检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查看趋势分析 添加的数据库连接到数据库安全审计实例后,您可以查看数据库的趋势分析,包括数据库的语句趋势分析:语句数量趋势、会话统计和SQL分布,还包括风险趋势分析:风险分布、SQL注入趋势和风险操作趋势。 前提条件 添加的数据库实例版本在23.05.23.193055及以上版本支持该功能。
满足网安法,SOX等国内外法案。 三权分立 系统管理员,安全管理员,审计管理员权限分离,满足审计安全需求。 细粒度和运维权限管控 数据库运维安全管理系统访问控制基于主体、客体和行为三元组进行设置,每个类别之下再细分多种维度。策略组合种类多达数百种,能够精准实现各种数据级的访问控制。 主
搜索指定的实例。 表1 实例信息参数说明 参数名称 说明 实例名称/资源ID 实例的名称和资源ID。资源ID由系统自动生成。 实例规格 实例的规格。 计费模式 实例的计费模式(包年/包月)和到期时间。 版本 数据库安全审计的实例版本。 状态 实例当前的运行状态,包括: 运行中 创建中
资产名称”。 在列表中,查看被加密表清单。用户可以通过模式和表名称搜索目标被加密表。 找到目标被加密表,单击“编辑索引”,进入索引列表界面。 单击“添加索引”。 在“添加索引”对话框,配置索引参数。选择加密列,并配置索引名称和索引长度,单击“预览”查看添加索引的SQL语句。 图1 添加索引
手动添加资产账号信息,用于对数据库操作员的Web认证授权,以实现对人员访问的控制。添加的账号信息也可用于对已授权人员的密码代填,实现数据库操作员免密访问和维护数据库,避免数据库账号密码的泄露。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理 >
华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。 基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况。 提供审计报表模板库,可以生成日报、
华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提供了以下销售许可证及软件著作权证书,供用户下载和参考。具体请查看合规资质证书。 图3 销售许可证&软件著作权证书 父主题: 安全
管理SQL注入规则 数据库安全审计的SQL注入规则默认开启,您可以对SQL注入规则执行禁用、启用、编辑和设置优先级操作。 一条审计数据只能命中SQL注入中的一个规则。 前提条件 数据库安全审计实例的状态为“运行中”。 启用SQL注入规则前,请确认SQL注入规则的状态为“已禁用”。
设置虚拟补丁 此模块包括虚拟补丁和虚拟补丁例外两部分,设置并开启虚拟补丁规则后,会依据内置数据库漏洞特征库信息,对命中策略的攻击进行虚拟补丁拦截防护。虚拟补丁规则例外能防止正常业务运行下误报情况的发生。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“策略防护
将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源,您可以执行退订操作,系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费”功能,为避免继续产生费用,请在自动续费
步骤二 添加数据库 数据库安全服务审计的数据库支持免安装Agent和安装Agent。支持免安装Agent的数据库类型和版本如表2所示,支持安装Agent的数据库类型和版本如表3。您可以根据不同的数据库类型和版本,选择免安装Agent或安装Agent,开启数据库安全审计。 添加数据库免安装Agent
通过代理地址访问数据库,并执行业务SQL语句,检验数据库表和字段加密后是否影响业务。 使用sysadmin用户登录实例Web控制台。 在左侧导航栏选择“资产管理 > 数据源管理”,找到目标数据库并单击编辑查看数据库代理IP和端口号。 图6 查看代理IP和端口号 在数据库连接工具上,使用代理IP和端口访问数据库。 图7
网 - 分配Ipv4地址 选择Ipv4地址。 自动分配IP地址 弹性IP(可选) 选择绑定实例的弹性IP。 - 图4 高级配置和登录信息 表4 高级配置和登录信息参数说明 参数名称 参数说明 取值样例 实例名称 自动生成,也可自定义名称。 - 实例类型 当前仅支持主备类型。 主备
用区不能使用通用可用区的子网 分配Ipv4地址 选择Ipv4地址。 弹性IP(可选) 选择绑定实例的弹性IP。 图4 高级配置和登录信息 表4 高级配置和登录信息参数说明 参数名称 参数说明 取值样例 实例名称 自动生成,也可自定义名称。 - 实例类型 当前仅支持主备类型。 主备
DBSS”,进入数据库安全审计“总览”界面。 在界面右上角,单击“购买数据库安全服务”。 选择“区域”、“可用区类型”、“可用区”和“性能规格”。 图1 选择可用区和版本规格 各版本的性能规格说明如表1所示。 表1 数据库安全服务版本规格说明 版本 支持的数据库实例 性能参数 入门版 最多支持1个数据库实例
DBSS”,进入数据库安全审计“总览”界面。 在界面右上角,单击“购买数据库安全服务”。 选择“区域”、“可用区类型”、“可用区”和“性能规格”。 图1 选择可用区和版本规格 各版本的性能规格说明如表1所示。 表1 数据库安全服务版本规格说明 版本 支持的数据库实例 性能参数 入门版 最多支持1个数据库实例
返回结果 状态码 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取用户Token接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求
署场景说明如下: ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS
数据库安全审计支持多个账号共享使用吗? 数据库安全审计不支持多个账号共享使用。例如,如果您在某个区域通过注册华为云创建了2个账号(“domain1”和“domain2”),当您在“domain1”账号下购买了数据库安全审计,则“domain2”账号不能使用“domain1”的数据库安全审计。
如何对接DBSS服务审计的数据? 您可在数据库安全服务中开启自动备份,将审计数据备份至OBS桶。 自动备份前,您需要完成OBS细粒度授权,详情请参见备份和恢复数据库审计日志。 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
