检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
添加脱敏规则 操作场景 系统支持从应用、URL、客户端IP、账号、账号组等维度配置脱敏规则,对访问行为进行精准鉴权与脱敏防护,您可在脱敏管理模块配置脱敏规则。 例如,您想要对应用demo配置一条脱敏规则,使访问demo应用时,银行卡号类的敏感数据脱敏展示。 本章节介绍如何添加脱敏规则
添加水印规则 系统支持从应用、URL、客户端IP、账号、账号组等维度配置水印规则,对访问行为进行精准鉴权与水印防护。您可在水印管理模块配置水印规则。 前提条件 确保您已添加应用,具体请参见应用服务。 已配置水印模板,具体请参见配置水印模板。 背景信息 如您想要对应用资产demo配置一条水印规则
授权数据库资产 对数据库资产进行敏感数据识别、数据脱敏或者添加/提取水印则需要对实例下的数据库进行授权,该章节介绍如何对数据库进行授权操作。 前提条件 已开通RDS/DWS/DDS/GaussDB服务,且已有资产,且对应子网下含有可用的IP配额。 数据库实例的“状态”为“正常”,且安全组的数量为
添加基础访问控制规则 操作场景 系统支持从应用、接口、Host、用户、客户端IP等维度配置基础访问控制规则,对命中规则的请求实行放行或阻断动作。 例如,应用Demo拥有文件下载接口,您可以添加基础访问控制规则阻断访问应用Demo的文件下载接口的请求。 本章节介绍如何创建基础访问控制规则
如何排查数据库资产连通性失败? 数据库添加完成后,该数据库的“连通性”为“检查中”,此时,DSC会测试数据库的连通性,如果数据库的“连通性”为“失败”,请按照以下步骤进行排查: 检查添加资产的IP、账号、密码、数据库名是否正确。 不正确,修改添加资产的IP、账号、密码、数据库名。
水印规则配置 本举例为用户展示API数据安全防护配置水印规则,为页面添加文字水印的操作过程。 组网需求 API数据安全防护的组网配置情况如下图1所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端PC IP地址:172.16.212.65 API数据安全防护 IP地址:172.16.35.44
资产地图 数据资产地图可以通过可视化的手段,从资产概况、分类分级、权限配置、数据存储、敏感数据以及数据出口分析等多种维度查看资产的安全状况。可协助您快速发现风险资产并进行快速风险处理操作。 约束限制 支持显示1000个资产实例。 支持的数据源如所示。 表1 DSC支持的数据源类型及版本
应用代理连接配置 API数据安全防护支持反向代理部署方式。客户端的访问请求转发到API数据安全防护,由API数据安全防护解析请求后,转发到应用服务器,应用服务器返回的数据同样经过API数据安全防护后返回给客户端PC。本举例为用户展示API数据安全防护代理连接的操作过程。 组网需求
应用服务 添加应用服务是API数据安全防护实现应用防护的第一步。添加完成并代理访问应用后,系统将自动梳理应用中的接口、账号以及敏感数据,并对资产进行防护与审计。 将需要审计与防护的应用资产手动添加至“应用服务”页面,实现代理访问应用资产。 例如,您需要添加一个应用,应用名为demo
系统快速使用指南 本文介绍API数据安全防护的功能使用流程,帮助您快速了解和使用API数据安全防护。 API数据安全防护的使用流程图和流程介绍如下图1所示。 图1 使用流程 步骤一:添加应用资产 在使用各功能之前,您需要将需要防护的应用添加到系统中。 使用系统管理员sysadmin
白名单配置 API数据安全防护支持配置白名单策略。命中白名单策略的访问会被放行,访问的风险等级被标记为可信 。 组网需求 API数据安全防护的组网配置情况如下图1所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端PC IP地址:172.16.212.65 API数据安全防护
黑名单配置 API数据安全防护支持配置黑名单策略。命中黑名单策略的访问会被阻断;命中黑名单策略的审计日志,其风险等级会标记为非法。 组网需求 API数据安全防护的组网配置情况如下图1所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端PC IP地址:172.16.212.65
脱敏规则配置 API数据安全防护支持通过配置脱敏规则,对接口中的敏感数据进行脱敏。本举例为用户展示API数据安全防护通过配置脱敏规则对访问采取脱敏响应的操作过程。 组网需求 API数据安全防护的组网配置情况如图1所示。 图1 反向代理组网 表1 组网说明 设备 说明 客户端PC IP
DSC支持识别的非结构化文件类型? 数据安全中心(DSC)支持解析的非结构化文件类型如表1、表2和表3。 表1 文本文档代码类 序号 文件类型 序号 文件类型 1 Access数据库文件 74 Pdf文档 2 Arff文件 75 Perl源代码 3 Asp文件 76 Pgp文件 4
查看操作日志 系统会保存所有的操作记录,审计管理员可以定期检查操作审计日志,保障系统自身安全。 操作步骤 使用审计管理员audadmin账号登录API数据安全防护系统web控制台。 在左侧导航栏,选择“日志管理 > 操作日志”。 设置过滤条件,单击图标,查询对应的操作日志。 图1
查看设备告警列表 DSC会将检测到的设备告警展示在设备列表,您可以通过此章节查看告警类型、等级等信息。 前提条件 设备已添加至设备列表。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目。 在左侧导航树中,单击,选择“安全与合规 > 数据安全中心”。 选择“设备管理 > 设备告警
数据流转详情 全链路的云上数据流转监测,包括以下几个阶段: 通过数据库审计日志分析数据库和源端、目的主机之间流转路径。 通过API审计日志分析数据通过API网关对外流转的路径。 通过API网关配置分析梳理主机和网关之间的流转路径。 最后通过全链路的关联分析实时测绘完整的云上数据流转路径
数据库安全审计 数据库安全审计基于大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。功能特性描述如表1所示。 详细功能介绍及使用请参见DBSS功能特性和DBSS用户指南。 表1 功能特性介绍 功能 描述 用户行为发现审计 关联应用层和数据库层的访问操作
查看脱敏结果 操作场景 配置脱敏规则后,使用代理访问应用,可查看脱敏结果。 本章节介绍如何查看并验证所配置脱敏规则的效果。 操作步骤 在浏览器中输入代理访问地址,即应用服务时所配置的应用域名/IP(例如example.com),回车进行访问。 在网页上查看脱敏效果。 如图 查看脱敏效果所示
DSC支持的内置识别模板包含哪些识别规则? 数据安全中心的识别规则模板是根据不同行业规范、针对性定制的敏感数据分类分级。通过识别规则模板可以使敏感数据自动符合合规要求。具体可识别的模板如表1所示。 同时支持自定义分级分类模板,最多支持20个识别模板。 内置华为云数据安全分类分级模板
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
