数据库安全服务 DBSS

数据库安全服务 DBSS

数据库安全服务(Database Security Service)是一个智能的数据库安全服务,基于机器学习机制和大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。

数据库安全服务(Database Security Service)是一个智能的数据库安全服务,基于机器学习机制和大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。

产品功能

  • 用户行为发现审计

    发现用户异常、正常、攻击行为,锁定异常操作到人

    发现用户异常、正常、攻击行为,锁定异常操作到人

  • 多维度分析

    从行为、会话、语句三个维度进行线索分析

    从行为、会话、语句三个维度进行线索分析

  • 实时告警

    支持对风险操作、SQL注入、系统资源占用率达阈值进行实时告警

    支持对风险操作、SQL注入、系统资源占用率达阈值进行实时告警

  • 提供精细化报表

    提供客户端和数据库用户会话分析报表、风险分布情况分析报表、满足数据安全标准(例如Sarbanes-Oxley)的合规报告

    提供客户端和数据库用户会话分析报表、风险分布情况分析报表、满足数据安全标准(例如Sarbanes-Oxley)的合规报告

  • 敏感数据保护

    提供内置或自定义隐私数据保护规则,防止审计日志中的隐私数据(例如,账号密码)在控制台上以明文显示

    提供内置或自定义隐私数据保护规则,防止审计日志中的隐私数据(例如,账号密码)在控制台上以明文显示

  • 审计日志备份

    支持将审计日志备份到OBS桶,实现高可用容灾。用户可以根据需要备份或恢复数据库审计日志

    支持将审计日志备份到OBS桶,实现高可用容灾。用户可以根据需要备份或恢复数据库审计日志

应用场景

数据库审计

数据库安全审计

支持对RDS、ECS/BMS自建的数据库进行审计,提供用户行为发现审计、多维度分析、实时告警和报表功能

  • 用户行为发现审计

    关联应用层和数据库层的访问操作

  • 行为线索分析

    支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL分布等多维度的快速分析

  • 会话线索分析

    支持根据时间、数据库用户、客户端等多角度进行分析

  • 语句线索分析

    提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件

  • 风险操作告警

    支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求去发现风险操作行为

  • SQL注入告警

    数据库安全审计提供SQL注入库,可以基于SQL命令特征或风险等级,发现数据库异常行为立即告警

  • 系统资源告警

    当系统资源(CPU、内存和磁盘)占用率达到设置的告警阈值时立即告警

  • 提供报表下载

    数据库安全审计为用户提供了8种报表模板。用户可根据实际业务情况生成报表、设置报表的执行任务

数据库常见的安全问题有哪些

数据库常见的安全问题有哪些

  • 数据库安全审计可以跨区域使用吗?

    数据库安全审计不支持跨区域(Region)使用。待审计的数据库和购买的数据库安全审计实例必须在同一区域,您才能使用数据库安全审计功能。

    如果您购买的数据库安全审计实例在“华北-北京四”,而待审计的数据库部署在“华东-上海一”,则您将不能使用数据库安全审计功能。

  • 数据库安全审计支持多个帐号共享使用吗?

    数据库安全审计不支持多个帐号共享使用。例如,如果您在某个区域通过注册华为云创建了2个帐号(“domain1”和“domain2”),当您在“domain1”帐号下购买了数据库安全审计,则“domain2”帐号不能使用“domain1”的数据库安全审计。

    在同一区域,一个帐号的在IAM上创建的所有IAM用户都可以共用该帐号下的数据库安全审计。例如,您在某个区域通过注册华为云创建了1个帐号(“domain1”),且“domain1”帐号在IAM中创建了2个IAM用户(“sub-user01”、“sub-user02”),如果您授权了“sub-user01”和“sub-user02”用户DBSS的权限策略,则这2个IAM用户都可以使用“domain1”的数据库安全审计。

  • 数据库安全审计的Agent提供哪些功能?

    使用数据库安全审计功能,必须在数据库节点或应用节点安装Agent。

    数据库安全审计的Agent主要提供以下功能:

    1. 获取访问数据库流量
    2. 将流量数据上传到审计系统
    3. 接收审计系统配置命令
    4. 上报数据库状态监控数据
  • 怎么选择适合自己的套餐?

    建站优选服务器是预装了优质建站系统的单台云服务器(ECS),可快速搭建适合公司和个人的网站,特别适合中小企业和个人开发者。

  • 如何运行数据库安全审计Agent程序?

    成功添加数据库且开启审计后,请参照以下操作步骤,运行Agent程序。

    1、登录管理控制台

    2、在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。

    3、在左侧导航树中,选择“数据库列表”,进入数据库列表界面。

    4、在“选择实例”下拉列表框中,选择需要运行的数据库实例。

    5、单击数据库左侧的展开Agent的详细信息,在Agent所在行的“操作”列,单击“下载agent”,将Agent安装包下载到本地。

    6、安装Agent。

    有关安装Agent的详细操作,请参见安装Agent

  • 如何设置数据库安全审计的INSERT审计策略?

    在添加风险操作时,您可以添加INSERT审计策略,如图1所示。

    图1 添加INSERT审计策略

    有关添加风险操作的详细操作,请参见添加风险操作

  • 数据库安全服务实例审计Postgres的RDS数据库没有审计数据怎么办?

    故障现象

    DBSS实例审计Postgres的RDS数据库没有审计数据

    可能原因

    DBSS审计实例配置不正确,请重新检查配置

    若配置没有问题,还是没有审计数据,那就需要在连接数据库实例的时候用非SSL的方式去连接。

    解决办法

    使用如下命令,连接数据库:

    psql -h xxx.xxx.xxx -p 5432 "dbname=postgres user=root sslmode=disable"

    具体操作详见通过psql连接实例。

  • 数据库安全审计可以应用于哪些场景?

    数据库安全审计采用数据库旁路部署方式,在不影响用户业务的提前下,可以对华为云上的RDS、ECS/BMS自建的数据库进行灵活的审计。

    基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。

    从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况。

    提供审计报表模板库,可以生成日报、周报或月报审计报表(可设置报表生成频率)。同时,支持发送报表生成的实时告警通知,帮助您及时获取审计报表。

数据库安全审计最佳实践

  • 审计RDS关系型数据库

    数据库安全审计采用旁路部署,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态数据,实现对RDS关系型数据库的安全审计

  • 审计ECS自建数据库

    在数据库端部署数据库安全审计Agent,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态数据,实现对自建数据库的安全审计

  • 数据库慢SQL检测

    数据库安全审计检测响应时间大于1秒的SQL语句。通过数据库慢SQL检测,可获知执行耗时长、影响行数、执行该SQL语句的数据库信息并根据实际需求对慢SQL进行优化


  • 数据库脏表检测

    数据库安全审计规则增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”,无风险程序不会访问用户自建的“脏表”,用于检测访问“脏表”的可能的恶意程序

数据库安全审计帮助文档

快速入门

快速使用数据库安全审计

用户指南

数据库安全审计使用指导

常见问题

排查并解决您遇到的问题