检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
资产识别与管理 DBSS服务实例创建在用户的弹性云服务器上,用户通过该实例,为RDS、ECS/BMS自建的数据库提供安全审计功能。 DBSS对接了RMS(资源管理服务)、TMS(标签管理服务),用户可通过登录这些服务页面查看DBSS实例信息。 父主题: 安全
通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云
用和禁用功能。 查看规则信息,相关参数说明如表1所示。 存储结果集 建议关闭。关闭后,数据库安全审计分析平台将不会存储用户SQL语句的结果集。 如果用于PCI DSS/PCI 3DS CSS认证,禁止开启。 注:结果集存储只支持agent方式审计数据库。 隐私数据脱敏 建议开启。
可对“手动续费项”、“到期转按需项”、“到期不续费项”页签的资源开通自动续费。 为包年/包月资源开通自动续费。 单个资源开通自动续费:选择需要开通自动续费的弹性数据库安全服务,单击“操作”列“开通自动续费”。 批量资源开通自动续费:选择需要开通自动续费的服务器,单击列表左上角的“开通自动续费”。
数据保护技术 DBSS通过多种数据保护手段和特性,保证审计、存储在DBSS中的数据安全可靠。 表1 DBSS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密(HTTPS) DBSS支持HTTP和HTTPS两种传输协议,为保证数据传输的安全性,推荐您使用更加安全的HTTPS协议。
通过配置如下可满足隐私数据的合规要求: 开启“隐私数据脱敏”开关:开启后会对审计日志中的隐私数据进行脱敏存储。 关闭“存储结果集”开关:关闭后,审计日志含有隐私信息的结果集将不会存储到审计日志中。 开启所有的隐私保护规则。 图4 审计日志隐私合规配置
数据库安全审计是否支持审计云下数据库和非华为云上数据库? 数据库安全审计暂不支持审计云下数据库和非华为云上数据库,支持对云上的以下数据库提供旁路模式的数据库审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare Metal Server,BMS)的自建数据库
在登录管理台时,由用户在登录界面输入。 否 是 用户名是用户的身份标识信息 邮箱 在数据库安全审计设置邮件通知时,由用户在界面输入。 是 否 存储方式 用户名:不属于敏感数据,明文存储。 邮箱:加密存储。 访问权限控制 拥有“DBSS System Administrator”权限的用户才可以设置邮箱通知,且用户只能查看自己业务的邮箱信息。
我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用
建数据库的安全审计。 审计ECS/BMS自建数据库架构图如图1所示。 图1 审计ECS/BMS自建数据库架构图 场景说明 假设您在华为云的弹性云服务器(Elastic Cloud Server ,以下简称ECS)上自建了一个数据库,数据库的详细信息如表1所示,您需要对该数据库内部
“操作”列单击“远程登录”或“本地登录”。 方式二:通过方式一进入的数据库运维页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。 访问地址:https://服务器弹性IP地址:端口,例如https://100.xx.xx.54:18443。 (可选)在安全告警页面,单击“高级”。
单击“远程登录”或“本地登录”。 方式二:通过方式一进入的数据库加密与访问控制页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。 访问地址:https://服务器弹性IP地址:端口,例如https://100.xx.xx.54:9595。 (可选)在安全告警页面,单击“高级”。
创建配置项 用于存储工作负载所需待审计的数据库信息,在Agent容器工作负载中作为文件使用。 操作步骤 在左侧导航树中,选择“配置中心 > 配置项”,单击“创建配置项”,如图1所示。 图1 进入创建配置项入口 在“创建配置项”页面中,设置配置参数。如图2所示,相关参数如表1所示。
根据更换周期,配置密钥更新的时间点。 单击“保存”。 在备份文件列表中,可以查看备份信息,单击图标,将备份文件下载到本地。 下载的备份文件可以用于恢复系统配置信息。具体操作,请参见恢复配置信息。 恢复配置信息 通过导入配置文件,可以将配置信息恢复到某一个备份时间点。一般用于故障恢复或者设备迁移。
FullAccess敏感权限配置 DBSS的full权限集涉及部分用户的敏感权限,比如订单支付、obs桶创建和文件上传、委托的创建及委托权限设置等。 这部分权限对用户资产影响较大,故不在系统预置权限集中添加,需通过说明文档方式,由用户手动添加。 相关敏感权限说明如表1所示,权限详情如下:
描述 id 是 String 实例ID。可在查询实例列表接口的ID字段获取。 delete_publicip 否 Boolean 是否删除弹性IP delete_volume 否 Boolean 是否删除磁盘 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述
审计日志量超过了实例的处理能力,导致数据审计的延迟。 处理建议 新增DBSS实例,分担当前数据审计流量或者更改审计规则,优化缩小审计范围。 制定自动小时备份任务,避免数据量存储磁盘达到85%触发日志清理机制。 父主题: 数据库安全审计故障排查类
uninstall audit agent completed! 在Windows操作系统上卸载Agent 进入Agent安装文件的目录。 双击“uninstall.bat”执行文件,卸载Agent。 验证Agent已卸载成功。 打开任务管理器,查看“dbss_audit_agent”进程已停止。
如果界面回显以下信息,说明Agent程序运行正常。 audit agent is running. Windows操作系统 进入Agent安装文件的目录。 双击“status.bat”执行文件,查看Agent的运行状态。 表1 Agent运行状态 状态 说明 正在运行 该安装节点的Agent程序正在运行。 已关闭
主体颗粒度可细化至用户、IP、主机、程序、时间、频次等。 客体颗粒度可达针对表、列、行数等。 行为颗粒度可达基本操作、特权操作、SQL语句、异常、存储过程等。 父主题: 策略防护
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
