检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据库安全服务”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“设置”。 在“选择实例”下拉列表框中,选择需要设置备份的实例,选择“备份与恢复”页签。 单击“修改自动备份设置”,在弹出的对话框中,设置自动备份参数,相关参数说明如表1所示。 图1 “设置自动备份”对话框 表1 自动备份参数说明 参数名称
数据库开启SSL时,将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能,请关闭数据库的SSL。关闭数据库SSL的详细操作,请参见如何关闭数据库SSL?。 如果审计功能无法正常使用,请参照无法使用数据库安全审计章节进行处理。 您可以配置数据库的审计规则,详细操作请参见配置审计规则。
触发数据库流量后,在SQL语句列表页面搜索执行的语句,不能搜索到相关的审计信息。 建议您按照本章节的操作步骤排查无法审计SQL语句的原因并进行修改。 检查数据库信息是否正确以及数据库的审计是否已开启 检查审计范围中对应数据库是否已启用 检查数据库的Agent程序运行状态 检查数据库安全审计实例安全组规则是否开放
找到目标表格,单击“启动”。 图3 启动 使用代理地址访问数据库,并执行SQL语句。 在“资产管理 > 数据源管理”页面获取代理地址。 IP地址即数据库加密与访问控制的IP,代理端口即添加数据资产时所配置的代理端口。 在数据库工具上配置访问代理地址并连接。 主机和端口请参照前面步骤,用户名
动续费,如果扣款失败,每天凌晨3:00尝试一次,直至数据库安全服务到期或者续费成功。到期前7日自动续费扣款是系统默认配置,您也可以根据需要修改此扣款日。 父主题: 续费
SQL语句。 图2 查看SQL语句 如果SQL语句列表中未显示输入的SQL语句,说明Agent与数据库安全审计实例之间网络通信异常,请参照如何处理Agent与数据库安全审计实例之间通信异常?处理。 父主题: 开通并使用数据库安全审计(安装Agent)
计划任务状态可手动设置开启或关闭,可设置为“每日”、“每周”或“每月”。 在需要变更模板的报表所在行的“操作”列,单击“设置任务”,可以修改报表的计划任务。单击“确定”生效后,单击“立即生成报表”,可在报表结果界面中查看报表结果。 父主题: 其他操作
和不正当操作进行定位追责,保障数据资产安全。 部署简单 采用数据库旁路部署方式,操作简单,快速上手。 全量审计 支持对华为云上的RDS、ECS/BMS自建的数据库进行审计。 快速识别 实现99%+的应用关联审计、完整的SQL解析、精确的协议分析。 高效分析 每秒万次入库、海量存储、亿级数据秒级响应。
数据库安全审计可以应用于哪些场景? 数据库安全审计采用数据库旁路部署方式,在不影响用户业务的前提下,可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。 基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。
单击右上角的“消息管理”,配置需要接收的消息。 ①:消息开关,配置是否需要推送此类型消息。 ②:单击编辑,编辑推送的消息模板。 ③:单击修改,设置消息接收的角色,仅部分消息类型支持配置。 图2 消息管理 父主题: 系统管理
用”,数据库安全审计将对该风险操作进行审计。 编辑 在需要编辑的风险操作所在行的“操作”列,选择“更多 > 编辑”,在风险操作界面,您可以修改风险操作。 禁用 在需要禁用的风险操作所在行的“操作”列,单击“禁用”,在弹出的对话框中,单击“是”,可以禁用该风险操作。禁用风险操作后,该风险操作规则将不在审计中执行。
管理基本配置 本章节介绍如何对数据库防护策略进行基本的配置,并应用生效。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护 > 策略设置”,并在策略设置页面,单击“基本配置”页签。 在当前已选择资产中,选择目标资产。 勾选需要应用的策略,单击。
新增解密队列 勾选“启动队列”,创建完成后自动启动解密队列。 单击“完成”,创建解密队列。 步骤三:验证配置效果 解密后,通过原数据库地址或者通过代理地址,查询数据库表内容,示例如下图4所示,表示数据库表已经恢复。 图4 通过代理查询结果 父主题: 步骤三:系统功能配置及使用场景举例
告警邮件发送延迟。 可能原因 审计日志量超过了实例的处理能力,导致数据审计的延迟。 处理建议 新增DBSS实例,分担当前数据审计流量或者更改审计规则,优化缩小审计范围。 制定自动小时备份任务,避免数据量存储磁盘达到85%触发日志清理机制。 父主题: 数据库安全审计故障排查类
回滚表结构 数据库表初始化后,系统会修改表结构。如果需要恢复到原状态,需要进行回滚表结构。 场景:在数据库表进行初始化后,开始加密前,若需回退到原始状态需执行手动回滚表结构。 图1 初始化表 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏中,选择“数据加密
流程指引 背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 有关审计数据的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“系统管理 > 系统设置”。 单击“告警设置”页签。 单击要修改告警的“编辑”,在对话框修改告警的阈值、等级和频率。 单击“确认” 父主题: 系统设置
对于数据库表,单击“编辑”,可以查看表字段信息。 如图2所示,表字段信息中显示列信息和列对应的敏感数据类型。如果扫描结果不匹配真实情况,您可以修改敏感数据类型信息。 图2 编辑表字段信息 父主题: 敏感数据发现
优先级:策略匹配先于默认类型,默认访问通过,可自行修改。 默认:默认访问通过,可自行修改。 策略类型的优先级顺序为:黑名单 > 白名单 > 优先级 > 默认。同一个类型则按顺序执行,有阻断则阻断。 单击策略组前面的展开图标,查看策略。 图5 展开策略组 单击策略名称,在策略详情页面修改策略信息。 如果设置策
在结果中创建脱敏规则 根据敏感数据发现结果,针对性的创建脱敏规则,本章节介绍如何在结果中创建脱敏规则。 您也可以在动态脱敏模块中创建脱敏规则。具体操作,请参见创建脱敏规则。 在脱敏之前,数据表信息为正常明文信息(数据未加密或加密后进行用户授权),示例如图1所示。 图1 脱敏前查询结果
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
