检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
PI。 终端节点 终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主
在左侧导航树中,选择“审计规则”。 在“选择实例”下拉列表框中,选择需要编辑SQL注入规则的实例。 选择“SQL注入”页签。 仅自定义创建的SQL注入规则可以使用编辑功能,默认的规则仅可使用启用和禁用功能。 单击“操作”列的“编辑”,可对目标规则的参数进行编辑,参数说明如表1所示。 图4 编辑SQL注入规则 表1
说明 SQL 需要添加白名单的SQL语句。 工具 数据库客户端。 数据库 数据库类型。 状态 在下拉栏中选择启用或禁用,默认启用。 单击“确定”。 使配置生效,您需要进行以下步骤: 在左侧导航栏,选择“策略防护 > 策略设置”。 在基本配置页的应用的策略栏勾选启用SQL策略。 单击启用SQL策略旁的。
数据库安全服务支持对华为云上的RDS关系型数据库、ECS/BMS自建数据库进行审计。购买数据库安全审计实例后,您需要将待审计的数据库添加至数据库安全审计实例中。 数据库安全服务支持审计的数据库类型及版本,请参见支持的数据库类型及版本。 前提条件 数据库安全审计实例的状态为“运行中”。 添加数据库
可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端安装Agent。 当某个应用端连接多个ECS/BMS自建数据库时,需要在所有连接该应用端的数据库端安装Agent。 RDS关系型数据库 应用端(应用端部署在云上) 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端安装Agent。
数据库安全审计将对该审计范围的数据库进行审计。 编辑(仅自定义创建审计范围的支持) 在需要编辑的审计范围所在行的“操作”列,单击“编辑”,在弹出的对话框中,您可以修改审计范围。 禁用 在需要禁用的审计范围所在行的“操作”列,单击“禁用”,在弹出的对话框中,单击“是”,可以禁用该
在“选择实例”下拉列表框中,选择需要查看审计总览信息的实例。 查看数据库的总体趋势情况。 单击控制台右侧的“重新生成趋势分析”。 图1 重新生成趋势分析 在“选择数据库”下拉列表框中,选择“全部数据库”或指定的数据库,可以查看实例中所有的数据库或指定的某个数据库的语句趋势分析和风险趋势分析。 选择审计的时间(“近30
要自定义添加对应的SQL规则,添加后可以对成功连接数据库安全审计的所有数据进行安全审计。 前提条件 数据库安全审计实例的状态为“运行中”。 请参考开启数据库安全审计成功开启数据库安全审计功能。 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规
在使用数据库安全审计前,您需要了解数据库安全审计的使用限制。 支持的数据库类别 数据库安全审计支持对华为云上的以下数据库提供旁路模式的审计功能: 云数据库 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库 裸金属服务器(Bare Metal Server,BMS)的自建数据库 支持免安装Agent数据库类型及版本
obs_trust"的委托并对其授予obs操作相关权限。 dws免agent场景,dws会创建名为"DWSAccessLTS"的委托,并对其授予访问lts的权限,用于将审计日志上传到租户的lts中。dbss会创建名为"dbss_dws_lts_trust"的委托,并对其授予lts
取值样例 配置名称 新建的配置名称,同一个命名空间里命名必须唯一。 db-config-for-default 所属集群 选择需要进行审计的集群。 scc-cmv-bj4 集群命名空间 根据业务需要选择该集群下设置的命名空间。 default 描述 配置项的描述信息。 - 配置数据
在左侧导航栏,选择“资产管理 > 资产配置”。 单击右上角的“添加”。 在添加资产对话框中,设置资产信息。 图2 添加数据资产 请记录反向代理使用的端口号(9001),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,保存数据资产的配置信息。 应用虚拟补丁策略 使用系统管理员sy
检测”的高风险操作。用户预设无用的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测,可以帮助您监控识别访问“脏表”的SQL语句,及时发现数据安全风险。 等保合规 数据库等保合规相关项 为客户提供一站式的安全解
数据库安全审计可以应用于哪些场景? 数据库安全审计采用数据库旁路部署方式,在不影响用户业务的前提下,可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。 基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。
通过“安装Agent”方式审计数据库时,关闭数据库的SSL是必要操作。如果您开启了数据库SSL,将无法获取审计数据。 如果想一直开启数据库的SSL来保证数据库的安全性,建议您了解免Agent审计数据库的相关内容:免Agent审计数据库。 操作步骤 以MySQL数据库自带的客户端为例说明,操作步骤如下:
安装包。 图1 下载npcap 将下载好的npcap-xxxx.exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中,单击“I Agree”,如图2所示。 图2 同意安装“Npcap” 在弹出的对话框中,单击“Install”,不勾选安装选项,如图3所示。
包年/包月方式购买的DBSS实例到期后,如果没有按时续费,公有云平台会提供一定的保留期。 保留期的时长由客户等级而定,具体请参见保留期。 当您购买的DBSS实例到期后,DBSS将停止服务。为了防止造成不必要的损失,请您及时续费。如果未续费,您将不能使用DBSS,不影响您的业务。 如需续
数据库IP/域名 执行SQL语句所在的数据库的IP地址/域名。 客户端端口 执行SQL语句所在的客户端的端口。 数据库端口 执行SQL语句所在的数据库的端口。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。
Agent的节点。 执行以下命令,进入Agent安装包“xxx.tar.gz”解压后所在目录。 cd Agent安装包解压后所在目录 执行以下命令,查看是否有卸载脚本“uninstall.sh”的执行权限。 ll 如果有卸载脚本的执行权限,请执行4。 如果没有卸载脚本的执行权限,请执行以下操作:
数据库安全审计可以跨区域使用吗? 数据库安全审计不支持跨区域(Region)使用。待审计的数据库和购买的数据库安全审计实例必须在同一区域,您才能使用数据库安全审计功能。 如果您购买的数据库安全审计实例在“华北-北京四”,而待审计的数据库部署在“华东-上海一”,则您将不能使用数据库安全审计功能。 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
