检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
RAC Oracle数据库是否启用RAC部署方式。 默认未启用RAC,如果启用了RAC,将还需要设置Oracle的SCAN IP或VIP信息,并设置本机代理IP地址。 单击“保存”,保存数据资产的配置信息。 添加完成后,您可以在资产列表中查看新添加的数据资产信息。 相关操作 后续您可以根据情况,进行以下数据资产管理操作:
安装节点IP 当“安装节点类型”选择“应用端”时,需配置该参数。指待审计的应用端节点的IP地址,只能填写一个。 IP地址必须为应用端节点的内网IP地址,支持IPv4和IPv6格式。 须知: 当审计RDS关系型数据库且应用端在云下时,代理端将作为应用端,此时,“安装节点IP”需要配置为代理端的IP地址。
执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP/域名 执行SQL语句所在的数据库的IP地址/域名。 客户端端口 执行SQL语句所在的客户端的端口。
表2 网络访问安全设置 参数 说明 登录IP限制 设置是否限制访问来源: 接受所有IP:不限制访问来源。 限制IP:仅支持允许登录IP地址名单中的IP访问数据库加密与访问控制的Web控制台。 允许登录IP地址 填写允许登录的IP地址,多个地址用换行隔开。 网络权限配置 设置是否禁止ICMP探测和SSH登录。
找到目标加密数据库表,单击“客户端授权”。 在“客户端授权”对话框中,设置客户端IP地址范围、时间范围和星期范围,单击“保存”。 图7 客户端授权 IP地址范围支持设置起始IP和结束IP,单击按钮可以添加多个IP地址范围,最多设置5个IP地址范围。 找到目标加密数据库表,单击“用户授权”。 在“用户授
完成后系统将自动重启Web服务,设置后需要重新登录系统。 如果需要启用时间同步服务,请参考此步骤: 图2 启用时间同步服务 在主服务器区域,设置时间服务器的IP和端口。 打开自动同步开关。 单击“保存”,启用时间同步服务。 启用后,系统会在每天的00:05分和时间服务器同步一次。单击“同步”,系统立即同步时间。
响应动作 包括放行和阻断。 源IP 数据包发送端IP。 源端口 数据包发送端端口(ICMP协议下,此端口可不填)。 目的IP 数据包接收端IP。 目的端口 数据包接收端端口(ICMP协议下,此端口不填)。 注意:如果选择TCP协议,则源IP、源端口、目的IP和目的端口必填一项,再单击
证脱敏规则及脱敏白名单是否配置成功: 用户的IP地址为172.16.215.108(非脱敏白名单中的地址),通过代理方式访问数据库,只能查看到脱敏数据。 图7 脱敏数据 用户的IP地址为172.16.215.107(脱敏白名单中的地址),通过代理方式访问数据库,能查看到明文数据。
Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证,这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict 由于冲突,请求无法被完成。
计应用端与后端数据库的访问记录。 添加Agent时,需要将该代理端作为应用端,即“安装节点类型”选择“应用端”,且“安装节点IP”需要配置为该代理的IP地址。 添加Agent方式说明 数据库端 应用端 当某个应用端连接了多个数据库时,如果该应用端的一个数据库已经在应用端添加了Ag
找到目标表格,单击“启动”。 图3 启动 使用代理地址访问数据库,并执行SQL语句。 在“资产管理 > 数据源管理”页面获取代理地址。 IP地址即数据库加密与访问控制的IP,代理端口即添加数据资产时所配置的代理端口。 在数据库工具上配置访问代理地址并连接。 主机和端口请参照前面步骤,用户名
如果数据库是读写分离部署,需要勾选此选项,并设置从数据库节点信息。 数据源地址 设置数据库的IP地址。 数据源端口 设置数据库的连接端口。 代理地址 从下拉框中选择代理地址,即数据库访问与控制的IP地址。 代理端口 设置代理端口。运维人员通过代理IP + 代理端口访问数据库。 取值范围:1025-65535。
- 例外IP 可选参数。输入不需要对数据库操作行为进行审计的IP地址。 说明: 例外IP规则优先级高于源IP规则,当例外IP和源IP中填写的IP地址有重叠时,将不对重叠IP的数据库操作行为进行审计。 - 源IP 可选参数。输入访问待审计数据库的IP地址或IP地址段。 IP必须为内
步骤三:通过代理执行业务SQL语句 通过代理地址访问数据库,并执行业务SQL语句,检验数据库表和字段加密后是否影响业务。 使用sysadmin用户登录实例Web控制台。 在左侧导航栏选择“资产管理 > 数据源管理”,找到目标数据库并单击编辑查看数据库代理IP和端口号。 图6 查看代理IP和端口号 在数据库
000)和UDP协议(端口为7000-7100)规则。 源地址可以是单个IP地址、IP地址段或安全组: 单个IP地址:例如192.168.10.10/32。 IP地址段:例如192.168.52.0/24。 所有IP地址:0.0.0.0/0。 安全组:例如sg-abc。 图5 “添加入方向规则”对话框
远程登录”或“本地登录”。 方式二:通过方式一进入的数据库加密与访问控制页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。 访问地址:https://服务器弹性IP地址:端口,例如https://100.xx.xx.54:9595。 (可选)在安全告警页面,单击“高级”。
选择应用该风险操作的数据库。 您可以勾选“全部数据库”或选择某数据库使用该风险操作规则。 - 客户端IP/IP段 输入客户端的IP地址或IP地址段。 IP地址支持IPv4(例如,192.168.1.1)和IPv6(例如,fe80:0000:0000:0000:0000:0000:0000:0000)格式。
表1 数据库信息参数说明 参数名称 说明 数据库信息 数据库的名称、类型以及版本信息。 选择字符集 数据库的编码字符集。 IP地址/端口 数据库的IP地址和端口。 实例名 数据库的实例名称。 操作系统 数据库运行的操作系统。 审计状态 数据库的审计状态,包括: 已开启 已关闭 Agent
执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。
查看审计范围信息 表1 审计范围信息参数说明 参数名称 说明 名称 审计范围的名称。 例外IP 该审计范围内的白名单IP。 源IP 访问数据库的IP地址或IP地址段。 源端口 审计的IP地址端口。 数据库名称 审计范围的数据库。 数据库账户 数据库的用户名。 状态 审计范围的状态,包括:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
