检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果您已了解数据库表结构,可以直接在加密队列管理页面直接添加。配置加密后,未授权用户查询对应的数据库信息时,将只查看到密文内容。 如果对敏感数据分布不了解,可使用敏感数据发现功能扫描您的数据库,在识别结果中创建加密队列,对数据库表进行加密,具体操作请参见在结果中创建加密队列。 前提条件 在配置加密队列之前,建议先进
升级系统版本 如果需要使用新版本,可以通过系统升级功能进行版本升级。 常见的升级使用场景包括: 旧版本存在功能、安全等问题,需要升级新版本修复问题。 用户需要使用某些新功能,需要升级到新的版本。 双机高可用场景下升级时,需先进入“平台管理 > 高可用管理”页面关闭数据同步按钮,然
SQL审计存在功能和范围上的差异,如表1所示。 表1 差异比较 审计 功能 范围 RDS SQL审计 只记录SQL访问操作。 应用于使用RDS数据库场景。 DBSS审计 审计所有的数据库风险操作。在记录SQL访问的基础上进行安全检测、统计分析、风险识别、生成报表等功能,保障云上数据库的安全。
升级系统版本 通过此功能升级版本,维护系统正常运行。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“系统管理 > 系统升级”。 在页面右上角,单击“上传升级脚本”。 在对话框中,单击“点击或将文件拖拽到这里上传”,上传系统升级包。 图1
正确配置数据库安全审计。 如果SQL语句列表中未显示输入的SQL语句,说明数据库安全审计功能无法使用,请按以下方法处理: 关闭数据库的SSL。数据库开启SSL时,将不能使用数据库安全审计功能。请参照如何关闭数据库SSL?章节关闭数据库SSL。 请参照Agent与数据库安全审计实例之间通信异常章节排查处理。
日志(每次删除一天的审计日志),直至磁盘空间使用率为85%以下。 当日志数据库的磁盘空间使用率达到90%及以上时,数据库安全审计将停止审计功能,系统将不保存新生成的审计日志。 父主题: 日志类
配置解密队列 如果数据库不再需要加密,可通过配置解密队列进行解密。配置解密后,对应的数据库列中的信息将变为加密前的明文数据。 您可以在“加密队列管理”页面,找到目标加密队列,单击“添加至解密队列”创建解密队列;也可以在“解密队列管理”页面创建解密队列。 此处以在“解密队列管理”页面为例,介绍如何创建解密队列。
该实例,为弹性云服务器上的自建数据库提供安全审计功能。 与关系型数据库的关系 数据库安全服务可以为关系型数据库服务中的RDS实例提供安全审计功能。 与裸金属服务器的关系 数据库安全服务可以为裸金属服务器上的自建数据库提供安全审计功能。 与云审计服务的关系 云审计服务(Cloud Trace
在“选择实例”下拉列表框中,选择需要编辑SQL注入规则的实例。 选择“SQL注入”页签。 仅自定义创建的SQL注入规则可以使用编辑功能,默认的规则仅可使用启用和禁用功能。 单击“操作”列的“编辑”,可对目标规则的参数进行编辑,参数说明如表1所示。 图4 编辑SQL注入规则 表1 SQL注入规则参数说明
在“选择实例”下拉列表框中,选择查看隐私数据保护规则的实例。 选择“隐私数据保护”页签。 仅自定义创建的规则可以使用编辑和删除功能,默认的规则仅可使用启用和禁用功能。 查看规则信息,相关参数说明如表1所示。 存储结果集 建议关闭。关闭后,数据库安全审计分析平台将不会存储用户SQL语句的结果集。
数据库安全审计运行正常但无审计记录 故障现象 数据库安全审计实例功能正常,当触发数据库流量后,在SQL语句列表页面搜索执行的语句,不能搜索到相关的审计信息。 可能原因 数据库已开启SSL。 数据库SQL SERVER协议已开启强行加密。 数据量过大,造成Agent进程假死。建议重启容器或优化审计规则以减少数据量。
ent的添加方式在数据库端或应用端安装Agent,将添加的数据库连接到数据库安全审计实例,才能开启数据库安全审计功能。 安装Agent后,您才能开启数据库安全审计功能,对待审计的数据库进行审计。 本节介绍如何在Windows操作系统上安装Agent。 前提条件 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
初始化密钥 在初次使用加密功能前,用户需要初始化密钥。 数据库加密与访问控制的密钥包括根密钥(RK)、数据源密钥(DSK)和数据加密密钥(DEK),具体说明如初始化密钥所示。 表1 密钥种类说明 密钥种类 说明 根密钥(RK) 初始化密钥后生成,不对外暴露。 数据源密钥(DSK)
30天”或自定义时间段。 表1 操作日志参数说明 参数名称 说明 用户名 执行操作的用户。 发生时间 执行操作的时间。 功能 执行的功能操作。 动作 执行功能操作的动作。 操作对象 执行操作的对象。 描述 执行操作的描述信息。 结果 执行操作的结果。 父主题: 日志类
设置加密参数 配置加密后密文的编码方式,支持十六进制和BASE64等。如果您需要支持模糊查询功能,则加密参数必须配置为十六进制。 使用约束 仅在系统中没有配置资产时可以修改密文编码方式。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“数据加密
资产识别与管理 DBSS服务实例创建在用户的弹性云服务器上,用户通过该实例,为RDS、ECS/BMS自建的数据库提供安全审计功能。DBSS对接了RMS(资源管理服务)、TMS(标签管理服务),用户可通过登录这些服务页面查看DBSS实例信息。 父主题: 安全
数据库安全服务是否支持数据实时脱敏? 不支持。 暂不支持实时脱敏。当需要对输入的SQL语句的敏感信息进行脱敏时,您可以通过开启隐私数据脱敏功能,以及配置隐私数据脱敏规则,来防止数据库用户敏感信息泄露。详情请参见配置隐私数据保护规则。 父主题: 产品咨询类
/Tenant”两个参数都需要填写。 其他资产无需配置“服务名/Tenant”。 管理员账号 针对改密功能,数据库账号没有修改密码权限时才可以填该选项。 管理员密码 针对改密功能,数据库账号没有修改密码权限时才可以填该选项。 配置完成后,单击“测试连接”,检查配置是否正确和数据库是否能够连接。
开启关闭Agent 功能介绍 用于开启和关闭Agent审计的功能,当开启后,开始抓取用户的访问信息。 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/{instance_id}/audit/agent/switch 表1 路径参数 参数 是否必选
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
