购买并开启数据库安全审计
数据库安全服务(Database Security Service,DBSS)是一个智能的数据库安全服务,基于大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。
本文介绍购买入门版管理1个数据库为例,开启数据库安全服务。您可以根据默认的审计规则,通过多维度分析、实时告警和报表功能发现异常行为。
操作流程
|
操作步骤 |
说明 |
|---|---|
|
您需要注册华为账号,并为账户充值。 |
|
|
设置DBSS的子网、安全组、购买时长等配置信息,购买入门版数据库安全服务。 |
|
|
添加数据库,同时您可以根据不同数据库类别,选择免Agent或安装Agent。 |
|
|
开启数据库安全审计,并验证审计结果。 |
|
|
自定义配置审计规则,并查看审计结果和监控信息。 |
准备工作
- 在购买Web应用防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。
如果您已开通华为云并进行实名认证,请忽略此步骤。
- 请保证账户有足够的资金,以免购买Web应用防火墙失败。
步骤一 购买入门版数据库安全服务
- 登录管理控制台。
- 单击页面左上方的
,选择,进入数据库安全审计“总览”界面。 - 在界面右上角,单击“购买数据库安全服务”。
- 在购买数据库安全服务页面完成以下配置。
表1 数据库安全审计实例参数说明 参数
示例
说明
虚拟私有云
default_vpc
您可以选择使用区域中已有的虚拟私有云(Virtual Private Cloud,VPC)网络,或者单击“查看虚拟私有云”,跳转到VPC管理控制台创建新的虚拟私有云。
说明:- 请选择Agent安装节点(应用端或数据库端)所在的VPC。数据库安全审计的Agent安装节点,请参见:如何选择数据库安全审计的Agent安装节点?
- 不支持修改VPC。若要修改,请退订后重购。
更多有关虚拟私有云的信息,请参见《虚拟私有云用户指南》。
安全组
default
您可以选择区域中已有的安全组,或者在VPC管理控制台创建新的安全组。选择实例的安全组后,该实例将受到该安全组访问规则的保护。
更多有关安全组的信息,请参见《虚拟私有云用户指南》。
子网
default_subnet
您可以选择VPC中已配置的子网,或者在VPC管理控制台为VPC创建新的子网。
实例名称
DBSS-test
您可以自定义实例的名称。
备注
-
您可以添加实例备注信息。
企业项目
default
该参数针对企业用户使用。
企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理,默认项目为default。
请在下拉框中选择所在的企业项目。更多关于企业项目的信息,请参见《企业管理用户指南》。
购买时长
1
选择数据库安全服务的有效时长。
勾选“自动续费”后,当购买的数据库安全审计实例到期时,如果账号余额充足,DBSS将自动为该实例续费,您可以继续使用该实例。
- 确认当前配置无误后,单击“立即购买”。
如果您对价格有疑问,可以单击“了解计费详情”,了解产品价格。
- 在“详情”页面,阅读《数据库安全审计安全免责声明》后,勾选“我已阅读并同意《数据库安全审计安全免责声明》” ,单击“提交”。
- 在购买页面,请选择付款方式进行付款。
- 成功付款后,在数据库安全审计实例列表界面,可以查看数据库安全审计实例的创建情况。
步骤二 添加数据库
数据库安全服务审计的数据库支持免安装Agent和安装Agent。支持免安装Agent的数据库类型和版本如表2所示,支持安装Agent的数据库类型和版本如表3。您可以根据不同的数据库类型和版本,选择免安装Agent或安装Agent,开启数据库安全审计。
|
数据库类型 |
支持的版本 |
|---|---|
|
GaussDB for MySQL |
默认都支持 |
|
PostgreSQL
须知:
当SQL语句大小超过4KB审计时会被截断,会导致审计到的SQL语句不完整。 |
|
|
RDS for SQLServer |
默认都支持 |
|
RDS for MySQL |
|
|
GaussDB(DWS) |
|
|
RDS for MariaDB |
默认都支持 |
- 在左侧导航树中,选择,进入数据库列表界面。
- 在“选择实例”下拉列表框中,选择需要添加数据库的实例。
- 在数据库列表框左上方,单击“添加数据库”。
- 在弹出的对话框中,配置数据库的信息。
- 单击“确定”,数据库列表中将新增一条“审计状态”为“已关闭”的数据库。
|
数据库类型 |
版本 |
|---|---|
|
MySQL |
|
|
Oracle (因Oracle为闭源协议,适配版本复杂,如您需审计Oracle数据库,请先联系客服人员) |
|
|
PostgreSQL |
|
|
SQLServer |
|
|
GaussDB(for MySQL) |
MySQL 8.0 |
|
DWS |
|
|
DAMENG |
DM8 |
|
KINGBASE |
V8 |
|
SHENTONG |
V7.0 |
|
GBase 8a |
V8.5 |
|
GBase 8s |
V8.8 |
|
Gbase XDM Cluster |
V8.0 |
|
Greenplum |
V6.0 |
|
HighGo |
V6.0 |
|
GaussDB |
|
|
MongoDB |
V5.0 |
|
DDS |
4.0 |
|
Hbase (华为云审计实例:23.02.27.182148 及其之后的版本支持) |
|
|
Hive (华为云审计实例:23.02.27.182148 及其之后的版本支持) |
|
|
MariaDB |
10.6 |
|
TDSQL |
10.3.17.3.0 |
|
Vastbase |
G100 V2.2 |
|
TiDB |
|
- 添加数据库。
- 在左侧导航树中,选择,进入数据库列表界面。
- 在“选择实例”下拉列表框中,选择需要添加数据库的实例。
- 在数据库列表框左上方,单击“添加数据库”。
- 在弹出的对话框中,配置数据库的信息。
- 单击“确定”,数据库列表中将新增一条“审计状态”为“已关闭”的数据库。
- 添加Agent。
- 在左侧导航树中,选择,进入数据库列表界面。
- 在“选择实例”下拉列表框中,选择需要添加Agent的数据库所属的实例。
- 在添加的数据库所在行的“Agent”列,单击“添加Agent”。
- 在弹出的“添加Agent”对话框中,选择添加方式。
- 单击“确定”,Agent添加成功。
- 下载并安装Agent。
- 在左侧导航树中,选择,进入数据库列表界面。
- 在“选择实例”下拉列表框中,选择需要下载Agent的数据库所属的实例。
- 单击“数据库列表”列表页面下方的
展开Agent的详细信息,在Agent所在行的“操作”列,单击“下载agent”。将Agent安装包下载到本地。 - 安装Agent。
- 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点(例如使用WinSCP工具)。
- 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录该节点。
- 执行以下命令,进入Agent安装包“xxx.tar.gz”所在目录。
cd Agent安装包所在目录
- 执行以下命令,解压缩“xxx.tar.gz”安装包。
tar -xvf xxx.tar.gz
- 执行以下命令,进入解压后的目录。
cd 解压后的目录
- 执行以下命令,安装Agent。
sh install.sh
- 执行以下命令,查看Agent程序的运行状态。
service audit_agent status
如果界面回显以下信息,说明Agent程序运行正常。
audit agent is running.
步骤三 开启数据库安全审计
- 开启数据库安全审计。
- 在左侧导航树中,选择,进入数据库列表界面。
- 在选择实例下拉框中,选择需要开启审计的数据库安全审计实例。
- 在待开启审计所在行的“操作”列,单击“开启”,开启审计功能。
审计功能开启后,该数据库的“审计状态”为“已开启”,不需要重启数据库。
- 验证审计结果。
- 开启审计后,在数据库上执行一条SQL语句(例如“show databases”)。
- 在左侧导航栏选择“数据报表”,进入“数据报表”页面。
- 在“选择实例”下拉列表框中,选择需要验证的数据库所属的实例。
- 选择“语句”页签。
- 在“时间”所在行右侧,单击
,选择开始时间和结束时间,单击“提交”,SQL语句列表将显示图1中输入的SQL语句。
