检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
将目标字符串使用AES算法进行加密。 AES算法参数配置如下:初始向量IV为16字节随机数,加密模式为GCM模式,填充方式为PKCS7-Padding(即CMS-Padding)。 加密脱敏的密文中,前16字节存放IV值,后续为对应的密文内容。加密密文为二进制,脱敏引擎输入的密文
数据库安全加密 数据库加密与访问控制是一款基于网关代理加密技术,实现敏感数据加密存储的数据库安全防护产品。 系统作为代理加密网关,部署在数据库和客户端应用程序之间,任何访问都需要经过该网关,从而实现数据加密和访问控制功能。系统组网场景如下图1所示。 图1 组网方式 数据加密 系统支
数据保护技术 DSC通过多种数据保护手段和特性,保证通过DSC的数据安全可靠。 表1 DSC的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密(HTTPS) DSC支持HTTP和HTTPS两种传输协议,为保证数据传输的安全性,推荐您使用更加安全的HTTPS协议。 构造请求
加同一数据库实例下的数据源,会自动填充代理端口。 加密算法 单击下拉框选择加密算法,加密算法有AES128和SM4。 被加密表 单击下拉框选择被加密表。 同一目标表不能重复选。 被加密表信息 被加密表的信息,包含“字段名称”、“字段类型”、“数据分级”。 单击“保存并下发”,进入
512输出长度调整列的长度。 敏感类型:密钥类 适用场景:数据存储 加密脱敏 通过加密算法和加密主密钥生成指定的数据密钥,使用数据密钥对敏感数据进行加密达到数据脱敏的效果。 DSC支持AES256和SM4两种加密算法。 敏感类型: 个人敏感 企业敏感 适用场景:数据存储 字符掩盖
相同代理端口,添加同一数据库实例下的数据源,会自动填充代理端口。 加密算法 单击下拉框选择加密算法,加密算法有AES128和SM4。 被加密表 单击下拉框选择被加密表。 同一目标表不能重复选。 被加密表信息 被加密表的信息,包含“字段名称”、“字段类型”、“数据分级”。 单击“保
图2 Hash脱敏测试 加密脱敏 通过加密算法和加密主密钥生成一种加密配置,达到数据脱敏的效果。 参照操作步骤进入“脱敏规则”页面。 选择“加密脱敏”页签,进入“加密脱敏”页面。 “主密钥算法”:在下拉框选择加密算法,DSC提供了“AES256”和“SM4”加密算法供您选择。 表1 主密钥算法介绍
应用数据安全网关:提供综合的应用安全防护系统。 数据库防火墙:主要用来应对数据应用层面的SQL恶意攻击或恶意操作风险。 数据库加密:基于网关代理加密技术,实现敏感数据加密存储。 部署模式 单击下拉框选择已部署设备的“部署模式”,包含如下三种模式: 单机:一台设备。 主备:两台设备,一台为主设备,一台为备机。
设备管理概述 设备管理的作用是纳管第三方设备,包含应用数据审计设备、应用数据安全网关设备、数据库防火墙设备、数据库加密设备,进行状态监控和告警展示,将风险和告警呈现给客户。 用户可单击DSC设备列表“操作”列“登录”,跳转到第三方设备管理页面。 功能介绍 表1 功能介绍 功能 描述
Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签
是,对数据库数据进行扫描、脱敏和注入水印时,DSC需使用数据库密码联通数据库,获取数据。 存储方式 租户ID不属于敏感数据,明文存储。 数据库密码:加密存储。 访问权限控制 用户只能查看自己业务的相关日志。 日志记录 用户个人数据的所有操作,包括修改、查询和删除等,DSC都会记录审计
单击“下一步”,进入“脱敏算法配置”页面。 勾选需要脱敏的数据列。 选择脱敏算法。脱敏算法详细信息请参见配置脱敏规则。 加密数据选择解密脱敏算法,会对加密的数据进行解密脱敏。 未加密数据选择解密脱敏算法,脱敏后还是原数据不变。 单击“编辑”进入编辑测试界面,测试您选择的脱敏算法结果,测试“关
“key前缀”:添加为包含条件会扫描包含该key前缀的日志内容。添加为不包含条件会扫描除该key前缀的日志内容。 “key后缀”:原理如同key前缀所示。 说明: key前缀和key后缀最多可各添加1个包含条件。 key前缀和key后缀总共可以添加10个不包含条件。 图3 OBS扫描范围配置 后续处理
填写客户端用户最终访问的地址,与应用协议绑定。 如果填写域名(例如example.com),无需填写端口。配置后访客通过该域名代理访问应用资产。 如果填写域名,需要修改域名和IP的映射关系,使该域名解析到API数据安全防护的IP。正常情况下修改DNS中域名与IP的映射关系;没有DNS时或者测试时
异常:“设备状态”为“异常”时,可在操作列单点登录和编辑。 正常:“设备状态”为“正常”时,可在操作列单点登录和编辑。 下线:“设备状态”为“下线”时,可在操作列上线和删除该设备。 新加:“设备状态”为“新加”时,可在操作列上删除和编辑该设备。 丢失:“设备状态”为“丢失”时,可在操作列单点登录和编辑。 更新时间
数据资产保护 数据脱敏 数据水印 数据库安全审计 数据库安全加密 云堡垒机 (可选)配置DWS和MRS Hive
进入“资产地图”,选择某个资产,进入安全防护策略分析页面,查看资产的加密、备份、审计等安全配置的现状和策略基线的具体要求,并可跳转策略/任务配置页面进行策略/任务配置。 进入“资产地图”,单击“评分详情”,可查看所有资产的加密、备份、审计等安全配置的现状和策略基线的具体要求,并可跳转策略/任务配置页面进行策略/任务配置。
填写客户端用户最终访问的地址,与应用协议绑定。 如果填写域名(例如example.com),无需填写端口。配置后访客通过该域名代理访问应用资产。 如果填写域名,需要修改域名和IP的映射关系,使该域名解析到API数据安全防护的IP。正常情况下修改DNS中域名与IP的映射关系;没有DNS时或者测试时
getFieldAlgorithms 添加加密算法配置 dscEncryptMaskConfig addEncryptConfig 修改加密算法配置 dscEncryptMaskConfig editEncryptConfig 删除加密算法配置 dscEncryptMaskConfig
VPC FullAccess 区域 用于打通网络,VPC的端口创建,安全组规则创建等 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 GaussDB ReadOnlyAccess 区域 用于获取GaussDB列表 大数据 ECS ReadOnlyAccess 区域
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
