检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
场景一:加密操作流程及加密功能典型配置 加密操作流程 数据库加密与访问控制的加密操作流程图和流程介绍如下图1所示。 图1 加密操作流程 (首次)初始化密钥。 首次使用系统时,根据密钥来源初始化密钥。具体操作,请参见初始化密钥。 添加数据源。 在使用数据脱敏功能前,您需要将数据资产添加到系统中
创建组织部门 部门可以用来管理人员,根据公司实际需求创建部门,完善组织架构。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“系统管理 > 组织管理”。 在左侧的组织架构区域,单击“添加组织”。 在“添加组织”对话框中,配置组织部门相关信息。
客户端语句过滤白名单配置举例 此示例中通过配置客户端语句过滤白名单,如果流量匹配策略,则过滤目标审计日志。 本示例组网情况如图1 反向代理组网所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端 IP地址:192.168.1.10 数据库运维安全管理系统 IP地址:192.168.12.59
启用网络访问安全配置 操作步骤 使用安全管理员secadmin账号登录数据库运维管理系统。 在左侧导航栏,选择系统运维 > 系统设置。 单击安全配置页签。 在网络访问安全设置区域,设置网络访问限制。 图1 网络访问安全设置 表1 网络访问安全设置 参数 说明 登录IP限制 设置是否限制访问来源
添加审计范围 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围,设置需要审计的数据库范围。 全审计规则优先级高于自定义添加的审计范围规则,若您需要重新添加审计范围规则,请禁用“全审计规则”。 前提条件
包年/包月 适用场景 包年/包月计费模式需要用户预先支付一定时长的费用,适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景: 稳定业务需求:对于长期运行且资源需求相对稳定的业务,如企业官网、在线商城、博客等,包年/包月计费模式能提供较高的成本效益。 长期项目:
场景二:解密操作流程及解密功能典型配置 解密操作流程 数据库加密与访问控制的解密操作流程图和流程介绍如下图1所示。 图1 解密操作流程 (可选)仿真解密测试。 通过仿真解密测试,检查目标是否支持解密。具体操作,请参见仿真解密测试。 创建解密队列 创建解密队列,解密数据。具体操作,请参见配置解密队列
管理审计范围 添加审计范围后,您可以查看审计范围信息,也可以启用、编辑、禁用或删除审计范围。 前提条件 数据库安全审计实例的状态为“运行中”。 请参见添加审计范围成功添加审计范围。 启用、编辑和删除审计范围前,请确认审计范围的状态为“已禁用”。 禁用审计范围前,请确认审计范围的状态为
管理风险操作 成功添加风险操作后,您可以查看风险操作信息,也可以启用、编辑、禁用、删除风险操作,或设置风险操作优先级。 前提条件 数据库安全审计实例的状态为“运行中”。 请参见添加风险操作成功添加风险操作。 启用风险操作前,请确认风险操作的状态为“已禁用”。 禁用风险操作前,请确认风险操作的状态为
返回结果 状态码 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取用户Token接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求消息头
管理审计报表 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后,您可以查看报表模板信息和报表结果。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能
查看实例概览信息 通过查看数据库安全审计实例的概览信息,您可以查看实例的基本信息、网络配置信息和关联数据库信息。 前提条件 数据库安全审计实例的状态为“运行中”。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务 DBSS
创建Agent守护进程集工作负载 配置项创建完成后,您需要把数据库安全审计Agent和待审计数据库信息部署到创建的Agent守护进程集中,使待审计的数据库成功连接到数据库安全审计实例,开启数据库安全审计功能。 创建Agent守护进程集 在左侧导航树中,选择“工作负载 > 守护进程集
手动创建成员 通过新增人员信息,完善组织架构。可根据公司实际人员需求创建。 前提条件 已有部门用于管理人员,关于部门的相关操作请参见创建组织部门。 操作步骤 使用系统管理员sysadmin账号登录实例Web控制台。 在左侧导航栏,选择“系统管理 > 组织管理”。 单击“添加成员”。
添加客户端语句过滤白名单 在客户端操作SQL语句时,会固定产生一些不需要记录的语句。这些语句可能会干扰您识别正常的SQL操作语句。通过添加客户端语句过滤白名单,审计日志将不记录这些客户端语句,避免因匹配到特定策略后产生误报。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统
获取项目ID 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目信息API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权
运维人员操作管理体系流程 数据库运维安全管理系统设置了完善的运维人员操作管理体系,流程如图1所示。 图1 运维人员操作管理流程 安全管理员需先添加审批人(系统管理员)与申请人(数据库操作员)账号。具体说明请参见手动创建账号。 新增的账号需先经安全管理员审核通过。具体说明请参见审核账号
DBSS监控指标说明 功能说明 本节定义了数据库安全服务上报云监控服务的监控指标的命名空间,监控指标列表和维度定义,用户可以通过云监控服务提供管理控制台或API接口来检索数据库安全服务的监控指标和告警信息。 命名空间 SYS.DBSS 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高
查看告警信息 本章节介绍如何查看数据库安全审计的告警信息,以及当处理告警后如何确认告警。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 请参考设置告警通知成功设置告警通知。 操作步骤 登录管理控制台。 在页面上方选择“区域”
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
