检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
PC通过内网访问RDS(即应用端在云下)时,如何使用数据库安全审计? 当PC通过专线内网访问RDS时,您可以将Agent安装到自建的代理端。此时,PC通过代理端访问数据库,数据库安全审计只能审计代理与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。 有关Agent
在设置MySQL连接对话框中,设置连接信息。配置信息如图4 通过代理连接数据库所示,其中: 服务器地址:使用代理服务器IP,即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。 端口:使用代理端口,例如9587。 图3 通过代理连接数据库 单击“测试链接”,测试是否能够连接到数据库。
启用网络访问安全配置 操作步骤 使用安全管理员secadmin账号登录数据库运维管理系统。 在左侧导航栏,选择系统运维 > 系统设置。 单击安全配置页签。 在网络访问安全设置区域,设置网络访问限制。 图1 网络访问安全设置 表1 网络访问安全设置 参数 说明 登录IP限制 设置是否限制访问来源:
应用访问记录”进入“访问记录列表”界面。 在访问记录列表中,查看应用的访问记录信息,包含查看资产名称、数据源IP、代理IP、应用IP等信息。 可以通过设置资产类型和资产名称,过滤对应的访问记录。 父主题: 数据加密和解密
在设置MySQL连接对话框中,设置连接信息。配置信息如图4 通过代理连接数据库所示,其中: 服务器地址:使用代理服务器IP,即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。 端口:使用代理端口,例如9587。 图3 通过代理连接数据库 单击测试链接,测试是否能够连接到数据库。
找到目标数据库操作员,单击“配置中心”。 在账号设置对话框中,开启授权状态、密码代填并选择账号。 验证配置效果 数据库操作员未登录数据库运维安全管理系统,使用本机上的DBeaver通过代理服务器访问数据资产,此时被阻断。操作详情请参见通过代理连接数据库。 图3 客户端访问结果 使用数据库操作员账号(
通过(默认):如果访问操作命中开启的策略,默认通过;如果策略定义里的响应动作为阻断,则阻断。 阻断:如果访问操作命中开启的策略,则直接阻断;如果策略类型为白名单,则通过。白名单设置方法请参见自定义策略。 单击右上角的“策略应用”,使配置生效。 父主题: 策略设置
在网络访问安全设置区域,设置网络访问限制。 图3 网络访问安全设置 表2 网络访问安全设置 参数 说明 登录IP限制 设置是否限制访问来源: 接受所有IP:不限制访问来源。 限制IP:仅支持允许登录IP地址名单中的IP访问数据库加密与访问控制的Web控制台。 允许登录IP地址 填写允许登录的IP地址,多个地址用换行隔开。
通过Web安全客户端访问资产 数据库操作员可以通过Web安全客户端访问资产。 在使用Web安全客户端前,需要系统管理员已经将数据库操作员和资产关联起来。具体操作,请参见管理运维人员。 操作步骤 使用安全管理员datadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“运维管理
服务器部署拓扑图 绿色箭头为正常访问路径,如果订单管理服务或商品搜索服务两个节点被攻陷,攻击者会从这两个节点去访问数据库的用户信息表,意图窃取用户信息,就属于数据库的异常访问。 在DBSS中可通过如下规则设置来检测数据库异常访问情况: 图2 添加数据库异常访问 如图2所示填写的规则表示从192
个人数据保护机制 为了确保网站访问者的个人数据(例如用户名、密码、手机号码等)不被未经过认证、授权的实体或者个人获取,DBSS通过控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。 收集范围 DBSS收集及产生的个人数据如表1所示。 表1 个人数据范围列表
关于认证鉴权的详细介绍及获取方式,请参见认证鉴权。 访问控制 DBSS支持通过权限控制(IAM权限)进行访问控制。 表1 DBSS访问控制 访问控制方式 简要说明 详细介绍 权限控制 IAM权限 IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需
单击目标策略组,单击图标,设置策略名称和类型,单击“确定”。 图4 添加策略 单击策略名称,在策略详情页面修改策略信息,如图5所示,表示禁止root用户访问user表。 图5 配置策略内容 在策略详情中可以从多个维度设置策略信息,包括策略基本信息、资产信息、目标信息、访问信息和时间等。 单
在左侧导航栏,选择“资产管理 > 资产配置”。 单击右上角的“添加”。 在添加资产对话框中,设置资产信息。 图2 添加数据资产 请记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,保存数据资产的配置信息。 产生审计日志 通过代理方式连接数据
资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 通过IA
管理授权 支持在授权管理页面为访问数据库的客户端和数据库用户授权。 授权管理模块中支持客户端和用户授权,两者授权取交集,详情请参见设置客户端授权和设置用户授权。 管理授权示例说明如下: 表1 设置示例说明 参数 示例值 客户端授权 IP地址范围: 192.168.0.100~192
使用数据库操作员datadmin账号登录数据库运维管理系统。 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批被驳回或同意后被撤销,此时会被阻断。
)加密保存。 操作步骤 登录数据库加密与访问控制。 在左侧导航栏,选择“密钥管理 > 密钥配置”。 单击“初始化密钥”。 在口令校验对话框中,输入安全口令,单击“确定”。 安全口令如何设置,请参见修改安全口令。 在初始化密钥对话框中,设置密钥来源,参数如表2所示。 图1 初始化密钥
数据库加密与访问控制、数据库运维服务功能,数据库审计通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警。数据库加密与访问控制将系统作为代理加密网关,部署在数据库和客户端应用程序之间,任何访问都需要经过该网关,从而实现数据加密和访问控制功能。数据
Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
