安全审计

更新时间: 2023-08-29 16:36:57

数据库自治服务DAS提供安全审计功能,可以自动识别高危操作、SQL注入、新增访问等风险。本文介绍如何在SQL洞察和审计功能中进行安全审计。

前提条件

  • 数据库实例为:

    • RDS MySQL基础版、高可用版、三节点企业版、集群版

    • PolarDB MySQL版单节点、高压缩引擎(X-Engine)、集群版、多主集群(库表)

  • 已在DAS中接入对应的数据库实例,并且接入状态显示为接入正常

  • 实例已开启SQL洞察和审计,详情请参见开启SQL洞察和审计

存储时长

安全审计的实时审计检测结果存储时长最长为30天。

使用限制

  • 由于技术限制,并非所有SQL注入攻击都能被识别。

  • 为了避免存储增长过快,DAS对安全审计的输出进行了流量控制。

操作步骤

  1. 登录DAS控制台

  2. 在左侧导航栏中,单击实例监控

  3. 找到目标实例,单击实例ID,进入目标实例详情页。

  4. 在左侧导航栏单击请求分析 > SQL洞察和审计,然后在右侧打开的页面单击安全审计

  5. 设置安全审计的时间范围,单击查看,即可查看指定时间范围内以小时为粒度的安全审计结果。

    选择时间范围时,结束时间需晚于开始时间,且开始时间和结束时间的间隔不能超过30天。您可以查询数据库实例开启DAS专业版后,SQL洞察存储时长范围内任意一天的数据。

    单击趋势图中的时间点,查看该时间点后1小时的安全审计详情。

    重要

    对于新版SQL洞察和审计,分析的数据满足以下任一条件时,系统会创建对应的任务重新进行计算和分析,您可以在任务列表页面,查看任务进度及历史任务。

    • 查询的时间范围超过1天。

    • 查询冷存储的数据(超出最近7天的SQL洞察和审计数据采用冷存储)。

    审计项

    说明

    风险等级

    高危操作

    DAS会根据如下规则,自动识别三种类型的高危操作

    • DDL(新建表、修改表结构、修改索引、重命名表等操作)。

    • 全表更新(例如全表Update、全表Delete等操作)。

    • 大请求,默认规则是满足下面三个条件中的任意一个:

      • 扫描行数大于或等于100万。

      • 返回行数大于或等于10万。

      • 更新行数大于或等于10万。

    • DDL:低风险

    • 全表更新:高风险

    • 大请求:中风险

    SQL注入

    通过在Web表单、域名或页面请求中插入SQL命令,以欺骗服务器执行非法SQL,从而危害数据库安全。

    说明

    DAS会持续不断地监控和识别数据库中是否存在SQL注入的情况,并且发现访问来源。

    高风险

    新增访问

    DAS会与历史的访问来源纪录进行对比,自动识别新增的访问来源,帮助您确认是否存在未知的机器访问。

    说明

    过去7天没有出现过的访问来源,为新增访问。

    • 新建数据库实例开启安全审计后,前7天没有新增访问数据。

    • 已有数据库实例,如果之前未开启过安全审计功能,开启此功能后,前7天没有新增访问数据。

    中风险

阿里云首页 数据库自治服务 DAS 相关技术圈