检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在左侧导航栏中,选择“数据加密 > 解密队列管理”。 单击右上角的“新增解密队列”。 在“新增解密队列”对话框中,设置需要解密的数据相关信息。 数据信息包括资产名称、模式名和表名。您可以在下拉栏中直接选择。 如果目标数据库模式中没有被加密的表格,则无法选择表名,请先对其进行加密,详细加密操作请参见配置加密队列。
在“选择实例”下拉列表框中,选择需要设置告警通知的实例。 选择“告警通知”页签。 设置告警通知,相关参数说明如表1所示。 图1 设置告警通知 表1 告警通知参数说明 参数名称 说明 取值样例 消息通知 开启或关闭消息通知。数据库安全审计的告警基础功能免费,触发产生的告警消息由消息通知发送,可能会产生少量费用,具体的收费详情,请参见SMN价格详情。
total_count Integer 总数 表5 databases 参数 参数类型 描述 id String ID db_name String 数据库名称 status String 实例状态。 BUILD:表示实例正在创建。 ACTIVE:表示实例正常。 FAILED:表示实例异常。 FROZEN:表示实例冻结。
系统默认已经创建系统管理员(sysadmin)、审计管理员(audadmin)和安全管理员(secadmin)账号。如果有多个员工需要使用系统,建议您为每个员工单独创建账号,便于管理。 账号的权限由角色决定,系统默认创建系统管理员、审计管理员和安全管理员角色。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。
值,需要匹配的资源名称 表5 TagKeyValuesBean 参数 是否必选 参数类型 描述 key 是 String 键。最大长度128个unicode字符。 key不能为空。(搜索时不对此参数做字符集校验),key不能为空或者空字符串,不能为空格,校验和使用之前先trim 前后半角空格
步骤二 添加数据库 数据库安全服务审计的数据库支持免安装Agent和安装Agent。支持免安装Agent的数据库类型和版本如表2所示,支持安装Agent的数据库类型和版本如表3。您可以根据不同的数据库类型和版本,选择免安装Agent或安装Agent,开启数据库安全审计。 添加数据库免安装Agent
DBSS系统权限。若您需要对除DBSS之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 表1 DBSS系统权限 系统角色/策略名称 描述 类别 依赖关系 DBSS Audit Administrator 数据库安全服务审计管理员,拥有审核数据库安全服务日志信息的权限。
值,需要匹配的资源名称 表6 TagKeyValuesBean 参数 是否必选 参数类型 描述 key 是 String 键。最大长度128个unicode字符。 key不能为空。(搜索时不对此参数做字符集校验),key不能为空或者空字符串,不能为空格,校验和使用之前先trim 前后半角空格
效;如果“授权范围”选择“所有资源”,则该权限在所有区域项目中都生效。访问DBSS时,需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云
单击数据库左侧的展开Agent的详细信息,并记录“安装节点IP”。 在数据库列表的上方,单击“添加安全组规则”。 在弹出的弹框中,记录数据库安全审计实例的“安全组名称”(例如default),如图1所示。 图1 添加安全组规则 单击“前往处理”,进入“安全组”列表界面。 在列表右上方的搜索框中输入安全组
(可选)配置行业模板和敏感数据类型。 系统已经内置满足大部分需求的敏感数据类型和通用行业模板。如果您有特殊需求,也可以自定义敏感数据类型和行业模板。具体操作,请参见新增行业模板和新增自定义数据类型。 执行敏感数据发现。 通过敏感数据发现任务,自动扫描和识别出数据资产中的敏感数
(可选)配置行业模板和敏感数据类型。 系统已经内置满足大部分需求的敏感数据类型和通用行业模板。如果您有特殊需求,也可以自定义敏感数据类型和行业模板。具体操作,请参见新增行业模板和新增自定义数据类型。 (可选)执行敏感数据发现。 通过敏感数据发现任务,自动扫描和识别出数据资产中的敏感数据。具体操作,请参见扫描资产的敏感数据。
以下简称ECS)上自建了一个数据库,数据库的详细信息如表1所示,您需要对该数据库内部违规和不正当操作进行定位追责,满足等保测评数据库审计需求。本章节详细介绍该场景下,在数据库端安装Agent,开启数据库安全审计功能和验证审计结果的操作。 表1 ECS自建数据库信息说明 数据库类型 MySQL
单击数据库左侧的展开Agent的详细信息,并记录“安装节点IP”。 在数据库列表的上方,单击“添加安全组规则”。 在弹出的弹框中,记录数据库审计实例的“安全组名称”(例如default)。 单击“前往处理”,进入“安全组”列表界面。 在列表右上方的搜索框中输入安全组“default”后,单击或按“E
传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,实现对数据库的安全审计。 图1 审计RDS关系型数据库(安装Agent)架构图 本文以POSTGRESQL 7.4版本的关系型数据库为例,详细信息如表1所示,您需要对该数据库内部违规和不正当操作进行定位追责,满足等保测评
数据库安全审计的Agent支持安装在Linux64位操作系统,系统版本说明如表1所示。 表1 Agent支持的Linux系统版本说明 系统名称 系统版本 CentOS CentOS 7.0 (64bit) CentOS 7.1 (64bit) CentOS 7.2 (64bit)
资产配置”,进入资产配置页面后,单击“添加”。 在添加资产对话框中,设置资产信息。 图1 添加资产 表2 添加资产参数说明 参数 说明 资产名称 自定义数据资产名称。 资产类型 选择数据资产类型。 支持Oracle、SQL Server、DB2、MySQL、DM7、Kingbase、PostgreSQL、Hive、GaussDB
单击“新增加密测试”。 在“新增加密测试”对话框中,配置测试目标,相关参数如表1所示。 图1 新增加密测试 表1 仿真测试 参数 说明 数据源名称 资产的资产名称。 模式名 资产的模式名。 表名 资产的表名。 加密算法 在下拉栏中选择加密的算法。 可以在查看加密算法页面查看支持的算法类型。 校验算法
在“操作”列单击“设置优先级”,可以修改SQL注入规则的优先级。 图1 查看SQL注入检测信息 表1 SQL注入检测信息参数说明 参数名称 说明 名称 SQL注入检测的名称。 SQL命令特征 SQL注入检测的命令特征。 风险等级 SQL注入检测的风险等级,包括: 高 中 低 无风险 状态 SQL注入检测的状态,包括:
使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏中,选择“数据加密 > 回滚表结构”。 单击“数据源”,选择资产名称、模式名称,如图2所示。 图2 选择模式 在列表中,选择数据库表,单击“检查关联队列”。 单击“还原表结构”。 单击“还原列”。 数据资产中所有
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
