華為云DBSS：審計ECS自建數(shù)據(jù)庫

數(shù)據(jù)庫安全審計采用旁路部署模式，通過在數(shù)據(jù)庫或應(yīng)用系統(tǒng)服務(wù)器上部署數(shù)據(jù)庫安全審計Agent，獲取訪問數(shù)據(jù)庫流量、將流量數(shù)據(jù)上傳到審計系統(tǒng)、接收審計系統(tǒng)配置命令和上報數(shù)據(jù)庫狀態(tài)監(jiān)控數(shù)據(jù)，實現(xiàn)對ECS/BMS自建數(shù)據(jù)庫的安全審計。

審計ECS/BMS自建數(shù)據(jù)庫架構(gòu)圖如圖1所示。

圖1審計ECS/BMS自建數(shù)據(jù)庫架構(gòu)圖

場景說明

假設(shè)您在華為云的彈性云服務(wù)器（Elastic Cloud Server，以下簡稱ECS）上自建了一個數(shù)據(jù)庫，數(shù)據(jù)庫的詳細(xì)信息如表1所示，您需要對該數(shù)據(jù)庫內(nèi)部違規(guī)和不正當(dāng)操作進行定位追責(zé)，滿足等保測評數(shù)據(jù)庫審計需求。本章節(jié)詳細(xì)介紹該場景下，在數(shù)據(jù)庫端安裝Agent，開啟數(shù)據(jù)庫安全審計功能和驗證審計結(jié)果的操作。

表1 ECS自建數(shù)據(jù)庫信息說明

約束與限制

·使用數(shù)據(jù)庫安全審計需要關(guān)閉數(shù)據(jù)庫SSL。

·待審計數(shù)據(jù)庫與數(shù)據(jù)庫安全審計需要在同一區(qū)域。

·購買數(shù)據(jù)庫安全審計配置“VPC”參數(shù)時，需與Agent安裝節(jié)點所在VPC相同。

數(shù)據(jù)庫安全審計的Agent安裝節(jié)點，請參見：如何選擇數(shù)據(jù)庫安全審計的Agent安裝節(jié)點？。

步驟一：購買數(shù)據(jù)庫安全審計

您需要根據(jù)您的業(yè)務(wù)需求購買數(shù)據(jù)庫安全審計規(guī)格并配置數(shù)據(jù)庫安全審計參數(shù)，詳細(xì)操作請參見購買數(shù)據(jù)庫安全審計。

說明：

為保證審計功能的正常使用，購買數(shù)據(jù)庫安全審計配置“VPC”參數(shù)時，請與Agent安裝節(jié)點所在VPC相同。

數(shù)據(jù)庫安全審計的Agent安裝節(jié)點，請參見：如何選擇數(shù)據(jù)庫安全審計的Agent安裝節(jié)點？。

步驟二：添加數(shù)據(jù)庫并開啟審計

購買數(shù)據(jù)庫安全審計后，您需要先將目標(biāo)數(shù)據(jù)庫添加至數(shù)據(jù)庫安全審計實例并開啟該數(shù)據(jù)庫的審計功能。

1.登錄管理控制臺。

2.進入添加數(shù)據(jù)庫入口，如圖2所示。

圖2進入添加數(shù)據(jù)庫入口

3.在彈出的對話框中，按表1所示信息填寫數(shù)據(jù)庫參數(shù)，如圖3所示。

圖3“添加數(shù)據(jù)庫”對話框

4.單擊“確定”，該數(shù)據(jù)庫添加到數(shù)據(jù)庫列表中，且“審計狀態(tài)”為“已關(guān)閉”。

5.在該數(shù)據(jù)庫所在行的“操作”列，單擊“開啟”，開啟審計功能。

步驟三：添加Agent

1.在數(shù)據(jù)庫所在行的“Agent”列，單擊“添加Agent”，如圖4所示。

圖4添加Agent

2.在彈出的對話框中，選擇添加方式。

圖5在數(shù)據(jù)庫端添加Agent

3.單擊“確定”，Agent添加成功。

步驟四：添加安全組規(guī)則

Agent添加完成后，您需要為數(shù)據(jù)庫安全審計實例所在的安全組添加入方向規(guī)則TCP協(xié)議（8000端口）和UDP協(xié)議（7000-7100端口），使Agent與審計實例之間的網(wǎng)絡(luò)連通，數(shù)據(jù)庫安全審計才能對添加的數(shù)據(jù)庫進行審計。

·如果該安全組已配置安裝節(jié)點的入方向規(guī)則，請執(zhí)行步驟五：安裝Agent。

·如果該安全組未配置安裝節(jié)點的入方向規(guī)則，請按照本節(jié)內(nèi)容進行配置。

說明：

安全組規(guī)則也可以在成功安裝Agent后進行添加。

1.獲取安裝節(jié)點IP地址。

2.在數(shù)據(jù)庫列表的上方，單擊“添加安全組”。

3.在彈出的彈框中，記錄數(shù)據(jù)庫安全審計實例的“安全組名稱”（例如default），如圖6所示。

圖6添加安全組規(guī)則

4.單擊“前往處理”，進入“安全組”界面。

5.在列表右上方的搜索框中輸入安全組“default”后，單擊或按“Enter”，列表顯示“default”安全組信息。

6.單擊“default”，進入“基本信息”頁面。

7.選擇“入方向規(guī)則”頁簽，單擊“添加規(guī)則”，如圖7所示。

圖7添加規(guī)則

8.在“添加入方向規(guī)則”對話框中，為安裝節(jié)點IP添加TCP協(xié)議（端口為8000）和UDP協(xié)議（端口為7000-7100）規(guī)則，如圖8所示。

圖8“添加入方向規(guī)則”對話框（ECS）

步驟五：安裝Agent

添加安全規(guī)則后，您需要下載Agent包并將下載的Agent安裝包上傳到待安裝Agent的節(jié)點上進行安裝。使添加的數(shù)據(jù)庫連接到數(shù)據(jù)庫安全審計實例，數(shù)據(jù)庫安全審計才能對添加的數(shù)據(jù)庫進行審計。

說明：

每個Agent都有唯一的AgentID，是Agent連接數(shù)據(jù)庫安全審計實例的重要密鑰。若您將添加的Agent刪除，在重新添加Agent后，請重新下載Agent和安裝Agent。

1.登錄數(shù)據(jù)庫安全服務(wù)控制臺。

2.在左側(cè)導(dǎo)航樹中，選擇“數(shù)據(jù)庫安全審計>數(shù)據(jù)庫列表”，進入“數(shù)據(jù)庫列表”頁面。

3.在“選擇實例”下拉框中，選擇需要下載Agent的數(shù)據(jù)庫所屬實例。

4.單擊該數(shù)據(jù)庫左側(cè)的展開Agent的詳細(xì)信息，在Agent所在行的“操作”列，單擊“下載agent”，如圖9所示。

將Agent安裝包下載到本地。

圖9下載Agent

5.使用跨平臺傳輸工具（例如WinSCP），將下載的Agent安裝包“xxx.tar”上傳到待安裝Agent的節(jié)點（即圖9中的“安裝節(jié)點IP”）。

6.使用跨平臺遠(yuǎn)程訪問工具（例如PuTTY）以root用戶通過SSH方式，登錄該安裝節(jié)點。

7.執(zhí)行以下命令，進入Agent安裝包“xxx.tar”所在目錄。

8.cd Agent安裝包所在目錄

9.執(zhí)行以下命令，解壓縮“xxx.tar”安裝包。

10.tar-xvf xxx.tar

11.執(zhí)行以下命令，進入“install.sh”腳本所在目錄。

12.cd install.sh腳本所在目錄

13.執(zhí)行以下命令，安裝Agent。

14.sh install.sh

15.如果界面回顯以下信息，說明安裝成功。

start agent

starting audit agent

audit agent started

start success

install dbss audit agent done!

步驟六：驗證Agent與數(shù)據(jù)庫安全審計實例之間的網(wǎng)絡(luò)通信正常

待審計的數(shù)據(jù)庫與數(shù)據(jù)庫安全審計實例連接成功后，您需要驗證Agent與數(shù)據(jù)庫安全審計實例之間的網(wǎng)絡(luò)通信是否正常。

1.在安裝Agent的節(jié)點執(zhí)行一條SQL語句或?qū)?shù)據(jù)庫進行操作（例如，“Select 1;”）。

2.進入SQL語句列表入口，如圖10所示。

圖10進入SQL語句列表入口

SQL語句列表將顯示登錄數(shù)據(jù)庫操作的記錄，如圖11所示。

3.如果不能查詢到SQL語句，請您參照如何處理Agent與數(shù)據(jù)庫安全審計實例之間通信異常？進行排查。

圖11查看SQL語句

步驟七：查看審計結(jié)果

驗證成功后，您可參照本節(jié)內(nèi)容在總覽界面查看審計結(jié)果信息，同時也可根據(jù)需求在報表界面進行設(shè)置生成報表、下載或預(yù)覽報表。

1.查看總覽信息。

進入總覽入口，如圖12所示，查看總覽信息。

在總覽界面，展示了該實例的審計時長、SQL語句總量、風(fēng)險總量以及今日語句、今日風(fēng)險、今日會話量

您可以選擇“語句”或“會話”頁簽，分別查看SQL語句信息和會話分布圖。

圖12進入總覽入口

2.生成報表、下載或預(yù)覽報表。

a.進入報表管理入口，如圖13所示。

圖13進入報表管理入口

b.在需要生成報表的模板所在行的“操作”列，單擊“立即生成報表”。

c.在彈出的對話框中，單擊，設(shè)置報表的開始時間和結(jié)束時間，選擇生成報表的數(shù)據(jù)庫。

d.單擊“確定”。

系統(tǒng)跳轉(zhuǎn)到“報表結(jié)果”頁面，您可以查看報表的生成進度。報表生成后，您可以預(yù)覽或下載報表，如圖14所示。

須知：

如果您需要在線預(yù)覽報表，請使用Google Chrome或Mozilla FireFox瀏覽器。

圖14預(yù)覽或下載報表