文档

配置并开启审计模式

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

数据安全中心DSC(Data Security Center)提供的数据审计功能,可以通过查看审计日志分析数据库活动信息,进而帮助您跟踪数据库潜在的恶意行为或未授权访问,调查安全事件原因。在使用数据审计前,您需要先完成审计模式配置,DSC才能根据您配置的审计模式采集相关数据库的审计日志。本文介绍如何进行审计配置。

前提条件

背景信息

新授权实例的审计模式默认为关闭状态。您需要为数据库资产开启并配置审计模式,DSC才能采集到对应数据资产的操作日志到审计日志中,进而根据审计日志通过审计告警规则对数据资产进行数据泄露、漏洞攻击、SQL注入等风险检测并上报告警信息。

审计模式说明

DSC支持原生日志采集和流量采集(Agent)两种审计模式。您可以根据实际情况选择合适的审计模式。

审计模式对比

审计模式

支持的数据资产类型

工作原理

模式特点

原生日志采集

  • OSS

  • 阿里云原生数据库(不支持自建数据库和Redis)

DSC自动建立与对应产品的数据采集链路,采集日志。

警告

该审计模式下,云产品的优先级策略为业务优先于审计,在业务负载高的情况下,该策略可能会导致少量日志丢失。

  • 配置简单,即开即用。

  • 存在额外采集费用。计费详情,请参见下文的原生日志采集计费说明

流量采集(Agent)

  • RDS

  • PolarDB

  • 自建数据库(需要在资产中心开启)

通过私网连接(PrivateLink)打通数据采集链路,并在访问数据库的应用服务器或数据库服务器中部署Agent,使用Agent将日志流量转发给DSC审计服务器完成日志采集。

DSC支持一键打通网络功能,自动配置PrivateLink。私网连接的详细说明,请参见什么是私网连接

一键打通网络需要读取ECS的安全组和交换机来配置PrivateLink,因此需要确保安装Agent的ECS交换机的可用区在数据审计服务支持的可用区列表。具体内容,请参见下文的安装流量采集Agent的ECS支持的可用区列表

一键打通网络策略如下:

  • 如果用户ECS实例使用普通安全组,系统会在对应VPC下创建一个安全组,通过组组授权的方式和用户ECS安全组来实现网络打通。

  • 如果用户ECS实例使用企业级安全组,系统会在ECS实例下修改任意一个安全组规则,放行入方向端口13001/13002来实现网络打通。

重要
  • 该审计模式仅支持与数据安全中心服务同账号的ECS资产部署Agent。

  • 该审计模式会消耗服务器的CPU、内存、网络带宽等资源。

  • 需要配置私网连接,部署Agent。

  • 无额外采集费用。

原生日志采集计费说明

数据库启用原生日志采集模式后,DSC会自动为数据库开启SQL洞察与审计功能,并创建转储数据的日志服务SLS Logstore。数据库开启的SQL洞察由数据库产品收取费用,转储使用的Logstore费用由SLS产品收取。

本文以RDS数据库为例,介绍原生日志采集模式下RDS和SLS产品产生相关费用的情况,其他类型的数据库开启原生日志采集模式后计费逻辑类似。

image
  1. RDS数据库开启原生日志采集模式后,DSC会自动为该数据库开启SQL洞察功能,该功能的费用由RDS按照SQL洞察(审计)的计费规则收取,具体规则,请参见SQL洞察(审计)

  2. SQL洞察会在SLS中同步创建一个Logstore用于存储RDS服务SQL洞察的原始日志。该Logstore中的数据默认存储3天,产生的存储费用按照SLS计费规则收取,具体规则,请参见计费概述

  3. DSC会将转储在SLS Logstore中的SQL洞察原始日志投递到另一个由DSC新创建的Logstore。该Logstore中数据默认存储90天,其产生的费用已包含在您已购买的DSC实例中。具体内容,请参见购买数据安全中心

安装流量采集Agent的ECS支持的可用区列表

支持的可用区列表

地域名称

地域ID

可用区数量

可用区名称

可用区ID

华东1(杭州)

cn-hangzhou

7

杭州 可用区B

cn-hangzhou-b

杭州 可用区F

cn-hangzhou-f

杭州 可用区G

cn-hangzhou-g

杭州 可用区H

cn-hangzhou-h

杭州 可用区I

cn-hangzhou-i

杭州 可用区J

cn-hangzhou-j

杭州 可用区K

cn-hangzhou-k

华东2(上海)

cn-shanghai

7

上海 可用区B

cn-shanghai-b

上海 可用区E

cn-shanghai-e

上海 可用区F

cn-shanghai-f

上海 可用区G

cn-shanghai-g

上海 可用区L

cn-shanghai-l

上海 可用区M

cn-shanghai-m

上海 可用区N

cn-shanghai-n

华北1(青岛)

cn-qingdao

2

青岛 可用区B

cn-qingdao-b

青岛 可用区C

cn-qingdao-c

华北2(北京)

cn-beijing

8

北京 可用区C

cn-beijing-c

北京 可用区E

cn-beijing-e

北京 可用区F

cn-beijing-f

北京 可用区G

cn-beijing-g

北京 可用区H

cn-beijing-h

北京 可用区I

cn-beijing-i

北京 可用区K

cn-beijing-k

北京 可用区L

cn-beijing-l

华北3(张家口)

cn-zhangjiakou

3

张家口 可用区A

cn-zhangjiakou-a

张家口 可用区B

cn-zhangjiakou-b

张家口 可用区C

cn-zhangjiakou-c

华北5(呼和浩特)

cn-huhehaote

2

呼和浩特 可用区A

cn-huhehaote-a

呼和浩特 可用区B

cn-huhehaote-b

华南1(深圳)

cn-shenzhen

3

深圳 可用区D

cn-shenzhen-d

深圳 可用区E

cn-shenzhen-e

深圳 可用区F

cn-shenzhen-f

西南1(成都)

cn-chengdu

2

成都 可用区A

cn-chengdu-a

成都 可用区B

cn-chengdu-b

开启原生日志采集

步骤一:授权SLS访问数据资产

原生日志采集需要授予日志服务访问云资源的权限。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据审计 > 审计配置

  3. 审计配置页面的审计模式页签,单击点击去授权

  4. 云资源访问授权页面,单击同意授权

    image

步骤二:开启审计模式

  1. 审计模式页签的左侧资产类型导航栏,单击目标资产的云产品类型,例如RDS

  2. 在目标资产审计模式列下选中原生日志采集

  3. 开通原生日志采集对话框中,单击确定

    image

开启流量采集(Agent)

步骤一:开启审计模式

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择数据审计 > 审计配置

  3. 审计配置页面,单击审计模式页签。

  4. 在左侧资产类型导航栏,单击目标资产的云产品类型,在目标资产审计模式列下选择流量采集(Agent)

步骤二:打通PrivateLink并安装Agent

  1. 审计配置页面,单击采集配置页签。

  2. 选择如下方式部署Agent。

    • 自动部署Agent(推荐)

      1. 自动部署Agent子页签,如果目标资产的PrivateLink连接状态不是已连接,单击目标实例操作列的打通网络

        需要批量操作时,您可以在选中多个实例后,单击批量打通网络

      2. PrivateLink连接状态已连接后,单击目标实例操作列的自动安装

        需要批量操作时,您可以在选中多个实例后,单击批量自动安装

        安装成功后,目标资产Agent状态列显示运行中

    • 手动部署Agent

      1. 手动部署Agent子页签,选择需要审计的服务器所在的VPC。

      2. 根据服务器的操作系统类型,参考对应步骤部署Agent。

        Windows

        1. 单击Windows,下载Agent安装包。

          安装包将被保存在您浏览器的默认下载路径中。

        2. 登录您的Windows服务器。

        3. 将已下载的Agent安装包上传到Windows服务器中。

        4. 将Agent安装包解压缩到指定的运行目录,然后运行安装应用程序。

          重要

          解压目录中不能出现特殊字符,具体包括:<space>()[]{}^=;!'+,`~&。如果一定要在含特殊字符的目录中运行脚本,请以管理员权限进入DOS命令行运行脚本。

        5. 选中Install winpcapInstall npcap,单击下一步

          • 数据库资产类型为RDS或PolarDB时,选择Install winpcap

          • 数据库资产为自建数据库时,如果数据库应用和数据库在同一个ECS服务器中,选择Install npcap,否则选择Install winpcap

        6. 单击安装,并根据提示保持默认选项完成安装。

        Linux

        1. 单击Linux,下载Agent安装包。

          安装包将被保存在您浏览器的默认下载路径中。

        2. 登录您的Linux服务器。

        3. 将已下载的Agent安装包上传到Linux服务器的指定目录下。

          您可以自定义Agent安装包的存放目录。

        4. 执行tar -xf dbagent_linux_V2.29.tar.gz命令,解压Agent安装包。

          dbagent_linux_V2.29.tar.gz为Agent安装包文件,请替换为对应的真实文件名。

        5. 进入安装目录,执行./install.sh命令,安装并启用Agent。

          重要
          • 禁止直接运行二进制文件。

          • 必须以root账号运行Agent安装脚本,且指定解释器为bash(或不指定解释器)。

  3. (可选)采用手动部署(Agent)方式且需要配置采集方向或数据库使用了SSL证书时,请参考以下步骤完成其他采集配置。

    1. 采集配置页签的自动部署Agent子页签,单击其他采集配置

      您也可以在手动部署Agent子页签下,单击其他采集配置右侧的前往配置

    2. 其他采集配置面板,完成参数配置,然后单击确定

      配置项

      描述

      采集方向

      选择审计数据的采集方向。可选项:

      • 双向采集的审计内容为:请求 + 客户端信息 + 服务端信息 + 返回信息。

      • 单向采集的审计内容为:请求 + 客户端信息 + 服务端信息。

      保存行数

      设置要保存的返回信息的行数。取值范围:0~999行,0表示不保存返回结果。

      最大保存长度

      设置返回信息的最大保存长度。取值范围:1 KB~64 KB。建议您设置合理的保存长度,避免因长度设置过小,影响保存的审计结果的完整性。

      SSL证书

      如果已为要审计的数据库配置了证书,您需要在此参数处上传数据库正在使用的证书,否则DSC将无法审计该数据库加密后的访问流量。如果您的数据库未配置证书,则您无需配置该参数。以下是配置说明:

      1. 单击目标资产SSL证书列的导入证书

      2. 选择数据库使用的证书,并单击打开

      3. 证书密码列输入证书密码。

        如果您需要审计的数据库的证书没有密码,则无需输入密码。

        重要

        DSC会妥善保管您的证书密码,仅在解析当前数据库的加密流量时使用证书密码。

可选:管理Agent

流量审计模式会消耗服务器的CPU、内存、网络带宽资源,Agent安装运行后,您可以根据业务实际情况,查看资源消耗情况、配置Agent运行监控参数和管理Agent状态。

  1. 审计配置页面,单击Agent管理页签。

  2. 查看资源消耗趋势图。

    1. 单击目标资产操作列的监控

    2. 在监控信息对话框,单击对应资源页签,并在右上角选择时间范围,查看对应资源使用情况。

      image

  3. 配置Agent运行的监控参数。

    1. 单击目标资产操作列的配置

    2. 配置面板,展开对应配置项,根据实际服务器运行情况进行设置。

      image

后续操作

  • 完成对应数据资产的审计模式配置后,您可以在数据审计 > 日志分析页面查看该数据资产的审计日志,详细内容,请参见查看审计日志

  • 在线查询的审计日志会保存在数据安全中心提供的存储空间中,您可以查看当前存储空间容量使用情况,并管理在线存储日志和归档存储日志的存储规则。更多内容,请参见管理日志存储

相关文档

  • DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则

  • 开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警

  • 本页导读 (1)