检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
常用最佳实践 实践 描述 审计数据库 审计ECS数据库 数据库安全审计采用旁路部署模式,通过在数据库或应用系统服务器上部署数据库安全审计Agent,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,实现对ECS/BMS自建数据库的安全审计。 审计
数据库安全服务为旁路模式审计,不影响用户业务,与本地审计工具不冲突。 前提条件 请参见DBSS权限管理确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“DBSS
数据库安全服务为旁路模式审计,不影响用户业务,与本地审计工具不冲突。 前提条件 请参见DBSS权限管理确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“DBSS
支持的数据库 数据库安全审计仅支持对华为云上的以下数据库提供旁路模式的数据库审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare Metal Server,BMS)的自建数据库 部分数据库类型及版本支持免安装Agent方式,如表1所示。
方式二:通过方式一进入的数据库加密与访问控制页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。 访问地址:https://服务器弹性IP地址:端口,例如https://100.xx.xx.54:9595。 (可选)在安全告警页面,单击“高级”。 图1 安全告警 (可选)在详情说明中,单击继续前往xx
审计人员及时发现各种异常行为和违规操作,并为快速定位分析、整体信息管理提供决策依据。 数据库服务器分析报表 数据库专项报表 分别为数据库活动用户统计、访问数据库来源IP数量统计、数据库登录及请求统计分析和使用数据库操作时间判断数据库服务器性能。 客户端IP分析报表 客户端专项报表 统计源IP中客户端应用程序、数据库用户数量和SQL语句数量。
0.159 端口 3306 操作系统 LINUX64 数据库安全审计工作原理 数据库安全审计采用旁路部署模式,通过在访问数据库的应用系统服务器上部署数据库审计Agent,获取访问日志数据用于日志审计,实现对RDS关系型数据库的审计。 图1 应用架构 父主题: 容器化部署数据库安全审计Agent
络通信正常 安装Agent成功后,在数据库上执行一条SQL语句,稍等几分钟后,登录数据库安全服务控制台,查看操作的SQL语句。 登录应用服务器对数据库执行一条SQL语句(例如,“select 1;”)。 登录数据库安全服务控制台。 在左侧导航树中,选择“总览”,进入“总览”界面。
使用数据库操作员datadmin账号登录数据库运维管理系统。 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批被驳回或同意后被撤销,此时会被阻断。
在数据源列表“策略配置”列单击,跳转到加密队列配置页面。建议在配置加密队列前进行敏感数据识别,具体操作,请参见扫描资产的敏感数据。 在数据源列表“策略配置”列单击,跳转到脱敏规则配置页面。建议在配置脱敏规则前进行敏感数据识别,具体操作,请参见扫描资产的敏感数据。 在数据源列表“操作”列单击“编辑”,修改数据资产信息。
启用禁止ICMP探测:关闭ICMP功能,则其他设备无法ping系统。 启用禁止SSH登录:禁止SSH访问系统。 说明: 禁止SSH登录后,运维人员将不能通过SSH访问服务器后台。 HOST代理白名单 填写HOST代理白名单,支持IP地址或域名。 单击“确定”生效。 父主题: 系统管理
agent/bin/audit_agent” 安装Agent后,您可以参照以下操作步骤,查看Agent程序的运行状态。 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录Agent的安装节点。 执行以下命令,查看Agent程序的运行状态。 ps -ef|grep
方式二:通过方式一进入的数据库运维页面获取“弹性IP”,在浏览器地址栏中输入访问地址,按回车键,进入登录界面。 访问地址:https://服务器弹性IP地址:端口,例如https://100.xx.xx.54:18443。 (可选)在安全告警页面,单击“高级”。 图1 安全告警 (可选)在详情说明区域单击“继续前往xx
敏感数据发现 扫描资产的敏感数据 查看扫描任务执行结果 在结果中创建加密队列 在结果中创建脱敏规则 新增自定义数据类型 新增行业模板 父主题: 系统管理员操作指导
请您根据数据库的类型以及部署场景,在数据库端或应用端安装Agent。数据库常见的部署场景说明如下: ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。
待审计的RDS如果连接了多台ECS,如何部署Agent? 当待审计的RDS连接了多台ECS,即多个应用端(ECS)连接同一个RDS时,所有的应用端都需要部署Agent,如图1所示。 图1 多个应用端连接同一个RDS 在完成添加数据库操作后,请您参照以下步骤部署Agent: 添加Agent。
定”。 图1 IP类型业务字典 表1 IP类型业务字典 参数 说明 IP地址 设置IP地址。 IP类型 在下拉栏中选择IP地址类型,包括服务器端IP、客户端IP和应用端IP。 业务名称 IP地址对应的业务名称。 状态 开启和关闭此业务字典。 开启状态:添加业务字典后直接为开启状态。
单击右上角“汇总信息定时刷新”开关,可开启审计信息定时刷新。 开启后,系统按照预设规则每间隔1小时对全量审计信息进行刷新。 我的审计信息 展示对所有实例扫描检测的统计展示。 表1 参数说明 参数名称 参数说明 审计时长 历史累计审计所有实例所用的时间。 语句总量 历史累计审计所有实例用到的查询语句。
装Agent的节点卸载Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点。 执行以下命令,进入Agent安装包“xxx.tar.gz”解压后所在目录。
装Agent的节点卸载Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点。 执行以下命令,进入Agent安装包“xxx.tar.gz”解压后所在目录。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
