检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
步骤二:登录实例Web控制台 系统管理员使用web浏览器登录数据库加密与访问控制控制台,可以管理和维护数据库加密与访问控制。 出厂默认用户名如表1 系统默认账号信息所示,具体实际用户名密码请从技术支持工程师处获取。 表1 系统默认账号信息 出厂默认角色 出厂默认账号 说明 系统管理员
步骤二:登录实例web控制台 管理员登录Web控制台后,可以管理和维护数据库运维安全管理系统。 前提条件 您已经从技术支持工程师处获取登录用户名和密码。 背景信息 出厂默认用户名和密码如下,具体实际用户名密码请从技术支持工程师处获取。 表1 权限说明 用户名 角色 说明 sysadmin
(64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit)(华为云审计实例:23.02.27.182148 及其之后的版本支持) EulerOS Euler 2.2 (64bit) Euler 2.3 (64bit)
手动备份 配置手动备份,系统会立即创建全量的产品日志备份文件或增量的产品日志备份文件。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“日志管理 > 备份还原”。 在备份配置区域,设置手动备份方式。 图1 手动备份 手动备份支持全量备份和增量备份两种方式:
若您将添加的Agent删除,在重新添加Agent后,请重新下载Agent。 前提条件 数据库安全审计实例的状态为“运行中”。 操作步骤 请参见步骤二添加Agent。 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。
业务字典设置”,打开业务字典开关。 添加操作对象类型的业务字典 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“审计日志 > 业务字典”。 选择“操作对象”页签。 单击“添加”,配置业务字典信息,单击“确定”。 图4 操作对象类型业务字典 表4 操作对象类型业务字典 参数 说明
dbss deleteTag 与对象存储服务的关系 对象存储服务(Object Storage Service,简称OBS)是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力。数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。 与消息通知服务的关系
数据定义(DDL)”、“数据操作(DML)”或“数据控制(DCL)”的操作。 操作 操作对象 单击“添加操作对象”后,输入“目标数据库”、“目标表”和“字段”信息。单击“确定”,添加操作对象。 - 执行结果 设置“影响行数”和“执行时长”的执行条件后,输入行数和时长值,执行条件包括:
操作日志参数说明 参数名称 说明 用户名 执行操作的用户。 发生时间 执行操作的时间。 功能 执行的功能操作。 动作 执行功能操作的动作。 操作对象 执行操作的对象。 描述 执行操作的描述信息。 结果 执行操作的结果。 相关操作 数据库安全审计的操作日志默认保存多久? 数据库安全审计的操作日志是否可以迁移?
护策略。 前提条件 DBSS已对接云监控,即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作,请参见设置监控告警规则。 操作步骤 登录管理控制台。 单击页面左上方的,选择“管理与监管 > 云监控服务 CES”。 在左侧导航树栏,选择“云服务监控”,进入“云服务监控”页面。
单击“SQL日志”页签,单击“最新日志”,查看最新的审计日志信息。如图5 查看审计日志所示,数据库运维安全管理系统已经可以审计到业务日志。 图4 查看审计日志 父主题: 步骤三:系统功能配置及使用场景举例
关于组织创建相关操作可参见创建组织。 说明: 如果您未打开“启用与组织共享资源”开关,使用者类型将无法选择“组织”。具体操作可参见启用与组织共享资源。 华为云账号ID 进入“配置确认”页面,确认配置无误后,单击页面右下角的“确认”,完成资源共享实例的创建。 图4 配置确认 使用VPC 登录管理控制台。
使用系统管理员sysadmin账号登录数据库运维管理系统。 在“审计日志 > 日志检索”页面,查看审计日志。 图3 查看审计日志 图4 查看日志详情 父主题: 步骤三:系统功能配置及使用场景举例
(64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit)(华为云审计实例:23.02.27.182148 及其之后的版本支持) EulerOS Euler 2.2 (64bit) Euler 2.3 (64bit)
端口:使用代理端口,即创建资产时设置的代理端口(14099)。 单击“测试链接”,测试是否能够连接到数据库。 测试通过后,单击“下一步”,按照界面提示完成操作。 步骤六:验证脱敏结果 参考步骤五(通过代理连接数据库)操作连接数据库,验证脱敏规则及脱敏白名单是否配置成功: 用户的IP地址为172.16.215.108(
数据库加密与访问控制采用反向代理方式,典型组网如下图2所示。 图2 典型组网 前提条件 设备和应用系统路由可达。 设备和数据库路由可达。 步骤一:添加数据源 在使用前,需要在资产管理中添加目标数据库。 使用sysadmin用户登录实例Web控制台。 在左侧导航栏,选择“资产管理 >
单击“SQL日志”页签,单击“最新日志”,查看最新的审计日志信息。 如图8所示,数据库运维安全管理系统已经可以审计到命中自定义策略的行为的日志。 图8 查看审计日志 父主题: 步骤三:系统功能配置及使用场景举例
添加审计范围 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围,设置需要审计的数据库范围。 全审计规则优先级高于自定义添加的审计范围规则,若您需要重新添加审计范围规则,请禁用“全审计规则”。 前提条件 数据库安全审计实例的状态为“运行中”。
安全客户端”,在安全客户端页面,可以访问查看资产中信息。 图4 查看资产信息 使用本机上的客户端工具 成功连接数据库。 图5 客户端连接成功 父主题: 步骤三:系统功能配置及使用场景举例
策略应用流程 数据库运维安全管理系统支持多种策略的设置与应用,以实现各种数据级的访问控制,策略应用流程如图1所示。 图1 策略应用流程 系统管理员添加数据资产,并进行相应设置。具体说明请参见添加数据资产。 进行防护策略设置,包括策略基本配置、集合配置、自定义策略(SQL策略、包过
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
