数据库安全审计等保最佳实践

DBSS可以从审计日志的天数、审计合规的报表、审计日志的隐私合规的配置来进一步满足等保合规。

审计日志天数的合规配置

相关审计法规规定,审计日志至少保留半年。DBSS服务会自动预测审计实例的剩余存储空间是否能够满足半年审计日志的合规要求,若不满足会给出界面提示。

图1 磁盘不足提示

当出现如图1所示提示时,请开启自动备份,开启备份详情请参见自动备份数据库审计日志。

说明:开启自动备份时,备份周期优先选择“每小时”。

若每天的备份文件大小总和小于50MB时,建议选择“每天”。

审计日志天数的合规配置

为了能够更及时、准确的了解合规状况,建议开启审计报表计划任务。

建议您优先设置如图2所示的报表计划任务。

图2 报表合规设置项

单击“设置任务”可对计划任务的参数进行设置,参数说明如表1所示。

图3 选择计划任务参数

审计日志隐私的合规配置

由于审计日志中的SQL请求语句和结果集中可能包含用户的隐私数据,建议对审计日志开启隐私数据保护,以防止违反隐私保护相关合规要求。

通过配置如下可满足隐私数据的合规要求:

  1. 开启“隐私数据脱敏”开关:开启后会对审计日志中的隐私数据进行脱敏存储。
  2. 关闭“存储结果集”开关:关闭后,审计日志含有隐私信息的结果集将不会存储到审计日志中。
  3. 开启所有的隐私保护规则。

图4 审计日志隐私合规配置

  • 数据库实例个数如何确认?

    数据库实例通过数据库IP+数据库端口计量。

    如果同一数据库IP具有多个数据库端口,数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口,即为一个数据库实例;1个数据库IP具有N个数据库端口,即为N个数据库实例。

    例如:用户有2个数据库资产分别为IP1和IP2,IP1有一个数据库端口,则为1个数据库实例;IP2有3个数据库端口,则为3个数据库实例。IP1和IP2合计为4个数据库实例,选择服务版本规格时需要大于或等于4个数据库实例,即选用专业版(最多支持审计6个数据库实例)

  • 数据库安全审计支持哪些类型的数据库?

    数据库安全服务支持华为云的以下数据库:

    1、关系型数据库(Relational Database Service,RDS)

    2、弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库

    3、裸金属服务器(Bare Metal Server,BMS)的自建数据库

  • 数据库安全审计的审计数据可以保存多久?

    数据库安全审计支持将在线和归档的审计数据至少保存180天的功能。未开启备份时,存储在审计实例上,原则上保存时间为180天,这取决于日志量大小。如果日志量较大,会以滚动删除的方式删除存放时间最久的日志以保证磁盘空间使用率。开启备份时,会同时保存在obs桶里,此时保存的时间会对应着obs存储的时间

数据库安全审计最佳实践

  • 审计RDS关系型数据库

    数据库安全审计采用旁路部署,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态数据,实现对RDS关系型数据库的安全审计

  • 审计ECS自建数据库

    在数据库端部署数据库安全审计Agent,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态数据,实现对自建数据库的安全审计

  • 数据库慢SQL检测

    数据库安全审计检测响应时间大于1秒的SQL语句。通过数据库慢SQL检测,可获知执行耗时长、影响行数、执行该SQL语句的数据库信息并根据实际需求对慢SQL进行优化


  • 数据库脏表检测

    数据库安全审计规则增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序