产品功能
数据库安全审计
| 功能名称 | 功能描述 | 相关章节 |
|---|---|---|
| 配置数据库 | 数据库安全审计支持对华为云上的RDS关系型数据库、ECS/BMS自建数据库进行审计。购买数据库安全审计实例后,您需要将待审计的数据库添加至数据库安全审计实例中。成功添加数据库后,您可以查看数据库信息、关闭、删除数据库。 | |
| 配置Agent | 将待审计数据库添加至数据库安全审计实例后,您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,帮助您实现对数据库的安全审计。安装Agent后,您才能开启数据库安全审计。支持在Linux操作系统和Windows操作系统安装Agent。数据库添加了Agent,您还可以查看Agent信息、关闭或删除Agent。 注意: 为实现非侵入式旁路解析流量,无法支持SSL加密通道,这会降低安全性。 | |
| 配置安全组规则 | Agent添加完成后,您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。 | |
| 实例管理 | 成功购买数据库安全审计实例后,您可以查看实例信息,开启、重启或关闭实例。 | |
| 配置审计范围 | 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围,设置需要审计的数据库范围。添加审计范围后,您可以查看审计范围信息,启用、编辑、禁用或删除审计范围。 | |
| 风险操作管理 | 成功添加风险操作后,您可以查看风险操作信息,启用、编辑、禁用、删除风险操作,或设置风险操作优先级。 | |
| SQL注入 | 数据库安全审计的SQL注入检测默认开启,您可以禁用或启用SQL注入的检测规则。一条审计数据只能命中SQL注入检测中的一个规则。 | |
| 隐私数据保护 | 当需要对输入的SQL语句的敏感信息进行脱敏时,您可以通过开启隐私数据脱敏功能,以及配置隐私数据脱敏规则,防止数据库用户敏感信息泄露。 | |
| 报表管理 | 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后,您可以查看报表模板信息和报表结果。 | |
| 告警通知 | 通过设置告警通知,当数据库发生设置的告警事件时,您可以收到DBSS发送的告警通知,及时了解数据库的安全风险。否则,无论是否有危险,您都只能登录管理控制台自行查看,无法收到告警信息。告警通知信息可能会被误拦截,若您未收到相关告警信息,请在信息拦截中查看。系统每5分钟进行一次告警统计,并触发告警通知。 | |
| 审计日志 | 数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。您可以根据需要备份或恢复数据库审计日志。备份审计日志后,您可以查看备份的审计日志信息,或删除备份的审计日志。 |
数据库安全加密
本节将介绍数据库安全加密的主要功能。
加密
| 功能名称 | 功能描述 | 相关章节 |
|---|---|---|
| 资产管理 | 支持数据库资产的增删改查以及数据源连通性测试,并支持数据库读写分离配置、加密模式配置、返回值配置、账号权限检测。 | |
| 敏感数据发现 | 支持敏感数据扫描、敏感数据类型管理、敏感数据行业模板管理。 | |
| 业务测试 | 支持业务仿真测试,模拟是否可以正常加解密;支持在加密前接入网络进行业务SQL流量分析,定位出加密后可能执行异常的SQL,并生产分析报表。 | |
| 数据加密 | 在数据加密模块对加密与解密队列管理,支持对客户端和数据库用户授权限制用户访问,查看并下载加密日志、回滚表结构、管理加密表、下载bypass插件。 | |
| 动态脱敏 | 支持对敏感数据配置脱敏算法,对明文数据进行动态脱敏展示。 | |
| 密钥管理 | 支持三级密钥算法、密钥来源配置、密钥(DSK)周期轮转更新,支持配置KMS对接,密钥记录查看与密钥检索。 | |
| 平台管理 | 在平台管理模块对系统进行基础网卡与路由配置、系统升级、配置数据的备份与恢复、查看应用访问记录、安全口令配置等管理操作。 | |
| 系统管理 |
| |
| 日志管理 | 支持查看与检索系统所有操作行为的日志信息。 |
数据库安全运维
本节将介绍数据库安全运维的主要功能。
运维
| 功能名称 | 功能描述 | 相关章节 |
|---|---|---|
| 首页 | 统计数据源概览,风险类型分布top,访问请求趋势、访问请求、并发趋势、流量趋势等数据,及提供风险分布、审计日志、安全防护规则、流程审批等业务信息概览。 | |
| 资产管理 | 可添加、编辑、删除数据源。支持对数据库账号进行管理。 | |
| 安全策略 | 为数据源配置安全策略。包括黑白名单、安全规则、虚拟补丁、误删恢复、客户端语句过滤等,并提供对象管理提高策略配置效率。 | |
| 审计中心 | 审计日志内容能够详尽地显示访问行为发生的具体特征,还原用户的访问行为;支持配置业务字典,将日志中的IP、账号、操作命令、操作对象翻译成易于用户理解的字段。 | |
| 风险管控 | 支持对数据源进行风险项扫描,并生成相应的分析报告。 | |
| 报表管理 | 支持基于概览,数据源分析、访问分析、风险分析、运维分析等维度生成报表。支持针对各类型报表进行详细内容的自定义配置与周期性生成;支持报表任务管理,并进行报表的下载。 | |
| 运维管理 | 系统管理员可对已经提交的工单进行审批、驳回操作,并支持对工单进行监控,手动回收工单权限;可对安全客户端免密登录的运维账号授权。 | |
| 系统管理(安全管理员) | 支持系统账号审核、角色管理、系统登录安全设置、密码安全设置等 | |
| 系统管理 |
| |
| 日志管理 | 支持查看与检索系统所有操作行为的日志信息。 | |
| 运维管理(数据库操作员) | 数据库操作员可通过发起工单申请运维操作权限,同时系统提供安全客户端对数据库进行安全操作。 |
