检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
策略防护 概述 策略设置 自定义策略 设置虚拟补丁 父主题: 系统管理员操作指南
虚拟补丁防护配置举例 虚拟补丁规则功能是通过内置数据库特征漏洞库信息,并将其转化为防护特征攻击的特征策略,对命中策略的攻击进行虚拟补丁拦截防护。 组网需求 图1 反向代理组网示例 表1 组网参数说明 设备 说明 客户端 IP地址:172.16.196.33 数据库运维安全管理系统
设置虚拟补丁 此模块包括虚拟补丁和虚拟补丁例外两部分,设置并开启虚拟补丁规则后,会依据内置数据库漏洞特征库信息,对命中策略的攻击进行虚拟补丁拦截防护。虚拟补丁规则例外能防止正常业务运行下误报情况的发生。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护
概述 策略防护功能包括策略设置、自定义策略、虚拟补丁策略模块。 系统支持配置多种维度策略,策略组合种类多达数百种,能够精准实现各种数据级的访问控制。 主体颗粒度可细化至用户、IP、主机、程序、时间、频次等。 客体颗粒度可达针对表、列、行数等。 行为颗粒度可达基本操作、特权操作、SQL语句、异常、存储过程等。
本章节介绍如何对数据库防护策略进行基本的配置,并应用生效。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略设置”,并在策略设置页面,单击“基本配置”页签。 在当前已选择资产中,选择目标资产。 勾选需要应用的策略,单击。 配置具体策略选项。
签。 将鼠标移动到资产客户端IP集,单击右侧显示的。 设置开始IP和结束IP,单击“确定”。 图2 添加资产客户端IP集 配置完成后,您可以在配置策略时选择对应的集合。例如,在“策略防护 > 策略定义”页面配置自定义策略时,可选择资产客户端IP集,如图3所示。 图3 选择资产客户端IP集
数据库用户 数据库客户端的访问数据库资产使用的用户名。 数据库用户组 数据库客户端的访问数据库资产使用的用户组。 资产客户端 数据库客户端工具。 资产客户端MAC 数据库客户端工具所在PC的MAC。 应用客户端IP 三层防护,应用端的IP。 应用用户组 三层防护,应用端的用户组。 时间组
策略设置 管理基本配置 管理集合配置 父主题: 策略防护
说明 SQL 需要添加白名单的SQL语句。 工具 数据库客户端。 数据库 数据库类型。 状态 在下拉栏中选择启用或禁用,默认启用。 单击“确定”。 使配置生效,您需要进行以下步骤: 在左侧导航栏,选择“策略防护 > 策略设置”。 在基本配置页的应用的策略栏勾选启用SQL策略。 单击启用SQL策略旁的。
在左侧导航栏,选择“策略防护 > 策略定义”,并在策略定义页面,单击“包过滤策略”页签。 单击策略名称,在策略汇总区域,配置五元组信息和匹配规则操作,单击右上角的“保存”。 图1 配置策略 表1 配置策略 参数 说明 协议 可选择TCP、UDP、ICMP协议。 响应动作 包括放行和阻断。 源IP
自定义策略 添加SQL策略 添加包过滤策略 启用或禁用策略 添加客户端语句过滤白名单 父主题: 策略防护
上图中,②部分策略为启用状态,单击后可以禁用策略。 如果需要批量切换同策略组的多个策略,请参考此步骤。 鼠标移动到目标策略组,单击图标。 在编辑策略组对话框中,勾选需要启用的策略,未勾选的表示需要禁用的策略。 图2 批量启用或禁用策略 单击“确定”。 父主题: 自定义策略
数据库安全审计和RDS SQL审计有什么区别? DBSS审计和RDS SQL审计存在功能和范围上的差异,如表1所示。 表1 差异比较 审计 功能 范围 RDS SQL审计 只记录SQL访问操作。 应用于使用RDS数据库场景。 DBSS审计 审计所有的数据库风险操作。在记录SQL访
您可以通过管理控制台,查看DBSS的相关指标,及时了解数据库安全状况,并通过指标设置防护策略。 前提条件 DBSS已对接云监控,即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作,请参见设置监控告警规则。 操作步骤 登录管理控制台。 单击页面左上方的,选择“管理与监管 > 云监控服务
为什么购买实例后不能马上查看创建中的实例? 购买数据库安全防护实例或购买数据库安全审计实例时,由于实例所在的虚拟机创建系统盘和网络配置需要少许时间,所以需要在虚拟机配置完成才能查看创建中的实例。 购买数据库安全服务实例后,建议您刷新页面后,再查看创建中的实例。 父主题: 产品咨询类
本节定义了数据库安全服务上报云监控服务的监控指标的命名空间,监控指标列表和维度定义,用户可以通过云监控服务提供管理控制台或API接口来检索数据库安全服务的监控指标和告警信息。 命名空间 SYS.DBSS 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间,不同命名空间中的数据彼此隔离
使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以“DBeaver工具”为例,通过数据库运维管理系统代理连接到数据库。 单击“DBeaver工具”的图标,在选择“新连接类型
策略应用流程 数据库运维安全管理系统支持多种策略的设置与应用,以实现各种数据级的访问控制,策略应用流程如图1所示。 图1 策略应用流程 系统管理员添加数据资产,并进行相应设置。具体说明请参见添加数据资产。 进行防护策略设置,包括策略基本配置、集合配置、自定义策略(SQL策略、包过
安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安