检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据库安全审计采用旁路部署模式,通过在数据库或应用系统服务器上部署数据库安全审计Agent,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,实现对ECS/BMS自建数据库的安全审计。 审计RDS关系型数据库(安装Agent方式) 审计RDS关系型数据库(免Agent方式)
您也可以在扫描结果列表页面单击“批量添加脱敏规则”,将根据扫描敏感数据时使用的行业模板批量生成脱敏规则。如何配置行业模板,请参见新增行业模板。 在添加脱敏规则对话框中,设置脱敏信息,配置信息如表1所示。 表1 添加脱敏规则 参数 说明 规则名称 填写脱敏规则的名称。 模式名 资产的模式名。 表名 资产的表名。
系统运维 在系统运维模块可对系统基本的运维操作,包括查看设备状况、诊断系统、升级系统、安全配置、外发与邮件配置等。 启用安全配置 查看设备状态 诊断系统实时情况 升级系统版本 配置SYSLOG服务器 父主题: 安全管理员操作指南
查询审计实例列表 功能介绍 查询审计实例列表 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/dbss/audit/instances 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID 表2 Query参数
购买后,在计费周期内资源正常运行,此阶段为有效期;资源到期而未续费时,将陆续进入宽限期和保留期。 到期预警 包年/包月DBSS资源在到期前第7天内,系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月DBSS资源到
电话 使用人员联系电话。 邮箱 使用人员联系邮箱。 使用期限 配置账号的有效期限。支持以下选项: 永久:账号不会过期停用。 定义期限:选中后,设置时间期限,到期停用账号。 备注说明 填写账号的描述信息。 单击“提交审核”。 操作结果 创建账号后,您可以在账号列表进行查看。 创建的账号通过审批才能使用,详情请参见审核账号。
步骤二 添加数据库 数据库安全服务审计的数据库支持免安装Agent和安装Agent。支持免安装Agent的数据库类型和版本如表2所示,支持安装Agent的数据库类型和版本如表3。您可以根据不同的数据库类型和版本,选择免安装Agent或安装Agent,开启数据库安全审计。 添加数据库免安装Agent
Agent程序是以DBSS普通用户运行的,在首次安装Agent时,需要创建Agent用户,执行sh install.sh命令后,需要您自行设置DBSS用户的密码。 界面回显以下信息,说明安装成功。否则,说明Agent安装失败。 1 2 3 4 5 start agent starting
在目标数据源的脱敏规则列表页面,单击“添加自定义规则”。 在“添加脱敏规则”对话框中,配置脱敏规则参数。相关参数如表1所示。 表1 添加脱敏规则 参数 说明 规则名称 设置脱敏规则的名称。 模式 选择数据资产的模式。 表名 选择数据资产的表名。 列名 选择需要脱敏的列名。 可以在1.4.7.2 查看加密算法页面查看支持的算法类型。
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 400 DBSS.10000001 Enter a valid request message 请求消息格式非法 检查参数 400 DBSS.10020101
库IP具有N个数据库端口,即为N个数据库实例。 例如:用户有2个数据库资产分别为IP1和IP2,IP1有一个数据库端口,则为1个数据库实例;IP2有3个数据库端口,则为3个数据库实例。IP1和IP2合计为4个数据库实例,选择服务版本规格时需要大于或等于4个数据库实例,即选用专业版(最多支持审计6个数据库实例)。
页面。 检查“default”安全组的入方向规则。 请检查该安全组的入方向规则是否已为1中的安装节点IP配置了TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则。 如果该安全组已配置入方向规则,请执行检查安装节点的Agent程序运行状态。 如果该安全组未配置入方向规则,请执行8。
带宽? 数据库安全服务到期后不续费会影响业务吗? 如何获取数据库安全服务销售许可证? 数据库安全审计是否支持审计云下数据库和非华为云上数据库? 什么是区域和可用区? 数据库安全服务是否支持数据实时脱敏? 购买DBSS服务后添加的数据库不在同一子网有什么影响? DBSS服务审计实例网关IP有限制吗?
示例2:拒绝用户删除数据库审计实例 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予“DBSS FullAccess”的系统策略,但不希望用户拥有“DBSS FullAcc
署场景说明如下: ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS
权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授
库IP具有N个数据库端口,即为N个数据库实例。 例如:用户有2个数据库资产分别为IP1和IP2,IP1有一个数据库端口,则为1个数据库实例;IP2有3个数据库端口,则为3个数据库实例。IP1和IP2合计为4个数据库实例,选择服务版本规格时需要大于或等于4个数据库实例,即选用专业版(最多支持审计6个数据库实例)。
单击“default”,进入“入方向规则”页面。 检查安全组的入方向规则。 请检查该安全组的入方向规则是否已为4中的安装节点IP配置了TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则。 如果该安全组已配置安装节点的入方向规则,请执行效果验证。 如果该安全组未配置安装节点的入方向规则,请执行11。
数据库安全审计运行正常但无审计记录 故障现象 数据库安全审计实例功能正常,当触发数据库流量后,在SQL语句列表页面搜索执行的语句,不能搜索到相关的审计信息。 可能原因 数据库已开启SSL。 数据库SQL SERVER协议已开启强行加密。 数据量过大,造成Agent进程假死。建议重启容器或优化审计规则以减少数据量。
署场景说明如下: ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
