检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
风险管控 执行风险扫描 进行风险管理 父主题: 系统管理员操作指南
查看角色 系统已经默认创建系统管理员、审计管理员、安全管理员等角色。 操作步骤 使用安全管理员secadmin账号登录实例Web控制台。 在左侧导航栏,选择“系统管理 > 角色管理”。 查看内置角色相关信息,详细信息如图1所示。 图1 查看角色列表 父主题: 系统管理
策略应用流程 数据库运维安全管理系统支持多种策略的设置与应用,以实现各种数据级的访问控制,策略应用流程如图1所示。 图1 策略应用流程 系统管理员添加数据资产,并进行相应设置。具体说明请参见添加数据资产。
启用网络访问安全配置 操作步骤 使用安全管理员secadmin账号登录数据库运维管理系统。 在左侧导航栏,选择系统运维 > 系统设置。 单击安全配置页签。 在网络访问安全设置区域,设置网络访问限制。
图2 添加数据资产 记录反向代理使用的端口号(9587),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,完成数据资产的配置信息。 通过代理连接数据库 本文以“DBeaver工具”为例,通过数据库运维管理系统代理连接到数据库。
管理集合配置 配置集合信息(例如客户端IP、数据库用户等)后,在设置策略时可选择对应集合。实现信息统一维护,避免多处维护。 背景信息 系统支持配置的集合类型如下图1所示,此处以配置资产客户端IP集为例。
操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“系统管理 > 消息中心”。 也可在页面右上角,单击“消息中心”,进入“消息中心”页面。 图1 消息中心 在消息中心页面查看最近的通知告警等信息。
管理SQL注入规则 数据库安全审计的SQL注入规则默认开启,您可以对SQL注入规则执行禁用、启用、编辑和设置优先级操作。 一条审计数据只能命中SQL注入中的一个规则。 前提条件 数据库安全审计实例的状态为“运行中”。
资产管理 添加数据资产 手动添加账号 误删恢复 父主题: 系统管理员操作指南
API 管理侧查询 审计实例 审计数据库 审计Agent 数据分析 审计规则 TMS标签 添加RDS数据库(废弃)
查看系统操作日志 系统会保存所有的操作记录,审计管理员可以定期检查系统日志,保障系统自身安全和确保符合合规要求。 操作步骤 使用审计管理员audadmin账号登录实例Web控制台。 在左侧导航栏,选择“日志管理 > 操作日志”。 (可选)设置过滤条件,单击搜索,查询对应操作审计日志
日志设置 日志管理包括配置日志保存方式和备份还原日志等。 配置日志保存方式 备份还原日志 父主题: 系统管理员操作指南
源IP 访问数据库的IP地址或IP地址段。 源端口 审计的IP地址端口。 数据库名称 审计范围的数据库。 数据库账户 数据库的用户名。
查看SQL语句详细信息 添加的数据库连接到数据库安全审计实例后,您可以查看该数据库详细的SQL语句信息。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。
图3 操作类型业务字典 表3 操作类型业务字典 参数 说明 操作 设置数据库操作命令,例如SELECT等。 数据库类型 在下拉栏中选择数据库类型。 业务名称 操作对应的业务名称。 在左侧导航栏,选择“审计日志 > 业务字典设置”,打开业务字典开关。
检测时长1分钟 安全 监控 针对微服务的异常日志出对应的告警 系统 承受 数据备份 支持关键数据100%备份,即使数据库遭到完全损坏,也可以根据以前备份数据恢复业务。 用户业务日志备份到OBS 系统 快速响应 AZ级或Region级服务故障时,快速检测和恢复。
限制IP:仅支持允许登录IP地址名单中的IP访问数据库加密与访问控制的Web控制台。 允许登录IP地址 填写允许登录的IP地址,多个地址用换行隔开。 网络权限配置 设置是否禁止ICMP探测和SSH登录。 启用禁止ICMP探测:关闭ICMP功能,则其他设备无法ping系统。
附录 状态码 错误码 获取项目ID
在CCE集群节点中安装Agent 导入对象存储卷 创建配置项 创建Agent守护进程集工作负载 父主题: 容器化部署数据库安全审计Agent
报表分析 添加并生成报表 下载并查看报表 父主题: 系统管理员操作指南
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
