检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据库客户端。 数据库 数据库类型。 状态 在下拉栏中选择启用或禁用,默认启用。 单击“确定”。 使配置生效,您需要进行以下步骤: 在左侧导航栏,选择“策略防护 > 策略设置”。 在基本配置页的应用的策略栏勾选启用SQL策略。 单击启用SQL策略旁的。 在策略列表页面勾选客户端语句过滤白名单,单击“确定”。
Service,DBSS)。数据库安全服务是一个智能的数据库安全服务,基于大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。 您可以使用本文档提供的API对实例、规则进行相关操作,如创建、查询、删除等。支持的全部操作请参见API。 在调用
初始化密钥 在初次使用加密功能前,用户需要初始化密钥。 数据库加密与访问控制的密钥包括根密钥(RK)、数据源密钥(DSK)和数据加密密钥(DEK),具体说明如初始化密钥所示。 表1 密钥种类说明 密钥种类 说明 根密钥(RK) 初始化密钥后生成,不对外暴露。 数据源密钥(DSK)
资产识别与管理 DBSS服务实例创建在用户的弹性云服务器上,用户通过该实例,为RDS、ECS/BMS自建的数据库提供安全审计功能。DBSS对接了RMS(资源管理服务)、TMS(标签管理服务),用户可通过登录这些服务页面查看DBSS实例信息。 父主题: 安全
勾选后,创建队列后自动启动队列。 图2 添加加密队列 单击“加密列表”页签,勾选需要加密的列名称,并设置是否启用模糊查询功能。 加密后,默认情况下无法进行模糊查询。如果符合以下情况,勾选启用模糊查询后支持模糊查询,模糊查询支持%和_两种符号。 密文编码方式为十六进制,不支持BASE64模式编码。如何配置,请参见设置加密参数。
数据库实例名 设置数据库名称或者实例名称。 客户端工具 设置访问数据库的客户端工具名称。 客户端IP 设置访问数据库的客户端IP。 是否开启授权码 开启授权码,申请审批通过后将获取授权码,后续需通过唯一授权码进行使用人员身份认定。 申请操作时间 设置运维操作的时间范围。 申请事由 设置运维操作事由。
查看平台信息 初次使用产品时,请联系技术支持工程师进行系统授权,授权后方可使用产品的各项功能。 授权后,您可以在“系统管理 > 平台信息”区域查看授权到期的剩余时间以及授权期限时间,授权到期后请联系技术支持工程师进行重新授权。 表1 平台信息 区域 参数 说明 基本信息 产品名称
查询数据库列表 功能介绍 查询数据库列表 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/{instance_id}/dbss/audit/databases 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
进行风险管理 风险管理提供风险日志查询统计、风险日志处理功能。对绑定资产进行风险日志信息检索,并可以将误报的风险操作加入虚拟补丁例外规则。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“风险管控 > 风险管理”。 在顶部的“当前已选择资产”下拉栏中,选择目标资产。
云审计服务支持的数据库安全服务操作列表 操作名称 资源类型 事件名称 创建实例 dbss createInstance 删除实例 dbss deleteInstance 开启实例 dbss startInstance 关闭实例 dbss stopInstance 重启实例 dbss rebootInstance
找到目标报表模板,单击“定时报表配置”。 在定时报表配置对话框中,设置定时报表生成。 图3 定时报表配置 表2 定时报表配置 参数 说明 启用计划 勾选启用计划,开启定时生成报表。 频率设置 选择定时发送报表次数。可选项包括: 执行一次 重复执行 定时设置 设置周期生成时间。可选项包括: 每日计划:设置每日的具体时间生成报表。
数据库安全审计的Agent可以安装在哪些Windows操作系统上? 使用数据库安全审计功能,必须在数据库节点或应用节点安装Agent。 数据库安全审计的Agent支持安装在以下Windows操作系统上: Windows Server 2008 R2(64bit) Windows Server
概述 策略防护功能包括策略设置、自定义策略、虚拟补丁策略模块。 系统支持配置多种维度策略,策略组合种类多达数百种,能够精准实现各种数据级的访问控制。 主体颗粒度可细化至用户、IP、主机、程序、时间、频次等。 客体颗粒度可达针对表、列、行数等。 行为颗粒度可达基本操作、特权操作、SQL语句、异常、存储过程等。
仿真解密测试 在配置解密队列之前,建议先进行仿真解密测试,验证解密功能。 前提条件 需要解密测试的表格已经在加密队列中完成加密,即已完成配置加密队列。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏中,选择“业务测试 > 仿真测试”。 单击“新增解密测试”。
告警邮件异常 故障现象 数据库安全审计实例功能正常,邮件收到高风险语句告警,但控制台未显示高风险SQL语句。 告警邮件发送延迟。 可能原因 审计日志量超过了实例的处理能力,导致数据审计的延迟。 处理建议 新增DBSS实例,分担当前数据审计流量或者更改审计规则,优化缩小审计范围。
数据控制(DCL): CREATE USER DROP USER GRANT 配置数据库拖库检测 在启用数据库拖库检测规则前,还需要用户根据业务实际需求添加待审计的数据库、客户端IP/IP段、操作类型、操作对象及执行结果。 登录管理控制台。 在页面上方选择“区域”后,单击,选择“安全与合规 > 数据库安全服务”。
单击Web安全客户端右侧的“查看”。 将光标移动到资产名上并单击。 单击“Edit Connection”。 单击“OPTIONS”页签,进行连接设置。如果为数据库操作员开启了密码代填,则可跳过此步骤。 填写User name数据库账号与User password数据库密码。 单击 TEST CONNECTION,测试连接是否成功。
配置网卡信息 通过配置网络信息,修改设备网络IP地址、路由等信息,从而接入业务网络环境。 系统的网络设置功能,支持配置网卡信息、DNS服务器和路由策略信息等。 网卡信息:包括网络IP地址、网关地址等信息,一般在初次安装部署或者网络环境变更时,需要配置。 DNS服务器:设置DNS服
系统默认检测全部。 配置操作类型,选择“操作”和“全部操作”。配置操作对象填写实例中添加无用的数据库、表或字段,如图1所示。 图1 添加脏表检测规则 单击“保存”。 查看数据库脏表检测结果 数据库脏表检测开启后,您可以在“总览 > 语句”中,查看原始审计日志访问脏表的SQL语句。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
