最佳实践 - PDF Free Download

数据库安全服务最佳实践文档版本 01 发布日期 2018-09-20 华为技术有限公司

版权所有华为技术有限公司 2018 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播商标声明和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标, 由各自的所有人拥有注意您购买的产品服务或特性等应受华为公司商业合同和条款的约束, 本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定, 华为公司对本文档内容不做任何明示或默示的声明或保证由于产品版本升级或其他原因, 本文档内容会不定期进行更新除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述信息和建议不构成任何明示或暗示的担保华为技术有限公司地址 : 深圳市龙岗区坂田华为总部办公楼邮编 :518129 网址 : http://e.huawei.com 文档版本 01 (2018-09-20) 版权所有华为技术有限公司 i

1.1 服务介绍本文档基于华为云数据库安全服务实践编写, 当您需要对数据库进行监控和查看日志记录时, 指导您如何完成数据库活动监控规则的配置和监控日志的记录操作数据库安全服务 (Database Security Service, 简称 DBSS), 针对华为云上的关系型数据库 (Relational Database Service, 简称 RDS) 弹性云服务器 (Elastic Cloud Server, 简称 ECS) 或裸金属服务器 (Bare Metal Server, 简称 BMS) 的自建数据库, 提供敏感数据脱敏数据库防火墙数据库审计一体化安全防护数据库安全服务提供的数据库审计功能是对数据库活动进行监控和日志记录的一种安全防护策略当数据库中有核心业务信息或敏感数据, 如果需要对数据库活动进行监控时, 可以使用数据库审计相关的策略和配置 1.2 场景说明假设 MySQL 数据库 dbss_test 的 test 表中的 device_name 属于重要敏感数据, 用户需要对该列数据的查看修改和删除的所有动作都进行监控本文档详细介绍该场景下完成数据库活动监控规则的配置和查看监控日志的操作 1.3 配置数据库活动监控策略配置流程数据库活动监控也被称为数据库审计 HexaTier 提供多维度的数据库审计线索, 包括源 IP 用户身份应用程序访问时间请求的数据库原 SQL 语句操作成功与否耗时和返回内容等, 协助用户溯源到攻击者审计记录远程保存, 满足用户的审计合规要求配置数据库活动监控策略的流程说明如图 1-1 所示文档版本 01 (2018-09-20) 版权所有华为技术有限公司 1

图 1-2 购买实例 ( 数据库审计 ) 表 1-1 购买实例的功能类型说明功能类型说明应用场景资费说明全功能用户可以使用 DBSS 提供的所有功能, 包括敏感数据发现数据脱敏数据库审计和防注入攻击等功能根据业务需求, 需要使用敏感数据脱敏数据库防火墙和数据库审计功能, 以全方位保障云上数据库的安全产品价格详情审计用户只能使用 DBSS 提供的数据库审计功能, 数据库审计功能可以对普通用户管理员账户的所有活动情况进行审计, 并生成合规性报告并通过记录流量入侵异常监控数据脱敏远程工作等日志, 锁定异常操作到人, 对特定事件实时告警可以满足 ISO27001 信息安全等级保护测评等合规场景下对数据库审计的要求步骤 2 登录 DBSS 实例的控制台 HexaTier, 详细操作方法请参见登录 HexaTier 步骤 3 配置日志存储位置 1. 在 HexaTier 主菜单上, 单击系统 2. 在导航树上, 选择日志 > 日志存储位置, 进入远程日志配置页面 3. 在日志数据库类型中选择 MySQL, 如图 1-3 所示, 配置远程日志参数说明如表 1-2 所示文档版本 01 (2018-09-20) 版权所有华为技术有限公司 3

图 1-3 远程日志配置页面表 1-2 远程日志配置参数说明参数名称说明配置示例地址待连接的数据库 IP 地址或主机名 192.168.1. 1 端口数据库名称用户名数据库端口, 用于连接数据库实例 MySQL 数据库默认为 3306 端口, 用户可以根据实际情况进行配置存储系统日志的数据库名称, 用户可以根据需要进行配置用于登录到日志存储数据库的用户名, 该用户名需要具有日志存储数据库的读写权限 3306 - - 密码用于登录到日志存储数据库的密码 - 4. 单击测试, 测试远程日志存储数据库连接情况 5. 测试成功后, 单击更新, 完成配置步骤 4 创建受保护的数据库 1. 在 HexaTier 主菜单上, 单击资源 2. 在导航树上, 选择受保护数据库, 进入受保护的数据库列表页面 3. 单击新建, 进入受保护数据库页面, 选择 MySQL, 如图 1-4 所示, 配置受保护数据库参数说明如表 1-3 所示文档版本 01 (2018-09-20) 版权所有华为技术有限公司 4

图 1-4 创建受保护数据库表 1-3 受保护数据库配置参数说明参数名称数据库服务器地址说明数据库实例的主机名或 IP 地址端口端口为数据库的连接端口,MySQL 默认为 3306 端口, 用户可以根据情况自己配置名称默认数据库连接的数据库实例的别名,HexaTier 会自动生成名称, 用户可以自定义该名称 HexaTier 将自动连接到数据库实例中的默认数据库,MySQL 默认数据库为 mysql, 用户也可以更改默认数据库鉴权方式通过登录帐户连接数据库, 说明如下 : SQL 鉴权 : 通过 SQL 帐户连接 Windows 鉴权 : 通过 Windows 鉴权连接说明需要配置域集成之后, 才会显示 Windows 鉴权选项, 否则默认为 SQL 鉴权用户名密码用于登录到数据库的用户名用于登录到数据库的密码 4. ( 可选 ) 设置代理, 并配置其 SSL 安全创建受保护数据库时,HexaTier 会自动创建默认代理, 用户也可以修改代理, 设置代理的详细操作, 请参见配置受保护数据库 5. 单击创建, 新建的受保护数据库将添加到受保护数据库列表中, 如图 1-5 所示文档版本 01 (2018-09-20) 版权所有华为技术有限公司 5

图 1-5 成功创建受保护数据库步骤 5 步骤 6 ( 可选 ) 配置策略对象详细操作请参见配置策略对象创建数据库活动监控策略 1. 在 HexaTier 主菜单上, 单击监控 2. 在导航树上, 选择策略, 进入活动监控策略列表页面 3. 单击新建, 进入创建活动监控规则页面, 在类型下拉框中选择活动监控类型, 如图 1-6 所示图 1-6 创建活动监控规则用户可以选择创建以下 4 种类型的活动监控策略 : 管理 :Schema 配置和系统设置更改的活动监控基于表 : 表中数据增删改查的活动监控基于存储过程 : 数据库存储过程的活动监控登录事件 : 用户登录或注销, 以及数据库切换的活动监控 4. 配置数据库活动监控策略本场景中,dbss_test 数据库中 test 表中的 device_name 属于重要敏感数据, 需要对该列数据的查看修改和删除的所有动作都进行监控因此, 在类型下拉框中选择基于表, 数据库下拉框中选择 dbss_test 数据库后, 配置活动监控策略, 配置参数说明如图 1-7 所示图 1-7 创建活动监控规则文档版本 01 (2018-09-20) 版权所有华为技术有限公司 6

有关配置数据活动监控规则的详细操作, 请参见创建活动监控规则 5. 单击创建, 新建的活动监控策略规则将添加到活动监控策略列表中, 如图 1-8 所示图 1-8 成功创建活动监控策略 ---- 结束 1.4 查看数据库监控日志查看监控日志配置数据库活动监控策略后, 用户可以查看数据库监控日志信息步骤 1 在 HexaTier 主菜单上, 单击监控步骤 2 步骤 3 在导航树上, 选择监控日志, 进入活动监控事件列表页面根据配置数据库活动监控策略章节步骤 6 中创建的活动监控策略, 可以查看所有对 test 表中 device_name 列的操作记录都被记录在活动监控事件中, 如图 1-9 所示图 1-9 查看活动监控事件步骤 4 单击查看的事件 ID, 可以查看活动监控事件的详细信息, 如图 1-10 所示文档版本 01 (2018-09-20) 版权所有华为技术有限公司 7