数据库安全服务(Database Security Service,DBSS)是一个智能的数据库安全服务,基于机器学习机制和大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全。
数据库安全审计仅支持对华为云上的以下数据库提供旁路模式的数据库审计功能:
关系型数据库(Relational Database Service,RDS)
弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库
裸金属服务器(Bare Metal Server,BMS)的自建数据库
助力企业满足等保合规要求
满足等保测评数据库审计需求
满足国内外安全法案合规需求,提供满足数据安全标准(例如Sarbanes-Oxley)的合规报告
支持备份和恢复数据库审计日志,满足审计数据保存期限要求
支持风险分布、会话统计、会话分布、SQL分布的实时监控能力
提供风险行为和攻击行为实时告警能力,及时响应数据库攻击
帮助您对内部违规和不正当操作进行定位追责,保障数据资产安全
基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。
从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况。
提供审计报表模板库,可以生成日报、周报或月报审计报表(可设置报表生成频率)。同时,支持发送报表生成的实时告警通知,帮助您及时获取审计报表。华为云服务器
数据库安全审计提供用户行为发现审计、多维度分析、实时告警和报表功能。
用户行为发现审计
关联应用层和数据库层的访问操作。
提供内置或自定义隐私数据保护规则,防止审计日志中的隐私数据(例如,帐号密码)在控制台上以明文显示。
多维度线索分析
行为线索
支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL分布等多维度的快速分析。
会话线索
支持根据时间、数据库用户、客户端等多角度进行分析。
语句线索
提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。
风险操作、SQL注入实时告警
风险操作
支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。
SQL注入
数据库安全审计提供SQL注入库,可以基于SQL命令特征或风险等级,发现数据库异常行为立即告警。
系统资源
当系统资源(CPU、内存和磁盘)占用率达到设置的告警阈值时立即告警。
针对各种异常行为提供精细化报表
会话行为
提供客户端和数据库用户会话分析报表。华为云计算
风险操作
提供风险分布情况分析报表。
如果您需要对华为云上购买的DBSS资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
通过IAM,您可以在华为云帐号中给员工创建IAM用户,并授权控制员工对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望这些员工拥有DBSS的使用权限,但是不希望这些员工拥有删除DBSS等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用DBSS,但是不允许删除DBSS的权限,控制员工对DBSS资源的使用范围。
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用DBSS服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。华为云存储
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
DBSS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问DBSS时,需要先切换至授权区域。
如表1所示,包括了DBSS的所有系统角色。由于华为云各服务之间存在业务交互关系,数据库安全服务的角色依赖其他服务的角色实现功能。因此给用户授予数据库安全服务的角色时,需要同时授予依赖的角色,数据库安全服务的权限才能生效。
扫一扫 添加微信
