检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
use 如果界面回显类似以下信息,说明MySQL数据库已开启SSL,请执行3。 1 SSL: Cipher in use is XXX-XXX-XXXXXX-XXX 以SSL模式登录MySQL数据库。 执行以下命令,退出MySQL数据库。
本文以GaussDB for MySQL为例,详细信息如表2所示,您需要对该数据库内部违规和不正当操作进行定位追责,满足等保测评数据库审计需求。本节详细介绍该场景下开启数据库安全审计功能和验证审计结果的具体操作。 表2 数据库示例信息说明 数据库类别 RDS数据库 数据库类型 GaussDB
数据库ID db_name 是 String 数据库名称 status 是 String 数据库状态 port 是 String 数据库端口 ip 是 String 数据库IP instance_name 是 String 数据库实例名称 version 是 String 数据库版本
表示用于传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint: 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud
status String 审计范围规则状态 exception_ips String 审计范围例外IP source_ips String 审计范围规则源IP source_ports String 审计范围源端口 db_ids String 数据库ID db_names String
配置日志保存方式 该模块是对日志的存放位置、日志保存时间及对业务日志的删除进行配置。日志存放方式包括集中管理和本地记录,集中管理会将操作日志发送到集中管理设备。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“日志设置 > 日志配置”。
DDS version String 数据库版本 charset String 数据库字符集 GBK UTF8 ip String 数据库IP port String 数据库端口 os String 数据库操作系统 status String 实例状态 ON :开启 OFF : 关闭 instance_name
策略防护功能包括策略设置、自定义策略、虚拟补丁策略模块。 系统支持配置多种维度策略,策略组合种类多达数百种,能够精准实现各种数据级的访问控制。 主体颗粒度可细化至用户、IP、主机、程序、时间、频次等。 客体颗粒度可达针对表、列、行数等。 行为颗粒度可达基本操作、特权操作、SQL语句、异常、存储过程等。 父主题:
数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计,请根据您在华为云上实际部署的数据库选择Agent添加方式。 3 添加安全组规则 Agent添加完成后,您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent
需同时满足才可生效。 表1 添加白名单 参数 说明 数据源 显示数据源名称。 数据库用户名 设置加入白名单的数据库用户名。 IP范围 设置加入白名单的IP范围。 开始时间 设置白名单生效的开始时间。 结束时间 设置白名单生效的结束时间。 放行规则 全部规则:该数据源的全部脱敏规则均放行。
流程指引 背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 有关审计数据的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
安装Agent(Windows操作系统) 管理添加的数据库和Agent Agent与实例通信异常处理 配置安全组规则 Agent添加完成后,您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,
添加SQL策略 系统已经内置策略组和策略,您可以根据需求添加自定义的SQL策略。 背景信息 自定义策略包含功能如下: 支持对缺省数据库策略组进行编辑和删除操作。 支持对自定义策略组进行添加、编辑和删除操作。 支持对策略组的规则进行添加、删除、编辑、上移、下移操作。 可根据自身业务
comment String 备注信息。 config_num Integer 配置的数据库总数。 connect_ip String 连接地址。 connect_ipv6 String ipv6连接地址。 cpu Integer CPU个数 created String 创建时间 database_limit
证(密码和访问密钥)。 通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Reg
选择应用该风险操作的数据库。 您可以勾选“全部数据库”或选择某数据库使用该风险操作规则。 - 客户端IP/IP段 输入客户端的IP地址或IP地址段。 IP地址支持IPv4(例如,192.168.1.1)和IPv6(例如,fe80:0000:0000:0000:0000:0000:0000:0000)格式。
应用访问记录”进入“访问记录列表”界面。 在访问记录列表中,查看应用的访问记录信息,包含查看资产名称、数据源IP、代理IP、应用IP等信息。 可以通过设置资产类型和资产名称,过滤对应的访问记录。 父主题: 数据加密和解密
String 风险级别 HIGH MEDIUM LOW NO_RISK client_ip 否 String 客户端IP client_name 否 String 客户端名称 db_ip 否 String 数据库IP db_user 否 String 数据库用户 query_type 否 String
use 如果界面回显类似以下信息,说明MySQL数据库已开启SSL,请执行3。 1 SSL: Cipher in use is XXX-XXX-XXXXXX-XXX 以SSL模式登录MySQL数据库。 执行以下命令,退出MySQL数据库。
default 描述 配置项的描述信息。 - 配置数据 用于存储工作负载所需数据库IP地址。 单击“添加和更多配置数据”。 输入“键”:db_config。 输入“值”:需要被审计的数据库IP,涉及多个IP以“,”分隔。 键:db_config 值:192.168.1.31,192.168
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
