检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
资产识别与管理 DBSS服务实例创建在用户的弹性云服务器上,用户通过该实例,为RDS、ECS/BMS自建的数据库提供安全审计功能。DBSS对接了RMS(资源管理服务)、TMS(标签管理服务),用户可通过登录这些服务页面查看DBSS实例信息。 父主题: 安全
回放审计日志语句 如果在查看审计日志时部分内容不好识别,您可以通过回放审计日志涉及的语句了解信息。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“审计日志 > 日志检索”。 根据资产类型,单击对应的日志页签(例如单击SQL日志)。 单击最新日志或者检索列表,查看审计日志。
为什么不能在线预览数据库安全审计报表? 如果您需要在线预览报表,请使用Google Chrome或Mozilla FireFox浏览器。 父主题: 数据库安全审计功能类
查看扫描任务执行结果 敏感数据发现任务执行完成后,系统会扫描并识别数据资产中的敏感数据。您可以在执行结果中查看具体的敏感数据信息。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“敏感数据发现 > 敏感数据扫描”。 (可选)设置搜索项,并单击搜索图标,查询指定数据资产。
在任务配置对话框中,配置敏感数据发现任务。 表1 敏感数据发现任务参数 参数 说明 抽样数量 设置抽样扫描的抽样数量。 抽样扫描,指从数据集合中抽取一定数量的数据进行识别。抽样越多,识别越精准;抽样越少,扫描速度越快。 最大线程数 设置任务使用的最大线程数。 敏感数据发现任务可以使用多线程,线程数越多,扫描效率越高,同时占用的设备资源也越多。
执行风险扫描 风险管控支持手动扫描风险信息、查看系统审计的风险问题和配置风险告警接收方式。 通过多个维度为资产进行风险扫描,识别资产的潜在风险,并支持导出风险报表。 背景信息 目前支持资产类型Oracle、SQL Server、DB2、DM7。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
Security Service,DBSS)。数据库安全服务是一个智能的数据库安全服务,基于大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。 您可以使用本文档提供的API对实例、规则进行相关操作,如创建、查询、删除等。支持的全部操作请参见API。
脱敏白名单用户查询对应的数据库信息时,将只查看到脱敏数据。 如果对敏感数据分布不了解,可使用1.4.6 敏感数据发现功能扫描您的数据库,在识别结果中创建脱敏规则,具体操作请参见1.4.6.4 在结果中创建脱敏规则。 对于数据表中的数据既启用加密又启用脱敏的场景,不同配置的效果如下:
添加客户端语句过滤白名单 在客户端操作SQL语句时,会固定产生一些不需要记录的语句。这些语句可能会干扰您识别正常的SQL操作语句。通过添加客户端语句过滤白名单,审计日志将不记录这些客户端语句,避免因匹配到特定策略后产生误报。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
加。配置加密后,未授权用户查询对应的数据库信息时,将只查看到密文内容。 如果对敏感数据分布不了解,可使用敏感数据发现功能扫描您的数据库,在识别结果中创建加密队列,对数据库表进行加密,具体操作请参见在结果中创建加密队列。 前提条件 在配置加密队列之前,建议先进行仿真加密测试,检验加
的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测,可以帮助您监控识别访问“脏表”的SQL语句,及时发现数据安全风险。 前提条件 用户需要在待审计的实例中添加无用的数据库、表或字段,作为脏表检测的对象。 配置数据库脏表检测
数据库安全服务(Database Security Service,DBSS)是一个智能的数据库安全服务,基于大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。 本文介绍购买入门版管理1个数据库为例,开启数据库安全服务。您可以根据默认的审计规则,通过多维度分析、实时告警和报表功能发现异常行为。
在数据源列表“策略配置”列单击,跳转到加密队列配置页面。建议在配置加密队列前进行敏感数据识别,具体操作,请参见扫描资产的敏感数据。 在数据源列表“策略配置”列单击,跳转到脱敏规则配置页面。建议在配置脱敏规则前进行敏感数据识别,具体操作,请参见扫描资产的敏感数据。 在数据源列表“操作”列单击“编辑”,修改数据资产信息。
图中价格仅供参考,实际计算请以数据库安全服务器价格详情中的价格为准。 变更配置后对计费的影响 当前包年/包月DBSS资源的规格不满足您的业务需要时,您可以在数据库安全服务控制台发起变更规格操作,变更时系统将按照如下规则为您计算变更费用: 资源升配:新配置价格高于老配置价格,此时您需要支付新老配置的差价。
入库速率:120万条/小时 在线SQL语句存储:1亿条 基础版 最多支持3个数据库实例 吞吐量峰值:3,000条/秒 入库速率:360万条/小时 在线SQL语句存储:4亿条 专业版 最多支持6个数据库实例 吞吐量峰值:6,000条/秒 入库速率:720万条/小时 在线SQL语句存储:6亿条
入库速率:120万条/小时 在线SQL语句存储:1亿条 基础版 最多支持3个数据库实例 吞吐量峰值:3,000条/秒 入库速率:360万条/小时 在线SQL语句存储:4亿条 专业版 最多支持6个数据库实例 吞吐量峰值:6,000条/秒 入库速率:720万条/小时 在线SQL语句存储:6亿条
加数据资产时所配置的代理端口。 在数据库工具上配置访问代理地址并连接。 主机和端口请参照前面步骤,用户名和密码根据数据库实际情况配置。以下图片仅为示例,请根据具体数据库工具配置代理访问连接。 图4 配置访问代理地址 在数据库工具上执行异常SQL语句。 例如执行以下语句: 表1 异常示例
安全 责任共担 资产识别与管理 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 监控安全风险 认证证书
载审计报表的实例。 在需要预览或下载的报表所在行的“操作”列,单击“预览”或“下载”,如图5所示,在线预览报表结果,或下载并查看报表。 图5 预览或下载报表 相关操作 为什么不能在线预览数据库安全审计报表? 父主题: 查看审计结果
只记录SQL访问操作。 应用于使用RDS数据库场景。 DBSS审计 审计所有的数据库风险操作。在记录SQL访问的基础上进行安全检测、统计分析、风险识别、生成报表等功能,保障云上数据库的安全。 应用于所有数据库场景,包括用户自建数据库。 父主题: 产品咨询类