检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在左侧导航栏,单击“设备管理 > 模式设置”,在“模式选择”处选择反向代理,单击“保存”。 添加数据资产 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理 > 资产配置”,在页面右上角单击“添加”。 在“添加资产”对话框中,配置资产信息。
当PC通过专线内网访问RDS时,您可以将Agent安装到自建的代理端。此时,PC通过代理端访问数据库,数据库安全审计只能审计代理与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。
在左侧导航栏,选择“资产管理 > 资产配置”,在页面右上角单击“添加”。 在添加资产对话框中,配置资产信息。 图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。
管理授权 支持在授权管理页面为访问数据库的客户端和数据库用户授权。 授权管理模块中支持客户端和用户授权,两者授权取交集,详情请参见设置客户端授权和设置用户授权。
单击页面右上角“添加”,在添加资产对话框中,设置资产信息。 图2 添加数据资产 请记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,保存数据资产的配置信息。
在“审计日志 > 日志检索”页面,查看审计日志。 图3 查看审计日志 图4 查看日志详情 父主题: 步骤三:系统功能配置及使用场景举例
查询应用访问记录 应用通过代理访问数据库后,系统会自动记录到访问记录列表中。管理员可以通过访问记录列表,定期检查和审计。 前提条件 设备仅记录应用通过代理访问数据库的记录信息。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。
图1 数据库安全审计部署架构 图2 组网方式 图3 实现流程 数据库安全审计的Agent部署说明如下: ECS/BMS自建数据库:在数据库端部署Agent RDS关系型数据库:在应用端或代理端部署Agent
在页面左侧数据源处,单击目标数据源。 图4 添加业务分析任务 单击“新增分析表”,配置需要分析的数据表,单击“确定”。 图5 配置分析的数据表 找到目标表格,单击启动按钮。
401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。
在扫描任务列表页面,找到目标数据资产,单击“查看”。 在扫描结果列表页面,找到目标数据库表,单击“添加脱敏规则”。 在“添加脱敏规则”对话框中,设置脱敏信息。 图4 添加脱敏规则 配置规则名称,并在脱敏列表中选择数据类型对应的脱敏算法。 单击“保存”。
图2 添加数据资产 请记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,保存数据资产的配置信息。 产生审计日志 通过代理方式连接数据库。具体操作,请参见通过代理连接数据库。 执行以下命令。
购买数据库安全审计实例后,您需要将待审计的数据库添加到数据库安全审计实例中,并在数据库端、应用端或代理端安装Agent。当待审计的数据库连接到数据库安全审计实例后,数据库安全审计才能对待审计的数据库进行审计。
代理端 安装节点IP需要配置为代理的IP地址。 父主题: 数据库安全审计Agent相关
在页面左侧数据源处,单击目标数据源。 图1 选择数据源 单击“新增分析表”,配置需要分析的数据表,单击“确定”。 图2 新增分析表 找到目标表格,单击“启动”。 图3 启动 使用代理地址访问数据库,并执行SQL语句。 在“资产管理 > 数据源管理”页面获取代理地址。
在扫描任务列表页面,找到目标数据资产,单击“查看”。 在扫描结果列表页面,找到目标数据库表,单击“添加加密队列”。 在“新增加密队列”对话框中,设置加密信息。 图6 新增加密队列 在加密算法中选择加密的算法。 单击“加密列表”页签,勾选需要加密的列名称。
再次使用代理查询数据库表,查询结果是已被脱敏的数据,示例如图3所示。 图3 脱敏后数据 父主题: 敏感数据发现
插件已检测到加密系统异常,插件开始工作,修改应用连接从网关代理到直连数据库,并对jdbc请求中的数据进行加解密。 当应用配置连接的是网关加密代理地址且应用到网关加密代理地址不通时,插件将切换到bypass状态。 操作步骤 登录实例Web控制台。
若采用高可用模式,对于已有数据资产的单机组HA的场景,请注意以下事项: 若增加VIP地址,需要将所有已有数据源的代理地址手动修改为VIP地址; 若HA配置时VIP地址填写原单机物理IP地址,则无需修改每个数据源的代理地址。
约束与限制 包过滤策略只支持桥接代理模式,其他模式下请勿进行相关配置。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略定义”,并在策略定义页面,单击“包过滤策略”页签。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
