数据库安全服务:添加数据库
数据库安全审计支持对华为云上的RDS关系型数据库、ECS/BMS自建数据库进行审计。购买数据库安全审计实例后,您需要将待审计的数据库添加至数据库安全审计实例中。
数据库安全审计支持审计的数据库类型及版本,请参见支持的数据库类型及版本。
前提条件
已成功购买数据库安全审计实例,且实例的状态为“运行中”。
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的
,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“数据库列表”,进入数据库列表界面。
4.在“选择实例”下拉列表框中,选择需要添加数据库的实例。
5.在数据库列表框左上方,单击“添加数据库”。
6.在弹出的对话框中,设置数据库的信息。
7.单击“确定”,数据库列表中将新增一条“审计状态”为“已关闭”的数据库
说明:数据库添加完成后,请您确认添加的数据库信息正确。如果数据库信息不正确,请您在数据库所在行单击“删除”,删除数据库后,再重新添加数据库;
数据库安全服务:添加Agent
1.将待审计数据库添加至数据库安全审计实例后,您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,帮助您实现对数据库的安全审计。
完成添加Agent后,您还需要为Agent安装节点所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。
说明:目前仅如下几种类型数据库支持免Agent审计。
GaussDB for MySQL
RDS for SQLServer
RDS for MySQL:
5.6(5.6.51.1及以上版本)
5.7(5.7.29.2及以上版本)
8.0(8.0.20.3及以上版本)
GaussDB(DWS):8.2.0.100及以上版本
前提条件
- 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
- 已成功添加数据库。
添加Agent(ECS/BMS自建数据库)
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“数据库列表”,进入数据库列表界面。
4.在“选择实例”下拉列表框中,选择需要添加Agent的数据库所属的实例。
5.在添加的数据库所在行的“Agent”列,单击“添加Agent”。
6.在弹出的“添加Agent”对话框中,选择添加方式。
7.单击“确定”,Agent添加成功。
8.单击数据库左侧的
展开该数据库的详细信息,查看添加的Agent信息。
添加Agent(RDS关系型数据库)
说明:对于数据库类型为“MYSQL”和“GaussDB(for MySQL)”的RDS关系型数据库,在添加数据库成功后Agent免安装,您可以直接进行步骤三:添加安全组规则。
当某个应用端连接了多个RDS时, 请按以下方式添加Agent:
- 连接该应用端所有的RDS都需要添加Agent。
- 如果连接该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加Agent时,请选择“选择已有Agent”添加方式。
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“数据库列表”,进入数据库列表界面。
4.在“选择实例”下拉列表框中,选择需要添加Agent的数据库所属的实例。
5.在添加的数据库所在行的“Agent”列,单击“添加Agent”。
6.在弹出的“添加Agent”对话框中,选择添加方式。
7.单击“确定”,Agent添加成功。
8.单击数据库左侧的展开该数据库的详细信息,查看添加的Agent信息。
后续处理
Agent添加完成后,您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。
数据库安全服务:添加安全组规则
Agent添加完成后,您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。
说明:安全组规则也可以在成功安装Agent后进行添加。
前提条件
- 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
- 数据库已成功添加Agent。
添加安全组规则
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“数据库安全审计 > 数据库列表”,进入“数据库列表”界面。
4.在“选择实例”下拉列表框中,选择需要添加安全组规则的数据库所属的实例。
5.记录Agent安装节点IP信息。
单击数据库左侧的
展开Agent的详细信息,并记录“安装节点IP”
6.在数据库列表的上方,单击“添加安全组规则”。
7.在弹出的弹框中,记录数据库安全审计实例的“安全组名称”(例如default)
8.单击“前往处理”,进入“安全组”列表界面。
9.在列表右上方的搜索框中输入安全组“default”后,单击
或按“Enter”,列表显示“default”安全组信息。
10.单击“default”,进入“基本信息”页面。
11.选择“入方向规则”,检查安全组的入方向规则。
请检查该安全组的入方向规则是否已为5的安装节点IP配置了TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则。
如果该安全组已配置安装节点的入方向规则,请执行下载Agent。
如果该安全组未配置安装节点的入方向规则,请执行12。
12.为安装节点添加入方向安全规则。
a.在入方向规则页面,单击“添加规则”
b.在“添加入方向规则”对话框中,为步骤5中的安装节点IP添加TCP协议(端口为8000)和UDP协议(端口为7000-7100)规则,
说明:源地址可以是单个IP地址、IP地址段或安全组:
单个IP地址:例如192.168.10.10/32。
IP地址段:例如192.168.52.0/24。
所有IP地址:0.0.0.0/0。
安全组:例如sg-abc。
c.单击“确定”,完成添加入方向规则。
安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent,将添加的数据库连接到数据库安全审计实例,才能开启数据库安全审计功能。
