在使用数据安全中心(Data Security Center,简称DSC)提供的安全审计功能前,您需要先完成审计配置。DSC根据您配置的审计模式采集审计日志,并根据已开启的审计规则上报审计告警。本文介绍如何进行审计配置。

审计模式

新授权实例的审计模式默认为关闭状态。您需要为数据库资产配置审计模式,才能为资产开启安全审计和泄漏风险检测。DSC支持原生日志采集和Agent采集两种审计模式。下表是相关说明,您可以根据实际情况选择合适的审计模式。

审计模式 适用产品 工作原理 模式特点 配置流程
原生日志采集 阿里云原生数据库(不支持自建数据库、PolarDB) DSC自动建立与对应产品的数据采集链路,采集日志。
  • 配置简单,即开即用。
  • 存在额外采集费用。
 步骤一:选择审计模式
Agent采集 RDS、PolarDB、自建数据库 通过在应用服务器或数据库服务器中部署Agent,并配置网络连接来打通数据采集链路。Agent将日志流量转发给DSC审计服务器完成日志采集。
  • 需配置网络连接,部署Agent。
  • 无额外采集费用。

步骤一:选择审计模式

步骤二:设置网络连接

步骤三:部署Agent

前提条件

步骤一:选择审计模式

  1. 登录数据安全中心控制台
  2. 在左侧导航栏,选择安全审计 > 审计配置
  3. 审计配置页面,单击审计模式页签。
  4. 在左侧资产类型导航栏,单击目标资产的云产品类型,在目标资产审计模式列下选择审计模式。
    支持选择以下模式。
    • 原生日志采集:选择该模式,该资产的审计配置已完成,无需执行其他步骤。
    • Agent采集:选择该模式,您还需要完成网络配置和部署Agent。

步骤二:设置网络连接

仅审计模式设置为Agent采集时,需要执行该步骤。

审计模式页签的网络连接区域,完成网络连接设置。

网络连接区域展示Agent采集模式实例所在VPC列表,您需要选择私网连接(PrivateLink)下挂载的vSwtich和服务器使用的安全组。以下是配置说明:
  • 选择vSwtich:您需要选择DSC支持的可用区下的vSwtich。DSC支持挂载vSwitch的可用区如下所示。
    • 华北1(青岛):青岛 可用区B、青岛 可用区C
    • 华北2(北京):北京 可用区C、北京 可用区E、北京 可用区F、北京 可用区G、北京 可用区H、北京 可用区I、北京 可用区K、北京 可用区L
    • 华北3(张家口):张家口 可用区A、张家口 可用区B、张家口 可用区C
    • 华北5(呼和浩特):呼和浩特 可用区A、呼和浩特 可用区B
    • 华东1(杭州):杭州 可用区B、杭州 可用区F、杭州 可用区G、杭州 可用区H、杭州 可用区I、杭州 可用区J、杭州 可用区K
    • 华东2(上海):上海 可用区B、上海 可用区E、上海 可用区F、上海 可用区G、上海 可用区L、上海 可用区M、上海 可用区N、
    • 华南1(深圳):深圳 可用区D、深圳 可用区 E、深圳 可用区 F
    • 西南1(成都):成都 可用区A、成都 可用区B
  • 选择安全组:最多支持选择五个安全组。需要部署Agent的服务器必须配置了其中一个安全组。否则,您需要在已选择的任一安全组中手动增加入方向13001/13002。安全组配置的具体操作,请参见添加安全组规则
完成配置后,DSC会自动连通数据库服务器和DSC审计服务器之间的网络。DSC审计服务器和一个VPC之间的网络连通只需设置一次。如果多个数据库实例属于同一个VPC,您只需要配置一次网络连接。

步骤三:部署Agent

仅审计模式设置为Agent采集时,需要执行该步骤。

DSC支持自动部署和手动部署。自动部署操作简单,推荐您使用该方式。

自动部署

  1. 审计配置页面,单击采集配置页签。
  2. 自动部署Agent页签下,单击目标实例操作列的自动安装
    需要批量安装Agent时,选中需要安装Agent的实例并单击实例列表下方的批量自动安装

手动部署

  1. 审计配置页面,单击采集配置页签。
  2. 选择需要审计的服务器所在VPC。
  3. 根据您的操作系统类型,参考对应步骤部署Agent。
    您需要安装Agent的服务器为Windows服务器时,参考以下步骤操作:
    1. 单击Windows,下载Agent安装包。
      安装包将被保存在您浏览器的默认下载路径中。
    2. 登录您的Windows服务器。
    3. 将已下载的Agent安装包上传到Windows服务器中。
    4. 将Agent安装包解压缩到指定的运行目录。
      注意 解压目录中不能出现特殊字符,具体包括:<space>()[]{}^=;!'+,`~&。如果一定要在含特殊字符的目录中运行脚本,请以管理员权限进入DOS命令行运行脚本。
    5. 选中Install winpcapInstall npcap,单击下一步
      • 数据库资产类型为RDS或PolarDB时,选择Install winpcap
      • 数据库资产为自建数据库时,如果数据库应用和数据库在同一个ECS服务器中,选择Install npcap,否则选择Install winpcap
    6. 单击安装,并根据提示保持默认选项完成安装。
    您需要安装Agent的服务器为Linux服务器时,参考以下步骤操作:
    1. 单击Linux,下载Agent安装包。
      安装包将被保存在您浏览器的默认下载路径中。
    2. 登录您的Linux服务器。
    3. 将已下载的Agent安装包上传到Linux服务器的指定目录下。
      您可以自定义Agent安装包的存放目录。
    4. 执行tar –xf dbagent_linux_V2.29.tar.gz命令,解压Agent安装包。
    5. 进入安装目录,执行./install.sh命令,安装并启用Agent。
      注意
      • 禁止直接运行二进制文件。
      • 必须以root账号运行Agent安装脚本,且指定解释器为bash(或不指定解释器)。

其他采集配置

需要配置采集方向或数据库使用了SSL证书时,您可以参考以下步骤完成采集配置。

  1. 采集配置页签,单击其他采集配置
    您也可以在手动部署子页签下,单击其他采集配置右侧的前往配置
  2. 其他采集配置面板,完成参数配置,并单击确定
    配置项 描述
    采集方向 选择审计数据的采集方向。可选项:
    • 双向审计的审计内容为:请求 + 客户端信息 + 服务端信息 + 返回信息。
    • 单向审计的审计内容为:请求 + 客户端信息 + 服务端信息。
    保存行数 设置要保存的返回信息的行数。取值范围:0~999行,0表示不保存返回结果。
    最大保存长度 设置返回信息的最大保存长度。取值范围:1~64 KB。建议您设置合理的保存长度,避免因长度设置过小,影响保存的审计结果的完整性。
    SSL证书 如果您已为要审计的数据库配置了证书,您需要在此参数处上传数据库正在使用的证书,否则DSC将无法审计该数据库加密后的访问流量。如果您的数据库未配置证书,则您无需配置该参数。以下是配置说明:
    1. 单击目标资产SSL证书列的导入证书
    2. 选择数据库使用的证书,并单击打开
    3. 证书密码列输入证书密码。
      如果您需要审计的数据库的证书没有密码文件,则无需输入密码。
      注意 DSC会妥善保管您的证书密码,仅在解析当前数据库的加密流量时使用证书密码。

步骤四:配置审计规则

DSC支持内置审计规则和自定义审计规则。关于内置审计规则的更多信息,请参见内置的安全审计规则

查看内置审计规则

DSC默认为您开启所有内置审计规则。内置审计规则可分为四种类型:数据库审计规则、OSS审计规则、MaxCompute审计规则、Dataphin审计规则。参考以下步骤查看内置审计规则。

  1. 审计配置页面,单击内置规则页签。
  2. 内置规则页签,单击目标类型子页签,例如OSS审计规则,查看对应的内置审计规则。

如果无需使用指定内置规则,您可以关闭该规则状态列下的开关。

自定义审计规则

如果内置审计规则无法满足您的审计需求,您可以自定义审计规则。

  1. 审计配置页面,单击内置规则页签。
  2. 内置规则页签,单击自定义规则子页签。
  3. 单击新增规则
  4. 新增规则面板,完成审计规则配置,并单击提交
    配置项 描述
    规则名称 自定义审计规则的名称,建议输入有实际意义的名称以便有效识别审计规则。
    规则类型 从下拉列表中选择审计规则类型。
    风险级别 从下拉列表中选择审计规则的风险等级。
    资产类型 从下拉列表中选择审计规则生效的资产类型。
    行为信息 输入审计规则的说明信息。
    规则描述 根据实际需要配置规则条件。规则配置完成后,单击添加。支持添加多条规则,多条规则之间为与的关系。

    DSC将在命中规则条件时,上报审计告警。

    审计规则创建完成后默认开启。