检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
提交工单申请开通数据库安全加密功能。 约束与限制 数据库安全加密与访问不支持跨区域(Region)使用。加密与访问的数据库必须和购买的实例在同一区域。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。
数据库安全审计(旁路模式)是否会影响业务? 不影响。数据库安全审计是数据库安全服务提供的旁路模式数据库审计功能,只对数据库进行审计,不影响用户业务,与本地审计工具不冲突。 父主题: 数据库安全审计功能类
操作审批等技术,可实现对于运维人员的最小化权限控制、危险操作阻断以及行为审计。 支持的数据库 数据库安全审计仅支持对华为云上的以下数据库提供旁路模式的数据库审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare
误删恢复 系统支持对数据库的DROP与TRUNCATE操作影响的数据进行恢复,以应对误删情况的发生。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理 > 误删恢复”。 在当前已选择资产栏选择目标资产,并设置操作类型或状态查询相应误删操作。
在数据库连接工具上,使用代理IP和端口访问数据库。 图7 访问数据库 IP和端口使用上一步骤中获取的代理IP和端口;用户名和密码使用数据库原来的用户名和密码。 执行业务使用的SQL语句。 以上SQL语句仅为示例,在实际使用时,您需要执行业务上使用的SQL语句,便于系统进行业务分析。 表1 SQL语句示例 SQL类型
RK密钥来源 配置RK(根密钥)来源,支持以下来源: 系统内置:系统内置的固定密钥,仅限于测试使用。 密钥平台:系统对接的密钥平台。 如何配置密钥平台,请参见配置KMS对接。 配置后,在密钥平台中选择平台厂商。 说明: KMS需要的权限:KMS CMKFullAccess。 DSK密钥来源 配置DSK密钥来源,支持以下来源:
角色管理 系统已经默认创建系统管理员、审计管理员、安全管理员与数据库操作员角色。 操作步骤 使用安全管理员secadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“系统管理 > 角色管理”。 查看内置角色相关信息。 图1 查看角色 父主题: 系统管理
在“选择实例”下拉列表框中,选择需要添加安全组规则的数据库所属的实例。 记录Agent安装节点IP信息。 在数据库所在行的“Agent”列,单击“查看Agent”。在下方的“Agent列表”中,记录“安装节点IP”。 图1 安装节点IP 在数据库列表的上方,单击“添加安全组规则”。 在弹出的弹框中,记录数据库安
不会影响使用数据库安全审计。 中间件是介于应用系统和操作系统之间的一类软件,通常在操作系统、网络和数据库之上,应用软件的下层,是为处于上层的应用软件提供运行与开发的环境,帮助用户灵活、高效地开发和集成复杂的应用软件。 数据库安全审计采用旁路模式部署,通过Agent(数据库节点
虚拟私有云 选择需要绑定的虚拟私有云。 虚拟私有云可以方便的管理、配置内部网络,进行安全、快捷的网络变更,尽量与Agent安装节点所在VPC相同。 安全组 安全组用来实现安全组内和组间数据库安全服务的访问控制,加强数据库安全服务的安全保护。 子网 子网是虚拟私有云内的IP地址块,虚拟私有云中的所有云资源都必须部署在子网内。
配置脱敏规则并启用后,默认情况下访问数据库的明文数据时,您只能看到脱敏后的数据。配置脱敏白名单后,白名单中的用户访问数据库可查看到明文数据。具体操作,请参见1.4.8.3 配置脱敏白名单。 配置完成后,您可以代理访问验证脱敏规则配置效果。 动态脱敏典型配置 数据库加密与访问控制支持对数据库中的明文敏感数据进
数据库运维安全管理系统设置了完善的运维人员操作管理体系,流程如图1所示。 图1 运维人员操作管理流程 安全管理员需先添加审批人(系统管理员)与申请人(数据库操作员)账号。具体说明请参见手动创建账号。 新增的账号需先经安全管理员审核通过。具体说明请参见审核账号。 安全管理员设置审批架构,设置审批人与申请人。具体说明请参见设置审批架构。
64”。 说明: 根据服务器架构的不同,请根据自身的服务器架构选择对应的操作系统版本。 LINUX64_X86 CPU阈值(%) 可选参数。指待审计的应用端节点的CPU阈值,缺省值为“80”。 80 内存阈值(%) 可选参数。指待审计的应用端节点的内存阈值,缺省值为“80”。 80
通过设置DBSS告警规则,用户可自定义监控目标与通知策略,设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数,帮助您及时了解数据库安全状况,从而起到预警作用。 前提条件 请参见购买数据库安全服务成功购买数据库安全审计。 操作步骤 登录管理控制台。 单击页面左上方的,选择“管理与监管 > 云监控服务
配置完成后,您可以通过以下方式验证配置结果。 使用已授权的客户端地址和用户,通过代理方式访问数据库,此时可以查看到加密前的明文数据。 使用未授权的客户端地址或用户,通过代理方式访问数据库,此时只能查看到加密后的数据。 加密功能典型配置 数据库加密与访问控制支持为数据库的敏感数据进行加密,保障数据的安全性。本举例展示如何对数据库进行加密。
策略应用流程 数据库运维安全管理系统支持多种策略的设置与应用,以实现各种数据级的访问控制,策略应用流程如图1所示。 图1 策略应用流程 系统管理员添加数据资产,并进行相应设置。具体说明请参见添加数据资产。 进行防护策略设置,包括策略基本配置、集合配置、自定义策略(SQL策略、包过
包年/包月方式购买的DBSS实例到期后,如果没有按时续费,公有云平台会提供一定的保留期。 保留期的时长由客户等级而定,具体请参见保留期。 当您购买的DBSS实例到期后,DBSS将停止服务。为了防止造成不必要的损失,请您及时续费。如果未续费,您将不能使用DBSS,不影响您的业务。 如需续
添加包过滤策略 根据网络数据包的五元组(源IP、源端口、目的IP、目的端口、协议)与配置规则进行匹配,根据匹配规则的操作,进行数据包的放行或阻断。 约束与限制 包过滤策略只支持桥接代理模式,其他模式下请勿进行相关配置。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
密信浏览器1.0.0.7。 操作步骤 登录实例。 方式一:登录服务管理控制台,进入数据库加密与访问控制页面,在目标实例“操作”列单击“远程登录”或“本地登录”。 方式二:通过方式一进入的数据库加密与访问控制页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。 访
场景二:解密操作流程及解密功能典型配置 解密操作流程 数据库加密与访问控制的解密操作流程图和流程介绍如下图1所示。 图1 解密操作流程 (可选)仿真解密测试。 通过仿真解密测试,检查目标是否支持解密。具体操作,请参见仿真解密测试。 创建解密队列 创建解密队列,解密数据。具体操作,请参见配置解密队列。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
