文档首页/ 数据库安全服务 DBSS/ 用户指南/ 开通并使用数据库安全审计(安装Agent)/ 流程指引
更新时间:2024-11-07 GMT+08:00
查看PDF
分享

流程指引

本节内容指引您快速启用数据库安全审计服务DBSS。

背景信息

数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。

  • 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。
  • 数据库开启SSL时,将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能,请关闭数据库的SSL。关闭数据库SSL的详细操作,请参见如何关闭数据库SSL?
  • 有关审计数据的保存说明,请参见数据库安全审计的审计数据可以保存多久?

首先,您需要创建一个数据库安全审计实例,然后连接数据库与新创建的数据库安全审计实例,连接成功后,即可开启数据库安全审计。

免Agent方式审计数据库

部分数据库类型及版本支持免安装Agent方式,如表1所示。

表1 支持免Agent安装的关系型数据库

数据库类型

支持的版本

GaussDB for MySQL

默认都支持

RDS for SQLServer

(华为云审计实例:23.02.27.182148 及其之后的版本支持)

默认都支持

RDS for MySQL
  • 5.6(5.6.51.1及以上版本)
  • 5.7(5.7.29.2及以上版本)
  • 8.0(8.0.20.3及以上版本)

DDS

4.0

PostgreSQL

(华为云审计实例:23.04.17.123301 及其之后的版本支持)

须知:

当SQL语句大小超过4KB审计时会被截断,会导致审计到的SQL语句不完整。
  • 14(14.4及以上版本)
  • 13(13.6及以上版本)
  • 12(12.10及上版本)
  • 11(11.15及以上版本)
  • 9.6(9.6.24及以上版本)
  • 9.5(9.5.25及以上版本)

RDS for MariaDB

默认都支持
  • 免安装Agent模式配置简单、易操作,但较之安装了Agent的DBSS实例,支持的功能上存在如下差异:
    • 统计会话数量时,无法统计成功登录、与失败登录的会话个数。
    • 无法获取数据库访问时客户端的端口号。
  • 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略,只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。
  • GaussDB默认不开启ddl,用户需要参照GaussDB用户手册操作开启如下配置:
    • audit_system_object = 130023423,操作请参考:GaussDB开发指南
    • datastyle=ISO,YMD,保证日期格式为yyyy-MM-dd HH:mm:ss+Z。
图1 免Agent安装流程
表2 快速使用数据库安全审计操作步骤

步骤

配置操作

说明

1

添加数据库

购买数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。

申请数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。

2

开启数据库安全审计

您需要开启数据库安全审计功能,将添加的数据库连接到数据库安全审计实例,才能使用数据库安全审计功能。

3

查看审计结果

数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。

须知:

您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则

通过Agent方式审计数据库

表1中的数据库类型及版本,需采用安装Agent方式开启DBSS服务。

图2 快速使用数据库安全审计流程图
表3 快速使用数据库安全审计操作步骤

步骤

配置操作

说明

1

添加数据库

购买数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。

2

添加Agent

添加的数据库开启审计功能后,您需要为添加的数据库选择Agent的添加方式。

数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计,请根据您在华为云上实际部署的数据库选择Agent添加方式。

3

添加安全组规则

Agent添加完成后,您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。

4

安装Agent(Linux操作系统)

安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent。

5

开启数据库安全审计

Agent安装成功后,您还需要开启数据库安全审计功能,将添加的数据库连接到数据库安全审计实例,才能使用数据库安全审计功能。

6

查看审计结果

数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。

须知:

您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则

容器化部署方式

所有数据库类型及版本均支持使用容器化部署方式,开启DBSS服务。

具体请参见:容器化部署数据库安全审计Agent

相关操作

效果验证

当您将添加的数据库连接到数据库安全审计实例后,数据库安全审计将记录被添加的数据库的操作行为。您可以在数据库安全审计界面查看被添加的数据库的审计结果。

相关文档