AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 数据库自治服务 操作指南 用户指南 全局功能 安全管理

安全管理

更新时间:
产品详情
我的收藏

DAS 构建了贯穿数据库全生命周期的主动安全防护体系,支持自动化发现并管理潜在安全风险。本文将为您介绍三项关键能力:安全基线检查用于防范不安全的配置项,SSL 证书管理保障数据传输链路的安全,跨引擎白名单模板则统一管控数据库的网络访问权限,三者协同助力企业实现更高效、更可靠的数据库安全管理。

安全基线检查

功能简介

DAS 的安全基线检查功能为您提供全自动的数据库安全体检服务,依据行业标准和安全规范,定期扫描数据库实例,快速发现如弱密码、权限滥用、审计缺失等安全隐患,并给出专业的整改建议。支持多类型数据库集中检测,无需人工干预即可实现全天候自动巡检,帮助您持续优化安全配置,筑牢数据安全防线。

使用须知

数据库所在地域为:

  • 公共云

    华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华南1(深圳)、华南2(河源)、华北3(张家口)、华北5(呼和浩特)、西南1(成都)、华南3(广州)、华北6(乌兰察布)、印度尼西亚(雅加达)、美国(弗吉尼亚)、美国(硅谷)、日本(东京)、德国(法兰克福)、英国(伦敦)、菲律宾(马尼拉)、马来西亚(吉隆坡)、新加坡和中国(香港)

  • 金融云

    华东1(杭州)金融云、华东2(上海)金融云、华北2(北京)金融云(邀测)和华南1(深圳)金融云

操作指南

  1. 登录DAS控制台

  2. 在左侧导航栏中,选择安全中心 > 全局安全管理

    • 首次进入时,系统将显示安全管理服务的购买页面,点击立即购买按钮,弹出开通安全管理服务对话框。

    • 选择实例区域,勾选需要添加的实例。

    • 安全场景配置区域:

      • 勾选安全管理,并在选择安全管理额度中选择合适的额度;

      • 根据实际需求,选择是否启用敏感识别&列加密

    • 确认配置无误后,点击提交按钮,完成服务开通。

    image

  3. 全局安全管理页面中,点击安全基线巡检页签。

    • 发起巡检:单击发起巡检,在弹出窗中勾选需要进行巡检的实例,单击image将其移动到右侧,单击确定即可对选定的数据库实例进行安全巡检。

      说明

      • 实例需要先在实例列表中完成开通安全中心操作,可点击发起巡检弹框中的云上实例跳转到该页面,然后在目标实例的安全服务列,点击开通按钮完成授权操作。

      • 安全巡检是一个耗时的操作,具体耗时取决于您实例的数量和复杂度,可能需要几分钟到几十分钟不等。您无需等待任务完成,可稍后返回此页面查看巡检结果。

      image

    • 巡检列表:巡检结果将以列表形式展示在页面上(每个实例,对应一行数据)。

      说明

      检测结果系统会以醒目的标记进行提示(红色表示存在风险,黄色表示警告,绿色则为安全)。

      image

    • 查看详情:单击对应巡检实例任务操作列下的详情,查看巡检详情。

      说明

      在弹窗中,单击下方的再次巡检,即可对当前实例进行再次巡检。

      image

    • 下载:单击巡检列表右上方的下载image按钮,下载您当前列表中的巡检结果。

      image

    • 巡检订阅:您可以在右上角订阅开关,启用巡检订阅服务。

      说明

      启用订阅服务后,阿里云会在以下重要节点,通过站内信及短信等多渠道,及时向您推送安全通告。

      • 阿里云收到或发现新的安全威胁情报等。

      • 国家网信办等监管部门发布最新合规要求。

      image

检测项与修复建议

检测项

检测规则

描述

核心修复建议

弱口令

  • 危险:存在弱口令的用户。

  • 安全:未发现弱口令用户。

是否存在使用弱口令的账户。

说明

  • 检测模型

    • 配合字典库匹配(包含互联网常见的10,000,000+弱口令组合,并与云安全合作提供新发现的弱口令)。

    • 支持多种密码强度策略的快速批量检测。

  • 防护措施:检测到弱口令账号时触发安全告警。

建议修改为高复杂度密码,参考规则如下:

  • 长度为8~32个字符。

  • 由大写字母、小写字母、数字和特殊字符中的任意三种组成。

  • 特殊字符为!@#$%^&*()_+-=

  • 数据库修改密码参考:

白名单

  • 危险:白名单存在0.0.0.0/0全通配置。

  • 警告:配置了公网IP下大范围的 /8 的网段。

  • 安全:无高风险的白名单配置。

是否存在不符合安全规范的IP白名单。

说明

白名单安全风险定义:实例开启了公网访问,且白名单配置了0.0.0.0/0或大范围的公网 IP 地址段i.e. /8

移除不必要的公网 IP,确保仅信任的 IP 地址可访问。

SSL证书

  • 警告:实例SSL未开启。

  • 安全:实例SSL已开启。

数据库连接是否启用了SSL加密。

强烈建议为公网访问的数据库启用 SSL,确保数据传输安全。

备份

  • 危险:检测最近7天内未产生备份集。

  • 警告:检测2-7天内产生备份集。

  • 安全:近1天内存在备份集。

最新备份集产生时间(受备份策略的影响)。

说明

  • 暂不支持PolarDB-X 2.0。

  • 若实例未配置自动备份策略,连续7天无备份集则标记为危险。

为应对突发情况并确保业务连续性,需提前做好数据库备份。根据业务需求,可选择每日、每周或更长时间的备份周期,以确保数据的安全性和可恢复性。

审计

  • 警告:未开启审计日志。

  • 安全:已开启审计日志。

是否开启了审计日志功能。

启用审计日志,用于事后追溯与实时风险检测。

TDE

  • 警告:未开启TDE加密功能。

  • 安全:已开启TDE加密功能。

是否开启TDE加密功能。

为保证数据安全,强烈建议启用TDE加密,以确保落盘数据安全。

KMS密钥

  • 危险:实例使用的KMS密钥不可用。

  • 安全:实例使用的KMS密钥可用。

实例使用的KMS密钥是否可用。

说明

TDE未开启时,KMS字段显示不涉及。

可在密钥管理控制台,选择对应实例地域,启用对应密钥。

SSL 证书管理

功能简介

SSL证书是保障客户端与数据库之间数据传输加密、防止窃听和篡改的重要安全机制。DAS 提供的 SSL 证书管理功能,可帮助您集中监控所有数据库实例的证书状态,及时发现潜在风险,避免因证书过期导致的应用连接中断。系统支持到期自动预警、一键更新操作和集中下载入口,全面提升证书管理的便捷性与安全性。

使用须知

  • 目标数据库实例已接入DAS。

  • 数据库实例为:

    • RDS MySQL

    • PolarDB MySQL

  • 通过RAM用户使用SSL证书管理功能时,需要为RAM用户授予 AliyunHDMReadOnlyAccessAliyunHDMFullAccess 的权限,详情请参见RAM用户如何使用DAS?

  • 代理SSL暂不在统计范围内。

操作指南

  1. 登录DAS控制台

  2. 在左侧导航栏中,选择安全中心 > 全局安全管理

  3. 全局安全管理页面,单击SSL证书页签。

    说明

    • 开通实例数(个):开通数量(含已开通和部分开通) / 接入数量。

    • 在主表格中单击实例ID,可跳转至实例控制台的基本信息页面。单击详情按钮,可跳转至实例控制台的SSL管理页面,便于进行SSL变更操作。

    image

    主表格

    SSL证书状态

    实例的整体的SSL状态,包括已开通、部分开通、未开通三个选项。

    说明

    • 仅统计已支持SSL功能的终端(endpoint)。

    • RDS MySQL产品,未支持按终端(endpoint)开启SSL,且无需感知具体的终端(endpoint),其子表格的SSL信息等于实例的SSL信息,因此RDS MySQL实例仅有已开通、未开通两种状态。

    • PolarDB MySQL产品,SSL支持主地址、集群地址、自定义地址三种终端(endpoint)类型。

    SSL证书有效期

    实例所有的终端(endpoint)中,最早的SSL证书过期时间。

  4. 点击目标实例左侧的image,可查看当前实例的SSL详细信息。

    image

    子表格

    终端ID

    RDS MySQL该字段为空;PolarDB MySQL对应实例控制台基本信息页面中的EndpointId字段。

    终端类型

    RDS MySQL该字段为空;PolarDB MySQL包括主地址、集群地址、自定义地址三个选项。

    SSL受保护地址

    实例终端(endpoint)的SSL加密链路。

    SSL证书状态

    实例终端(endpoint)的SSL状态,包括已开通、未开通两个选项。

    说明

    当证书状态为未开通时,SSL受保护地址SSL证书类型SSL证书有效期字段均为空。

    SSL证书类型

    实例终端(endpoint)的SSL证书类型,包括数据库颁发用户自定义两个选项,分别对应使用云端证书使用自定义证书的情况。

    说明

    PolarDB MySQL产品,不支持使用自定义证书。

    SSL证书有效期

    实例终端(endpoint)的SSL证书过期时间。

    说明

    SSL证书有效期,均按照用户浏览器时区进行显示。

跨引擎白名单模板

功能简介

DAS 提供的跨引擎白名单模板功能,支持在不同类型的数据库引擎之间统一管理和批量设置网络访问权限,实现集中化运维。当您拥有多个数据库实例需配置相同 IP 白名单时,只需统一编辑一个模板,即可将变更自动同步至所有关联实例,显著提升运维效率,降低因手动重复操作带来的配置错误风险,并实现跨数据库引擎的访问控制统一管理。

使用须知

  • 数据库引擎类型为:

    RDS MySQL、RDS PostgreSQL、PolarDB MySQL版、PolarDB PostgreSQL版、云数据库Tair(兼容Redis)、MongoDB。

  • 数据库所在地域为:

    华东1(杭州)、华东2(上海)、华东3(南通)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、日本(东京)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)、新加坡、菲律宾(马尼拉)、泰国(曼谷)、德国(法兰克福)、迪拜、马来西亚(吉隆坡)、印度尼西亚(雅加达)、韩国(首尔)。

  • 一个白名单模板最多支持配置1000个白名单规则,规则可以是具体的IP地址或CIDR格式的IP地址段。超过该限制将导致修改IP白名单或关联白名单模板失败。

  • 一个白名单模板最多可关联500个实例。

  • 一个用户在单个地域下,最多可创建100个白名单模板。

  • 实例仅能关联相同地域下的IP白名单模板,且单个实例可关联多个IP白名单模板。

  • 对白名单模板的操作立即生效,对关联实例的IP白名单分组操作约1分钟内生效。

  • 若白名单模板已关联多个实例,修改模板会影响所有关联实例,请评估影响范围。

  • 删除白名单模板会导致所有关联实例断开IP白名单分组中的连接。建议先解除关联的实例,再删除模板。

  • DAS中绑定的跨引擎白名单模板不会显示在对应的RDS和云数据库Tair实例控制台中。

操作指南

  1. 登录DAS控制台

  2. 在左侧导航栏中,选择安全中心 > 全局安全管理

  3. 全局安全管理页面,单击白名单模板页签。

    • 创建白名单模板:单击创建IP白名单模板,在右侧弹出的面板中输入白名单模板名称白名单内IP地址,选择地域,单击确定

      说明

      • 白名单IP段设置为0.0.0.0/0意味着对全网开放,请谨慎使用。

      • 如果白名单IP地址只设置了127.0.0.1,表示禁止所有地址访问,如果同时配置有其他IP地址或地址段,则127.0.0.1不生效。

      • 新建的组内白名单将于约1分钟后生效。

    • 修改白名单模板:在列表页单击目标模板操作列的修改按钮,在右侧弹出的面板中修改白名单模板名称和编辑白名单模板内IP地址或IP地址段,完成后单击确定

      重要

      白名单模板修改后,会应用到所有与当前模板关联的实例上。

    • 关联或取消关联实例:在列表页单击目标模板操作列的关联实例按钮,在右侧弹出的面板中可进行如下操作,完成后单击确定

      1. 选择需要关联的产品类型。image.png

      2. 选择产品之后,选择需要关联的引擎类型。image

      3. 左侧全部实例栏中支持搜索实例,并可对其进行批量关联操作。选中后在变更概览 > 待关联实例中可看到待关联实例。

        image

        说明

        取消关联只需要取消勾选。取消选中后在变更概览 > 待取消关联实例中可看到待取消关联实例。image

    • 删除白名单模板:在列表页单击目标模板操作列的删除按钮,在弹出的对话框中单击确定

      重要

      • 删除白名单模板之后,会断开与当前模板关联的所有实例,并取消所有关联实例中当前白名单模板中的规则,但不会影响实例本身的白名单与绑定的其他白名单模板。

      • 若实例绑定了多个模板,且这些模板中有重复的白名单数据,删除某个白名单模板之后,重复部分的白名单数据,并不会被取消。

上一篇:集成GoLang驱动下一篇:实例画像