检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
参数 说明 数据类型名称 设置自定义的数据类型名称,方便后续管理。 定义方式 选择列名。 列名 输入关键词或者输入正则表达式。 说明: 列名中只要包含关键词或者与正则表达式匹配,则表示命中。 数据类型 选择对应的敏感数据类型。 内置类型包括数值、字符串、地址组、身份证号、电子邮箱、身份证号、手机号、日期等。
警后如何确认告警。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 请参考设置告警通知成功设置告警通知。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务 DBSS”,进入数据库安全审计“总览”界面。
pdf”的销售许可证。 解除浏览器拦截 首次下载,可能会遇到浏览器拦截限制。请参照以下步骤解除浏览器拦截。 以Chrome浏览器为例,检查浏览器右上角的地址栏,确认是否被浏览器拦截。 选择“始终允许https://console.huaweicloud.com显示弹出式窗口和重定向”后,单击“完成”,即可下载销售许可证。
在数据库安全审计正常运行的情况下,从系统发生异常到收到告警通知最大时延不超过5分钟。 当您设置告警通知后,在数据库安全审计正常运行的情况下,当数据库安全审计实例资源(CPU、内存和磁盘)超过设置的告警阈值时,系统产生告警通知。用户约在5分钟内可以收到告警通知。 父主题: 数据库安全审计功能类
根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用DBSS资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将DBSS资源委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
添加资产 设置“风险扫描策略”。 在“扫描管理”页签,单击“添加策略”。 在“添加策略”对话框中,设置扫描策略信息,单击“确定”。 图2 添加策略 表1 添加策略参数说明 参数 说明 策略名称 设置风险扫描策略名称。 类型 显示数据库类型,根据当前所选资产确定。 策略标签 设置风险扫描策略,支持对每个策略标签进行设置:
上图中,①部分策略为禁用状态,单击后可以启用策略。 上图中,②部分策略为启用状态,单击后可以禁用策略。 如果需要批量切换同策略组的多个策略,请参考此步骤。 鼠标移动到目标策略组,单击图标。 在编辑策略组对话框中,勾选需要启用的策略,未勾选的表示需要禁用的策略。 图2 批量启用或禁用策略 单击“确定”。
表2 计费公式 资源类型 计费公式 资源单价 版本规格 版本规格单价 * 购买时长 请参见数据库安全服务器价格详情中的“规格价格”。 图中价格仅供参考,实际计算请以数据库安全服务器价格详情中的价格为准。 变更配置后对计费的影响 DBSS实例当前不支持规格变更。当包年/包月DBSS
要添加至数据库安全服务防护的数据库。 自建数据库 数据库名称 您可以自定义添加的数据库的名称。 test1 IP地址 添加的数据库的IP地址。 IP必须为内网IP地址,支持IPv4和IPv6格式。 IPv4:192.168.1.1 IPv6:fe80:0000:0000:0000
查看平台信息 平台管理模块包括设备授权、账号管理与网络设置。 在使用系统前,您需要为系统进行授权。完成设备授权后,您可以在平台信息页面,查看系统基本信息和授权信息。 父主题: 系统管理
常用最佳实践 实践 描述 审计数据库 审计ECS数据库 数据库安全审计采用旁路部署模式,通过在数据库或应用系统服务器上部署数据库安全审计Agent,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,实现对ECS/BMS自建数据库的安全审计。 审计
要添加至数据库安全服务防护的数据库。 自建数据库 数据库名称 您可以自定义添加的数据库的名称。 test1 IP地址 添加的数据库的IP地址。 IP必须为内网IP地址,支持IPv4和IPv6格式。 IPv4:192.168.1.1 IPv6:fe80:0000:0000:0000
授权数据库操作员访问数据资产,请参考此步骤。 找到目标数据库操作员,单击“配置中心”。 在账号设置对话框中,对数据库操作员进行目标资产账号授权。 图1 关联数据资产 表1 关联数据资产 参数 说明 授权账号 选择已添加的资产账号。 如果资产没有设置账号,请先添加账号。具体操作,请参见手动添加账号。 授权状态 打开授权状态。
业务字典功能还不能直接生效。您还需要在业务字典设置页面中打开对应业务字典类型的开关,才能正式生效。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“审计日志 > 业务字典”。 在业务字典设置列表中,打开对应业务字典类型的开关,在弹出的确认提示框中单击“确定”。
000)和UDP协议(端口为7000-7100)规则。 源地址可以是单个IP地址、IP地址段或安全组: 单个IP地址:例如192.168.10.10/32。 IP地址段:例如192.168.52.0/24。 所有IP地址:0.0.0.0/0。 安全组:例如sg-abc。 图5 “添加入方向规则”对话框
在定时报表配置对话框中,设置定时报表生成。 图3 定时报表配置 表2 定时报表配置 参数 说明 启用计划 勾选启用计划,开启定时生成报表。 频率设置 选择定时发送报表次数。可选项包括: 执行一次 重复执行 定时设置 设置周期生成时间。可选项包括: 每日计划:设置每日的具体时间生成报表。
执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。
在“选择实例”下拉列表框中,选择需要设置风险操作优先级的实例。选择“风险操作”页签。 在需要设置优先级的风险操作所在行的“操作”列,单击“设置优先级”。 图1 设置风险操作的优先级 在弹出的对话框中,选择“优先级”后,单击“确定”,完成设置。 图2 设置优先级 查看风险操作信息 登录管理控制台。
在左侧导航栏,选择“密钥管理 > 密钥配置”。 单击“初始化密钥”。 在口令校验对话框中,输入安全口令,单击“确定”。 安全口令如何设置,请参见修改安全口令。 在初始化密钥对话框中,设置密钥来源,参数如表2所示。 图1 初始化密钥 表2 初始化密钥 参数 说明 RK密钥来源 配置RK(根密钥)来源,支持以下来源:
选择“SQL注入”页签。 在SQL注入规则所在行的“操作”列,单击“设置优先级”,在弹出的窗口中单击“优先级”的选框选择想要设置的优先等级,数字越小优先级越高,选择完成,单击“确定”完成设置。 图3 设置优先级 编辑SQL注入规则 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
