场景说明_数据库安全服务 DBSS_最佳实践_容器化部署数据库安全审计Agent_华为云

(1)

最佳实践

文档版本 14

发布日期 2021-12-31

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 审计 ECS 自建数据库

数据库安全审计采用旁路部署模式，通过在数据库或应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库的安全审计。

审计ECS/BMS自建数据库架构图如图1-1所示。

图1-1 审计 ECS/BMS 自建数据库架构图

场景说明

假设您在华为云的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表1-1所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装Agent，开启数据库安全审计功能和验证审计结果的操作。

表1-1 ECS 自建数据库信息说明 数据库类型 MySQL 数据库版本 5.7

数据库IP地址 192.168.1.5

端口 3306

操作系统 LINUX64

(5)

约束与限制

● 使用数据库安全审计需要关闭数据库的SSL。

● 待审计数据库与数据库安全审计需要在同一区域。

● 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。

数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

步骤一：购买数据库安全审计

您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。

说明

为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。

步骤二：添加数据库并开启审计

购买数据库安全审计后，您需要先将目标数据库添加至数据库安全审计实例并开启该数据库的审计功能。

步骤1 登录管理控制台。

步骤2 在页面上方选择“区域”后，单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。

步骤3 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。

步骤4 在“选择实例”下拉列表框中，选择需要添加数据库的实例。在数据库列表框左上方，单击“添加数据库”。

步骤5 在弹出的对话框中，按表1-1所示信息填写数据库参数，如图1-2所示。

图1-2 “添加数据库”对话框

(6)

步骤6 单击“确定”，该数据库添加到数据库列表中，且“审计状态”为“已关闭”。

步骤7 在该数据库所在行的“操作”列，单击“开启”，开启审计功能。

----结束

步骤三：添加 Agent

步骤1 在数据库所在行的“Agent”列，单击“添加Agent”，如图1-3所示。

图1-3 添加 Agent

步骤2 在弹出的对话框中，选择添加方式。

图1-4 在数据库端添加 Agent

步骤3 单击“确定”，Agent添加成功。

----结束

步骤四：添加安全组规则

Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。

● 如果该安全组已配置安装节点的入方向规则，请执行步骤五：安装Agent。

● 如果该安全组未配置安装节点的入方向规则，请按照本节内容进行配置。

说明

安全组规则也可以在成功安装Agent后进行添加。

(7)

步骤1 获取安装节点IP地址。

步骤2 在数据库列表的上方，单击“添加安全组”。

步骤3 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图 1-5所示。

图1-5 添加安全组规则

步骤4 单击“前往处理”，进入“安全组”界面。

步骤5 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。

步骤6 单击“default”，进入“基本信息”页面。

步骤7 选择“入方向规则”页签，单击“添加规则”，如图1-6所示。

图1-6 添加规则

步骤8 在“添加入方向规则”对话框中，为安装节点IP添加TCP协议（端口为8000）和UDP 协议（端口为7000-7100）规则，如图1-7所示。

(8)

图1-7 “添加入方向规则”对话框（ECS）

步骤9 单击“确定”，完成添加入方向规则。

----结束

步骤五：安装 Agent

添加安全规则后，您需要下载Agent包并将下载的Agent安装包上传到待安装Agent的节点上进行安装。使添加的数据库连接到数据库安全审计实例，数据库安全审计才能对添加的数据库进行审计。

说明

每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的 Agent删除，在重新添加Agent后，请重新下载Agent和安装Agent。

步骤1 登录控制台进入数据库安全服务。

步骤3 在“选择实例”下拉框中，选择需要下载Agent的数据库所属实例。

步骤4 单击该数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击

“下载agent”，如图1-8所示。

将Agent安装包下载到本地。

图1-8 下载 Agent

步骤5 使用跨平台传输工具（例如WinSCP），将下载的Agent安装包“xxx.tar”上传到待安装Agent的节点（即图1-8中的“安装节点IP”）。

步骤6 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该安装节点。

步骤7 执行以下命令，进入Agent安装包“xxx.tar”所在目录。

步骤8 cd Agent安装包所在目录

(9)

步骤9 执行以下命令，解压缩“xxx.tar”安装包。

步骤10 tar -xvf xxx.tar

步骤11 执行以下命令，进入“install.sh”脚本所在目录。

步骤12 cd install.sh脚本所在目录步骤13 执行以下命令，安装Agent。

步骤14 sh install.sh

步骤15 如果界面回显以下信息，说明安装成功。

start agent starting audit agent audit agent started start success

install dbss audit agent done!

----结束

步骤六：验证 Agent 与数据库安全审计实例之间的网络通信正常

待审计的数据库与数据库安全审计实例连接成功后，您需要验证Agent与数据库安全审计实例之间的网络通信是否正常。

步骤1 在安装Agent的节点执行一条SQL语句或对数据库进行操作（例如，“Select 1;”）。

步骤2 在左侧导航树中，选择“总览”，进入“总览”界面。

步骤3 在“选择实例”下拉列表框中，选择需要查看数据库慢SQL语句信息的实例。

步骤4 选择“语句”页签。

步骤5 SQL语句列表将显示登录数据库操作的记录，如图1-9所示。

如果不能查询到SQL语句，请您参照如何处理Agent与数据库安全审计实例之间通信异常？进行排查。

图1-9 查看 SQL 语句

----结束

步骤七：查看审计结果

验证成功后，您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置生成报表、下载或预览报表。

步骤1 查看总览信息。

进入总览入口，如图1-10所示，查看总览信息。

在总览界面，展示了该实例的审计时长、SQL语句总量、风险总量以及今日语句、今日风险、今日会话量

您可以选择“语句”或“会话”页签，分别查看SQL语句信息和会话分布图。

(10)

图1-10 进入总览入口

步骤2 生成报表、下载或预览报表。

1. 参照图1-11进入报表管理界面。

图1-11 进入报表管理入口

2. 在左侧导航树中，选择“报表”。

3. 在“选择实例”下拉列表框中，选择需要生成审计报表的实例。选择“报表管理”页签。

4. 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”。

5. 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库。

6. 单击“确定”。

系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以“预览”或“下载”报表，如图1-12所示。

须知

如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。

图1-12 预览或下载报表

----结束

(11)

2 审计 RDS 关系型数据库

本文档介绍了如何对RDS关系型数据库（应用部署于ECS）进行安全审计。

场景说明

数据库安全审计采用旁路部署模式，通过在访问数据库的应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对RDS关系型数据库的安全审计。

图2-1 审计 RDS 关系型数据库（ECS）架构图

假设您在华为云上的关系型数据库（Relational Database Service，以下简称RDS）的详细信息如表1所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，开启数据库安全审计功能和验证审计结果的操作。

表2-1 RDS 关系型数据库信息说明 数据库类型 POSTGRESQL 数据库版本 7.4

数据库IP地址 192.168.1.31

(12)

应用端IP地址

（安装节点IP地址）

192.168.1.132

端口 8000

操作系统 LINUX64

约束与限制

● 待审计数据库与数据库安全审计需要在同一区域。

● 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。

步骤一：购买数据库安全审计

您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。

说明

为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。

步骤二：添加数据库并开启审计

购买成功后，您需要先将目标数据库添加至数据库安全审计实例并开启该数据库的审计功能。

数据库安全审计支持“UTF-8”和“GBK”两种数据库字符集的编码格式，请根据业务情况选择编码格式。

(13)

----结束

步骤三：添加 Agent

步骤1 在数据库所在行的“Agent”列，单击“添加Agent”，如图2-3所示。

图2-3 添加 Agent

步骤2 在弹出的对话框中，选择添加方式。

● 方式一：选择“创建Agent”

如果数据库安全审计实例的数据库未添加Agent，您需要创建新的Agent。

“安装节点类型”选择“应用端”，“安装节点IP”输入表2-1所示的应用端IP地址，如图2-4所示。

(14)

图2-4 在应用端添加 Agent

● 方式二：“选择已有Agent”如图2-5所示。

在什么场景下需要选择“选择已有Agent”添加方式的详细介绍，请参见在什么场景下需要选择“选择已有Agent”添加方式？。

说明

选择“选择已有Agent”添加方式，如果您已在应用端安装了Agent，该数据库添加Agent 后，数据库安全审计即可对该数据库进行审计。

图2-5 选择已有 Agent

步骤3 单击“确定”，Agent添加成功。

----结束

步骤四：添加安全组规则

Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。

(15)

● 如果该安全组已配置安装节点的入方向规则，请执行步骤五：安装Agent。

● 如果该安全组未配置安装节点的入方向规则，请按照本节内容进行配置。

说明

安全组规则也可以在成功安装Agent后进行添加。

步骤1 获取安装节点IP地址。

步骤2 在数据库列表的上方，单击“添加安全组”。

步骤3 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图 2-6所示。

图2-6 添加安全组规则

步骤4 单击“前往处理”，进入“安全组”界面。

步骤5 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。

步骤6 单击“default”，进入“基本信息”页面。

步骤7 选择“入方向规则”页签，单击“添加规则”，如图2-7所示。

图2-7 添加规则

步骤8 在弹出的“添加入方向规则”对话框中，为表2-1中的安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，如图2-8所示。

(16)

图2-8 “添加入方向规则”对话框

步骤9 单击“确定”，完成添加入方向规则。

----结束

步骤五：安装 Agent

添加安全组规则后，您需要下载Agent包并将下载的Agent安装包上传到待安装Agent 的节点上进行安装。使添加的数据库连接到数据库安全审计实例，数据库安全审计才能对添加的数据库进行审计。

说明

每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的 Agent删除，在重新添加Agent后，请重新下载Agent和安装Agent。

步骤1 登录控制台进入数据库安全服务。

步骤3 在“选择实例”下拉框中，选择需要下载Agent的数据库所属实例。

步骤4 单击该数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击

“下载agent”，如图2-9所示。

将Agent安装包下载到本地。

图2-9 下载 Agent

步骤5 使用跨平台传输工具（例如WinSCP），将下载的Agent安装包“xxx.tar”上传到待安装Agent的节点（即图2-9中的“安装节点IP”）。

步骤6 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该安装节点。

步骤7 执行以下命令，进入Agent安装包“xxx.tar”所在目录。

cd Agent安装包所在目录

(17)

步骤8 执行以下命令，解压缩“xxx.tar”安装包。

tar -xvf xxx.tar

步骤9 执行以下命令，进入“install.sh”脚本所在目录。

cd install.sh脚本所在目录步骤10 执行以下命令，安装Agent。

sh install.sh

如果界面回显以下信息，说明安装成功。

start agent starting audit agent audit agent started start success

install dbss audit agent done!

----结束

步骤六：验证 Agent 与数据库安全审计实例之间的网络通信正常

待审计的数据库与数据库安全审计实例连接成功后，您需要验证Agent与数据库安全审计实例之间的网络通信是否正常。

步骤1 在安装Agent的节点执行一条SQL语句或对数据库进行操作（例如，“Select 1;”）。

步骤5 SQL语句列表将显示登录数据库操作的记录，如图2-10所示。

如果不能查询到SQL语句，请您参照如何处理Agent与数据库安全审计实例之间通信异常？进行排查。

----结束

步骤七：查看审计结果

验证成功后，您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置生成报表、下载或预览报表。

步骤1 查看总览信息。

进入总览入口，如图2-11所示，查看总览信息。

在总览界面，展示了该实例的审计时长、SQL语句总量、风险总量以及今日语句、今日风险、今日会话量

您可以选择“语句”或“会话”页签，分别查看SQL语句信息和会话分布图。

(18)

步骤2 生成报表、下载或预览报表。

1. 参照图2-12进入报表管理界面。

2. 在左侧导航树中，选择“报表”。

3. 在“选择实例”下拉列表框中，选择需要生成审计报表的实例。选择“报表管理”页签。

须知

----结束

(19)

3 容器化部署数据库安全审计 Agent

3.1 场景说明

数据库安全审计支持批量部署流量采集Agent，针对大规模业务场景（容器化部署应用、数据库（RDS关系型数据库）数量大），能够显著提升产品配置的效率，降低配置的复杂度，减少运维人员的日常维护压力。

假设您的数据库信息和容器集群信息如表3-1所示，您需要审计该集群连接的数据库，

并使用购买的数据库安全审计帮助您满足等保合规要求，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。本手册详细介绍该场景下，开启数据库安全审计功能和查看审计结果的操作。

须知

每个连接数据库的CCE集群，都需要在集群节点上安装Agent，当您有多个集群时，导出数据库配置后，请参见在CCE集群节点中安装Agent为每个连接数据库的CCE集群安装Agent。

表3-1 待审计数据库和 CCE 集群信息 集群名称 scc-cmv-bj4 命名空间 default

说明

可根据您的业务需要选择集群中已有命名空间或新建命名空间。命名空间（Namespace）是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。

数据库类别 RDS关系型数据库数据库类型 MySQL

数据库版本 5.0

数据库IP地址 192.168.1.31,192.168.0.159

(20)

端口 3306 操作系统 LINUX64

数据库安全审计工作原理

数据库安全审计采用旁路部署模式，通过在访问数据库的应用系统服务器上部署数据库审计Agent，获取访问日志数据用于日志审计，实现对RDS关系型数据库的审计。

图3-1 应用架构

3.2 添加数据库并导出数据库配置

在本章节中，您需要将待审计的数据库添加至数据库安全审计实例并开启数据库的审计功能，开启审计功能后再将数据库配置导入OBS桶。

约束与限制

● 在添加数据库前，您需要梳理集群工作负载中绑定的数据库，并注意以下规则：

– 相同的数据库不能同时添加在多个不同审计实例上

– 同一个工作负载所访问的数据库，必须添加在同一个审计实例中

– 多个工作负载所访问的数据库有交集时，这些工作负载所访问的所有数据库必须添加在同一个审计实例中。

● 数据库安全审计实例配置有如下变动时，您必须重新“导出数据库配置”并重新

“导入对象存储卷”和“添加云存储”。

变动包括：购买数据库安全审计实例、添加数据库、删除数据库。

添加数据库并开启审计

购买数据库安全审计后，您需要将待审计的数据库添加至数据库安全审计实例并开启数据库的审计功能。

(21)

购买数据库安全审计的详细操作请参见：购买数据库安全审计。

数据库安全审计支持“UTF-8”和“GBK”两种数据库字符集的编码格式，请根据业务情况选择编码格式。

----结束

导出数据库配置

开启审计功能后，您需要将数据库配置导入OBS桶。

步骤1 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。

步骤2 单击“导出数据库配置”。

(22)

图3-3 导出数据库配置

须知

● “导出数据库配置”为隐藏按钮，请在“实例列表”界面的访问链接后面添加“?

exportCfg”，添加完成后，按“Enter”进行访问。

● 数据库配置包含：待审计数据库配置信息和数据库安全审计Agent。

步骤3 在弹出的对话框中，单击“确定”，同意授权。

步骤4 同意授权后，DBSS将在对象存储服务为您创建名为“dbss-audit-agent-{projectid}” 的桶。

说明

数据库安全审计实例配置有如下变动时，您必须重新导出数据库配置。

变动包括：购买数据库安全审计实例、添加数据库、删除数据库。

----结束

3.3 在 CCE 集群节点中安装 Agent

3.3.1 导入对象存储卷

导出数据库配置后，您需要为待审计数据库连接的集群在对象存储卷中导入数据库配置（dbss-audit-agent-{projectid}），用于Agent容器工作负载的云存储中，实现批量部署数据库安全审计Agent。

准备工作

为了确保挂载方式使用对象存储桶的可靠性和稳定性，请在创建对象存储前先配置密钥。详细操作步骤请参见：配置密钥。

操作步骤

步骤2 在页面上方选择“区域”后，单击，选择“容器 > 云容器引擎”，进入云容器引擎“总览”界面。

(23)

步骤3 在左侧导航树中选择“资源管理 > 存储管理”，选择“对象存储卷”页签，单击“导入”。

步骤4 在弹出的“导入对象存储”对话框中，从列表里选择要导入的对象存储（dbss-audit- agent-{projectid}）。

图3-4 “导入对象存储”对话框

步骤5 按表3-1所示信息选择导入对象存储的集群和命名空间，如图3-4所示。

步骤6 单击“确定”。

在对象存储卷列表中，会新创建一条对象存储卷。

说明

当数据库配置有变动时，您需要重新导出数据库配置、导入对象存储和挂载云存储。

----结束

3.3.2 创建配置项

用于存储工作负载所需待审计的数据库信息，在Agent容器工作负载中作为文件使用。

操作步骤

步骤1 在左侧导航树中，选择“配置中心 > 配置项”，单击“创建配置项”，如图3-5所示。

图3-5 进入创建配置项入口

步骤2 在“创建配置项”页面中，设置配置参数。如图3-6所示，相关参数如表3-2所示。

(24)

图3-6 设置配置参数

表3-2 配置参数说明

参数参数说明取值样例

配置名称新建的配置名称，同一个命名空间里

命名必须唯一。 db-config-for-default 所属集群选择需要进行审计的集群。 scc-cmv-bj4

集群命名空间

根据业务需要选择该集群下设置的命

名空间。 default

描述配置项的描述信息。 -

配置数据用于存储工作负载所需数据库IP地址。

1. 单击“添加和更多配置数据”。

2. 输入“键”：db_config。

3. 输入“值”：需要被审计的数据库 IP，涉及多个IP以“,”分隔。

键：db_config

值：192.168.1.31,192.168.0.15 9

说明

若还需要为VPC配置，则单击“添加更多配置数据”，输入“键”、“值”。

● 键：vpc_config

● 值：工作负载所属的CCE集群的vpc id 步骤3 单击“创建”。

----结束

3.3.3 创建 Agent 守护进程集工作负载

配置项创建完成后，您需要把数据库安全审计Agent和待审计数据库信息部署到创建的 Agent守护进程集中，使待审计的数据库成功连接到数据库安全审计实例，开启数据库安全审计功能。

(25)

创建 Agent 守护进程集

步骤1 在左侧导航树中，选择“工作负载 > 守护进程集”，单击“创建守护进程集”，如图 3-7所示。

图3-7 创建守护进程集工作负载

步骤2 设置工作负载基本信息，如图3-8所示，参数说明如表3-3所示。

图3-8 工作负载基本信息

表3-3 工作负载基本信息参数说明

参数说明取值样例

工作负载名称新建工作负载的名称，命名必须唯一。 agent-docker 集群名称待审计数据库连接的集群。 scc-cmv-bj4 命名空间待审计数据库连接的集群的命名空间。 default

步骤3 单击“下一步，容器设置 > 添加容器”，在弹出的对话框中，选择“开源镜像中心 >

centos”，如图3-9所示，选择后单击“确认”。

(26)

图3-9 选择“centos”镜像

步骤4 设置“centos”镜像参数。

1. 展开“基本信息”页签，“镜像版本”选择“centos7.5.1804”，其他保持默认即可。

若所在区域暂不支持选择“centos7.5.1804”版本，请参照更换镜像版本变更为目标镜像版本。

2. 展开“生命周期”页签，设置容器启动和运行时需要的命令。输入以下参数，其他保持默认，如图3-10所示。

– 启动命令：容器启动时执行的命令。

▪

^{运行命令：top}

▪

^{运行参数：-b}

– 启动后处理：容器成功运行后执行的命令。

▪

^{处理方式：命令行方式}

▪

^{执行命令：}

/bin/bash -c

tar xvf /tmp/dbss/agent/dbss_agent.tar.gz -C /opt;/opt/

dbss_agent/install.sh;rm -rf /opt/dbss_agent

(27)

图3-10 容器启动和运行时命令参数

3. 展开“数据存储”页签，为容器挂载额外存储。

a. 选择“本地磁盘”页签，单击“添加本地磁盘”，在弹出的对话框中，输入以下参数，其他保持默认，如图3-11所示。

▪

^{存储类型：配置项。}

▪

配置项：创建配置项中创建的配置项名称。

▪

挂载路径：挂载配置文件到指定容器目录（/tmp/dbss/db）。

图3-11 “添加本地磁盘”对话框

b. 单击“确定”。

c. 选择“云存储”页签，单击“添加云存储”，在弹出的对话框中，输入以下参数，其他保持默认，如图3-12所示。

▪

^{云存储类型：对象存储}

(28)

▪

分配方式：使用已有存储

▪

云存储名称：导入对象存储卷中创建的对象存储PVC名称。

▪

挂载路径：将数据存储挂载到容器上的路径（/tmp/dbss/agent）

图3-12 “添加云存储”对话框

d. 单击“确定”。

说明

当数据库配置有变动时，您需要重新挂载云存储并卸载之前配置的云存储。

操作步骤：单击工作负载名称，进入工作负载详细信息界面，选择“更新升级 > 高级设置 > 数据存储 > 云存储 > 添加云存储”，添加云存储。

步骤5 工作负载访问设置和高级设置不需要配置，单击“下一步：工作负载访问设置 > 下一步：高级设置 > 创建”，完成创建守护进程工作负载。

步骤6 完成创建后，请返回“工作负载 > 守护进程集”界面，在工作负载列表的“操作”

列，单击“更多 > 编辑YAML”。

步骤7 在弹出的“编辑YAML”对话框中，请在spec.template.spec字段后面添加

“hostNetwork: true”，如图3-13所示。

(29)

图3-13 编辑 YAML

步骤8 单击“修改”，完成编辑YAML。

步骤9 查看守护进程集工作负载状态。

在工作负载列表中，当工作负载的状态为“运行中”时，表示Agent容器工作负载创建成功。

图3-14 守护进程集工作负载创建成功

步骤10 等待2~3分钟，部署生效后返回数据库安全服务控制台。查看Agent状态。

在“数据库列表 > Agent列表”中，当“Agent”“通用”为“是”；“运行状态为”

“正在运行”时，如图3-15所示，表示Agent与数据库安全审计实例连接成功。

图3-15 数据库安全审计连接成功

----结束

(30)

更换镜像版本

若所在区域暂不支持“centos7.5.1804”版本，请参照以下步骤更换为目标镜像版本

“centos7.5.1804”。

步骤1 配置镜像名称。

1. 在管理控制台选择“容器 > 容器镜像服务”进入容器镜像服务界面（建议新打开一个窗口进行配置）。

2. 在左侧导航树中，选择“镜像资源 > 镜像中心”，进入“镜像中心”界面。

3. 单击“镜像加速器”，在弹出的“镜像加速器”弹框中，复制加速器地址（不需要“https://”），并在地址尾端添加“/library/centos:centos7.5.1804”。

例如：7b01ab6xxxxfb06b2.mirror.swr.myhuaweicloud.com/library/

centos:centos7.5.1804 步骤2 更换镜像版本。

1. 返回设置“centos”镜像参数界面。

2. 单击“镜像名称”栏的“更换镜像”，在弹出的“选择镜像”弹框中，选择“第三方镜像”页签。

图3-16 更换镜像

3. 在“镜像名称”的输入框中输入镜像名称，如图3-17所示。

图3-17 更换镜像版本

----结束

(31)

3.4 开启数据库安全审计

待审计的数据库与数据库安全审计实例连接成功后，您需要返回数据库安全服务并开启数据库安全审计。

操作步骤

步骤1 返回数据库安全服务控制台。

步骤3 在待开启数据库安全审计行的“操作”列，单击“开启”。

----结束

3.5 查看审计结果

待审计的数据库与数据库安全审计实例连接成功后，您还需要验证Agent与数据库安全审计实例之间的网络通信是否正常。通信正常，才能正常使用数据库安全审计功能。

验证 Agent 与数据库安全审计实例之间的网络通信正常

安装Agent成功后，在数据库上执行一条SQL语句，稍等几分钟后，登录数据库安全服务控制台，查看操作的SQL语句。

步骤1 登录应用服务器对数据库执行一条SQL语句（例如，“select 1;”）。

步骤2 登录数据库安全服务控制台。

步骤5 SQL语句列表将显示步骤1执行SQL语句的记录，如图3-18所示。

未显示输入的SQL语句，说明Agent与数据库安全审计实例之间网络通信异常，请参照如何处理Agent与数据库安全审计实例之间通信异常？处理。

----结束

查看审计结果

数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行安全审计。待审计的数据库连接到数据库安全审计实例后，

您可以查看数据库的总体审计情况、风险分布、会话统计、SQL分布情况以及审计报表。

您也可以根据业务实际情况配置审计规则，详情请参见：配置审计规则。

步骤1 查看审计总览信息。

(32)

1. 进入总览入口，如图3-19所示，查看总览信息。

2. 选择“语句”或“会话”页签，分别查看SQL语句详细信息和会话分布图情况。

步骤2 查看审计报表。

1. 进入报表管理入口，如图3-20所示。

须知

(33)

----结束

(34)

4 数据库慢 SQL 检测

操作场景

数据库安全审计默认提供一条“数据库慢SQL检测”的风险操作，用于检测原始审计日志的响应时间大于1秒的SQL语句。

通过数据库慢SQL检测，您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息并根据实际需求对慢SQL进行优化。

数据库安全审计支持以下执行语句类型检测：

● 数据定义（DDL）：

– CREATE TABLE – CREATE TABLESPACE – DROP TABLE

– DROP TABLESPACE

● 数据操作（DML）：

– INSERT – UPDATE – DELETE – SELECT

– SELECT FOR UPDATE

● 数据控制（DCL）：

– CREATE USER – DROP USER – GRANT

查看慢 SQL 检测结果

数据库慢SQL检测开启后，您可以在“总览 > 语句”中查看执行效率低的语句及语句详细信息。

步骤2 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。

(35)

步骤6 您可以按照以下方法，查询指定的SQL语句。

● 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7 天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，

列表显示该时间段的SQL语句。

● 选择“风险等级”（“低”，数据库慢SQL规则默认为低），单击“提交”，列表显示该级别的SQL语句。

● 单击“高级选项”后的，输入相关信息，如图4-1所示，单击“搜索”，列表显示该选项的SQL语句。

说明

一次查询最多可查询10,000条记录。

图4-1 高级选项信息

步骤7 在需要查看详情的慢SQL语句所在行的“操作”列，单击“详情”，如图4-2所示。

图4-2 查看慢 SQL 语句详情

步骤8 在详情提示框中，查看慢SQL语句的详细信息，如图4-3所示，相关参数说明如表4-1 所示。

(36)

图4-3 “详情”提示框

表4-1 SQL 语句详情参数说明

参数名称说明

会话ID SQL语句的ID，由系统自动生成。

数据库实例 SQL语句所在的数据库实例。

数据库类型执行SQL语句所在的数据库的类型。

数据库用户执行SQL语句的数据库用户。

客户端MAC地址执行SQL语句所在客户端MAC地址。

数据库MAC地址执行SQL语句所在数据库MAC地址。

客户端IP 执行SQL语句所在客户端的IP地址。

数据库IP 执行SQL语句所在的数据库的IP地址。

客户端端口执行SQL语句所在的客户端的端口。

数据库端口执行SQL语句所在的数据库的端口。

客户端名称执行SQL语句所在客户端名称。

操作类型 SQL语句的操作类型。

操作对象类型 SQL语句的操作对象的类型。

响应结果执行SQL语句的响应结果。

(37)

参数名称说明

影响行数执行SQL语句的影响行数。

开始时间 SQL语句开始执行的时间。

应结束时间 SQL语句结束的时间。

SQL请求语句 SQL语句的名称。

请求结果 SQL语句请求执行的结果。

----结束

查看数据库慢 SQL 检测规则

您可以在“审计规则 > 风险操作”中查看数据库慢SQL检测规则，并根据需要执行以下操作：

图4-4 数据库慢 SQL 检测

● 启用

在数据库慢SQL检测规则所在行的“操作”列，单击“启用”，数据库安全审计将对该规则进行审计。

● 编辑

在数据库慢SQL检测规则所在行的“操作”列，单击“编辑”，在风险操作界面，您可以修改数据库慢SQL检测规则。

● 禁用

在数据库慢SQL检测规则所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该数据库慢SQL检测规则。禁用数据库慢SQL检测规则后，该规则将不在审计中执行。

● 删除

在数据库慢SQL检测规则所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该规则。删除数据库慢SQL检测规则后，如果需要对该规则进行安全审计，请重新添加数据库慢SQL检测规则。详细操作步骤，请参见：添加风险操作。

(38)

5 ^{数据库拖库检测}

操作场景

数据库安全审计默认提供一条“数据库拖库检测”的风险操作，用于检测原始审计日志疑似拖库的SQL语句，及时发现数据安全风险。

通过数据库拖库检测，您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息。

数据库安全审计支持以下执行语句类型检测：

● 数据定义（DDL）：

– CREATE TABLE – CREATE TABLESPACE – DROP TABLE

– DROP TABLESPACE

● 数据操作（DML）：

– INSERT – UPDATE – DELETE – SELECT

– SELECT FOR UPDATE

● 数据控制（DCL）：

– CREATE USER – DROP USER – GRANT

配置数据库拖库检测

在启用数据库拖库检测规则前，还需要用户根据业务实际需求添加待审计的数据库、

客户端IP/IP段、操作类型、操作对象及执行结果。

(39)

步骤3 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。

步骤4 在“选择实例”下拉列表框中，选择需要配置数据库拖库检测的实例。

步骤5 选择“风险操作”页签。

步骤6 在数据库拖库检测行的“操作”列，单击“编辑”，进入“编辑风险操作”界面。

步骤7 （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。

步骤8 “操作类型”：选择“SELECT”，如图5-1所示。

图5-1 操作类型

步骤9 （可选）设置“操作对象”，不配置系统默认检测全部。

1. 单击操作对象后，输入“目标数据库”、“目标表”和“字段”信息。

步骤10 配置“执行结果”区域中的“影响行数”和“执行时长”，如图5-2所示。

图5-2 执行结果

须知

当您的应用程序发生变化（如：服务升级、代码变更）时，需要根据实际情况修改

“影响行数”的参数，以免审计不完全。

步骤11 单击“保存”。

----结束

查看数据库拖库检测结果

数据库拖库检测开启后，您可以在“总览 > 语句”中，查看原始审计日志疑似拖库的 SQL语句。

(40)

步骤4 在“选择实例”下拉列表框中，选择需要查看数据库拖库检测语句信息的实例。

● 选择“风险等级”（“高”，数据库拖库检测规则默认为高），单击“提交”，

列表显示该级别的SQL语句。

说明

步骤7 在需要查看数据库拖库检测详情的SQL语句所在行的“操作”列，单击“详情”，如图5-4所示。

图5-4 查看拖库检测详情

步骤8 在详情提示框中，查看数据库拖库SQL语句的详细信息，如图5-5所示，相关参数说明如表5-1所示。

(41)

图5-5 “详情”提示框

参数名称说明

(42)

参数名称说明

----结束

查看数据库拖库检测规则

您可以在“审计规则 > 风险操作”中查看数据库慢SQL检测规则，并根据需要执行以下操作：

图5-6 数据库慢 SQL 检测

● 启用

在数据库拖库检测规则所在行的“操作”列，单击“启用”，数据库安全审计将对该规则进行审计。

● 编辑

在数据库拖库检测规则所在行的“操作”列，单击“编辑”，在风险操作界面，

您可以修改数据库拖库检测规则。

● 禁用

在数据库拖库检测规则所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该数据库拖库检测规则。禁用数据库拖库检测规则后，该规则将不在审计中执行。

● 删除

在数据库拖库检测规则所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该规则。删除数据库拖库检测规则后，如果需要对该规则进行安全审计，请重新添加数据库拖库检测规则。详细操作步骤，请参见：添加风险操作。

(43)

6 ^{数据库脏表检测}

操作场景

数据库安全审计规则可增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”，无风险程序不会访问用户自建的“脏表”，用于检测访问

“脏表”的可能的恶意程序。

通过数据库脏表检测，可以帮助您监控识别访问“脏表”的SQL语句，及时发现数据安全风险。

前提条件

用户需要在待审计的实例中添加无用的数据库、表或字段，作为脏表检测的对象。

配置数据库脏表检测

步骤3 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。

步骤4 在“选择实例”下拉列表框中，选择需要配置数据库脏表检测的实例。

步骤5 选择“风险操作”页签。单击“添加风险操作”增加脏表检测规则。

步骤6 基本信息中将“风险等级”配置为“高”。

步骤7 （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。

步骤8 配置操作类型，选择“操作”和“全部操作”。配置操作对象填写实例中添加无用的数据库、表或字段，如图6-1所示。

图6-1 添加脏表检测规则

(44)

步骤9 单击“保存”。

----结束

查看数据库脏表检测结果

数据库脏表检测开启后，您可以在“总览 > 语句”中，查看原始审计日志访问脏表的 SQL语句。

步骤4 在“选择实例”下拉列表框中，选择需要查看数据库脏表检测语句信息的实例。

● 选择“风险等级”（“高”，数据库脏表检测规则默认为高），单击“提交”，

列表显示该级别的SQL语句。

说明

步骤7 在需要查看数据库脏表检测详情的SQL语句所在行的“操作”列，单击“详情”，在详情提示框中，查看数据库访问脏表的SQL语句的详细信息，如图6-3所示，相关参数说明如表6-1所示。

(45)

图6-3 “详情”提示框

参数名称说明

(46)

参数名称说明

----结束

查看脏表检测规则

您可以在“审计规则 > 风险操作”中查看数据库脏表检测规则，并根据需要执行以下操作：

● 启用

在数据库脏表检测规则所在行的“操作”列，单击“启用”，数据库安全审计将对该规则进行审计。

● 编辑

在数据库脏表检测规则所在行的“操作”列，单击“编辑”，在风险操作界面，

您可以修改数据库脏表检测规则。

● 禁用

在数据库脏表检测规则所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该数据库脏表检测规则。禁用数据库脏表检测规则后，该规则将不在审计中执行。

● 删除

在数据库脏表检测规则所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该规则。删除数据库脏表检测规则后，如果需要对该规则进行安全审计，请重新添加数据库脏表检测规则。详细操作步骤，请参见：添加风险操作。

(47)

A ^修订记录

发布日期修改说明

2021-12-31 第十四次正式发布。

新增数据库脏表检测。

2021-07-16 第十三次正式发布。

修改控制台服务列表入口为“安全与合规”。

2021-03-31 第十二次正式发布。

数据库安全防护功能下线。

2021-03-23 第十一次正式发布。

数据库拖库检测，新增配置拖库检测规则Section。

2021-02-25 第十次正式发布。

● 导入对象存储卷，新增配置密钥说

明。

● 创建Agent守护进程集工作负载，新

增更换镜像版本。

2020-12-25 第九次正式发布。

● 新增数据库慢SQL检测。

● 新增数据库拖库检测。

2020-12-21 第七次正式发布。

● 审计ECS自建数据库，新增添加安全

组规则。

● 审计RDS关系型数据库，新增添加安

全组规则。

2020-09-25 第六次正式发布。

容器化部署数据库安全审计Agent，章节架构调整及优化内容描述。

(48)

发布日期修改说明

2020-06-22 第五次正式发布。

创建Agent守护进程集工作负载，centos 镜像版本选择“centos7.5.1804”。

2020-04-20 第四次正式发布。

容器化部署数据库安全审计Agent，修改配置工作负载流程。

2020-03-23 第三次正式发布。

新增容器化部署数据库安全审计 Agent。

2020-02-24 第二次正式发布。

优化相关描述。

2019-09-18 第一次正式发布。

场景说明_数据库安全服务 DBSS_最佳实践_容器化部署数据库安全审计Agent_华为云

最佳实践

目 录

1 审计 ECS 自建数据库...1

2 审计 RDS 关系型数据库...8

3 容器化部署数据库安全审计 Agent... 16

4 数据库慢 SQL 检测...31

5 数据库拖库检测... 35

6 数据库脏表检测... 40

A 修订记录... 44

1 审计 ECS 自建数据库

场景说明

约束与限制

步骤一：购买数据库安全审计

步骤二：添加数据库并开启审计

步骤三：添加 Agent

步骤四：添加安全组规则

步骤五：安装 Agent

步骤六：验证 Agent 与数据库安全审计实例之间的网络通信正常

步骤七：查看审计结果

2 审计 RDS 关系型数据库

场景说明

约束与限制

步骤一：购买数据库安全审计

步骤二：添加数据库并开启审计

步骤三：添加 Agent

步骤四：添加安全组规则

步骤五：安装 Agent

步骤六：验证 Agent 与数据库安全审计实例之间的网络通信正常

步骤七：查看审计结果

3 容器化部署数据库安全审计 Agent

3.1 场景说明

数据库安全审计工作原理

3.2 添加数据库并导出数据库配置

约束与限制

添加数据库并开启审计

导出数据库配置

3.3 在 CCE 集群节点中安装 Agent

3.3.1 导入对象存储卷

准备工作

操作步骤

3.3.2 创建配置项

操作步骤

3.3.3 创建 Agent 守护进程集工作负载

创建 Agent 守护进程集

▪

▪

▪

▪

▪

▪

▪

▪

▪

▪

▪

更换镜像版本

3.4 开启数据库安全审计

操作步骤

3.5 查看审计结果

验证 Agent 与数据库安全审计实例之间的网络通信正常

查看审计结果

4 数据库慢 SQL 检测

操作场景

查看慢 SQL 检测结果

查看数据库慢 SQL 检测规则

5 数据库拖库检测

操作场景

配置数据库拖库检测

查看数据库拖库检测结果

查看数据库拖库检测规则

6 数据库脏表检测

操作场景

前提条件

配置数据库脏表检测

查看数据库脏表检测结果

查看脏表检测规则

A 修订记录

目录

5 ^{数据库拖库检测}

6 ^{数据库脏表检测}

A ^修订记录