配置隐私数据保护规则_数据库安全服务 DBSS_用户指南_配置审计规则_华为云

(1)

数据库安全服务

用户指南

文档版本 62

发布日期 2022-01-07

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 ^{购买数据库安全审计}

使用数据库安全审计功能前，您需要购买数据库安全审计。数据库安全审计提供包年/

包月计费方式。

约束与限制

● 数据库安全审计不支持跨区域（Region）使用。待审计的数据库必须和购买的数据库安全审计实例在同一区域。

● 购买数据库安全审计实例配置VPC参数，必须与Agent安装节点（应用端或数据库端）所在的VPC保持一致。否则，将导致Agent与审计实例之间的网络不通，无法使用数据库安全审计。

数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

系统影响

数据库安全审计为旁路模式审计，不影响用户业务，与本地审计工具不冲突。

前提条件

已获取管理控制台的登录帐号与密码。

须知

请确认购买实例的帐号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“BSS Administrator”角色。

● VPC Administrator：对虚拟私有云的所有执行权限。项目级角色，在同项目中勾选。

● BSS Administrator：对帐号中心、费用中心、资源中心中的所有菜单项执行任意操

用户指南 1 购买数据库安全审计

(6)

操作步骤

步骤1 进入数据库安全审计购买页面。

步骤2 单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。

步骤3 在界面右上角，单击“购买数据库安全审计”。

步骤4 选择“区域”、“可用区”和“性能规格”，如图1-1所示。

图1-1 选择可用区和性能规格

数据库安全审计各版本的性能规格说明如表1-1所示。

表1-1 数据库安全审计版本性能规格说明 版本支持的数据库实

例

系统资源要求性能参数

基础版最多支持3个数据

库实例 ● CPU：4U

● 内存：

16GB

● 硬盘：

500GB

● 吞吐量峰值：3,000条/秒

● 入库速率：360万条/小时

● 4亿条在线SQL语句存储

● 50亿条归档SQL语句存储

专业版最多支持6个数据

库实例 ● CPU：8U

● 内存：

32GB

● 硬盘：

1000GB

高级版最多支持30个数

据库实例 ● CPU：16U

● 内存：

64GB

● 硬盘：

2000GB

(7)

说明

● 数据库实例通过数据库IP+数据库端口计量。

如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1 个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。

例如：用户有2个数据库资产分别为IP1和IP2，IP1有一个数据库端口，则为1个数据库实例；

IP2有3个数据库端口，则为3个数据库实例。IP1和IP2合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。

● 不支持修改规格。若要修改，请退订后重购。

● 本表中的系统资源要求，是指购买数据库安全审计实例时会消耗的系统资源。购买时，用户的系统需要满足审计版本对应的系统资源要求。

● 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。

步骤5 设置数据库安全审计参数，如图1-2所示，相关参数说明如表1-2所示。

图1-2 设置数据库安全审计参数

表1-2 数据库安全审计实例参数说明

参数名称说明

虚拟私有云您可以选择使用区域中已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“查看虚拟私有云”，跳转到 VPC管理控制台创建新的虚拟私有云。

说明

● 请选择Agent安装节点（应用端或数据库端）所在的VPC。数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的 Agent安装节点？

● 不支持修改VPC。若要修改，请退订后重购。

更多有关虚拟私有云的信息，请参见《虚拟私有云用户指南》。

安全组您可以选择区域中已有的安全组，或者在VPC管理控制台创建

(8)

参数名称说明

子网您可以选择VPC中已配置的子网，或者在VPC管理控制台为 VPC创建新的子网。

实例名称您可以自定义实例的名称。

步骤6 选择“购买时长”，如图1-3所示。

图1-3 选择实例购买时长

勾选“自动续费”后，当购买的数据库安全审计实例到期时，如果帐号余额充足，

DBSS将自动为该实例续费，您可以继续使用该实例。自动续费的周期说明如表1-3所示。

表1-3 自动续费周期说明

购买时长自动续费周期

1/2/3/4/5/6/7/8/9个月 1个月

1年 1年

步骤7 确认当前配置无误后，单击“立即购买”。

如果您对价格有疑问，可以单击“了解计费详情”，了解产品价格。

步骤8 在“详情”页面，阅读《数据库安全审计安全免责声明》后，勾选“我已阅读并同意

《数据库安全审计安全免责声明》” ，单击“提交”。

步骤9 在购买页面，请选择付款方式进行付款。

● 余额支付

您可以通过账户的余额进行支付，余额不足时，单击“充值”进行充值。

a. 选择“余额支付”。

b. 单击“确认付款”，完成购买操作。

● 申请线上合同请款后支付

a. 选择“申请线上合同请款后支付”，单击“生成合同”。

b. 在页面中填写合同信息后，单击“创建正式合同”，完成购买操作。

步骤10 成功付款后，在数据库安全审计实例列表界面，可以查看数据库安全审计实例的创建

(9)

后续处理

● 当实例的“状态”为“运行中”时，如图1-4所示，说明实例购买成功。

图1-4 数据库安全审计购买成功

● 当实例的“状态”为“创建失败”时，如图1-5所示，系统已自动退款。您可单击

“操作”列的“更多 > 查看详情”，在弹出的“创建失败实例”对话框中查看失败原因和删除失败实例。

图1-5 数据库安全审计创建失败

(10)

2 ^{快速使用流程}

购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库对应的数据库端或应用端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。

背景信息

数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计。

须知

● 数据库安全审计不支持跨区域（Region）使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。

● 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。关闭数据库SSL的详细操作，请参见如何关闭数据库SSL？。

● 有关审计数据的保存说明，请参见数据库安全审计的审计数据可以保存多久？。

快速配置流程

购买数据库安全审计后，您可以参照图2-1所示的配置流程，快速使用数据库安全审计。操作步骤的详细说明如表2-1所示。

数据库安全审计还支持批量部署流量采集Agent，针对大规模业务场景（容器化部署应用、数据库（RDS关系型数据库）数量大），能够显著提升产品配置的效率，降低配置的复杂度，减少运维人员的日常维护压力。详细操作步骤，请参见容器化部署数据库安全审计Agent。

用户指南 2 快速使用流程

(11)

图2-1 快速使用数据库安全审计流程图

表2-1 快速使用数据库安全审计操作步骤

步骤配置操作说明

1 添加数据库购买数据库安全审计后，您需要将待审计的数据

库添加到数据库安全审计实例。

2 添加Agent 添加的数据库开启审计功能后，您需要为添加的

数据库选择Agent的添加方式。

数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计，请根据您在华为云上实际部署的数据库选择Agent添加方式。

3 添加安全组规则 Agent添加完成后，您还需要为数据库安全审计

实例所在的安全组添加入方向规则TCP协议

（8000端口）和UDP协议（7000-7100端口），

使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。

4 安装Agent（Linux操

作系统）安全组规则添加完成后，您还需要下载Agent，

并根据Agent的添加方式在数据库端或应用端安装Agent。

(12)

步骤配置操作说明

6 查看审计结果数据库安全审计默认提供一条“全审计规则”的

审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。

须知

您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作，请参见配置审计规则。

效果验证

当您将添加的数据库连接到数据库安全审计实例后，数据库安全审计将记录被添加的数据库的操作行为。您可以在数据库安全审计界面查看被添加的数据库的审计结果。

(13)

3 ^{步骤一：添加数据库}

数据库安全审计支持对华为云上的RDS关系型数据库、ECS/BMS自建数据库进行审计。购买数据库安全审计实例后，您需要将待审计的数据库添加至数据库安全审计实例中。

数据库安全审计支持审计的数据库类型及版本，请参见支持的数据库类型及版本。

前提条件

已成功购买数据库安全审计实例，且实例的状态为“运行中”。

添加数据库

步骤1 登录管理控制台。

步骤2 在页面上方选择“区域”后，单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。

步骤3 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。

步骤4 在“选择实例”下拉列表框中，选择需要添加数据库的实例。

步骤5 在数据库列表框左上方，单击“添加数据库”。

步骤6 在弹出的对话框中，设置数据库的信息，如图3-1所示，相关参数说明如表3-1所示。

图3-1 “添加数据库”对话框

用户指南 3 步骤一：添加数据库

(14)

表3-1 数据库参数说明

参数名称说明取值样例

数据库名称您可以自定义添加的数据库的名称。 test1 IP地址添加的数据库的IP地址。

IP必须为内网IP地址，支持IPv4（例如，

192.168.1.1）和IPv6（例如，

1050:0:0:0:5:600:300c:326b）格式。

192.168.1.1

数据库类型支持的数据库类型，您可以选择以下类型：

● MYSQL

● ORACLE

● POSTGRESQL

● SQLSERVER

● DWS

● GaussDB(for MYSQL)

● GaussDB(for openGauss)

● DAMENG

● KINGBASE

说明当数据库类型选择ORACLE时，待审计的应用程序需重启，重新登录数据库。

MYSQL

端口添加的数据库的端口。 3306

(15)

参数名称说明取值样例数据库版本支持的数据库版本。

● 当“数据库类型”选择“MYSQL”时，您可以选择以下版本：

– 5.0、5.1、5.5、5.6、5.7 – 8.0（8.0.11及以前的子版本）

– 当“数据库类别”为“RDS数据库”时，自动关联获取数据库列表，按需选择实例，

Agent免安装。

● 当“数据库类型”选择“ORACLE”时，您可以选择以下版本：

– 11g – 12c – 19c

● 当“数据库类型”选择“POSTGRESQL”时，

您可以选择以下版本：

7.4及后续版本

● 当“数据库类型”选择“SQLSERVER”时，您可以选择以下版本：

– 2008 – 2012 – 2014 – 2016 – 2017

● 当“数据库类型”选择“DWS”时，您可以选择以下版本：

– 1.5

● 当“数据库类型”选择“GaussDB(for MySQL)”时，您可以选择以下版本：

– 当“数据库类别”为“自建数据库”时，可选择“MySQL 8.0”

– 当“数据库类别”为“RDS数据库”时，自动关联获取数据库列表，按需选择实例，

Agent免安装。

● 当“数据库类型”选择“GaussDB(for openGauss)”时，您可以选择以下版本：

– 2020企业版

● 当“数据库类型”选择“DAMENG”时，您可以选择以下版本：

– DM8

5.0

(16)

参数名称说明取值样例实例名您可以指定需要审计的数据库的实例名称。

说明

● 如果实例名为空，数据库安全审计将审计数据库中所有的实例。

● 如果填写实例名，数据库安全审计将审计填写的实例，最多可填写5个实例名，且实例名以“;”分隔。

-

选择字符集支持的数据库字符集的编码格式，您可以选择以下编码格式：

● UTF-8

● GBK

UTF-8

操作系统添加的数据库运行的操作系统，您可以选择以下操作系统：

● LINUX64

● WINDOWS64

LINUX64

数据库类别选择添加的数据库类别，“RDS数据库”或“自建

数据库”。 RDS数据库

步骤7 单击“确定”，数据库列表中将新增一条“审计状态”为“已关闭”的数据库，如图 3-2所示。

图3-2 数据库添加完成

说明

数据库添加完成后，请您确认添加的数据库信息正确。如果数据库信息不正确，请您在数据库所在行单击“删除”，删除数据库后，再重新添加数据库。

----结束

(17)

4 步骤二：添加 Agent

将待审计数据库添加至数据库安全审计实例后，您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，帮助您实现对数据库的安全审计。

完成添加Agent后，您还需要为Agent安装节点所在的安全组添加入方向规则TCP协议

（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。

前提条件

● 已成功购买数据库安全审计实例，且实例的状态为“运行中”。

● 已成功添加数据库。

常见场景

请您根据数据库类型以及数据库部署场景，为待审计的数据库添加Agent。数据库常见的部署场景说明如下：

● ECS/BMS自建数据库的常见部署场景如图4-1和图4-2所示。

用户指南 4 步骤二：添加 Agent

(18)

图4-1 一个应用端连接多个 ECS/BMS 自建数据库

图4-2 多个应用端连接同一个 ECS/BMS 自建数据库

● RDS关系型数据库的常见部署场景如图4-3和图4-4所示。

(19)

图4-3 一个应用端连接多个 RDS

图4-4 多个应用端连接同一个 RDS

添加Agent方式的详细说明如表4-1所示。

须知

● 当您的应用和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端添加。

● 数据库安全审计还支持批量部署流量采集Agent，针对大规模业务场景（容器化部署应用、数据库（RDS关系型数据库）数量大），能够显著提升产品配置的效率，

降低配置的复杂度，减少运维人员的日常维护压力。详细操作步骤，请参见容器化部署数据库安全审计Agent。

(20)

表4-1 添加 Agent 方式说明 使用场景 Agent安

装节点

审计功能说明注意事项

ECS/BMS自建数据库

数据库端可以审计所有访问该数据库的应用端的所有访问记录。

● 在数据库端添加Agent。

● 当某个应用端连接多个 ECS/BMS自建数据库时，所有连接该应用端的数据库都需要添加Agent。

RDS关系型数据库

应用端

（应用端部署在云上）

可以审计该应用端与其连接的所有数据库的访问记录。

● 在应用端添加Agent。

● 当某个应用端连接多个RDS 时，所有连接该应用端的 RDS关系型数据库都需要添加Agent。当其中一个RDS 选择“安装节点类型”后，

其余RDS添加Agent时，选择“选择已有Agent”添加方式。详细操作请参见

•“添加方式”选择“选择 已有Agent”

● 当多个应用端连接同一个 RDS时，所有连接该RDS的应用端都需要添加Agent。

代理端

（应用端部署在云下）

只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。

● 在应用端添加Agent。

● “安装节点IP”需要配置为代理端的IP地址。

添加 Agent（ECS/BMS 自建数据库）

步骤4 在“选择实例”下拉列表框中，选择需要添加Agent的数据库所属的实例。

步骤5 在添加的数据库所在行的“Agent”列，单击“添加Agent”。

步骤6 在弹出的“添加Agent”对话框中，选择添加方式，如图4-5所示，相关参数说明如表 4-2所示。

(21)

图4-5 在数据库端添加 Agent

表4-2 添加 Agent 参数说明（ECS/BMS 自建数据库）

添加方式您可以选择Agent的添加方式。

● 选择已有Agent

当某个应用端连接了多个数据库时，如果该应用端的一个数据库已经在应用端添加了

Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。

● 创建Agent

如果待添加Agent的数据库需要创建Agent，请创建新的Agent。

创建Agent

安装节点类型当“添加方式”选择“创建Agent”时，需配置该参数。

审计ECS/BMS自建数据库，选择“数据库端”。

数据库端

操作系统指待审计的数据库的操作系统，支持

“LINUX64”。 LINUX64

CPU阈值(%) 可选参数。“安装节点类型”选择“应用端”时，

可以配置该参数。

指待审计的应用端节点的CPU阈值，缺省值为

“80”。

80

内存阈值(%) 可选参数。“安装节点类型”选择“应用端”时，

指待审计的应用端节点的内存阈值，缺省值为

“80”。

80

(22)

步骤8 单击数据库左侧的展开该数据库的详细信息，查看添加的Agent信息，如图4-6所示。

图4-6 Agent 添加完成

说明

Agent添加完成后，请您确认添加的Agent信息正确。如果Agent添加不正确，请您在Agent所在行单击“删除”，删除Agent后，再重新添加Agent。

----结束

添加 Agent（RDS 关系型数据库）

当某个应用端连接了多个RDS时，请按以下方式添加Agent：

● 连接该应用端所有的RDS都需要添加Agent。

● 如果连接该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加 Agent时，请选择“选择已有Agent”添加方式。

步骤4 在“选择实例”下拉列表框中，选择需要添加Agent的数据库所属的实例。

步骤5 在添加的数据库所在行的“Agent”列，单击“添加Agent”。

步骤6 在弹出的“添加Agent”对话框中，选择添加方式，如图4-7和图4-8所示，相关参数说明如表4-3所示。

● “添加方式”选择“选择已有Agent”

在什么场景下需要选择“选择已有Agent”添加方式的详细介绍，请参见在什么场景下需要选择“选择已有Agent”添加方式？。

说明

选择“选择已有Agent”添加方式，如果您已在应用端安装了Agent，该数据库添加Agent 后，数据库安全审计即可对该数据库进行审计。

(23)

图4-7 选择已有 Agent

● “添加方式”选择“创建Agent”

如果待添加Agent的数据库需要创建Agent，请创建新的Agent。

“安装节点类型”选择“应用端”，“安装节点IP”输入应用端内网IP地址。

图4-8 在应用端添加 Agent

表4-3 添加 Agent 参数说明（RDS 关系型数据库）

添加方式您可以选择Agent的添加方式。

● 选择已有Agent

当某个应用端连接了多个数据库时，如果该应用端的一个数据库已经在应用端添加了

Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。

● 创建Agent

如果待添加Agent的数据库需要创建Agent，请

创建Agent

(24)

参数名称说明取值样例安装节点类型当“添加方式”选择“创建Agent”时，需配置该

参数。

审计RDS关系型数据库，需要选择“应用端”。

应用端

安装节点IP “安装节点类型”选择“应用端”时，需配置该参数。

IP地址为应用端内网IP地址。

192.168.1.1）和IPv6（例如，

1050:0:0:0:5:600:300c:326b）格式。

须知当审计RDS关系型数据库且应用端在云下时，代理端将作为应用端，此时，“安装节点IP”需要配置为代理端的IP地址。

192.168.1.1

审计网卡名称可选参数。“安装节点类型”选择“应用端”时，

指待审计的应用端节点的网卡名称。

-

CPU阈值(%) 可选参数。“安装节点类型”选择“应用端”时，

指待审计的应用端节点的CPU阈值，缺省值为

“80”。

须知当服务器的CPU超过设置的阈值，为了保证您业务的正常运行，Agent将自动关闭，停止运行。

80

内存阈值(%) 可选参数。“安装节点类型”选择“应用端”时，

指待审计的应用端节点的内存阈值，缺省值为

“80”。

须知

当服务器上的内存超过设置的阈值，为了保证您业务的正常运行，Agent将自动关闭，停止运行。

80

操作系统可选参数。“安装节点类型”选择“应用端”时，

指待审计的应用端节点的操作系统，可以选择

“LINUX64”或“WINDOWS64”。

LINUX64

步骤7 单击“确定”，Agent添加成功。

步骤8 单击数据库左侧的展开该数据库的详细信息，查看添加的Agent信息，如图4-9所示。

(25)

图4-9 Agent 已添加完成

说明

Agent添加完成后，请您确认添加的Agent信息正确。如果Agent添加不正确，请您在Agent所在行单击“删除”，删除Agent后，再重新添加Agent。

----结束

后续处理

Agent添加完成后，您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP 协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。有关添加安全组规则的详细操作，请参见添加安全组规则。

(26)

5 步骤三：添加安全组规则

Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。

本章节介绍如何为数据库安全审计实例所在的安全组添加TCP协议（8000端口）和 UDP协议（7000-7100端口）。

说明

安全组规则也可以在成功安装Agent后进行添加。

前提条件

● 数据库已成功添加Agent。

添加安全组规则

步骤3 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入“数据库列表”界面。

步骤4 在“选择实例”下拉列表框中，选择需要添加安全组规则的数据库所属的实例。

步骤5 记录Agent安装节点IP信息。

单击数据库左侧的展开Agent的详细信息，并记录“安装节点IP”，如图5-1所示。

图5-1 安装节点 IP

用户指南 5 步骤三：添加安全组规则

(27)

步骤6 在数据库列表的上方，单击“添加安全组”。

步骤7 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图 5-2所示。

图5-2 添加安全组规则

步骤8 单击“前往处理”，进入“安全组”列表界面。

步骤9 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。

步骤10 单击“default”，进入“基本信息”页面。

步骤11 选择“入方向规则”，检查安全组的入方向规则。

请检查该安全组的入方向规则是否已为步骤5的安装节点IP配置了TCP协议（端口为 8000）和UDP协议（端口为7000-7100）规则。

● 如果该安全组已配置安装节点的入方向规则，请执行下载Agent。

● 如果该安全组未配置安装节点的入方向规则，请执行步骤12。

步骤12 为安装节点添加入方向安全规则。

1. 在入方向规则页面，单击“添加规则”，如图5-3所示。

图5-3 添加规则

2. 在“添加入方向规则”对话框中，为图5-1中的安装节点IP添加TCP协议（端口为 8000）和UDP协议（端口为7000-7100）规则，如图5-4所示。

(28)

说明

源地址可以是单个IP地址、IP地址段或安全组：

– 单个IP地址：例如192.168.10.10/32。

– IP地址段：例如192.168.52.0/24。

– 所有IP地址：0.0.0.0/0。

– 安全组：例如sg-abc。

图5-4 “添加入方向规则”对话框

3. 单击“确定”，完成添加入方向规则。

安全组规则添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能开启数据库安全审计功能。

----结束

(29)

6 步骤四：下载并安装 Agent

6.1 下载 Agent

安全组规则添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。

说明

每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的 Agent删除，在重新添加Agent后，请重新下载Agent。

前提条件

操作步骤

步骤4 在“选择实例”下拉列表框中，选择需要下载Agent的数据库所属的实例。

步骤5 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图6-1所示。将Agent安装包下载到本地。

图6-1 下载 Agent

用户指南 6 步骤四：下载并安装 Agent

(30)

请根据安装Agent节点的操作系统类型，选择下载相应的Agent安装包。

● Linux操作系统

在“操作系统”为“LINUX64”的数据库中下载Agent安装包

● Windows操作系统

在“操作系统”为“WINDOWS64”的数据库中下载Agent安装包 ----结束

6.2 安装 Agent（Linux 操作系统）

安装Agent后，你才能开启数据库安全审计。通过本节介绍，您将了解如何在Linux操作系统的节点上安装Agent。Windows操作系统的Agent安装请参见安装Agent

（Windows操作系统）。

前提条件

● 已获取Linux操作系统Agent安装包。

● 安装Agent节点的运行系统满足Linux系统版本要求。有关Linux系统版本的要求，

请参见Agent可以安装在哪些Linux操作系统上？。

常见安装场景

请您根据数据库的类型以及部署场景，在数据库端或应用端安装Agent。数据库常见的部署场景说明如下：

(31)

(32)

安装Agent节点的详细说明如表6-1所示。

须知

当您的应用和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端安装。

表6-1 安装 Agent 场景说明 使用场景 Agent安

装节点

ECS/BMS自建数据库

数据库端可以审计所有访问该数据库的应用端的所有访问记录。

● 在数据库端安装Agent。

● 当某个应用端连接多个 ECS/BMS自建数据库时，

需要在所有连接该应用端的数据库端安装Agent。

应用端

● 在应用端安装Agent。

● 当多个应用端连接同一个 RDS时，所有连接该RDS的应用端都需要安装Agent。

代理端

在代理端安装Agent。

(33)

步骤1 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。

步骤2 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。

步骤3 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。

cd Agent安装包所在目录

步骤4 执行以下命令，解压缩“xxx.tar.gz”安装包。

tar -xvf xxx.tar.gz

步骤5 执行以下命令，进入解压后的目录。

cd 解压后的目录

步骤6 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。

ll

● 如果有安装脚本的执行权限，请执行步骤7。

● 如果没有安装脚本的执行权限，请执行以下操作：

a. 执行以下命令，添加安装脚本执行权限。

chmod +x install.sh

b. 确认有安装脚本执行权限后，请执行步骤7。

步骤7 执行以下命令，安装Agent。

sh install.sh

说明

用户系统是Ubantu时，执行以下命令安装Agent。

bash install.sh

界面回显以下信息，说明安装成功。否则，说明Agent安装失败。

start agent starting audit agent audit agent started start success

install dbss audit agent done!

须知

如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。

步骤8 执行以下命令，查看Agent程序的运行状态。

service audit_agent status

(34)

6.3 安装 Agent（Windows 操作系统）

安装Agent后，你才能开启数据库安全审计。通过本节介绍，您将了解如何在 Windows操作系统的节点上安装Agent。Linux操作系统的Agent安装请参见安装 Agent（Linux操作系统）。

前提条件

● 数据库已成功添加Agent

● 已获取Windows操作系统Agent安装包。

● 安装Agent节点的运行系统满足Windows系统版本要求。有关Windows系统版本的要求，请参见Agent可以安装在哪些Windows操作系统上？。

常见安装场景

请您根据数据库的类型以及部署场景，在数据库端或应用端安装Agent。数据库常见的部署场景说明如下：

(35)

(36)

安装Agent节点的详细说明如表6-2所示。

须知

当您的应用和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端安装。

表6-2 安装 Agent 场景说明 使用场景 Agent安

装节点

ECS/BMS自

建数据库数据库端可以审计所有访问该数据库的应用端的所有访问记录。

● 在数据库端安装Agent。

● 当某个应用端连接多个 ECS/BMS自建数据库时，

需要在所有连接该应用端的数据库端安装Agent。

应用端

● 在应用端安装Agent。

● 当多个应用端连接同一个 RDS时，所有连接该RDS的应用端都需要安装Agent。

代理端

在代理端安装Agent。

(37)

● 如果该Windows主机已安装“Npcap”，请执行步骤2。

● 如果该Windows主机未安装“Npcap”，请执行以下步骤：

a. 请前往https://nmap.org/npcap/下载Npcap最新软件安装包。

图6-10 下载 npcap

b. 将下载好的npcap-xxxx.exe软件安装包上传至需要安装agent的虚拟机。

c. 双击npcap软件安装包。

d. 在弹出的对话框中，单击“I Agree”，如图6-11所示。

图6-11 同意安装“Npcap”

e. 在弹出的对话框中，单击“Install”，不勾选安装选项，如图6-12所示。

(38)

图6-12 安装“Npcap”

f. 在弹出的对话框中，单击“Next”。

g. 单击“Finish”，完成安装。

(39)

步骤2 以“Administrator”用户登录到Windows主机。

步骤3 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。

步骤4 进入Agent安装包所在目录，并解压缩安装包。

步骤5 进入解压后的文件夹，双击“install.bat”执行文件。

步骤6 安装成功，界面如图6-13所示，按任意键结束安装。

图6-13 Agent 安装成功

(40)

如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

----结束

7 步骤五：开启数据库安全审计

数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启数据库安全审计后，您可以查看被添加的数据库的审计结果。详细操作，请参见查看审计结果。

前提条件

● 已成功添加并安装Agent，且Agent的运行状态为“正在运行”。

● 数据库安全审计实例已成功添加安全组规则。

开启审计

步骤3 在左侧导航栏中，选择“数据库列表”，进入“数据库列表”界面。

图7-1 进入“数据库列表”界面

用户指南 7 步骤五：开启数据库安全审计

(42)

图7-2 开启数据库审计功能

----结束

验证审计效果

步骤1 开启审计后，在数据库上执行一条SQL语句（例如“show databases”）。

步骤3 验证Agent与数据库安全审计实例的网络通信正常。

步骤5 在“选择实例”下拉列表框中，选择需要验证的数据库所属的实例。

步骤6 选择“语句”页签。

步骤7 在“时间”所在行右侧，单击，选择开始时间和结束时间，单击“提交”，SQL 语句列表将显示步骤1中输入的SQL语句，如图7-3所示。

图7-3 查看 SQL 语句

● 如果SQL语句列表中未显示输入的SQL语句，说明Agent与数据库安全审计实例之间网络通信异常，请参照如何处理Agent与数据库安全审计实例之间通信异常？

处理。

----结束

用户指南 7 步骤五：开启数据库安全审计

(43)

8 步骤六：查看审计结果

8.1 查看审计总览信息

添加的数据库连接到数据库安全审计实例后，您可以查看数据库的审计总览信息，包括数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。

前提条件

● 已成功开启数据库安全审计功能。

操作步骤

步骤3 在“选择实例”下拉列表框中，选择需要查看审计总览信息的实例。

步骤4 查看数据库的总体审计情况，以及数据库的风险分布、会话统计和SQL分布信息，如图8-1、图8-2、图8-3和图8-4所示。

● 在“选择数据库”下拉列表框中，选择“全部数据库”或指定的数据库，可以查看实例中所有的数据库或指定的某个数据库的总览信息。

● 选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或

“近30天”）；或者单击，选择开始时间和结束时间，查看指定的时间段的总览信息。

图8-1 查看审计概况

用户指南 8 步骤六：查看审计结果

(44)

图8-2 风险分布

图8-3 会话统计

图8-4 SQL 分布

----结束

8.2 查看 SQL 语句详细信息

添加的数据库连接到数据库安全审计实例后，您可以查看该数据库详细的SQL语句信息。

(45)

操作步骤

步骤3 在“选择实例”下拉列表框中，选择需要查看SQL语句信息的实例。

步骤4 选择“语句”页签。

步骤5 查询SQL语句信息，如图8-5所示。

图8-5 查询 SQL 语句

您可以按照以下方法，查询指定的SQL语句。

● 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7 天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，

列表显示该时间段的SQL语句。

● 选择“风险等级”（“全部”、“高”、“中”、“低”或“信任”），单击

“提交”，列表显示该级别的SQL语句。

● 单击“高级选项”后的，输入相关信息，如图8-6所示，单击“提交”，列表显示该选项的SQL语句。

说明

一次查询最多可查询10,000条记录。

图8-6 高级选项信息

步骤6 在需要查看详情的SQL语句所在行的“操作”列，单击“详情”，如图8-7所示。

(46)

步骤7 在“详情”提示框中，查看SQL语句的详细信息，如图8-8所示，相关参数说明如表 8-1所示。

须知

审计语句和结果集的长度限制为10,240字节。超出部分，系统将不记录在审计日志中。

图8-8 “详情”提示框

表8-1 SQL 语句详情参数说明

参数名称说明

会话ID SQL语句的ID，由系统自动生成。

数据库实例 SQL语句所在的数据库实例。

数据库类型执行SQL语句所在的数据库的类型。

数据库用户执行SQL语句的数据库用户。

客户端MAC地址执行SQL语句所在客户端MAC地址。

数据库MAC地址执行SQL语句所在数据库MAC地址。

客户端IP 执行SQL语句所在客户端的IP地址。

数据库IP 执行SQL语句所在的数据库的IP地址。

客户端端口执行SQL语句所在的客户端的端口。

(47)

参数名称说明

操作类型 SQL语句的操作类型。

操作对象类型 SQL语句的操作对象的类型。

响应结果执行SQL语句的响应结果。

影响行数执行SQL语句的影响行数。

开始时间 SQL语句开始执行的时间。

应结束时间 SQL语句结束的时间。

SQL请求语句 SQL语句的名称。

请求结果 SQL语句请求执行的结果。

----结束

8.3 查看会话分布

添加的数据库连接到数据库安全审计实例后，您可以查看该数据库的会话分布情况。

前提条件

操作步骤

步骤3 在“选择实例”下拉列表框中，选择需要查看会话信息的实例。

(48)

● 选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或

“近30天”）；或者单击，选择开始时间和结束时间，查看指定的时间段的会话信息。

图8-9 会话分布表

----结束

9 ^{配置审计规则}

9.1 添加审计范围

数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围，设置需要审计的数据库范围。

须知

全审计规则大于自定义添加的审计范围规则，若您需要重新添加审计范围规则，请禁用“全审计规则”。

前提条件

操作步骤

步骤3 在左侧导航树中，选择“审计规则”。

步骤4 在“选择实例”下拉列表框中，选择需要添加审计范围的实例。

步骤5 在审计范围列表框左上方，单击“添加审计范围”。

说明

用户指南 9 配置审计规则

(50)

步骤6 在弹出的对话框中，设置审计范围，如图9-1所示，相关参数说明如表9-1所示。

图9-1 “添加审计范围”对话框

表9-1 审计范围参数说明

名称自定义审计范围的名称。 audit00

数据库名称选择“ALL（全部数据库）”或选择待添加审计范

围的数据库。 db03

操作类型审计范围的操作类型，包括“登录”和“操作”。

当选择“操作”时，可以选择“全部操作”，或选择“数据定义”、“数据操作”或“数据控制”的操作。

登录

数据库账户可选参数。输入数据库的账户名。 - 例外IP 可选参数。输入不需要对数据库操作行为进行审计

的IP地址。

说明例外IP规则高于源IP规则，当例外IP和源IP中填写的IP地址有重叠时，将不对重叠IP的数据库操作行为进行审计。

-

(51)

参数名称说明取值样例源IP 可选参数。输入访问待审计数据库的IP地址或IP地

址段。

192.168.1.1）和IPv6（例如，

1050:0:0:0:5:600:300c:326b）格式。

-

源端口可选参数。输入访问待审计数据库的端口。 -

步骤7 单击“确定”。

添加成功，审计范围列表新增一条状态为“已启用”的审计范围。

----结束

9.2 添加 SQL 注入规则

数据库安全审计提供“添加SQL注入规则”，您可根据需要自定义添加对应的SQL规则，添加后可以对成功连接数据库安全审计的所有数据进行安全审计。

前提条件

● 已成功添加数据库并开启审计功能。

● 已成功添加数据库。

操作步骤

步骤4 在“选择实例”下拉列表框中，选择需要添加审计范围的实例。

步骤5 选择“SQL注入”页签。

(52)

图9-2 添加 SQL 注入规则

表9-2 SQL 注入规则参数说明

参数名称参数说明取值样例

规则名称目标SQL规则的名称，可自定义输入。邮编SQL注入规则风险等级目标SQL规则的风险级别，可以选择以下

级别：

● 高

● 中

● 低

● 无风险

中

状态开启或关闭当前SQL注入规则。

● ：开启

● ：关闭

(53)

参数名称参数说明取值样例正则表达

式目标SQL规则采用正则表达式检测的公式，需要您根据需要检测的内容来输入确定。

^\d{6}$

原始数据正则表达式能检测的正确数据。

输入正则表达式能检测的正确数据，单击

“测试”对正则表达式进行检测。

628307

结果显示测试的结果：

● 命中

● 未命中说明

测试结果为“命中”：表示正则表达式无误；

测试结果为“未命中”：表示正则表达式有误。

命中

步骤7 填写完成，确认信息无误，单击“确认”，添加完成，新增的SQL注入规则默认为SQL 注入列表第一条。

----结束

9.3 启用或禁用 SQL 注入检测

数据库安全审计的SQL注入检测默认开启，您可以禁用或启用SQL注入的检测规则。

须知

一条审计数据只能命中SQL注入检测中的一个规则。

前提条件

● SQL注入检测的状态为“已禁用”时，可以启用SQL注入检测。

● SQL注入检测的状态为“已启用”时，可以禁用SQL注入检测。

禁用 SQL 注入检测

SQL注入检测默认开启，您可以根据使用需要禁用SQL注入检查规则。禁用SQL注入检测规则后，该审计规则在审计中将不生效。

(54)

步骤4 在“选择实例”下拉列表框中，选择需要禁用SQL注入检测的实例。

步骤5 选择“SQL注入”页签。

步骤6 在SQL注入检测规则所在行的“操作”列，单击“设置优先级”，在弹出的窗口中单击“优先级”的选框选择想要设置的优先等级，数字越小优先级越高，如图9-3所示，

选择完成，单击“确定”完成设置。

图9-3 设置优先级

步骤7 在SQL注入检测规则所在行的“操作”列，单击“禁用”，如图9-4所示。

图9-4 禁用 SQL 注入检测规则

禁用SQL注入检测成功，该SQL注入检测规则的状态为“已禁用”。

步骤8 单击“操作”列的“编辑”，可对目标规则的参数进行编辑，如图9-5所示；参数说明如表9-3所示，编辑完成，确认信息无误，单击“确认”，完成修改。

(55)

图9-5 编辑 SQL 注入规则

表9-3 SQL 注入规则参数说明

参数名称参数说明取值样例

规则名称目标SQL规则的名称，可自定义输入。邮编SQL注入规则风险等级目标SQL规则的风险级别，可以选择以下

级别：

● 高

● 中

● 低

● 无风险

中

状态开启或关闭当前SQL注入规则。

● ：开启

●

(56)

参数名称参数说明取值样例原始数据正则表达式能检测的正确数据。

输入正则表达式能检测的正确数据，单击

“测试”对正则表达式进行检测。

628307

结果显示测试的结果：

● 命中

● 未命中说明

测试结果为“命中”：表示正则表达式无误；

测试结果为“未命中”：表示正则表达式有误。

命中

步骤9 单击“操作”列的“删除”，对目标规则进行删除。

----结束

后续处理

禁用SQL注入检测规则后，如果您需要启动该规则，请在SQL注入检测规则所在行的

“操作”列，单击“启用”，如图9-6所示，启用该规则。

图9-6 启用 SQL 注入检测规则

启用SQL注入检测成功，该SQL注入检测规则的状态为“已启用”。

9.4 添加风险操作

数据库安全审计内置了“数据库拖库检测”和“数据库慢SQL检测”两条检测规则，

帮助您及时发现数据库安全风险。同时，您也可以通过添加风险操作，自定义数据库需要审计的风险操作规则。

须知

一条审计数据只能命中风险操作中的一个规则。

前提条件

(57)

操作步骤

步骤4 在“选择实例”下拉列表框中，选择需要添加风险操作的实例。选择“风险操作”页签。在风险操作列表左上方，单击“添加风险操作”。

步骤5 在“添加风险操作”界面，设置基本信息和客户端IP地址，如图9-7所示，相关参数说明如表9-4所示。

图9-7 设置基本信息和客户端 IP 地址

表9-4 风险操作参数说明

风险操作名称您可以自定义风险操作的名称。 test 风险级别选择风险操作的级别，可以选择以下级别：

● 高

● 中

● 低

高

(58)

参数名称说明取值样例状态开启或关闭风险操作。

● ：开启

● ：关闭

应用到数据库选择应用该风险操作的数据库。

您可以勾选“全部数据库”或选择某数据库使用该风险操作规则。

-

客户端IP/IP段输入客户端的IP地址或IP地址段。

IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。

192.168.0.0

步骤6 设置操作类型、操作对象、执行结果，如图9-8所示，相关参数说明如表9-5所示。

图9-8 设置操作类型、操作对象和执行结果

表9-5 参数说明

操作类型风险操作的类型，包括“登录”和“操作”。

当选择“操作”时，可以选择“全部操作”，或选择“数据定义（DDL）”、“数据操作

（DML）”或“数据控制（DCL）”的操作。

操作

操作对象单击“添加操作对象”后，输入“目标数据库”、

“目标表”和“字段”信息。单击“确定”，添加操作对象。

-

(59)

参数名称说明取值样例执行结果设置“影响行数”和“执行时长”的执行条件后，

输入行数和时长值，执行条件包括：

● 大于

● 小于

● 等于

● 大于等于

● 小于等于

-

步骤7 单击“保存”。

----结束

9.5 配置隐私数据保护规则

当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，防止数据库用户敏感信息泄露。

前提条件

操作步骤

步骤4 在“选择实例”下拉列表框中，选择需要配置隐私数据保护规则的实例。

步骤5 选择“隐私数据保护”页签。

步骤6 开启或关闭“存储结果集”和“隐私数据脱敏”。

● 存储结果集

(60)

● 隐私数据脱敏

建议开启。开启后，您可以通过配置隐私数据脱敏规则，防止数据库敏感信息泄露。

步骤7 单击“添加自定义规则”，在弹出“添加自定义规则”对话框中设置数据脱敏规则，

如图9-9所示，相关参数说明如表9-6所示。

图9-9 “添加自定义规则”对话框

表9-6 自定义规则参数说明

规则名称自定义规则的名称。 test

正则表达式输入需要配置的正则表达式。 -

替换值输入正则表达式脱敏后的替换值。 ###

步骤8 单击“确定”。

规则列表中新增一条状态为“已启用”的脱敏规则。

----结束

效果验证

(61)

图9-10 开启隐私数据保护

步骤2 使用MySQL数据库自带的客户端，以root用户登录数据库。

步骤3 在数据库客户端，输入一条SQL请求语句。

select * from db where HOST="军官证号";

步骤4 根据筛选条件，查询输入的SQL语句。

步骤5 在该SQL语句所在行的“操作”列，单击“详情”。

步骤6 查看SQL请求语句信息，隐私数据脱敏功能正常，“SQL请求语句”显示信息如图 9-11。

图9-11 查看脱敏后的 SQL 请求语句

----结束

其它操作

添加自定义脱敏规则后，您可以根据使用需求，对自定义规则执行以下操作：

● 禁用

在需要禁用的规则所在行的“操作”列，单击“禁用”，可以禁用该规则。禁用

(62)

● 删除

在需要删除的规则所在行的“操作”列，单击“删除”，在弹出的提示框中，单击“确定”，删除该规则。

配置隐私数据保护规则_数据库安全服务 DBSS_用户指南_配置审计规则_华为云

数据库安全服务

用户指南

目 录

1 购买数据库安全审计... 1

2 快速使用流程... 6

3 步骤一：添加数据库... 9

4 步骤二：添加 Agent...13

5 步骤三：添加安全组规则... 22

6 步骤四：下载并安装 Agent... 25

7 步骤五：开启数据库安全审计...37

8 步骤六：查看审计结果... 39

9 配置审计规则...45

10 设置告警通知...59

11 查看监控信息...62

12 备份和恢复数据库审计日志... 66

14 云审计服务支持的关键操作... 88

15 权限管理... 91

A 修订记录... 93

1 购买数据库安全审计

约束与限制

系统影响

前提条件

操作步骤

后续处理

2 快速使用流程

背景信息

快速配置流程

相关操作

效果验证

3 步骤一：添加数据库

前提条件

添加数据库

4 步骤二：添加 Agent

前提条件

常见场景

添加 Agent（ECS/BMS 自建数据库）

添加 Agent（RDS 关系型数据库）

后续处理

5 步骤三：添加安全组规则

前提条件

添加安全组规则

6 步骤四：下载并安装 Agent

6.1 下载 Agent

前提条件

操作步骤

6.2 安装 Agent（Linux 操作系统）

前提条件

常见安装场景

相关操作

6.3 安装 Agent（Windows 操作系统）

前提条件

常见安装场景

相关操作

7 步骤五：开启数据库安全审计

前提条件

开启审计

验证审计效果

8 步骤六：查看审计结果

8.1 查看审计总览信息

前提条件

操作步骤

相关操作

8.2 查看 SQL 语句详细信息

操作步骤

相关操作

8.3 查看会话分布

前提条件

操作步骤

相关操作

9 配置审计规则

9.1 添加审计范围

前提条件

操作步骤

相关操作

9.2 添加 SQL 注入规则

前提条件

操作步骤

9.3 启用或禁用 SQL 注入检测

前提条件

目录

1 ^{购买数据库安全审计}

2 ^{快速使用流程}

3 ^{步骤一：添加数据库}

9 ^{配置审计规则}