数据库安全审计等保最佳实践
DBSS可以从审计日志的天数、审计合规的报表、审计日志的隐私合规的配置来进一步满足等保合规。
审计日志天数的合规配置
相关审计法规规定,审计日志至少保留半年。DBSS服务会自动预测审计实例的剩余存储空间是否能够满足半年审计日志的合规要求,若不满足会给出界面提示。
图1 磁盘不足提示
当出现如图1所示提示时,请开启自动备份,开启备份详情请参见自动备份数据库审计日志。
说明:开启自动备份时,备份周期优先选择“每小时”。
若每天的备份文件大小总和小于50MB时,建议选择“每天”。
审计日志天数的合规配置
为了能够更及时、准确的了解合规状况,建议开启审计报表计划任务。
建议您优先设置如图2所示的报表计划任务。
图2 报表合规设置项
单击“设置任务”可对计划任务的参数进行设置,参数说明如表1所示。
图3 选择计划任务参数
审计日志隐私的合规配置
由于审计日志中的SQL请求语句和结果集中可能包含用户的隐私数据,建议对审计日志开启隐私数据保护,以防止违反隐私保护相关合规要求。
通过配置如下可满足隐私数据的合规要求:
- 开启“隐私数据脱敏”开关:开启后会对审计日志中的隐私数据进行脱敏存储。
- 关闭“存储结果集”开关:关闭后,审计日志含有隐私信息的结果集将不会存储到审计日志中。
- 开启所有的隐私保护规则。
图4 审计日志隐私合规配置
数据库安全审计最佳实践
-
审计RDS关系型数据库
数据库安全审计采用旁路部署,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态数据,实现对RDS关系型数据库的安全审计
-
审计ECS自建数据库
在数据库端部署数据库安全审计Agent,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态数据,实现对自建数据库的安全审计
-
数据库慢SQL检测
数据库安全审计检测响应时间大于1秒的SQL语句。通过数据库慢SQL检测,可获知执行耗时长、影响行数、执行该SQL语句的数据库信息并根据实际需求对慢SQL进行优化
-
数据库脏表检测
数据库安全审计规则增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序