什么是数据库安全服务?

数据库安全服务

数据库安全服务(Database Security Service,DBSS)是一个智能的数据库安全服务,基于机器学习机制和大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。

支持的数据库

数据库安全审计仅支持对华为云上的以下数据库提供旁路模式的数据库审计功能:

关系型数据库(Relational Database Service,RDS)

弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库

裸金属服务器(Bare Metal Server,BMS)的自建数据库

立即购买 了解详情

数据库安全服务DBSS的功能特性

数据库安全审计提供用户行为发现审计、多维度分析、实时告警和报表功能。

  • 用户行为发现审计

    1. 关联应用层和数据库层的访问操作。
    2. 提供内置或自定义隐私数据保护规则,防止审计日志中的隐私数据(例如,帐号密码)在控制台上以明文显示。

    1. 关联应用层和数据库层的访问操作。
    2. 提供内置或自定义隐私数据保护规则,防止审计日志中的隐私数据(例如,帐号密码)在控制台上以明文显示。

    数据库安全服务的功能特性

  • 多维度线索分析

    1. 行为线索
    2. 支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL分布等多维度的快速分析。
    3. 会话线索
    4. 支持根据时间、数据库用户、客户端等多角度进行分析。
    5. 语句线索
    6. 提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。


    1. 行为线索
    2. 支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL分布等多维度的快速分析。
    3. 会话线索
    4. 支持根据时间、数据库用户、客户端等多角度进行分析。
    5. 语句线索
    6. 提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。


    数据库安全服务的功能特性

  • 风险操作、SQL注入实时告警

    1. 风险操作
    2. 支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。
    3. SQL注入
    4. 数据库安全审计提供SQL注入库,可以基于SQL命令特征或风险等级,发现数据库异常行为立即告警。
    5. 系统资源
    6. 当系统资源(CPU、内存和磁盘)占用率达到设置的告警阈值时立即告警。


    1. 风险操作
    2. 支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。
    3. SQL注入
    4. 数据库安全审计提供SQL注入库,可以基于SQL命令特征或风险等级,发现数据库异常行为立即告警。
    5. 系统资源
    6. 当系统资源(CPU、内存和磁盘)占用率达到设置的告警阈值时立即告警。


    数据库安全服务的功能特性

  • 针对各种异常行为提供精细化报表

    1. 会话行为
    2. 提供客户端和数据库用户会话分析报表。
    3. 风险操作
    4. 提供风险分布情况分析报表。
    5. 合规报表
    6. 提供满足数据安全标准(例如Sarbanes-Oxley)的合规报告。


    1. 会话行为
    2. 提供客户端和数据库用户会话分析报表。
    3. 风险操作
    4. 提供风险分布情况分析报表。
    5. 合规报表
    6. 提供满足数据安全标准(例如Sarbanes-Oxley)的合规报告。


    数据库安全服务的功能特性

数据库安全服务DBSS的产品优势

数据库安全审计提供的旁路模式数据库审计功能,可以对风险行为进行实时告警。同时,通过生成满足数据安全标准的合规报告,可以对数据库的内部违规和不正当操作进行定位追责,保障数据资产安全。

  • 部署简单


    采用数据库旁路部署方式,操作简单,快速上手。



    采用数据库旁路部署方式,操作简单,快速上手。


  • 全量审计

    支持对华为云上的RDS、ECS/BMS自建的数据库进行审计。

    支持对华为云上的RDS、ECS/BMS自建的数据库进行审计。

  • 快速识别

    实现99%+的应用关联审计、完整的SQL解析、精确的协议分析。


    实现99%+的应用关联审计、完整的SQL解析、精确的协议分析。


  • 高效分析

    每秒万次入库、海量存储、亿级数据秒级响应。

    每秒万次入库、海量存储、亿级数据秒级响应。

  • 多种合规

    满足等保三级数据库审计需求。

    满足网安法,SOX等国内外法案。

    满足等保三级数据库审计需求。

    满足网安法,SOX等国内外法案。

  • 三权分立

    系统管理员,安全管理员,审计管理员权限分离,满足审计安全需求。

    系统管理员,安全管理员,审计管理员权限分离,满足审计安全需求。

数据库安全服务与其他云服务的关系

  • 数据库安全服务DBSS与弹性云服务器的关系

    数据库安全服务实例创建在弹性云服务器上,用户可以通过该实例,为弹性云服务器上的自建数据库提供安全审计功能。

    数据库安全服务实例创建在弹性云服务器上,用户可以通过该实例,为弹性云服务器上的自建数据库提供安全审计功能。

  • 数据库安全服务DBSS与关系型数据库的关系

    数据库安全服务可以为关系型数据库服务中的RDS实例提供安全审计功能。

    数据库安全服务可以为关系型数据库服务中的RDS实例提供安全审计功能。

  • 数据库安全服务DBSS与裸金属服务器的关系

    数据库安全服务可以为裸金属服务器上的自建数据库提供安全审计功能。

    数据库安全服务可以为裸金属服务器上的自建数据库提供安全审计功能。

  • 数据库安全服务DBSS与云审计服务的关系

    云审计服务(Cloud Trace Service,CTS)记录数据库安全服务相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。


    云审计服务(Cloud Trace Service,CTS)记录数据库安全服务相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。


  • 数据库安全服务DBSS与对象存储服务的关系

    对象存储服务(Object Storage Service,简称OBS)是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力。数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。


    对象存储服务(Object Storage Service,简称OBS)是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力。数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。

  • 数据库安全服务DBSS与云监控服务的关系

    云监控服务(Cloud Eye)为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况,并及时收到异常报警做出反应,保证业务顺畅运行。详情请参见《云监控服务用户指南》

    云监控服务(Cloud Eye)为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况,并及时收到异常报警做出反应,保证业务顺畅运行。详情请参见《云监控服务用户指南》

  • 数据库安全服务DBSS与消息通知服务的关系

    消息通知服务(Simple Message Notification,简称SMN),是一个可拓展的高性能消息处理服务。

    关于SMN的详细内容,请参见《消息通知服务用户指南》。

    消息通知服务(Simple Message Notification,简称SMN),是一个可拓展的高性能消息处理服务。

    关于SMN的详细内容,请参见《消息通知服务用户指南》。

  • 数据库安全服务DBSS与统一身份认证服务的关系

    统一身份认证服务(Identity and Access Management,简称IAM)为数据库安全服务提供了权限管理的功能。

    需要拥有DBSS System Administrator权限的用户才能使用DBSS。

    如需开通该权限,请联系拥有Security Administrator权限的用户,详细内容请参考《统一身份认证服务用户指南》。

    统一身份认证服务(Identity and Access Management,简称IAM)为数据库安全服务提供了权限管理的功能。

    需要拥有DBSS System Administrator权限的用户才能使用DBSS。

    如需开通该权限,请联系拥有Security Administrator权限的用户,详细内容请参考《统一身份认证服务用户指南》。

数据库安全服务常见问题

数据库安全服务常见问题

查看更多产品咨询问题

查看更多产品咨询问题

  • 数据库安全服务产品咨询类

    什么是数据库安全审计?

    数据库安全服务(Database Security Service,DBSS)是一个智能的数据库安全服务,基于机器学习机制和大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。

  • 数据库安全服务审计功能类

    数据库安全审计可以应用于哪些场景?


    数据库安全审计采用数据库旁路部署方式,在不影响用户业务的提前下,可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。

    基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。

    从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况。

    提供审计报表模板库,可以生成日报、周报或月报审计报表(可设置报表生成频率)。同时,支持发送报表生成的实时告警通知,帮助您及时获取审计报表。



  • 数据库安全服务审计Agent相关

    数据库安全审计的Agent提供哪些功能?


    使用数据库安全审计功能,必须在数据库节点或应用节点安装Agent。

    数据库安全审计的Agent主要提供以下功能:

    1. 获取访问数据库流量
    2. 将流量数据上传到审计系统
    3. 接收审计系统配置命令
    4. 上报数据库状态监控数据
  • 数据库安全服务审计操作类

    如何添加Hbase数据库并进行审计?

    Hbase数据库包含一个主Master节点,一个备Master节点和多个RegionServer节点。

    添加Hbase数据库审计时,需将Master节点和RegionServer节点看做独立的数据库进行添加。

    约束条件

    1. 仅支持hbase(protobuf)格式协议解析,不支持hbase(thrift)协议。
    2. 仅支持simple和kerberos认证方式。

    说明:kerberos认证场景又分为这三种场景:仅认证、认证+完整性校验、认证+完整性校验+加密场景。

    目前华为云支持:仅认证场景。

    暂不支持:认证+完整性校验、认证+完整性校验+加密两个场景

    操作示例

    HBase数据库包含一个主Master,一个备Master和2个RegionServer节点。

    1. 主Master节点IP为192.168.0.1,其服务端口为16000。
    2. 备Master节点IP为192.168.0.2,其服务端口为16000。
    3. RegionServer1节点IP为192.168.0.3,其服务端口为16020。
    4. RegionServer1节点IP为192.168.0.4,其服务端口为16020。


    添加该HBase数据库进行审计时,需添加4个数据库,其IP和端口分别为:

    1. 192.168.0.1:16000(对应主Master节点)。
    2. 192.168.0.2:16000(对应备Master节点)。
    3. 192.168.0.3:16020(对应RegionServer1节点)。
    4. 192.168.0.4:16020(对应RegionServer2节点)。

    说明:如果没有备master节点,可以不添加备master数据库。

    MRS集群该如何使用HBase数据库审计

    MRS集群如果按照默认方式创建,其创建的集群使用的kerberos认证模式下的"认证+加密"方式,该配置下,DBSS无法正常审计到数据,需将其改为我们支持的认证方式。

    MRS集群kerberos认证场景下认证方式的更改:

    前往集群管理页面,在FusionInsight Manager系统中,选择“集群 > 待操作集群的名称 > HBase > 配置 -> 基础配置”,在这里面找到"hbase.rpc.protection"配置项,更改其对应的值。

    "hbase.rpc.protection"配置项值对应的认证方式:

    1. authentication: 仅认证
    2. integrity: 认证+完整性校验
    3. privacy: 认证+完整性校验+加密


数据库安全服务精选文章推荐