检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击“完成”,创建加密队列。 加密队列执行结束后,访问数据库时查询到的都是加密后的数据。此时需要为应用系统(或客户端)进行访问授权,保证应用系统(或客户端)能正常使用。 步骤五:设置访问授权 授权管理模块中支持客户端授权和用户授权,两者授权取交集。 使用sysadmin用户登录实例Web控制台。 在左侧导航栏中,选择“数据加密
再单击保存。如果不填写直接保存的话,会造成无法访问Web页面、无法连接SSH等问题。 在策略列表框上设置策略默认动作为放行或阻断。 放行:如果访问命中开启的策略,默认通过;如果策略定义里的响应动作为阻断,则阻断。 阻断:如果访问命中开启的策略,则直接阻断。 相关操作 除了新增操
BS桶。 在左侧导航树中,选择“实例列表”,进入“实例列表”界面。 单击“导出数据库配置”。 图2 导出数据库配置 “导出数据库配置”为隐藏按钮,请在“实例列表”界面的访问链接后面添加“?exportCfg”,添加完成后,按“Enter”进行访问。 数据库配置包含:待审计数据库配置信息和数据库安全审计Agent。
使用数据库操作员datadmin账号登录数据库运维管理系统。 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批被驳回或同意后被撤销,此时会被阻断。
RUNNING FAIL INIT READY job_type String 类型 server_id String 虚拟机ID server_name String 虚拟机名称 resource_id String 资源ID begin_time Long 开始时间 end_time
添加Agent方式说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端或应用端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端添加Agent。 当某个应用端连接多个ECS/BMS自建数据库时,所有连接该应用端的数据库都需要添加Agent。
使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“资产管理 > 资产配置”。 单击右上角的“添加”。 在添加资产对话框中,设置资产信息。 图2 添加数据资产 请记录反向代理使用的端口号(9001),后续需要通过设备地址+代理端口访问数据资产。 单击“保存”,保存数据资产的配置信息。
Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点。 执行以下命令,进入Agent安装包“xxx.tar.gz”解压后所在目录。 cd Agent安装包解压后所在目录
以在安装Agent的节点卸载Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点。 执行以下命令,进入Agent安装包“xxx.tar.gz”解压后所在目录。
在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 验证方式(参考):您可以尝试开启或关闭实例,此时如果提示“您的权限不足”,则表示设置的“DBSS Security Administrator”数据库安全服务安全管理员角色已生效。
操作步骤,查看Agent程序的运行状态。Agent程序的运行状态如表1所示。 Linux操作系统 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点。 执行以下命令,查看Agent程序的运行状态。 service audit_agent
数据库安全审计规则可增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测,可以帮助您监控识别访问“脏表”的SQL语句,及时发现数据安全风险。 等保合规 数据库等保合规相关项
参考《萨班斯法案》针对用户全面把控数据库内部活动的要求,对数据库进行数据统计。帮助数据库管理人员、 审计人员及时发现各种异常行为和违规操作,并为快速定位分析、整体信息管理提供决策依据。 数据库服务器分析报表 数据库专项报表 分别为数据库活动用户统计、访问数据库来源IP数量统计、数据库登录及请求统
初始化密钥 在初次使用加密功能前,用户需要初始化密钥。 数据库加密与访问控制的密钥包括根密钥(RK)、数据源密钥(DSK)和数据加密密钥(DEK),具体说明如初始化密钥所示。 表1 密钥种类说明 密钥种类 说明 根密钥(RK) 初始化密钥后生成,不对外暴露。 数据源密钥(DSK)
159 端口 3306 操作系统 LINUX64 数据库安全审计工作原理 数据库安全审计采用旁路部署模式,通过在访问数据库的应用系统服务器上部署数据库审计Agent,获取访问日志数据用于日志审计,实现对RDS关系型数据库的审计。 图1 应用架构 父主题: 容器化部署数据库安全审计Agent
弹性IP(可选) 选择绑定实例的弹性IP。 图4 高级配置和登录信息 表4 高级配置和登录信息参数说明 参数名称 参数说明 取值样例 实例名称 自动生成,也可自定义名称。 - 实例类型 当前仅支持主备类型。 主备 备注(可选) 当前实例的备注信息。 - 用户名 默认生成的用户名。 sysadmin
风险管理提供风险日志查询统计、风险日志处理功能。对绑定资产进行风险日志信息检索,并可以将误报的风险操作加入虚拟补丁例外规则。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“风险管控 > 风险管理”。 在顶部的“当前已选择资产”下拉栏中,选择目标资产。 图1 风险管理
成功付款后,在数据库安全审计实例列表界面,可以查看数据库安全审计实例的创建情况。 后续处理 当实例的“状态”为“运行中”时,说明实例购买成功。 当实例的“状态”为“创建失败”时,系统已自动退款。您可单击“操作”列的“更多 > 查看详情”,在弹出的“创建失败实例”对话框中查看失败原因和删除失败实例。 父主题:
成功付款后,在数据库安全审计实例列表界面,可以查看数据库安全审计实例的创建情况。 后续处理 当实例的“状态”为“运行中”时,说明实例购买成功。 当实例的“状态”为“创建失败”时,系统已自动退款。您可单击“操作”列的“更多 > 查看详情”,在弹出的“创建失败实例”对话框中查看失败原因和删除失败实例。 父主题:
加密算法:支持AES算法和SM4国密算法。 完整性校验算法:支持AES-GCM算法和SM3-HMAC算法。 访问控制 系统具有独立于数据库的访问授权机制,拥有合法访问权限可以访问加密数据,非授权用户无法访问加密数据,从而有效防止管理员越权访问及黑客拖库。 系统支持系统管理员,安全管理员,审计管理员的三权分立管理,增强数据库使用的安全合规性