检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
流程指引 本节内容指引您快速启用数据库安全审计服务DBSS。 背景信息 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启SSL
创建脱敏规则 通过创建脱敏规则,可对数据库中的明文数据起到脱敏效果,保障数据安全。 如果您已了解数据库表结构,可以在脱敏策略页面直接添加规则脱敏规则。配置脱敏规则后,非脱敏白名单用户查询对应的数据库信息时,将只查看到脱敏数据。 如果对敏感数据分布不了解,可使用1.4.6 敏感数据发现功能扫描您的数据库
添加数据资产 本章节将介绍如何在系统上添加需要保护的数据资产(数据库、大数据等),操作过程中将以添加Oracle数据库为例,请根据实际情况添加相应的数据资产。 使用约束 表1 数据库运维支持纳管的数据源及版本 兼容性软件名称 兼容版本情况 功能差异化描述 数据库 版本 协议解析单向
数据库安全审计运行正常但无审计记录 故障现象 数据库安全审计实例功能正常,当触发数据库流量后,在SQL语句列表页面搜索执行的语句,不能搜索到相关的审计信息。 可能原因 数据库已开启SSL。 数据库SQL SERVER协议已开启强行加密。 数据量过大,造成Agent进程假死。建议重启容器或优化审计规则以减少数据量
添加SQL白名单 可将发现的有风险SQL语句添加为白名单,添加后审计SQL语句时白名单SQL语句将被忽略。 约束限制 数据报表支持已扫描且存在风险的SQL语句加入白名单。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务
添加客户端语句过滤白名单 在客户端操作SQL语句时,会固定产生一些不需要记录的语句。这些语句可能会干扰您识别正常的SQL操作语句。通过添加客户端语句过滤白名单,审计日志将不记录这些客户端语句,避免因匹配到特定策略后产生误报。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统
场景说明 数据库安全审计支持批量部署流量采集Agent,针对大规模业务场景(容器化部署应用、数据库(RDS关系型数据库)数量大),能够显著提升产品配置的效率,降低配置的复杂度,减少运维人员的日常维护压力。 假设您的数据库信息和容器集群信息如表1所示,您需要审计该集群连接的数据库,并使用购买的数据库安全审计帮助您满足等保合规要求
在结果中创建加密队列 根据敏感数据发现结果,针对性的创建加密队列,本章节介绍如何在结果中创建加密队列。 在配置加密队列之前,建议先进行仿真加密测试,检验加密过程中是否会存在问题,并解决相应问题。 您也可以在数据加密中创建加密队列。具体操作,请参见配置加密队列。 在加密之前,数据表信息为正常明文信息
步骤二:添加Agent 将待审计数据库添加至数据库安全审计实例后,您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,帮助您实现对数据库的安全审计
审计与日志 审计 DBSS向用户提供数据库审计功能,可以对普通用户、管理员账户的所有活动情况进行审计,并生成合规性报告。DBSS通过记录流量、入侵、异常监控、数据脱敏、远程工作等日志,锁定异常操作到人,对特定事件实时告警,对TOP活动进行可视化呈现,满足ISO27001、信息安全等级保护测评等合规场景下对数据库审计的要求
DBSS权限及授权项 如果您需要对您所拥有的数据库安全服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用DBSS服务的其它功能
数据库安全审计等保最佳实践 DBSS可以从审计日志的天数、审计合规的报表、审计日志的隐私合规的配置来进一步满足等保合规。 审计日志天数的合规配置 相关审计法规规定,审计日志至少保留半年。DBSS服务会自动预测审计实例的剩余存储空间是否能够满足半年审计日志的合规要求,若不满足会给出界面提示
管理添加的数据库和Agent 成功添加数据库后,您可以查看数据库信息,关闭、删除数据库。如果数据库添加了Agent,您还可以查看Agent信息、关闭或删除Agent。 前提条件 数据库安全审计实例的状态为“运行中”。 请参见添加数据库成功添加数据库。 关闭数据库前,请确认数据库的“
步骤二:登录实例Web控制台 系统管理员使用web浏览器登录数据库加密与访问控制控制台,可以管理和维护数据库加密与访问控制。 出厂默认用户名如表1 系统默认账号信息所示,具体实际用户名密码请从技术支持工程师处获取。 表1 系统默认账号信息 出厂默认角色 出厂默认账号 说明 系统管理员
新增自定义数据类型 如果默认数据类型不能满足业务需求,您可以创建自定义的数据类型。 正则表达式(RegularExpression)描述了一种字符串匹配的模式,可以用来检查一个串是否含有某种子串、将匹配的子串做替换或者从某个串中取出符合某个条件的子串等。 操作步骤 使用系统管理员sysadmin
无法使用数据库安全审计 问题现象 触发数据库流量后,在SQL语句列表页面搜索执行的语句,不能搜索到相关的审计信息。 建议您按照本章节的操作步骤排查无法审计SQL语句的原因并进行修改。 检查数据库信息是否正确以及数据库的审计是否已开启 检查审计范围中对应数据库是否已启用 检查数据库的
如何处理Agent与数据库安全审计实例之间通信异常? 故障现象 在数据库端或应用端安装Agent后,在数据库上输入SQL语句,SQL语句列表中未显示该SQL语句。 建议您按照本章节的操作步骤进行处理: 检查添加的数据库信息以及审计状态 检查数据库安全审计实例的安全组规则 检查安装节点的
查看告警信息 本章节介绍如何查看数据库安全审计的告警信息,以及当处理告警后如何确认告警。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 请参考设置告警通知成功设置告警通知。 操作步骤 登录管理控制台。 在页面上方选择“区域”
步骤五:开启数据库安全审计 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启数据库安全审计后,您可以查看被添加的数据库的审计结果。详细操作,请参见查看审计结果。 前提条件 安装Agent的状态为“正在运行”。 开启审计
安装Agent(Windows操作系统) 安装Agent后,您才能开启数据库安全审计。通过本节介绍,您将了解如何在Windows操作系统的节点上安装Agent。Linux操作系统的Agent安装请参见安装Agent(Linux操作系统)。 前提条件 数据库安全审计实例的状态为“运行中
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
