明天咱们介绍的是:审计 ECS 自建数据库
数据库安全审计采纳旁路部署模式,通过在数据库或利用零碎服务器上部署数据库安全审计 Agent,获取拜访数据库流量、将流量数据上传到审计零碎、接管审计系统配置命令和上报数据库状态监控数据,实现对 ECS/BMS 自建数据库的平安审计。
下图是审计 ECS/BMS 自建数据库架构图
场景阐明
假如您在华为云的弹性云服务器(Elastic Cloud Server,以下简称 ECS)上自建了一个数据库,数据库的详细信息如表 1 所示,您须要对该数据库外部违规和不正当操作进行定位追责,满足等保测评数据库审计需要。本章节具体介绍该场景下,在数据库端装置 Agent,开启数据库安全审计性能和验证审计后果的操作。
束缚与限度
应用数据库安全审计须要敞开数据库的 SSL。
待审计数据库与数据库安全审计须要在同一区域。
购买数据库安全审计配置“VPC”参数时,需与 Agent 装置节点所在 VPC 雷同。
数据库安全审计的 Agent 装置节点,请参见:如何抉择数据库安全审计的 Agent 装置节点?。
步骤一:购买数据库安全审计
您须要依据您的业务需要购买数据库安全审计规格并配置数据库安全审计参数,具体操作请参见购买数据库安全审计。
阐明:为保障审计性能的失常应用,购买数据库安全审计配置“VPC”参数时,请与 Agent 装置节点所在 VPC 雷同。
数据库安全审计的 Agent 装置节点,请参见:如何抉择数据库安全审计的 Agent 装置节点?。
步骤二:增加数据库并开启审计
购买数据库安全审计后,您须要先将指标数据库增加至数据库安全审计实例并开启该数据库的审计性能。
登录治理控制台。
在页面上方抉择“区域”后,单击页面左上方的 [图片上传失败 …(image-36322a-1652064257984)],抉择“平安与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
在左侧导航树中,抉择“数据库列表”,进入数据库列表界面。
在“抉择实例”下拉列表框中,抉择须要增加数据库的实例。在数据库列表框左上方,单击“增加数据库”。
在弹出的对话框中,按表 1 所示信息填写数据库参数,如下图所示。
下图是“增加数据库”对话框
单击“确定”,该数据库增加到数据库列表中,且“审计状态”为“已敞开”。
在该数据库所在行的“操作”列,单击“开启”,开启审计性能。
步骤三:增加 Agent
在数据库所在行的“Agent”列,单击“增加 Agent”,如下图所示。
增加 Agent
3. 在弹出的对话框中,抉择增加形式。
在数据库端增加 Agent
单击“确定”,Agent 增加胜利。
步骤四:增加平安组规定
Agent 增加实现后,您须要为数据库安全审计实例所在的平安组增加入方向规定 TCP 协定(8000 端口)和 UDP 协定(7000-7100 端口),使 Agent 与审计实例之间的网络连通,数据库安全审计能力对增加的数据库进行审计。
如果该平安组已配置装置节点的入方向规定,请执行步骤五:装置 Agent。
如果该平安组未配置装置节点的入方向规定,请依照本节内容进行配置。
阐明:平安组规定也能够在胜利装置 Agent 后进行增加。
获取装置节点 IP 地址。
在数据库列表的上方,单击“增加平安组”。
在弹出的弹框中,记录数据库安全审计实例的“平安组名称”(例如 default),如下图所示。
增加平安组规定
单击“返回解决”,进入“平安组”界面。
在列表右上方的搜寻框中输出平安组“default”后,单击 [图片上传失败 …(image-e944b-1652064257984)] 或按“Enter”,列表显示“default”平安组信息。
单击“default”,进入“根本信息”页面。
抉择“入方向规定”页签,单击“增加规定”,如下图所示。
增加规定
在“增加入方向规定”对话框中,为装置节点 IP 增加 TCP 协定(端口为 8000)和 UDP 协定(端口为 7000-7100)规定,如图 7 所示。
下图是“增加入方向规定”对话框(ECS)
单击“确定”,实现增加入方向规定。
步骤五:装置 Agent
增加平安规定后,您须要下载 Agent 包并将下载的 Agent 安装包上传到待装置 Agent 的节点上进行装置。使增加的数据库连贯到数据库安全审计实例,数据库安全审计能力对增加的数据库进行审计。
[图片上传失败 …(image-8acb93-1652064257985)] 阐明:每个 Agent 都有惟一的 AgentID,是 Agent 连贯数据库安全审计实例的重要密钥。若您将增加的 Agent 删除,在从新增加 Agent 后,请从新下载 Agent 和装置 Agent。
登录控制台进入数据库安全服务。在左侧导航树中,抉择“数据库列表”,进入数据库列表界面。在“抉择实例”下拉框中,抉择须要下载 Agent 的数据库所属实例。单击该数据库左侧的 [图片上传失败 …(image-2a94-1652064257984)] 开展 Agent 的详细信息,在 Agent 所在行的“操作”列,单击“下载 agent”,如图 8 所示。
将 Agent 安装包下载到本地。
下图是下载 Agent
应用跨平台传输工具(例如 WinSCP),将下载的 Agent 安装包“xxx.tar”上传到待装置 Agent 的节点(即图 8 中的“装置节点 IP”)。
应用跨平台近程拜访工具(例如 PuTTY)以 root 用户通过 SSH 形式,登录该装置节点。
执行以下命令,进入 Agent 安装包“xxx.tar”所在目录。
cd Agent 安装包所在目录
执行以下命令,解压缩“xxx.tar”安装包。
tar -xvf xxx.tar
执行以下命令,进入“install.sh”脚本所在目录。
cd install.sh 脚本所在目录
执行以下命令,装置 Agent。
sh install.sh
如果界面回显以下信息,阐明装置胜利。
|
start agentstarting audit agentaudit agent startedstart successinstall dbss audit agent done!
|
步骤六:验证 Agent 与数据库安全审计实例之间的网络通信失常
待审计的数据库与数据库安全审计实例连贯胜利后,您须要验证 Agent 与数据库安全审计实例之间的网络通信是否失常。
在装置 Agent 的节点执行一条 SQL 语句或对数据库进行操作(例如,“Select 1;”)。
在左侧导航树中,抉择“总览”,进入“总览”界面。
在“抉择实例”下拉列表框中,抉择须要查看数据库慢 SQL 语句信息的实例。
抉择“语句”页签。
SQL 语句列表将显示登录数据库操作的记录,如图 9 所示。
如果不能查问到 SQL 语句,请您参照如何解决 Agent 与数据库安全审计实例之间通信异样?进行排查。
这是查看 SQL 语句
步骤七:查看审计后果
验证胜利后,您可参照本节内容在总览界面查看审计后果信息,同时也可依据需要在报表界面进行设置生成报表、下载或预览报表。
查看总览信息。
进入总览入口,如下图所示,查看总览信息。
在总览界面,展现了该实例的审计时长、SQL 语句总量、危险总量以及今日语句、今日危险、今日会话量
您能够抉择“语句”或“会话”页签,别离查看 SQL 语句信息和会话分布图。
生成报表、下载或预览报表。
参照下图进入报表治理界面。
进入报表治理入口
在左侧导航树中,抉择“报表”。
在“抉择实例”下拉列表框中,抉择须要生成审计报表的实例。抉择“报表治理”页签。
在须要生成报表的模板所在行的“操作”列,单击“立刻生成报表”。
在弹出的对话框中,单击 [图片上传失败 …(image-9bb98a-1652064257984)],设置报表的开始工夫和完结工夫,抉择生成报表的数据库。
单击“确定”。
零碎跳转到“报表后果”页面,您能够查看报表的生成进度。报表生成后,您能够“预览”或“下载”报表,如图 12 所示。
须知:如果您须要在线预览报表,请应用 Google Chrome 或 Mozilla FireFox 浏览器。
预览或下载报表
这样操作就能够增加数据库并开启审计啦!
本文由博客群发一文多发等经营工具平台 OpenWrite 公布