检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何安装Agent(Windows操作系统)? 安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent,将添加的数据库连接到数据库安全审计实例,才能开启数据库安全审计功能。 安装Agent后,您才能开启数据库安全审计功能,对待审计的数据库进行审计。
当数据库安全审计Agent的运行状态为“休眠中”时,如何处理? 待审计的数据库添加Agent后,该Agent的初始运行状态为“休眠中”。 添加Agent后,您还需要在安装节点上安装Agent,才能使用数据库安全审计。 请您安装Agent后,再查看该Agent的运行状态。有关安装Agent的详细操作,请参见安装Agent。
在左侧导航栏中,选择“数据库列表”,进入“数据库列表”界面。 在选择实例下拉框中,选择需要开启审计的数据库安全审计实例。 在待开启审计所在行的“操作”列,单击“开启”,开启审计功能。 审计功能开启后,该数据库的“审计状态”为“已开启”,不需要重启数据库。 图1 开启数据库审计功能 验证审计效果 开启审计
卸载Agent 在数据库端或应用端的节点安装Agent后,当不需要审计数据库时,您可以在安装Agent的节点卸载Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点。
如需添加新列,需要先对此加密表进行全量解密,然后才能添加新列。此场景需要停止现网业务,对用户业务影响比较大。 系统支持在不全量解密的情况下添加列,通过“编辑非加密列”功能,用户可以在不全量解密的情况下添加列,仅在执行时会锁定加密表,对现网影响小。 如果用户需要在加密表中大量改动
也可在页面右上角,单击“消息中心”,进入“消息中心”页面。 图1 消息中心 在消息中心页面查看最近的通知告警等信息。 单击右上角的“消息管理”,配置需要接收的消息。 ①:消息开关,配置是否需要推送此类型消息。 ②:单击编辑,编辑推送的消息模板。 ③:单击修改,设置消息接收的角色,仅部分消息类型支持配置。 图2
续费概述 续费简介 包年/包月数据库安全服务到期后会影响数据库安全服务正常运行。如果您想继续使用,需要在指定的时间内为数据库安全审计实例续费,否则实例会自动释放,数据丢失且不可恢复。 续费操作仅适用于包年/包月数据库安全服务。 数据库安全服务在到期前续费成功,所有资源得以保留,且
资产配置”,在页面右上角单击“添加”。 在“添加资产”对话框中,配置资产信息。 图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以“DBeaver工具”为例,通过数据库运维管理系统代理连接到数据库。
请求成功。 异常 状态码 编码 说明 400 Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method
选择服务版本规格时需要大于或等于4个数据库实例,即选用专业版(最多支持审计6个数据库实例)。 不支持修改规格。若要修改,请退订后重购。 云原生版仅支持在RDS控制台购买。 本表中的系统资源要求,是指购买数据库安全审计实例时会消耗的系统资源。购买时,用户的系统需要满足审计版本对应的配置。
查看审计结果 待审计的数据库与数据库安全审计实例连接成功后,您还需要验证Agent与数据库安全审计实例之间的网络通信是否正常。通信正常,才能正常使用数据库安全审计功能。 验证Agent与数据库安全审计实例之间的网络通信正常 安装Agent成功后,在数据库上执行一条SQL语句,稍等
资产配置”,在页面右上角单击“添加”。 在添加资产对话框中,配置资产信息。 图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以“DBeaver工具”为例,通过数据库运维安全管理系统代理连接到数据库。
测试通过后,单击“保存”,保存账号信息。 关联数据库操作员和资产账号 此处以默认数据库操作员账号(datadmin)为例,实际场景中您需要为每个数据库操作员单独创建账号。 在左侧导航栏,选择“运维管理 > 人员管理”。 找到目标数据库操作员,单击“配置中心”。 在账号设置对话
高 中 低 无风险 中 状态 开启或关闭当前SQL注入规则。 :开启 :关闭 正则表达式 目标SQL规则采用正则表达式检测的公式,需要您根据需要检测的内容来输入确定。 ^\d{6}$ 原始数据 正则表达式能检测的正确数据。 输入正则表达式能检测的正确数据,单击“测试”对正则表达式进行检测。
用户访问DBSS的方式有多种,包括DBSS控制台、API、SDK,无论访问方式封装成何种形式,其本质都是通过DBSS提供的REST风格的API接口进行请求。 DBSS的接口需要经过认证请求后才可以访问成功。DBSS支持如下认证方式: Token认证:通过Token认证调用请求,访问DBSS控制台默认使用Token认证机制。
系统默认已经创建系统管理员(sysadmin)账号、安全管理员(secadmin)、审计管理员(audadmin)、数据库操作员(datadmin)账号。如果有多个员工需要使用系统,建议您为每个员工单独创建账号,便于管理。 背景信息 账号的权限由角色决定,系统默认创建系统管理员、审计管理员、安全管理员和数据库操作员角色。
与VIP、主备机的运行时间以及各项指标的状态。 若采用高可用模式,对于已有数据资产的单机组HA的场景,请注意以下事项: 若增加VIP地址,需要将所有已有数据源的代理地址手动修改为VIP地址; 若HA配置时VIP地址填写原单机物理IP地址,则无需修改每个数据源的代理地址。 双机高可用场景下升级时,需先进入“平台管理
数据库安全审计内置了“数据库拖库检测”和“数据库慢SQL检测”两条检测规则,帮助您及时发现数据库安全风险。同时,您也可以通过添加风险操作,自定义数据库需要审计的风险操作规则。 一条审计数据只能命中风险操作中的一个规则。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。
环境变更时,需要配置。 DNS服务器:设置DNS服务器地址,如果资产为域名时,必须要配置DNS服务器。 路由策略信息:配置路由策略,一般在多网卡环境下,需要配置。 请根据网络环境规划配置设备的网络信息,如果网络配置错误,您可能无法通过网络Web访问设备。此时,您需要直连设备后,重新配置网络信息。
已禁用 根据需要,您还可以对规则执行以下操作: 禁用 在需要禁用的规则所在行的“操作”列,单击“禁用”,可以禁用该规则。禁用该规则后,系统将不能使用该数据脱敏规则。 编辑 在需要修改信息的规则所在行的“操作”列,单击“编辑”,在弹出的对话框中,修改规则信息。 删除 在需要删除的规则
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
