检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
步骤二:开启数据库安全审计 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启数据库安全审计后,您可以查看被添加的数据库的审计结果。详细操作,请参见查看审计结果。 开启审计 请参见步骤三安装Agent。 请参见步骤四添加安全组规则。
实例ID。可在查询实例列表接口的ID字段获取。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 表3 请求Body参数
在数据库连接工具上,使用代理IP和端口访问数据库。 图7 访问数据库 IP和端口使用上一步骤中获取的代理IP和端口;用户名和密码使用数据库原来的用户名和密码。 执行业务使用的SQL语句。 以上SQL语句仅为示例,在实际使用时,您需要执行业务上使用的SQL语句,便于系统进行业务分析。 表1 SQL语句示例 SQL类型
在“选择实例”下拉列表框中,选择需要下载Agent的数据库所属的实例。 单击“数据库列表”列表页面下方的展开Agent的详细信息,在Agent所在行的“操作”列,单击“下载agent”。将Agent安装包下载到本地。 图1 下载Agent 请根据安装Agent节点的操作系统类型,选择下载相应的Agent安装包。
在左侧导航栏中,选择“报表分析 > 报表查看”。 (可选)在报表类型中选择目标报表类型,单击“查询”,搜索指定类型报表。 找到目标报表,单击“下载”。 解压下载的zip压缩包,查看报表信息。 父主题: 报表分析
配置后结果如下: 如果用户的IP地址为192.168.0.105,通过代理方式,使用wordpress访问数据库,可以查看到明文数据。 如果用户的IP地址为192.168.0.105,通过代理方式,使用非wordpress访问数据库,只能查看到加密数据。 如果用户的IP地址为192.168
主机使用的字符集,测试主机连接后自动获取。 主机操作系统 主机的操作系统信息,测试主机连接后自动获取。 内核 主机的内核信息,测试主机连接后自动获取。 指标监控阈值 设置主机监控指标(CPU、内存、IO、网络)的阈值。系统仅在阈值范围内对数据库数据进行加密,降低对业务的影响。 日志信息
点去访问数据库的用户信息表,意图窃取用户信息,就属于数据库的异常访问。 在DBSS中可通过如下规则设置来检测数据库异常访问情况: 图2 添加数据库异常访问 如图2所示填写的规则表示从192.168.1.1或192.168.3.3上发起的所有针对user_info表的操作都是“高风险”。
检测”的高风险操作。用户预设无用的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测,可以帮助您监控识别访问“脏表”的SQL语句,及时发现数据安全风险。 等保合规 数据库等保合规相关项 为客户提供一站式的安全解
使用sysadmin用户登录实例Web控制台。 在左侧导航栏中,选择“数据加密 > 解密队列管理”。 单击右上角的“新增解密队列”。 在“新增解密队列”对话框中,设置和加密对应的数据信息,包括资产名称、模式名和表名。 图3 新增解密队列 勾选“启动队列”,创建完成后自动启动解密队列。 单击“完成”,创建解密队列。
规则名称 该规则的名称。 规则类型 该规则的类型,包括 默认 自定义 正则表达式 该规则的正则表达式。 替换值 正则表达式脱敏后对应的替换值。 状态 该规则的启用状态,包括: 已启用 已禁用 根据需要,您还可以对规则执行以下操作: 禁用 在需要禁用的规则所在行的“操作”列,单击“
操作审批等技术,可实现对于运维人员的最小化权限控制、危险操作阻断以及行为审计。 支持的数据库 数据库安全审计仅支持对华为云上的以下数据库提供旁路模式的数据库审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare
自定义数据库需要审计的风险操作规则。 一条审计数据只能命中风险操作中的一个规则。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 >
在“选择实例”下拉列表框中,选择需要添加安全组规则的数据库所属的实例。 记录Agent安装节点IP信息。 在数据库所在行的“Agent”列,单击“查看Agent”。在下方的“Agent列表”中,记录“安装节点IP”。 图1 安装节点IP 在数据库列表的上方,单击“添加安全组规则”。 在弹出的弹框中,记录数据库安
错误信息返回体。 表7 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码。 error_msg String 错误请求返回的错误信息。 状态码: 403 表8 响应Body参数 参数 参数类型 描述 error Object 错误信息返回体。
实例ID。可在查询实例列表接口的ID字段获取。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 表3 请求Body参数
在本章节中,您需要将待审计的数据库添加至数据库安全审计实例并开启数据库的审计功能,开启审计功能后再将数据库配置导入OBS桶。 约束与限制 在添加数据库前,您需要梳理集群工作负载中绑定的数据库,并注意以下规则: 相同的数据库不能同时添加在多个不同审计实例上 同一个工作负载所访问的数据库,必须添加在同一个审计实例中
实例ID。可在查询实例列表接口的ID字段获取。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 表3 请求Body参数
实例ID 实例的ID,由系统自动生成。 可用区 实例所在的可用区。 版本 您创建DBSS实例时对应的DBSS实例版本,您不同时间创建的DBSS实例的版本可能会有差别。 DBSS实例版本影响的范围: 支持的数据库类别 支持的数据库版本 备注 实例的备注信息。单击备注后的,可以修改备注信息。
与其他云服务的关系 数据库安全服务与其他云服务的关系的依赖关系如图1所示。 图1 数据库安全服务与其他云服务的关系示意图 与弹性云服务器的关系 数据库安全服务实例创建在弹性云服务器上,用户可以通过该实例,为弹性云服务器上的自建数据库提供安全审计功能。 与关系型数据库的关系 数据库
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
