配置并開啟審計模式
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。
數(shù)據(jù)安全中心DSC(Data Security Center)提供的數(shù)據(jù)審計功能,可以通過查看審計日志分析數(shù)據(jù)庫活動信息,進而幫助您跟蹤數(shù)據(jù)庫潛在的惡意行為或未授權訪問,調(diào)查安全事件原因。在使用數(shù)據(jù)審計前,您需要先完成審計模式配置,DSC才能根據(jù)您配置的審計模式采集相關數(shù)據(jù)庫的審計日志。本文介紹如何進行審計配置。
前提條件
已開通數(shù)據(jù)安全中心免費版實例或已購買數(shù)據(jù)安全中心企業(yè)版實例。具體操作,請參見數(shù)據(jù)安全中心免費版服務或購買數(shù)據(jù)安全中心。
已完成數(shù)據(jù)資產(chǎn)授權。具體操作,請參見資產(chǎn)授權。
背景信息
新授權實例的審計模式默認為關閉狀態(tài)。您需要為數(shù)據(jù)庫資產(chǎn)開啟并配置審計模式,DSC才能采集到對應數(shù)據(jù)資產(chǎn)的操作日志到審計日志中,進而根據(jù)審計日志通過審計告警規(guī)則對數(shù)據(jù)資產(chǎn)進行數(shù)據(jù)泄露、漏洞攻擊、SQL注入等風險檢測并上報告警信息。
審計模式說明
DSC支持原生日志采集和流量采集(Agent)兩種審計模式。您可以根據(jù)實際情況選擇合適的審計模式。
審計模式對比
審計模式 | 支持的數(shù)據(jù)資產(chǎn)類型 | 工作原理 | 模式特點 |
原生日志采集 |
| DSC自動建立與對應產(chǎn)品的數(shù)據(jù)采集鏈路,采集日志。 警告 該審計模式下,云產(chǎn)品的優(yōu)先級策略為業(yè)務優(yōu)先于審計,在業(yè)務負載高的情況下,該策略可能會導致少量日志丟失。 |
|
流量采集(Agent) |
| 通過私網(wǎng)連接(PrivateLink)打通數(shù)據(jù)采集鏈路,并在訪問數(shù)據(jù)庫的應用服務器或數(shù)據(jù)庫服務器中部署Agent,使用Agent將日志流量轉(zhuǎn)發(fā)給DSC審計服務器完成日志采集。 DSC支持一鍵打通網(wǎng)絡功能,自動配置PrivateLink。私網(wǎng)連接的詳細說明,請參見什么是私網(wǎng)連接。 一鍵打通網(wǎng)絡需要讀取ECS的安全組和交換機來配置PrivateLink,因此需要確保安裝Agent的ECS交換機的可用區(qū)在數(shù)據(jù)審計服務支持的可用區(qū)列表。具體內(nèi)容,請參見下文的安裝流量采集Agent的ECS支持的可用區(qū)列表。 一鍵打通網(wǎng)絡策略如下:
重要
|
|
安裝流量采集Agent的ECS支持的可用區(qū)列表
地域名稱 | 地域ID | 可用區(qū)數(shù)量 | 可用區(qū)名稱 | 可用區(qū)ID |
華東1(杭州) | cn-hangzhou | 7 | 杭州 可用區(qū)B | cn-hangzhou-b |
杭州 可用區(qū)F | cn-hangzhou-f | |||
杭州 可用區(qū)G | cn-hangzhou-g | |||
杭州 可用區(qū)H | cn-hangzhou-h | |||
杭州 可用區(qū)I | cn-hangzhou-i | |||
杭州 可用區(qū)J | cn-hangzhou-j | |||
杭州 可用區(qū)K | cn-hangzhou-k | |||
華東2(上海) | cn-shanghai | 7 | 上海 可用區(qū)B | cn-shanghai-b |
上海 可用區(qū)E | cn-shanghai-e | |||
上海 可用區(qū)F | cn-shanghai-f | |||
上海 可用區(qū)G | cn-shanghai-g | |||
上海 可用區(qū)L | cn-shanghai-l | |||
上海 可用區(qū)M | cn-shanghai-m | |||
上海 可用區(qū)N | cn-shanghai-n | |||
華北1(青島) | cn-qingdao | 2 | 青島 可用區(qū)B | cn-qingdao-b |
青島 可用區(qū)C | cn-qingdao-c | |||
華北2(北京) | cn-beijing | 8 | 北京 可用區(qū)C | cn-beijing-c |
北京 可用區(qū)E | cn-beijing-e | |||
北京 可用區(qū)F | cn-beijing-f | |||
北京 可用區(qū)G | cn-beijing-g | |||
北京 可用區(qū)H | cn-beijing-h | |||
北京 可用區(qū)I | cn-beijing-i | |||
北京 可用區(qū)K | cn-beijing-k | |||
北京 可用區(qū)L | cn-beijing-l | |||
華北3(張家口) | cn-zhangjiakou | 3 | 張家口 可用區(qū)A | cn-zhangjiakou-a |
張家口 可用區(qū)B | cn-zhangjiakou-b | |||
張家口 可用區(qū)C | cn-zhangjiakou-c | |||
華北5(呼和浩特) | cn-huhehaote | 2 | 呼和浩特 可用區(qū)A | cn-huhehaote-a |
呼和浩特 可用區(qū)B | cn-huhehaote-b | |||
華南1(深圳) | cn-shenzhen | 3 | 深圳 可用區(qū)D | cn-shenzhen-d |
深圳 可用區(qū)E | cn-shenzhen-e | |||
深圳 可用區(qū)F | cn-shenzhen-f | |||
西南1(成都) | cn-chengdu | 2 | 成都 可用區(qū)A | cn-chengdu-a |
成都 可用區(qū)B | cn-chengdu-b |
開啟原生日志采集
步驟一:授權SLS訪問數(shù)據(jù)資產(chǎn)
原生日志采集需要授予日志服務訪問云資源的權限。
在左側(cè)導航欄,選擇。
在審計配置頁簽的資產(chǎn)接入頁簽,單擊點擊去授權。
在云資源訪問授權頁面,單擊同意授權。
步驟二:開啟審計模式
在資產(chǎn)接入頁簽展開當前數(shù)據(jù)類型,單擊目標資產(chǎn)的云產(chǎn)品類型,例如RDS。
在資產(chǎn)列表找到目標資產(chǎn),然后在審計模式列下選中原生日志采集。
在開通原生日志采集對話框中,單擊確定。
開啟流量采集(Agent)
步驟一:開啟審計模式
在左側(cè)導航欄,選擇。
在審計配置頁簽,單擊資產(chǎn)接入頁簽。
在資產(chǎn)接入頁簽展開當前數(shù)據(jù)類型,單擊目標資產(chǎn)的云產(chǎn)品類型,在目標資產(chǎn)審計模式列下選擇流量采集(Agent)。
步驟二:打通PrivateLink并安裝Agent
在審計配置頁簽,單擊采集配置頁簽。
選擇如下方式部署Agent。
自動部署Agent(推薦)
在自動部署Agent子頁簽,如果目標資產(chǎn)的PrivateLink連接狀態(tài)不是已連接,單擊目標實例操作列的打通網(wǎng)絡。
需要批量操作時,您可以在選中多個實例后,單擊批量打通網(wǎng)絡。
PrivateLink連接狀態(tài)為已連接后,單擊目標實例操作列的自動安裝。
需要批量操作時,您可以在選中多個實例后,單擊批量自動安裝。
安裝成功后,目標資產(chǎn)Agent狀態(tài)列顯示運行中。
手動部署Agent
在手動部署Agent子頁簽,選擇需要審計的服務器所在的VPC。
根據(jù)服務器的操作系統(tǒng)類型,參考對應步驟部署Agent。
Windows
選擇VPC名稱后,單擊Windows,選擇Agent安裝包保存的路徑,下載Agent安裝包。
登錄您的Windows服務器。
將已下載的Agent安裝包上傳到Windows服務器中。
將Agent安裝包解壓縮到指定的運行目錄,然后運行安裝應用程序。
重要解壓目錄中不能出現(xiàn)特殊字符,具體包括:
<space>、()、[]、{}、^、=、;、!、'、+、,、`、~、&。如果一定要在含特殊字符的目錄中運行腳本,請以管理員權限進入DOS命令行運行腳本。選中Install winpcap或Install npcap,單擊下一步。
數(shù)據(jù)庫資產(chǎn)類型為RDS或PolarDB時,選擇Install winpcap。
數(shù)據(jù)庫資產(chǎn)為自建數(shù)據(jù)庫時,如果數(shù)據(jù)庫應用和數(shù)據(jù)庫在同一個ECS服務器中,選擇Install npcap,否則選擇Install winpcap。
單擊安裝,并根據(jù)提示保持默認選項完成安裝。
Linux
選擇VPC名稱后,單擊Linux,下載Agent安裝包。
安裝包將被保存在您瀏覽器的默認下載路徑中。
登錄您的Linux服務器。
將已下載的Agent安裝包上傳到Linux服務器的指定目錄下。
您可以自定義Agent安裝包的存放目錄。
執(zhí)行
tar -xf dbagent_linux_V2.29.tar.gz命令,解壓Agent安裝包。dbagent_linux_V2.29.tar.gz為Agent安裝包文件,請?zhí)鎿Q為對應的真實文件名。進入安裝目錄,執(zhí)行
./install.sh命令,安裝并啟用Agent。重要禁止直接運行二進制文件。
必須以root賬號運行Agent安裝腳本,且指定解釋器為bash(或不指定解釋器)。
(可選)采用手動部署(Agent)方式且需要配置采集方向或數(shù)據(jù)庫使用了SSL證書時,請參考以下步驟完成其他采集配置。
在采集配置頁簽的自動部署Agent子頁簽,單擊其他采集配置。
您也可以在手動部署Agent子頁簽下,單擊其他采集配置右側(cè)的前往配置。
在其他采集配置面板,完成參數(shù)配置,然后單擊確定。
配置項
描述
采集方向
選擇審計數(shù)據(jù)的采集方向。可選項:
雙向采集的審計內(nèi)容為:請求 + 客戶端信息 + 服務端信息 + 返回信息。
單向采集的審計內(nèi)容為:請求 + 客戶端信息 + 服務端信息。
保存行數(shù)
設置要保存的返回信息的行數(shù)。取值范圍:0~999行,0表示不保存返回結(jié)果。
最大保存長度
設置返回信息的最大保存長度。取值范圍:1 KB~64 KB。建議您設置合理的保存長度,避免因長度設置過小而影響保存的審計結(jié)果的完整性。
SSL證書
如果已為要審計的數(shù)據(jù)庫配置了證書,您需要在此參數(shù)處上傳數(shù)據(jù)庫正在使用的證書,否則DSC將無法審計該數(shù)據(jù)庫加密后的訪問流量。如果您的數(shù)據(jù)庫未配置證書,則您無需配置該參數(shù)。以下是配置說明:
單擊目標資產(chǎn)SSL證書列的導入證書。
選擇數(shù)據(jù)庫使用的證書,并單擊打開。
在證書密碼列輸入證書密碼。
如果您需要審計的數(shù)據(jù)庫的證書沒有密碼,則無需輸入密碼。
重要DSC會妥善保管您的證書密碼,僅在解析當前數(shù)據(jù)庫的加密流量時使用證書密碼。
管理Agent
流量審計模式會消耗服務器的CPU、內(nèi)存、網(wǎng)絡帶寬資源,Agent安裝運行后,您可以根據(jù)業(yè)務實際情況,查看資源消耗情況、配置Agent運行監(jiān)控參數(shù)和管理Agent狀態(tài)。
在審計配置頁簽,單擊Agent管理頁簽。
查看資源消耗趨勢圖。
單擊目標資產(chǎn)操作列的監(jiān)控。
在監(jiān)控信息對話框,單擊對應資源頁簽,并在右上角選擇時間范圍,查看對應資源使用情況。
配置Agent運行的監(jiān)控參數(shù)。
單擊目標資產(chǎn)操作列的配置。
在配置面板,展開對應配置項,根據(jù)實際服務器運行情況進行設置。
卸載目標資產(chǎn)的Agent。
單擊目標資產(chǎn)操作列的
,單擊卸載。在彈出的對話框中,查看卸載影響后,單擊確定。
配置審計告警
DSC默認為數(shù)據(jù)資產(chǎn)提供內(nèi)置審計規(guī)則,包括數(shù)據(jù)庫審計規(guī)則、OSS審計規(guī)則、MaxCompute審計規(guī)則,并支持自定義審計規(guī)則。開啟審計告警規(guī)則后,可根據(jù)審計日志檢測數(shù)據(jù)資產(chǎn)的異常操作、數(shù)據(jù)泄露、漏洞攻擊、SQL注入等風險。詳細內(nèi)容,請參見配置并開啟審計告警規(guī)則。
開啟審計告警規(guī)則后,DSC會將命中規(guī)則條件的行為,上報至DSC的審計告警。您可以根據(jù)告警信息和審計日志分析處理相關風險。詳細內(nèi)容,請參見查看和處理審計告警。