如需了解国际站更多云产品,请访问国际站。https://www.huaweicloud.com/intl/
不再显示此消息
如需了解国际站更多云产品,请访问国际站。https://www.huaweicloud.com/intl/
不再显示此消息
DBSS服务审计实例网关IP有限制吗? 用户主机不可占用DBSS审计实例的网关IP地址,其余并无限制。 父主题: 产品咨询类
PC通过内网访问RDS(即应用端在云下)时,如何使用数据库安全审计? 当PC通过专线内网访问RDS时,您可以将Agent安装到自建的代理端。此时,PC通过代理端访问数据库,数据库安全审计只能审计代理与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。
IP黑白名单 本章节介绍如何配置IP黑白名单,并应用生效。 操作步骤 使用系统管理员sysadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“安全策略> 黑白名单”,并在IP黑白名单页面,单击“IP黑名单”或“IP白名单”页签。
解绑弹性公网IP 当实例需要重新绑定EIP或者释放EIP时,需要为该实例解绑EIP。当实例成功解绑EIP后,则无法再通过该EIP登录数据库运维管理实例。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 数据安全中心”。
解绑弹性公网IP 当实例需要重新绑定EIP或者释放EIP时,需要为该实例解绑EIP。当实例成功解绑EIP后,则无法再通过该EIP登录数据库加密与访问控制。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 数据安全中心”。
在访问记录列表中,查看应用的访问记录信息,包含查看数据源名称、数据源IP、代理IP、应用IP等信息。 可以通过设置资产类型和资产名称,过滤对应的访问记录。 父主题: 数据加密和解密
配置后结果如下: 如果用户的IP地址为192.168.0.105,通过代理方式,使用wordpress访问数据库,可以查看到明文数据。 如果用户的IP地址为192.168.0.105,通过代理方式,使用非wordpress访问数据库,只能查看到加密数据。
若采用高可用模式,对于已有数据资产的单机组HA的场景,请注意以下事项: 若增加VIP地址,需要将所有已有数据源的代理地址手动修改为VIP地址; 若HA配置时VIP地址填写原单机物理IP地址,则无需修改每个数据源的代理地址。
图1 添加数据资产 请记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据源。 单击“保存”,保存数据源的配置信息。 产生审计日志 通过代理方式连接数据库。具体操作,请参见通过代理连接数据库。 执行以下命令。
数据源地址 填写数据源IP。 数据源端口 填写数据源端口。 代理地址 选择代理地址。 代理端口 填写范围要求内未被使用的代理端口,或单击自动分配,由系统分配。范围:1025-65535。 实例名/服务名/数据库名/模式名 填写实例名/服务名/数据库名/模式名。
服务器地址:使用代理服务器IP,即数据库运维安全管理系统的访问IP地址。例如 172.XX.XX.12。 端口:使用代理端口,例如9587。 单击“测试链接”,测试是否能够连接到数据库。 测试通过后,单击“下一步”,按照界面提示完成操作。
图1 反向代理部署 父主题: 数据库运维安全管理介绍
单击“SQL Server Management Studio工具”的图标,设置连接信息,其中: 服务器名称:使用代理服务器IP及代理端口,即数据库运维安全管理系统的访问IP地址。例如172.XX.XX.12,6002。 图2 通过代理连接数据库 单击“连接”,连接到数据库。
图6 查看代理IP和端口号 在数据库连接工具上,使用代理IP和端口访问数据库。 图7 访问数据库 IP和端口使用上一步骤中获取的代理IP和端口;用户名和密码使用数据库原来的用户名和密码。 执行业务使用的SQL语句。
代理端 安装节点IP需要配置为代理的IP地址。 父主题: 数据库安全审计Agent相关
bypass状态:启动后,系统主动进入bypass状态,保留代理访问功能,而所有策略将自动失效,直至手动关闭。 图1 Bypass 父主题: 系统管理
数据库加密与访问控制介绍 数据库加密与访问控制是一款基于网关代理加密技术,实现敏感数据加密存储的数据库安全防护产品。 系统作为代理加密网关,部署在数据库和客户端应用程序之间,任何访问都需要经过该网关,从而实现数据加密和访问控制功能。系统组网场景如下图1所示。
图1 添加数据源 请记录反向代理使用的端口号,后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,保存数据源的配置信息。 应用虚拟补丁策略 使用系统管理员sysadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“安全策略> 虚拟补丁”。
HOST代理白名单 填写HOST代理白名单,支持IP地址或域名。 单击“确定”生效。 父主题: 系统设置
步骤七:验证加密结果 参考步骤六(通过代理连接数据库)操作连接数据库,验证授权是否配置成功: 用户的IP地址为192.168.0.105(授权地址),通过代理方式,使用授权用户(例如root)访问数据库,可以查看到明文数据。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
您即将访问非华为云网站,请注意账号财产安全
