明天咱们介绍的是:审计ECS自建数据库
数据库安全审计采纳旁路部署模式,通过在数据库或利用零碎服务器上部署数据库安全审计Agent,获取拜访数据库流量、将流量数据上传到审计零碎、接管审计系统配置命令和上报数据库状态监控数据,实现对ECS/BMS自建数据库的平安审计。
下图是审计ECS/BMS自建数据库架构图
场景阐明
假如您在华为云的弹性云服务器(Elastic Cloud Server ,以下简称ECS)上自建了一个数据库,数据库的详细信息如表1所示,您须要对该数据库外部违规和不正当操作进行定位追责,满足等保测评数据库审计需要。本章节具体介绍该场景下,在数据库端装置Agent,开启数据库安全审计性能和验证审计后果的操作。
束缚与限度
应用数据库安全审计须要敞开数据库的SSL。
待审计数据库与数据库安全审计须要在同一区域。
购买数据库安全审计配置“VPC”参数时,需与Agent装置节点所在VPC雷同。
数据库安全审计的Agent装置节点,请参见:如何抉择数据库安全审计的Agent装置节点?。
步骤一:购买数据库安全审计
您须要依据您的业务需要购买数据库安全审计规格并配置数据库安全审计参数,具体操作请参见购买数据库安全审计。
阐明:为保障审计性能的失常应用,购买数据库安全审计配置“VPC”参数时,请与Agent装置节点所在VPC雷同。
数据库安全审计的Agent装置节点,请参见:如何抉择数据库安全审计的Agent装置节点?。
步骤二:增加数据库并开启审计
购买数据库安全审计后,您须要先将指标数据库增加至数据库安全审计实例并开启该数据库的审计性能。
登录治理控制台。
在页面上方抉择“区域”后,单击页面左上方的[图片上传失败...(image-36322a-1652064257984)] ,抉择“平安与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
在左侧导航树中,抉择“数据库列表”,进入数据库列表界面。
在“抉择实例”下拉列表框中,抉择须要增加数据库的实例。在数据库列表框左上方,单击“增加数据库”。
在弹出的对话框中,按表1所示信息填写数据库参数,如下图所示。
下图是“增加数据库”对话框
单击“确定”,该数据库增加到数据库列表中,且“审计状态”为“已敞开”。
在该数据库所在行的“操作”列,单击“开启”,开启审计性能。
步骤三:增加Agent
在数据库所在行的“Agent”列,单击“增加Agent”,如下图所示。
增加Agent
3.在弹出的对话框中,抉择增加形式。
在数据库端增加Agent
单击“确定”,Agent增加胜利。
步骤四:增加平安组规定
Agent增加实现后,您须要为数据库安全审计实例所在的平安组增加入方向规定TCP协定(8000端口)和UDP协定(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计能力对增加的数据库进行审计。
如果该平安组已配置装置节点的入方向规定,请执行步骤五:装置Agent。
如果该平安组未配置装置节点的入方向规定,请依照本节内容进行配置。
阐明:平安组规定也能够在胜利装置Agent后进行增加。
获取装置节点IP地址。
在数据库列表的上方,单击“增加平安组”。
在弹出的弹框中,记录数据库安全审计实例的“平安组名称”(例如default),如下图所示。
增加平安组规定
单击“返回解决”,进入“平安组”界面。
在列表右上方的搜寻框中输出平安组“default”后,单击[图片上传失败...(image-e944b-1652064257984)] 或按“Enter”,列表显示“default”平安组信息。
单击“default”,进入“根本信息”页面。
抉择“入方向规定”页签,单击“增加规定”,如下图所示。
增加规定
在“增加入方向规定”对话框中,为装置节点IP增加TCP协定(端口为8000)和UDP协定(端口为7000-7100)规定,如图7所示。
下图是 “增加入方向规定”对话框(ECS)
单击“确定”,实现增加入方向规定。
步骤五:装置Agent
增加平安规定后,您须要下载Agent包并将下载的Agent安装包上传到待装置Agent的节点上进行装置。使增加的数据库连贯到数据库安全审计实例,数据库安全审计能力对增加的数据库进行审计。
[图片上传失败...(image-8acb93-1652064257985)] 阐明:每个Agent都有惟一的AgentID,是Agent连贯数据库安全审计实例的重要密钥。若您将增加的Agent删除,在从新增加Agent后,请从新下载Agent和装置Agent。
登录控制台进入数据库安全服务。在左侧导航树中,抉择“数据库列表”,进入数据库列表界面。在“抉择实例”下拉框中,抉择须要下载Agent的数据库所属实例。单击该数据库左侧的[图片上传失败...(image-2a94-1652064257984)] 开展Agent的详细信息,在Agent所在行的“操作”列,单击“下载agent”,如图8所示。
将Agent安装包下载到本地。
下图是下载Agent
应用跨平台传输工具(例如WinSCP),将下载的Agent安装包“xxx.tar”上传到待装置Agent的节点(即图8中的“装置节点IP”)。
应用跨平台近程拜访工具(例如PuTTY)以root用户通过SSH形式,登录该装置节点。
执行以下命令,进入Agent安装包“xxx.tar”所在目录。
cd Agent安装包所在目录
执行以下命令,解压缩“xxx.tar”安装包。
tar -xvf xxx.tar
执行以下命令,进入“install.sh”脚本所在目录。
cd install.sh脚本所在目录
执行以下命令,装置Agent。
sh install.sh
如果界面回显以下信息,阐明装置胜利。
|
start agentstarting audit agentaudit agent startedstart successinstall dbss audit agent done!
|
步骤六:验证Agent与数据库安全审计实例之间的网络通信失常
待审计的数据库与数据库安全审计实例连贯胜利后,您须要验证Agent与数据库安全审计实例之间的网络通信是否失常。
在装置Agent的节点执行一条SQL语句或对数据库进行操作(例如,“Select 1;”)。
在左侧导航树中,抉择“总览”,进入“总览”界面。
在“抉择实例”下拉列表框中,抉择须要查看数据库慢SQL语句信息的实例。
抉择“语句”页签。
SQL语句列表将显示登录数据库操作的记录,如图9所示。
如果不能查问到SQL语句,请您参照如何解决Agent与数据库安全审计实例之间通信异样?进行排查。
这是查看SQL语句
步骤七:查看审计后果
验证胜利后,您可参照本节内容在总览界面查看审计后果信息,同时也可依据需要在报表界面进行设置生成报表、下载或预览报表。
查看总览信息。
进入总览入口,如下图所示,查看总览信息。
在总览界面,展现了该实例的审计时长、SQL语句总量、危险总量以及今日语句、今日危险、今日会话量
您能够抉择“语句”或“会话”页签,别离查看SQL语句信息和会话分布图。
生成报表、下载或预览报表。
参照下图进入报表治理界面。
进入报表治理入口
在左侧导航树中,抉择“报表”。
在“抉择实例”下拉列表框中,抉择须要生成审计报表的实例。抉择“报表治理”页签。
在须要生成报表的模板所在行的“操作”列,单击“立刻生成报表”。
在弹出的对话框中,单击[图片上传失败...(image-9bb98a-1652064257984)] ,设置报表的开始工夫和完结工夫,抉择生成报表的数据库。
单击“确定”。
零碎跳转到“报表后果”页面,您能够查看报表的生成进度。报表生成后,您能够“预览”或“下载”报表,如图12所示。
须知:如果您须要在线预览报表,请应用Google Chrome或Mozilla FireFox浏览器。
预览或下载报表
这样操作就能够增加数据库并开启审计啦!
本文由博客群发一文多发等经营工具平台 OpenWrite 公布