组网情况如下图1 反向代理组网所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192
添加数据资产 在系统中添加数据资产(即数据库)后,您可以对数据库进行敏感数据识别,对敏感信息进行加解密、脱敏等操作。 本文通过添加MySQL数据库为例,您需要根据实际情况添加相应的数据资产。 使用约束 表1 数据库加密支持纳管的数据源及版本 数据库 版本号 MySQL 5.5 、5
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
