本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
数据安全中心DSC(Data Security Center)提供的数据审计功能,可以通过查看审计日志分析数据库活动信息,进而帮助您跟踪数据库潜在的恶意行为或未授权访问,调查安全事件原因。在使用数据审计前,您需要先完成审计模式配置,DSC才能根据您配置的审计模式采集相关数据库的审计日志。本文介绍如何进行审计配置。
前提条件
背景信息
新授权实例的审计模式默认为关闭状态。您需要为数据库资产开启并配置审计模式,DSC才能采集到对应数据资产的操作日志到审计日志中,进而根据审计日志通过审计告警规则对数据资产进行数据泄露、漏洞攻击、SQL注入等风险检测并上报告警信息。
审计模式说明
DSC支持原生日志采集和流量采集(Agent)两种审计模式。您可以根据实际情况选择合适的审计模式。
审计模式对比
审计模式 | 支持的数据资产类型 | 工作原理 | 模式特点 |
原生日志采集 |
| DSC自动建立与对应产品的数据采集链路,采集日志。 警告 该审计模式下,云产品的优先级策略为业务优先于审计,在业务负载高的情况下,该策略可能会导致少量日志丢失。 |
|
流量采集(Agent) |
| 通过私网连接(PrivateLink)打通数据采集链路,并在访问数据库的应用服务器或数据库服务器中部署Agent,使用Agent将日志流量转发给DSC审计服务器完成日志采集。 DSC支持一键打通网络功能,自动配置PrivateLink。私网连接的详细说明,请参见什么是私网连接。 一键打通网络需要读取ECS的安全组和交换机来配置PrivateLink,因此需要确保安装Agent的ECS交换机的可用区在数据审计服务支持的可用区列表。具体内容,请参见下文的安装流量采集Agent的ECS支持的可用区列表。 一键打通网络策略如下:
重要
|
|
原生日志采集计费说明
数据库启用原生日志采集模式后,DSC会自动为数据库开启SQL洞察与审计功能,并创建转储数据的日志服务SLS Logstore。数据库开启的SQL洞察由数据库产品收取费用,转储使用的Logstore费用由SLS产品收取。
本文以RDS数据库为例,介绍原生日志采集模式下RDS和SLS产品产生相关费用的情况,其他类型的数据库开启原生日志采集模式后计费逻辑类似。
RDS数据库开启原生日志采集模式后,DSC会自动为该数据库开启SQL洞察功能,该功能的费用由RDS按照SQL洞察(审计)的计费规则收取,具体规则,请参见SQL洞察(审计)。
SQL洞察会在SLS中同步创建一个Logstore用于存储RDS服务SQL洞察的原始日志。该Logstore中的数据默认存储3天,产生的存储费用按照SLS计费规则收取,具体规则,请参见计费概述。
DSC会将转储在SLS Logstore中的SQL洞察原始日志投递到另一个由DSC新创建的Logstore。该Logstore中数据默认存储90天,其产生的费用已包含在您已购买的DSC实例中。具体内容,请参见购买数据安全中心。
安装流量采集Agent的ECS支持的可用区列表
开启原生日志采集
步骤一:授权SLS访问数据资产
原生日志采集需要授予日志服务访问云资源的权限。
登录数据安全中心控制台。
在左侧导航栏,选择。
在审计配置页面的审计模式页签,单击点击去授权。
在云资源访问授权页面,单击同意授权。
步骤二:开启审计模式
在审计模式页签的左侧资产类型导航栏,单击目标资产的云产品类型,例如RDS。
在目标资产审计模式列下选中原生日志采集。
在开通原生日志采集对话框中,单击确定。
开启流量采集(Agent)
步骤一:开启审计模式
登录数据安全中心控制台。
在左侧导航栏,选择。
在审计配置页面,单击审计模式页签。
在左侧资产类型导航栏,单击目标资产的云产品类型,在目标资产审计模式列下选择流量采集(Agent)。
步骤二:打通PrivateLink并安装Agent
在审计配置页面,单击采集配置页签。
选择如下方式部署Agent。
自动部署Agent(推荐)
在自动部署Agent子页签,如果目标资产的PrivateLink连接状态不是已连接,单击目标实例操作列的打通网络。
需要批量操作时,您可以在选中多个实例后,单击批量打通网络。
PrivateLink连接状态为已连接后,单击目标实例操作列的自动安装。
需要批量操作时,您可以在选中多个实例后,单击批量自动安装。
安装成功后,目标资产Agent状态列显示运行中。
手动部署Agent
在手动部署Agent子页签,选择需要审计的服务器所在的VPC。
根据服务器的操作系统类型,参考对应步骤部署Agent。
Windows
单击Windows,下载Agent安装包。
安装包将被保存在您浏览器的默认下载路径中。
登录您的Windows服务器。
将已下载的Agent安装包上传到Windows服务器中。
将Agent安装包解压缩到指定的运行目录,然后运行安装应用程序。
重要解压目录中不能出现特殊字符,具体包括:
<space>、()、[]、{}、^、=、;、!、'、+、,、`、~、&。如果一定要在含特殊字符的目录中运行脚本,请以管理员权限进入DOS命令行运行脚本。选中Install winpcap或Install npcap,单击下一步。
数据库资产类型为RDS或PolarDB时,选择Install winpcap。
数据库资产为自建数据库时,如果数据库应用和数据库在同一个ECS服务器中,选择Install npcap,否则选择Install winpcap。
单击安装,并根据提示保持默认选项完成安装。
Linux
单击Linux,下载Agent安装包。
安装包将被保存在您浏览器的默认下载路径中。
登录您的Linux服务器。
将已下载的Agent安装包上传到Linux服务器的指定目录下。
您可以自定义Agent安装包的存放目录。
执行
tar -xf dbagent_linux_V2.29.tar.gz命令,解压Agent安装包。dbagent_linux_V2.29.tar.gz为Agent安装包文件,请替换为对应的真实文件名。进入安装目录,执行
./install.sh命令,安装并启用Agent。重要禁止直接运行二进制文件。
必须以root账号运行Agent安装脚本,且指定解释器为bash(或不指定解释器)。
(可选)采用手动部署(Agent)方式且需要配置采集方向或数据库使用了SSL证书时,请参考以下步骤完成其他采集配置。
在采集配置页签的自动部署Agent子页签,单击其他采集配置。
您也可以在手动部署Agent子页签下,单击其他采集配置右侧的前往配置。
在其他采集配置面板,完成参数配置,然后单击确定。
配置项
描述
采集方向
选择审计数据的采集方向。可选项:
双向采集的审计内容为:请求 + 客户端信息 + 服务端信息 + 返回信息。
单向采集的审计内容为:请求 + 客户端信息 + 服务端信息。
保存行数
设置要保存的返回信息的行数。取值范围:0~999行,0表示不保存返回结果。
最大保存长度
设置返回信息的最大保存长度。取值范围:1 KB~64 KB。建议您设置合理的保存长度,避免因长度设置过小,影响保存的审计结果的完整性。
SSL证书
如果已为要审计的数据库配置了证书,您需要在此参数处上传数据库正在使用的证书,否则DSC将无法审计该数据库加密后的访问流量。如果您的数据库未配置证书,则您无需配置该参数。以下是配置说明:
单击目标资产SSL证书列的导入证书。
选择数据库使用的证书,并单击打开。
在证书密码列输入证书密码。
如果您需要审计的数据库的证书没有密码,则无需输入密码。
重要DSC会妥善保管您的证书密码,仅在解析当前数据库的加密流量时使用证书密码。
可选:管理Agent
流量审计模式会消耗服务器的CPU、内存、网络带宽资源,Agent安装运行后,您可以根据业务实际情况,查看资源消耗情况、配置Agent运行监控参数和管理Agent状态。
在审计配置页面,单击Agent管理页签。
查看资源消耗趋势图。
单击目标资产操作列的监控。
在监控信息对话框,单击对应资源页签,并在右上角选择时间范围,查看对应资源使用情况。
配置Agent运行的监控参数。
单击目标资产操作列的配置。
在配置面板,展开对应配置项,根据实际服务器运行情况进行设置。
后续操作
相关文档
DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄漏、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则。
开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警。