AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 数据库自治服务 操作指南 用户指南 全局功能 DAS安全基线检测

安全基线检测

更新时间:
产品详情
我的收藏

DAS(Database Autonomy Service)安全基线巡检功能旨在帮助您快速发现数据库实例中的潜在安全配置风险,协助您提升数据库的安全性和可靠性。通过本功能,您可以轻松发现并修复不同区域和引擎的数据库实例的安全风险,并以直观的方式呈现检测结果,从配置上保障数据库的安全性。

背景信息

  • 根据Verizon 2023年的报告,约50%的数据库泄露与弱口令和撞库攻击有关。

  • 根据网信办的检测报告,2023年在中国境内发现数千个国产数据库存在未授权访问和弱口令风险,其中11.3%的数据库存在问题(共检查了8000多个实例)。

说明

这些问题主要集中在弱口令漏洞和默认管理员密码未更改。如果数据库实例暴露在公网,弱口令的危害性将更大。

功能限制

  • 数据库所在地域为:

    • 公共云

      华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华南1(深圳)、华南2(河源)、华北3(张家口)、华北5(呼和浩特)、西南1(成都)、华南3(广州)、华北6(乌兰察布)、印度尼西亚(雅加达)、美国(弗吉尼亚)、美国(硅谷)、日本(东京)、德国(法兰克福)、英国(伦敦)、菲律宾(马尼拉)、马来西亚(吉隆坡)、新加坡和中国(香港)

    • 金融云

      华东1(杭州)金融云、华东2(上海)金融云、华北2(北京)金融云(邀测)和华南1(深圳)金融云

  • 仅支持MySQL,PolarDB MySQLPolarDB-X 2.0实例。

    说明

    不支持对PolarDB-X 2.0进行备份检测。

功能特性

检测范围

  • 数据库配置:密码策略复杂度、TDE是否开启、KMS是否可用。

  • 网络配置:白名单访问控制、SSL安全配置。

  • 访问控制:弱口令检测。

  • 存储池:备份设置。

    说明

    在数据库遭遇锁定或删除等事件时,备份尤为重要。

  • 事后安全:审计日志,提供追踪与检测功能。

执行机制

即时检测:支持手动触发专项合规检查。

检测项

检测项

检测规则

描述

弱口令

  • 危险:存在弱口令的用户。

  • 安全:未发现弱口令用户。

是否存在使用弱口令的账户。

说明

  • 检测模型

    • 配合字典库匹配(包含互联网常见的10,000,000+弱口令组合,并与云安全合作提供新发现的弱口令)。

    • 支持多种密码强度策略的快速批量检测。

  • 防护措施:检测到弱口令账号时触发安全告警。

白名单

  • 危险:白名单存在0.0.0.0/0全通配置。

  • 警告:配置了公网IP下大范围的 /8 的网段。

  • 安全:无高风险的白名单配置。

是否存在不符合安全规范的IP白名单。

说明

白名单安全风险定义:实例开启了公网访问,且白名单配置了0.0.0.0/0或大范围的公网 IP 地址段i.e. /8

SSL证书

  • 警告:实例SSL未开启。

  • 安全:实例SSL已开启。

数据库连接是否启用了SSL加密。

备份

  • 危险:检测最近7天内未产生备份集。

  • 警告:检测2-7天内产生备份集。

  • 安全:近1天内存在备份集。

最新备份集产生时间(受备份策略的影响)。

说明

  • 暂不支持PolarDB-X 2.0。

  • 若实例未配置自动备份策略,连续7天无备份集则标记为危险。

审计

  • 警告:未开启审计日志。

  • 安全:已开启审计日志。

是否开启了审计日志功能。

TDE加密

  • 警告:未开启TDE加密功能。

  • 安全:已开启TDE加密功能。

是否开启TDE加密功能。

KMS密钥

  • 危险:实例使用的KMS密钥不可用。

  • 安全:实例使用的KMS密钥可用。

实例使用的KMS密钥是否可用。

说明

TDE未开启时,KMS字段显示不涉及。

操作指南

  1. 登录DAS控制台

  2. 在左侧导航栏中,选择安全中心 > 安全巡检

    • 发起巡检:单击发起巡检,在弹出窗中勾选需要进行巡检的实例,单击image将其移动到右侧,单击确定即可对选定的数据库实例进行安全巡检。

      说明

      • 巡检需要在实例列表中完成安全中心授权。

      • 安全巡检是一个耗时的操作,具体耗时取决于您实例的数量和复杂度,可能需要几分钟到几十分钟不等。您无需等待任务完成,可稍后返回此页面查看巡检结果。

      image

    • 巡检列表:巡检结果将以列表形式展示在页面上(每个实例,对应一行数据)。

      说明

      检测结果系统会以醒目的标记进行提示(红色表示存在风险,黄色表示警告,绿色则为安全)。

      image

    • 查看详情:单击对应巡检实例任务操作列下的详情,查看巡检详情。

      说明

      在弹出窗中,单击下方的再次巡检,即可对当前实例进行再次巡检。

      image

    • 下载:单击巡检列表右上方的下载image按钮,下载您当前列表中的巡检结果。

      image

    • 巡检订阅:您可以在右上角订阅开关,启用巡检订阅服务。

      说明

      启用订阅服务后,阿里云会在以下重要节点,通过站内信及短信等多渠道,及时向您推送安全通告。

      • 阿里云收到或发现新的安全威胁情报等。

      • 国家网信办等监管部门发布最新合规要求。

      image

修复建议

若数据库巡检结果中出现了非安全的巡检结果,您可参考如下方案进行修复:

  • 弱口令:请确保您的数据库密码复杂度符合数据库安全标准,这对于必须暴露于公网的数据库尤为重要。

    说明

    若您使用的是RDS MySQL,建议您开启validate_password的插件。修改密码后,可通过SHOW VARIABLES LIKE 'validate_password%'命令检查策略是否生效"。

    • 长度为8~32个字符。

    • 由大写字母、小写字母、数字和特殊字符中的任意三种组成。

    • 特殊字符为!@#$%^&*()_+-=

    • 数据库修改密码参考:

  • 白名单:建议优先修复暴露于公网的数据库白名单设置,移除不必要的白名单IP。确保仅信任的IP地址能够访问您的数据库,以降低潜在的安全风险。

  • SSL证书:如您已启用数据库的公网访问,强烈建议您启用SSL加密,以确保数据在传输过程中的安全性。这将有助于防止传输中的数据被截获,篡改等安全风险。

  • 数据库备份:为应对突发情况并确保业务连续性,需提前做好数据库备份。根据业务需求,可选择每日、每周或更长时间的备份周期,以确保数据的安全性和可恢复性。

  • 审计日志:强烈建议您启用数据库审计日志功能。这不仅有助于事后追责与合规,还能提供实时安全风险检测能力,从而提升数据库的安全级别。

  • TDE加密:为保证数据安全,强烈建议启用TDE加密,以确保落盘数据安全。

  • KMS密钥:可在密钥管理控制台,选择对应实例地域,启用对应密钥。

说明

如果您在使用过程中有任何疑问或问题,可以使用钉钉搜索钉钉群号58255008752,加入钉钉群反馈。

常见问题

Q:基线检测是否影响数据库性能?

A:对实例无影响,检测过程采用轻量级采集代理,且业务高峰自动延迟扫描。

上一篇:SSL证书下一篇:敏感识别