本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
针对企业存在第三方云平台及线下互联网数据中心IDC(Internet Data Center)自建数据资产的场景,可通过阿里云数据安全中心DSC(Data Security Center)进行统一管理。本文介绍云外数据资产接入DSC方案。
功能概述
企业的数据资产可能分布于阿里云、第三方云平台以及线下IDC。为了实现统一管理,第三方云平台及本地IDC中的数据库资产可以作为自建数据资产接入DSC。
对于第三方云平台和线下IDC的数据库,需要接入DSC并开启数据审计功能,需要完成下列几步操作:
创建VPC专有网络:第三方云平台和线下IDC需要通过VPC专有网络接入DSC。
网络打通:对第三方云平台和线下IDC的数据库进行审计,需要先打通第三方云平台或线下IDC与VPC专有网络的连接,您可以采用VPN网关、高速通道、云企业网等多种方式打通网络。
接入数据安全中心:把第三方云平台及线下IDC的数据库资产作为自建数据资产接入到DSC。
开通数据审计功能:打通DSC与VPC专有网络的网络连接,安装Agent进行流量采集。
配置访问控制策略:配置数据审计端口的安全组策略,保证流量采集功能正常。
数据审计功能验证:完成上述步骤后,您可以前往DSC控制台查看审计日志。
前提条件
已开通数据安全中心免费版实例或已购买数据安全中心付费版实例。具体操作,请参见数据安全中心免费版服务或购买数据安全中心。
具体操作,请参见数据安全中心免费版服务或购买数据安全中心。
操作步骤
步骤一:在阿里云创建VPC专有网络
您可以通过创建VPC专有网络,结合阿里云的多种网络产品,在保障安全与稳定的基础上,高效实现第三方云平台或本地数据中心资源向阿里云的扩展与互联。
前往专有网络控制台的创建专有网络页面。
根据以下信息配置专有网络和交换机,然后单击确定。
配置专有网络:
地域:选择计划创建云资源的地域,本文档中选择华北2(北京)。
警告请参考数据审计功能支持的地域选择创建VPC专有网络的地域。否则后续将无法开启数据审计功能。
VPC专有网络至少创建一个安全组。
IPv4网段:选择控制台提供的建议网段,或根据需要输入自定义网段。在多VPC互通等场景下,建议您配置与已有VPC不重叠的网段来避免VPC互通时的网段冲突问题。
建议您使用RFC1918中指定的私有IPv4地址作为VPC的网段,网络掩码使用16~28位。如10.0.0.0/16、172.16.0.0/16、192.168.0.0/16。
不能使用100.64.0.0/10、224.0.0.0/4、127.0.0.0/8或169.254.0.0/16网段作为VPC的IPv4网段。
您指定的IPv4网段是专有网络的主网段。您可以通过调整ModifyVpcAttribute接口的
CidrBlock参数,调整VPC的IPv4主网段范围。当地址不足时,您可以添加IPv4附加网段扩充VPC地址空间。
配置交换机:
可用区:后续用于创建云资源的可用区。
IPv4网段:选择控制台默认的网段,或根据需要调整网段范围。交换机创建后,不能再修改网段。
如果交换机有和其他VPC的交换机或本地数据中心通信的需求,请避免VPC网段和本地网段出现冲突。
如果需要创建多个交换机,单击交换机区域下方的添加,并输入交换机的配置信息。
步骤二:打通网络
您可以参考下表中的参考文档,采用VPN网关、高速通道、云企业网等多种方式打通网络。
网络连接方式 | 适用场景 | 参考文档 |
VPN网关 | 适用于对成本敏感且可以接受一定网络延迟的用户,特别是那些需要快速部署和灵活调整的企业。 | VPN网关可以采用SSL-VPN或IPsec连接两种方式实现网络连接。
|
高速通道 | 适用于对网络质量要求极高,可以承受较高成本的大中型企业,特别是金融、医疗等对数据传输稳定性有严格要求的行业。 | |
云企业网 | 适用于需要跨区域、跨账号VPC互通以及与本地IDC高效互联的企业,特别是那些拥有多个数据中心并希望简化网络管理的企业。 |
步骤三:数据安全中心新增自建资产
通过新增自建资产把第三方云和线下IDC接入数据安全中心。
登录数据安全中心控制台。
在左侧导航栏,选择资产中心。
在页面左侧结构化数据导航栏中,选择自建数据库,并单击新增自建资产。
在新增自建资产对话框中,按照如下内容进行配置。然后单击确定。
配置项
说明
示例值
数据库类型
选择数据资产类型。
关系型/MySQL/8.0
服务器类型
选择服务器类型。支持ECS资产和云外资产。
当前选择云外资产
地域
选择已创建的VPC专有网络所属地域。
华北2(北京)
实例名称
填写自建资产实例名称。
dscIDC
IP/域名
配置访问资产应用的域名或所在服务器的IP地址。
192.168.X.X
端口
配置访问资产应用的端口号。
3306
步骤四:开启数据审计功能
登录数据安全中心控制台。
在左侧导航栏,选择资产中心。
在页面左侧结构化数据导航栏中,选择自建数据库,单击目标实例数据审计列的
。在开启流量采集(Agent)面板中,选择创建VPC专有网络的地域和需要连通网络的VPC。
单击打通网络,等待系统自动打通VPC网络和DSC的网络连接后,单击下一步。
说明网络打通后,DSC会在专有网络中自动创建一个接口终端节点,使DSC和专有网络VPC可以通过私网进行数据通信,不仅提高了网络性能,还增强了安全性,避免了数据在公网传输可能带来的安全风险。
单击手动部署Agent,根据第三方云或线下IDC的操作系统Agent的下载安装包,并根据操作步骤安装Agent,然后单击确定。
说明如果Agent安装在阿里云ECS上,可选择自动部署方式。如果Agent安装在阿里云外,请选择手动部署方式。
完成配置后,您可以在左侧控制台选择,在页签中进行采集配置和Agent配置。具体操作,请参见配置并开启审计模式。
步骤五:配置安全组访问控制策略
当您完成VPC专有网络与DSC的网络连接打通后,系统将自动生成一个以dbauditsaas_ 开头的终端节点名称,并与您的VPC专有网络绑定。此时,您需要在该终端节点上配置相应的安全组策略,以确保网络通信的安全性与合规性。
在接口终端节点页签下,单击与DSC网络打通的VPC专有网络所对应的系统自动创建的终端节点实例ID。
在安全组页签中,单击DSC创建的安全组,跳转至云服务器ECS控制台的安全组详情页签。
在安全组详情页签中的入方向页签单击增加规则,参考以下内容创建安全组规则。
规则方向
授权策略
优先级
协议
访问来源
访问端口
入方向
允许
1
自定义TCP
根据不同的网络打通方式访问来源IP。配置允许VPN网关、高速通道、云企业网等网络连接方式所在的IP或IP段。
VPN网关:使用VPN网关,且通过SSL-VPN方式打通网络,需要填写OpenVPN映射出来的Assigned IP或者阿里云控制台SSL服务端的虚拟IP。成功登录OpenVPN后,您可以在登录弹窗中查看Assigned IP。
云企业网/高速通道:填写通过云企业网或高速通道连接的线下IDC或VPC的IP地址网段。
审计端口:9266/9266
入方向
允许
1
自定义TCP
审计端口:13001/13001
入方向
允许
1
自定义TCP
审计端口:13002/13002
步骤六:数据审计功能验证
登录数据安全中心控制台。
在左侧导航栏,选择日志分析。
在日志分析页面,选择目标数据审计实例,查看审计日志。
