快速使用数据库安全审计
数据库安全审计是数据库安全服务提供的旁路模式数据库审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警。同时,数据库安全审计可以生成满足数据安全标准(例如Sarbanes-Oxley)的合规报告,对数据库的内部违规和不正当操作进行定位追责,保障数据资产安全。
数据库安全审计在不影响用户业务的前提下,支持对华为云上的关系型数据库(RDS)、弹性云服务器(ECS)/裸金属服务器(BMS)的自建数据库进行灵活的审计。
本指南以审计ECS的自建数据库为例,指导您快速上手数据库安全审计。
Step1 购买数据库安全审计
步骤
① 登录华为云控制台。
② 进入数据库安全审计购买页面。
③ 设置数据库安全审计实例参数后,购买实例。
说明
- 购买数据库安全审计前,请确保区域的虚拟私有云的安全组和子网资源可用。
- 配置VPC参数时,需与待安装Agent节点的VPC保持一致。
1
设置数据库安全审计实例参数
单击图片可查看原图
Step2.1 添加数据库
步骤
① 在左侧导航树中,选择“数据库安全审计 > 数据库列表”,单击“添加数据库”。
② 配置待添加的数据库信息。
③ 单击“确定”,完成添加数据库。
说明
新增数据库的“审计状态”默认为“已关闭”。
1
添加数据库
2
配置数据库信息
单击图片可查看原图
Step2.2 添加Agent
步骤
① 在成功添加的数据库页面,单击“添加Agent”,为ECS的自建数据库添加Agent。
说明
- 添加Agent时,ECS/BMS的自建数据库可以选择“数据库端”或“应用端”,RDS选择“应用端”。
1
添加Agent
单击图片可查看原图
Step2.3 添加安全组规则
步骤
添加Agent成功后,您必须为数据库安全审计实例所在的安全组开放入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),以防Agent与审计实例之间的网络不通。
如果安全组已开放入方向规则,请跳过本步骤;如果没有开放入方向规则,请执行以下操作:
① 获取Agent安装节点IP信息。
② 单击列表上方的“添加安全组规则”,获取安全组名称。
③ 根据弹框中的操作详情,为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口)。
说明
- 若安全组规则已添加,您可以直接下载Agent并安装Agent。
1
记录Agent安装节点IP信息
2
获取安全组名称
3
添加入方向规则
单击图片可查看原图
Step3 下载并安装Agent
步骤
① 在成功添加的数据库页面,下载Agent安装包。
② 登录ECS的自建数据库,安装Agent。
说明
每个Agent都有唯一的AgentID,是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除,在重新添加Agent后,请重新下载Agent。
1
下载Agent安装包
2
安装Agent
单击图片可查看原图
Step4 开启数据库安全审计功能
步骤
① Agent安装成功后,在需要开启审计功能所在行的操作列,单击“开启”。
说明
数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启审计功能后,您可以查看待审计的数据库的审计结果。
1
开启审计功能
单击图片可查看原图
Step5 查看审计结果
步骤
① 在左侧导航树中,选择“数据库安全审计 > 总览”。
② 在“总览”界面,查看数据库审计的总体情况。
说明
数据库安全审计支持使用Google Chrome或Mozilla FireFox浏览器预览报表结果。
1
进入总览界面
2
查看审计总体情况
单击图片可查看原图