更新时间:2025-04-24 GMT+08:00

DAS安全最佳实践

安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担

本文从以下几个维度给出建议,您可以评估DAS使用情况,并根据业务需要在本指导的基础上进行安全配置。

妥善进行数据库账号密码管理,减少数据泄露风险

  1. 建议定期修改管理员用户的密码

    默认的数据库管理员账号root拥有较高的权限,建议您参考修改数据库用户定期修改root密码。

  2. 设置密码复杂度

    数据库系统作为信息的聚集体,易成为攻击者的目标。用户需要妥善保存数据账号与密码,避免泄漏。同时建议您配置数据库密码的复杂度,避免使用弱密码

  3. 设置密码过期策略

    长期使用同一个密码会增加被暴力破解和恶意猜测的风险。建议您设置密码过期策略限制使用同一个密码的时间。

启用云审计服务,便于云上用户对操作的事后审查

  • 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
  • 您开通云审计服务并创建和配置追踪器后,CTS可记录DAS的管理事件审计,详情请参考开通云审计
  • 云审计服务支持多维度资源查询,便于云上用户事后精准审查定位。

配置开启全量SQL

云数据库开启全量SQL记录可全面提升安全,详情请参考开通SQL洞察

  1. 完整记录所有SQL操作,快速定位数据泄露、误删等异常行为源头。
  2. 实时识别SQL注入、暴力破解等攻击并拦截。
  3. 监测越权操作(如高危指令),减少内部风险。
  4. 精准还原攻击路径,评估影响范围。
  5. 降低人为恶意操作概率。

通过细粒度授权,精细地控制DAS资源的使用范围

  1. 建议对不同角色的IAM用户仅设置最小权限,避免权限过大导致数据泄露或被误操作。为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限。
  2. 建议采用细粒度授权,针对用户权限进行细粒度控制细粒度策略以API接口为粒度进行权限拆分,建议您可以根据用户DAS操作的权限自定义配置权限策略

通过网络访问控制,实现数据同步网络隔离

通过防火墙、ACL规则、安全组等进行网络访问控制,可以有效地控制DAS访问数据库的网络范围,确保数据的安全性。

建议妥善管理认证凭证,减少因凭证泄露导致的数据泄露风险

通过代码调用OpenAPI接口或者使用API Explorer使用接口时,需要通过账户密码或AK/SK信息获取token,需要遵循安全编码规范,妥善管理认证凭证,编写代码不要明文硬编码认证信息。