检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置脱敏白名单 支持在白名单列表页面添加脱敏白名单,支持从数据库用户名、IP范围、开始时间及结束时间这几个参数设置白名单,各参数之间为“且”的关系,若配置多个参数需同时满足才可生效。满足脱敏白名单时,可查看未脱敏的明文数据。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。
数据库安全审计暂不支持审计云下数据库和非华为云上数据库,支持对云上的以下数据库提供旁路模式的数据库审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare Metal Server,BMS)的自建数据库 数据库安全审计支持的数据库类型及版
找到目标加密数据库表,单击“客户端授权”。 在“客户端授权”对话框中,设置客户端IP地址范围、时间范围和星期范围,单击“保存”。 图7 客户端授权 IP地址范围支持设置起始IP和结束IP,单击按钮可以添加多个IP地址范围,最多设置5个IP地址范围。 找到目标加密数据库表,单击“用户授权”。 在“用户
成功添加数据库后,您可以查看数据库信息,关闭、删除数据库。如果数据库添加了Agent,您还可以查看Agent信息、关闭或删除Agent。 前提条件 数据库安全审计实例的状态为“运行中”。 请参见添加数据库成功添加数据库。 关闭数据库前,请确认数据库的“审计状态”为“已开启”。 查看数据库信息 登录管理控制台。
通过敏感数据发现任务,自动扫描和识别出数据资产中的敏感数据。具体操作,请参见扫描资产的敏感数据。 (可选)查看任务执行结果。 通过查看任务执行结果,查看命中的敏感数据。具体操作,请参见查看扫描任务执行结果。 创建脱敏规则。 您可以在敏感数据发现任务的结果中,根据敏感数据信息创建加密队列。具体操作,请参见在结果中创建脱敏规则。
支持的数据库实例通过数据库IP+数据库端口计量。 如果同一数据库IP具有多个数据库端口,数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口,即为一个数据库实例;1个数据库IP具有N个数据库端口,即为N个数据库实例。 例如:用户有2个数据库资产分别为IP1和IP2,IP1有一个数据库
支持的数据库实例通过数据库IP+数据库端口计量。 如果同一数据库IP具有多个数据库端口,数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口,即为一个数据库实例;1个数据库IP具有N个数据库端口,即为N个数据库实例。 例如:用户有2个数据库资产分别为IP1和IP2,IP1有一个数据库
如何配置数据库安全审计? 购买数据库安全审计实例后,您需要将待审计的数据库添加到数据库安全审计实例中,并在数据库端、应用端或代理端安装Agent。当待审计的数据库连接到数据库安全审计实例后,数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计还支持批量部署流量采集Agen
话框中,选中“MySQL”。 单击“下一步”。 在设置MySQL连接对话框中,设置连接信息,如图6所示。 服务器地址:使用代理服务器IP,即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。 端口:使用代理端口,例如9587。 单击“测试链接”,测试是否能够连接到数据库。
作”列单击“远程登录”或“本地登录”。 方式二:通过方式一进入的数据库运维页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。 访问地址:https://服务器弹性IP地址:端口,例如https://100.xx.xx.54:18443。 (可选)在安全告警页面,单击“高级”。
在弹窗中选择安全组,单击“确认”,实例所属安全组修改完成。 只能选择已有的安全组。 解绑EIP 在目标实例“操作”列选择“更多 > 解绑EIP”。 图6 数据库安全加密实例解绑EIP 在弹窗中确认解绑,单击“确认”,实例将解绑EIP。 重置密码 在目标实例“操作”列选择“更多 > 重置密码”。 图7 数据库安全加密实例重置密码
在弹窗中选择安全组,单击“确认”,实例所属安全组修改完成。 只能选择已有的安全组。 解绑EIP 在目标实例“操作”列选择“更多 > 解绑EIP”。 图6 数据库安全运维实例解绑EIP 在弹窗中确认解绑,单击“确认”,实例将解绑EIP。 重置密码 在目标实例“操作”列选择“更多 > 重置密码”。 图7 数据库安全运维实例重置密码
如何下载数据库安全审计的Agent? 安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent。 每个Agent都有唯一的AgentID,是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除,在重新添加Agent后,请重新下载Agent。
在左侧导航栏选择“资产管理 > 数据源管理”,找到目标数据库并单击编辑查看数据库代理IP和端口号。 图6 查看代理IP和端口号 在数据库连接工具上,使用代理IP和端口访问数据库。 图7 访问数据库 IP和端口使用上一步骤中获取的代理IP和端口;用户名和密码使用数据库原来的用户名和密码。 执行业务使用的SQL语句。
当数据库安全审计Agent的运行状态为“休眠中”时,如何处理? 待审计的数据库添加Agent后,该Agent的初始运行状态为“休眠中”。 添加Agent后,您还需要在安装节点上安装Agent,才能使用数据库安全审计。 请您安装Agent后,再查看该Agent的运行状态。有关安装Agent的详细操作,请参见安装Agent。
需配置该参数。 审计ECS/BMS自建数据库,可以选择“数据库端”或“应用端”。 数据库端 安装节点IP “安装节点类型”选择“应用端”时,需配置该参数。指待审计的应用端节点的IP地址,只能填写一个。 IP地址必须为应用端节点的内网IP地址,支持IPv4和IPv6格式。 192.168
String 网卡对应的子网ID ip_address 否 String IP地址,不填或空字符串为自动分配 表5 security_groups 参数 是否必选 参数类型 描述 id 是 String 云服务器对应的安全组ID,会对创建云服务器中配置的网卡生效 表6 product_infos
如何运行数据库安全审计Agent程序? 成功添加数据库且开启审计后,请参照以下操作步骤,运行Agent程序。 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 在左侧导航树中,选择“数据库列表”,进入数据库列表界面。
将鼠标移动到资产客户端IP集,单击右侧显示的。 设置开始IP和结束IP,单击“确定”。 图2 添加资产客户端IP集 配置完成后,您可以在配置策略时选择对应的集合。例如,在“策略防护 > 策略定义”页面配置自定义策略时,可选择资产客户端IP集,如图3所示。 图3 选择资产客户端IP集 父主题:
如何设置数据库安全审计的INSERT审计策略? 在添加风险操作时,您可以添加INSERT审计策略。 有关添加风险操作的详细操作,请参见添加风险操作。 父主题: 数据库安全审计操作类
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
