華為云DBSS：審計(jì)RDS關(guān)系型數(shù)據(jù)庫(kù)

本文檔介紹了如何對(duì)RDS關(guān)系型數(shù)據(jù)庫(kù)（應(yīng)用部屬于ECS）進(jìn)行安全審計(jì)。

場(chǎng)景說(shuō)明

數(shù)據(jù)庫(kù)安全審計(jì)采用旁路部署模式，通過(guò)在訪問(wèn)數(shù)據(jù)庫(kù)的應(yīng)用系統(tǒng)服務(wù)器上部署數(shù)據(jù)庫(kù)安全審計(jì)Agent，獲取訪問(wèn)數(shù)據(jù)庫(kù)流量、將流量數(shù)據(jù)上傳到審計(jì)系統(tǒng)、接收審計(jì)系統(tǒng)配置命令和上報(bào)數(shù)據(jù)庫(kù)狀態(tài)監(jiān)控?cái)?shù)據(jù)，實(shí)現(xiàn)對(duì)RDS關(guān)系型數(shù)據(jù)庫(kù)的安全審計(jì)。

圖1審計(jì)RDS關(guān)系型數(shù)據(jù)庫(kù)（ECS）架構(gòu)圖

假設(shè)您在華為云上的關(guān)系型數(shù)據(jù)庫(kù)（Relational Database Service，以下簡(jiǎn)稱RDS）的詳細(xì)信息如表1所示，您需要對(duì)該數(shù)據(jù)庫(kù)內(nèi)部違規(guī)和不正當(dāng)操作進(jìn)行定位追責(zé)，滿足等保測(cè)評(píng)數(shù)據(jù)庫(kù)審計(jì)需求。本章節(jié)詳細(xì)介紹該場(chǎng)景下，開(kāi)啟數(shù)據(jù)庫(kù)安全審計(jì)功能和驗(yàn)證審計(jì)結(jié)果的操作。

表1 RDS關(guān)系型數(shù)據(jù)庫(kù)信息說(shuō)明

約束與限制

·使用數(shù)據(jù)庫(kù)安全審計(jì)需要關(guān)閉數(shù)據(jù)庫(kù)SSL。

·待審計(jì)數(shù)據(jù)庫(kù)與數(shù)據(jù)庫(kù)安全審計(jì)需要在同一區(qū)域。

·購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)配置“VPC”參數(shù)時(shí)，需與Agent安裝節(jié)點(diǎn)所在VPC相同。

數(shù)據(jù)庫(kù)安全審計(jì)的Agent安裝節(jié)點(diǎn)，請(qǐng)參見(jiàn)：如何選擇數(shù)據(jù)庫(kù)安全審計(jì)的Agent安裝節(jié)點(diǎn)？。

步驟一：購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)

您需要根據(jù)您的業(yè)務(wù)需求購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)規(guī)格并配置數(shù)據(jù)庫(kù)安全審計(jì)參數(shù)，詳細(xì)操作請(qǐng)參見(jiàn)購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)。

說(shuō)明：

為保證審計(jì)功能的正常使用，購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)配置“VPC”參數(shù)時(shí)，請(qǐng)與Agent安裝節(jié)點(diǎn)所在VPC相同。

數(shù)據(jù)庫(kù)安全審計(jì)的Agent安裝節(jié)點(diǎn)，請(qǐng)參見(jiàn)：如何選擇數(shù)據(jù)庫(kù)安全審計(jì)的Agent安裝節(jié)點(diǎn)？。

步驟二：添加數(shù)據(jù)庫(kù)并開(kāi)啟審計(jì)

購(gòu)買(mǎi)成功后，您需要先將目標(biāo)數(shù)據(jù)庫(kù)添加至數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例并開(kāi)啟該數(shù)據(jù)庫(kù)的審計(jì)功能。

1.登錄管理控制臺(tái)。

2.進(jìn)入添加數(shù)據(jù)庫(kù)入口，如圖2所示。

圖2進(jìn)入添加數(shù)據(jù)庫(kù)入口

3.在彈出的對(duì)話框中，按表1所示信息填寫(xiě)數(shù)據(jù)庫(kù)參數(shù)，如圖3所示。

數(shù)據(jù)庫(kù)安全審計(jì)支持“UTF-8”和“GBK”兩種數(shù)據(jù)庫(kù)字符集的編碼格式，請(qǐng)根據(jù)業(yè)務(wù)情況選擇編碼格式。

圖3“添加數(shù)據(jù)庫(kù)”對(duì)話框

4.單擊“確定”，該數(shù)據(jù)庫(kù)添加到數(shù)據(jù)庫(kù)列表中，且“審計(jì)狀態(tài)”為“已關(guān)閉”。

5.在該數(shù)據(jù)庫(kù)所在行的“操作”列，單擊“開(kāi)啟”，開(kāi)啟審計(jì)功能。

步驟三：添加Agent

1.在數(shù)據(jù)庫(kù)所在行的“Agent”列，單擊“添加Agent”，如圖4所示。

圖4添加Agent

2.在彈出的對(duì)話框中，選擇添加方式。

·方式一：選擇“創(chuàng)建Agent”

如果數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例的數(shù)據(jù)庫(kù)未添加Agent，您需要?jiǎng)?chuàng)建新的Agent。

安裝節(jié)點(diǎn)類(lèi)型選擇“應(yīng)用端”，“安裝節(jié)點(diǎn)IP”輸入表1所示的應(yīng)用端IP地址，如圖5所示。

圖5在應(yīng)用端添加Agent

·方式二：“選擇已有Agent”

在什么場(chǎng)景下需要選擇“選擇已有Agent”添加方式的詳細(xì)介紹，請(qǐng)參見(jiàn)在什么場(chǎng)景下需要選擇“選擇已有Agent”添加方式？。

說(shuō)明：

選擇“選擇已有Agent”添加方式，如果您已在應(yīng)用端安裝了Agent，該數(shù)據(jù)庫(kù)添加Agent后，數(shù)據(jù)庫(kù)安全審計(jì)即可對(duì)該數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。

圖6選擇已有Agent

3.單擊“確定”，Agent添加成功。

步驟四：添加安全組規(guī)則

Agent添加完成后，您需要為數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例所在的安全組添加入方向規(guī)則TCP協(xié)議（8000端口）和UDP協(xié)議（7000-7100端口），使Agent與審計(jì)實(shí)例之間的網(wǎng)絡(luò)連通，數(shù)據(jù)庫(kù)安全審計(jì)才能對(duì)添加的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。

·如果該安全組已配置安裝節(jié)點(diǎn)的入方向規(guī)則，請(qǐng)執(zhí)行步驟五：安裝Agent。

·如果該安全組未配置安裝節(jié)點(diǎn)的入方向規(guī)則，請(qǐng)按照本節(jié)內(nèi)容進(jìn)行配置。

說(shuō)明：

安全組規(guī)則也可以在成功安裝Agent后進(jìn)行添加。

1.獲取安裝節(jié)點(diǎn)IP地址。

2.在數(shù)據(jù)庫(kù)列表的上方，單擊“添加安全組”。

3.在彈出的彈框中，記錄數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例的“安全組名稱”（例如default），如圖7所示。

圖7添加安全組規(guī)則

4.單擊“前往處理”，進(jìn)入“安全組”列表界面。

5.在列表右上方的搜索框中輸入安全組“default”后，單擊或按“Enter”，列表顯示“default”安全組信息。

6.單擊“default”，進(jìn)入“基本信息”頁(yè)面。

7.選擇“入方向規(guī)則”頁(yè)簽，進(jìn)入“入方向規(guī)則”頁(yè)面。

8.單擊“添加規(guī)則”，如圖8所示。

圖8添加規(guī)則

9.在彈出的“添加入方向規(guī)則”對(duì)話框中，為表1中的安裝節(jié)點(diǎn)IP添加TCP協(xié)議（端口為8000）和UDP協(xié)議（端口為7000-7100）規(guī)則，如圖9所示。

圖9“添加入方向規(guī)則”對(duì)話框

10.單擊“確定”，完成添加入方向規(guī)則。

步驟五：安裝Agent

添加安全組規(guī)則后，您需要下載Agent包并將下載的Agent安裝包上傳到待安裝Agent的節(jié)點(diǎn)上進(jìn)行安裝。使添加的數(shù)據(jù)庫(kù)連接到數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例，數(shù)據(jù)庫(kù)安全審計(jì)才能對(duì)添加的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。

說(shuō)明：

每個(gè)Agent都有唯一的AgentID，是Agent連接數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例的重要密鑰。若您將添加的Agent刪除，在重新添加Agent后，請(qǐng)重新下載Agent和安裝Agent。

1.登錄數(shù)據(jù)庫(kù)安全服務(wù)控制臺(tái)。

2.在左側(cè)導(dǎo)航樹(shù)中，選擇“數(shù)據(jù)庫(kù)安全審計(jì)>數(shù)據(jù)庫(kù)列表”，進(jìn)入“數(shù)據(jù)庫(kù)列表”頁(yè)面。

3.在“選擇實(shí)例”下拉框中，選擇需要下載Agent的數(shù)據(jù)庫(kù)所屬實(shí)例。

4.單擊該數(shù)據(jù)庫(kù)左側(cè)的展開(kāi)Agent的詳細(xì)信息，在Agent所在行的“操作”列，單擊“下載agent”，如圖10所示。

將Agent安裝包下載到本地。

圖10下載Agent

5.使用跨平臺(tái)傳輸工具（例如WinSCP），將下載的Agent安裝包“xxx.tar”上傳到待安裝Agent的節(jié)點(diǎn)（即圖10中的“安裝節(jié)點(diǎn)IP”）。

6.使用跨平臺(tái)遠(yuǎn)程訪問(wèn)工具（例如PuTTY）以root用戶通過(guò)SSH方式，登錄該安裝節(jié)點(diǎn)。

7.執(zhí)行以下命令，進(jìn)入Agent安裝包“xxx.tar”所在目錄。

cd Agent安裝包所在目錄

8.執(zhí)行以下命令，解壓縮“xxx.tar”安裝包。

tar-xvf xxx.tar

9.執(zhí)行以下命令，進(jìn)入“install.sh”腳本所在目錄。

cd install.sh腳本所在目錄

10.執(zhí)行以下命令，安裝Agent。

sh install.sh

如果界面回顯以下信息，說(shuō)明安裝成功。

start agent

starting audit agent

audit agent started

start success

install dbss audit agent done!

步驟六：驗(yàn)證Agent與數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例之間的網(wǎng)絡(luò)通信正常

待審計(jì)的數(shù)據(jù)庫(kù)與數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例連接成功后，您需要驗(yàn)證Agent與數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例之間的網(wǎng)絡(luò)通信是否正常。

1.在安裝Agent的節(jié)點(diǎn)執(zhí)行一條SQL語(yǔ)句或?qū)?shù)據(jù)庫(kù)進(jìn)行操作（例如，“Select 1;”）。

2.進(jìn)入SQL語(yǔ)句列表入口，如圖11所示。

圖11進(jìn)入SQL語(yǔ)句列表入口

3.SQL語(yǔ)句列表將顯示登錄數(shù)據(jù)庫(kù)操作的記錄，如圖12所示。

如果不能查詢到SQL語(yǔ)句，請(qǐng)您參照如何處理Agent與數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例之間通信異常？進(jìn)行排查。

圖12查看SQL語(yǔ)句

步驟七：查看審計(jì)結(jié)果

驗(yàn)證成功后，您可參照本節(jié)內(nèi)容在總覽界面查看審計(jì)結(jié)果信息，同時(shí)也可根據(jù)需求在報(bào)表界面進(jìn)行設(shè)置生成報(bào)表、下載或預(yù)覽報(bào)表。

1.查看總覽信息。

進(jìn)入總覽入口，如圖13所示，查看總覽信息。

在總覽界面，展示了該實(shí)例的審計(jì)時(shí)長(zhǎng)、SQL語(yǔ)句總量、風(fēng)險(xiǎn)總量以及今日語(yǔ)句、今日風(fēng)險(xiǎn)、今日會(huì)話量

您可以選擇“語(yǔ)句”或“會(huì)話”頁(yè)簽，分別查看SQL語(yǔ)句信息和會(huì)話分布圖。

圖13進(jìn)入總覽入口

2.生成報(bào)表、下載或預(yù)覽報(bào)表。

a.進(jìn)入報(bào)表管理入口，如圖14所示。

圖14進(jìn)入報(bào)表管理入口

b.在需要生成報(bào)表的模板所在行的“操作”列，單擊“立即生成報(bào)表”。

c.在彈出的對(duì)話框中，單擊，設(shè)置報(bào)表的開(kāi)始時(shí)間和結(jié)束時(shí)間，選擇生成報(bào)表的數(shù)據(jù)庫(kù)。

d.單擊“確定”。

系統(tǒng)跳轉(zhuǎn)到“報(bào)表結(jié)果”頁(yè)面，您可以查看報(bào)表的生成進(jìn)度。報(bào)表生成后，您可以預(yù)覽或下載報(bào)表，如圖15所示。

須知：

如果您需要在線預(yù)覽報(bào)表，請(qǐng)使用Google Chrome或Mozilla FireFox瀏覽器。

圖15預(yù)覽或下載報(bào)表