數(shù)據(jù)庫(kù)安全審計(jì)支持對(duì)華為云上的RDS關(guān)系型數(shù)據(jù)庫(kù)、ECS/BMS自建數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例后，您需要將待審計(jì)的數(shù)據(jù)庫(kù)添加至數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例中。

數(shù)據(jù)庫(kù)安全審計(jì)支持審計(jì)的數(shù)據(jù)庫(kù)類(lèi)型及版本，請(qǐng)參見(jiàn)支持的數(shù)據(jù)庫(kù)類(lèi)型及版本。

前提條件

已成功購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例，且實(shí)例的狀態(tài)為“運(yùn)行中”。

1.登錄管理控制臺(tái)。

2.在頁(yè)面上方選擇“區(qū)域”后，單擊頁(yè)面左上方的，選擇“安全與合規(guī) > 數(shù)據(jù)庫(kù)安全服務(wù)”，進(jìn)入數(shù)據(jù)庫(kù)安全審計(jì)“總覽”界面。

3.在左側(cè)導(dǎo)航樹(shù)中，選擇“數(shù)據(jù)庫(kù)列表”，進(jìn)入數(shù)據(jù)庫(kù)列表界面。

4.在“選擇實(shí)例”下拉列表框中，選擇需要添加數(shù)據(jù)庫(kù)的實(shí)例。

5.在數(shù)據(jù)庫(kù)列表框左上方，單擊“添加數(shù)據(jù)庫(kù)”。

6.在彈出的對(duì)話(huà)框中，設(shè)置數(shù)據(jù)庫(kù)的信息。

7.單擊“確定”，數(shù)據(jù)庫(kù)列表中將新增一條“審計(jì)狀態(tài)”為“已關(guān)閉”的數(shù)據(jù)庫(kù)

說(shuō)明：數(shù)據(jù)庫(kù)添加完成后，請(qǐng)您確認(rèn)添加的數(shù)據(jù)庫(kù)信息正確。如果數(shù)據(jù)庫(kù)信息不正確，請(qǐng)您在數(shù)據(jù)庫(kù)所在行單擊“刪除”，刪除數(shù)據(jù)庫(kù)后，再重新添加數(shù)據(jù)庫(kù)；

1.將待審計(jì)數(shù)據(jù)庫(kù)添加至數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例后，您需要根據(jù)您在云上實(shí)際部署的數(shù)據(jù)庫(kù)選擇添加Agent的方式以及在應(yīng)用端或數(shù)據(jù)庫(kù)端安裝Agent。Agent程序會(huì)獲取訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)流量、將流量數(shù)據(jù)上傳到審計(jì)系統(tǒng)、接收審計(jì)系統(tǒng)配置命令和上報(bào)數(shù)據(jù)庫(kù)狀態(tài)監(jiān)控?cái)?shù)據(jù)，幫助您實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的安全審計(jì)。

完成添加Agent后，您還需要為Agent安裝節(jié)點(diǎn)所在的安全組添加入方向規(guī)則TCP協(xié)議（8000端口）和UDP協(xié)議（7000-7100端口），使Agent與審計(jì)實(shí)例之間的網(wǎng)絡(luò)連通，數(shù)據(jù)庫(kù)安全審計(jì)才能對(duì)添加的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。

說(shuō)明：目前僅如下幾種類(lèi)型數(shù)據(jù)庫(kù)支持免Agent審計(jì)。

GaussDB for MySQL

RDS for SQLServer

RDS for MySQL：

5.6（5.6.51.1及以上版本）

5.7（5.7.29.2及以上版本）

8.0（8.0.20.3及以上版本）

GaussDB(DWS)：8.2.0.100及以上版本

前提條件

1. 已成功購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例，且實(shí)例的狀態(tài)為“運(yùn)行中”。
2. 已成功添加數(shù)據(jù)庫(kù)。

添加Agent（ECS/BMS自建數(shù)據(jù)庫(kù)）

1.登錄管理控制臺(tái)。

2.在頁(yè)面上方選擇“區(qū)域”后，單擊頁(yè)面左上方的，選擇“安全與合規(guī) > 數(shù)據(jù)庫(kù)安全服務(wù)”，進(jìn)入數(shù)據(jù)庫(kù)安全審計(jì)“總覽”界面。

3.在左側(cè)導(dǎo)航樹(shù)中，選擇“數(shù)據(jù)庫(kù)列表”，進(jìn)入數(shù)據(jù)庫(kù)列表界面。

4.在“選擇實(shí)例”下拉列表框中，選擇需要添加Agent的數(shù)據(jù)庫(kù)所屬的實(shí)例。

5.在添加的數(shù)據(jù)庫(kù)所在行的“Agent”列，單擊“添加Agent”。

6.在彈出的“添加Agent”對(duì)話(huà)框中，選擇添加方式。

7.單擊“確定”，Agent添加成功。

8.單擊數(shù)據(jù)庫(kù)左側(cè)的展開(kāi)該數(shù)據(jù)庫(kù)的詳細(xì)信息，查看添加的Agent信息。

添加Agent（RDS關(guān)系型數(shù)據(jù)庫(kù)）

說(shuō)明：對(duì)于數(shù)據(jù)庫(kù)類(lèi)型為“MYSQL”和“GaussDB(for MySQL)”的RDS關(guān)系型數(shù)據(jù)庫(kù)，在添加數(shù)據(jù)庫(kù)成功后Agent免安裝，您可以直接進(jìn)行步驟三：添加安全組規(guī)則。

當(dāng)某個(gè)應(yīng)用端連接了多個(gè)RDS時(shí)， 請(qǐng)按以下方式添加Agent：

1. 連接該應(yīng)用端所有的RDS都需要添加Agent。
2. 如果連接該應(yīng)用端的某個(gè)數(shù)據(jù)庫(kù)已在應(yīng)用端添加了Agent。其他數(shù)據(jù)庫(kù)在添加Agent時(shí)，請(qǐng)選擇“選擇已有Agent”添加方式。

1.登錄管理控制臺(tái)。

2.在頁(yè)面上方選擇“區(qū)域”后，單擊頁(yè)面左上方的，選擇“安全與合規(guī) > 數(shù)據(jù)庫(kù)安全服務(wù)”，進(jìn)入數(shù)據(jù)庫(kù)安全審計(jì)“總覽”界面。

3.在左側(cè)導(dǎo)航樹(shù)中，選擇“數(shù)據(jù)庫(kù)列表”，進(jìn)入數(shù)據(jù)庫(kù)列表界面。

4.在“選擇實(shí)例”下拉列表框中，選擇需要添加Agent的數(shù)據(jù)庫(kù)所屬的實(shí)例。

5.在添加的數(shù)據(jù)庫(kù)所在行的“Agent”列，單擊“添加Agent”。

6.在彈出的“添加Agent”對(duì)話(huà)框中，選擇添加方式。

7.單擊“確定”，Agent添加成功。

8.單擊數(shù)據(jù)庫(kù)左側(cè)的展開(kāi)該數(shù)據(jù)庫(kù)的詳細(xì)信息，查看添加的Agent信息。

后續(xù)處理

Agent添加完成后，您還需要為數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例所在的安全組添加入方向規(guī)則TCP協(xié)議（8000端口）和UDP協(xié)議（7000-7100端口），使Agent與審計(jì)實(shí)例之間的網(wǎng)絡(luò)連通，數(shù)據(jù)庫(kù)安全審計(jì)才能對(duì)添加的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。

Agent添加完成后，您需要為數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例所在的安全組添加入方向規(guī)則TCP協(xié)議（8000端口）和UDP協(xié)議（7000-7100端口），使Agent與審計(jì)實(shí)例之間的網(wǎng)絡(luò)連通，數(shù)據(jù)庫(kù)安全審計(jì)才能對(duì)添加的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)。

說(shuō)明：安全組規(guī)則也可以在成功安裝Agent后進(jìn)行添加。

前提條件

1. 已成功購(gòu)買(mǎi)數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例，且實(shí)例的狀態(tài)為“運(yùn)行中”。
2. 數(shù)據(jù)庫(kù)已成功添加Agent。

添加安全組規(guī)則

1.登錄管理控制臺(tái)。

2.在頁(yè)面上方選擇“區(qū)域”后，單擊頁(yè)面左上方的，選擇“安全與合規(guī) > 數(shù)據(jù)庫(kù)安全服務(wù)”，進(jìn)入數(shù)據(jù)庫(kù)安全審計(jì)“總覽”界面。

3.在左側(cè)導(dǎo)航樹(shù)中，選擇“數(shù)據(jù)庫(kù)安全審計(jì) > 數(shù)據(jù)庫(kù)列表”，進(jìn)入“數(shù)據(jù)庫(kù)列表”界面。

4.在“選擇實(shí)例”下拉列表框中，選擇需要添加安全組規(guī)則的數(shù)據(jù)庫(kù)所屬的實(shí)例。

5.記錄Agent安裝節(jié)點(diǎn)IP信息。

單擊數(shù)據(jù)庫(kù)左側(cè)的展開(kāi)Agent的詳細(xì)信息，并記錄“安裝節(jié)點(diǎn)IP”

6.在數(shù)據(jù)庫(kù)列表的上方，單擊“添加安全組規(guī)則”。

7.在彈出的彈框中，記錄數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例的“安全組名稱(chēng)”（例如default）

8.單擊“前往處理”，進(jìn)入“安全組”列表界面。

9.在列表右上方的搜索框中輸入安全組“default”后，單擊或按“Enter”，列表顯示“default”安全組信息。

10.單擊“default”，進(jìn)入“基本信息”頁(yè)面。

11.選擇“入方向規(guī)則”，檢查安全組的入方向規(guī)則。

請(qǐng)檢查該安全組的入方向規(guī)則是否已為5的安裝節(jié)點(diǎn)IP配置了TCP協(xié)議（端口為8000）和UDP協(xié)議（端口為7000-7100）規(guī)則。

如果該安全組已配置安裝節(jié)點(diǎn)的入方向規(guī)則，請(qǐng)執(zhí)行下載Agent。

如果該安全組未配置安裝節(jié)點(diǎn)的入方向規(guī)則，請(qǐng)執(zhí)行12。

12.為安裝節(jié)點(diǎn)添加入方向安全規(guī)則。

a.在入方向規(guī)則頁(yè)面，單擊“添加規(guī)則”

b.在“添加入方向規(guī)則”對(duì)話(huà)框中，為步驟5中的安裝節(jié)點(diǎn)IP添加TCP協(xié)議（端口為8000）和UDP協(xié)議（端口為7000-7100）規(guī)則，

說(shuō)明：源地址可以是單個(gè)IP地址、IP地址段或安全組：

單個(gè)IP地址：例如192.168.10.10/32。

IP地址段：例如192.168.52.0/24。

所有IP地址：0.0.0.0/0。

安全組：例如sg-abc。

c.單擊“確定”，完成添加入方向規(guī)則。

安全組規(guī)則添加完成后，您還需要下載Agent，并根據(jù)Agent的添加方式在數(shù)據(jù)庫(kù)端或應(yīng)用端安裝Agent，將添加的數(shù)據(jù)庫(kù)連接到數(shù)據(jù)庫(kù)安全審計(jì)實(shí)例，才能開(kāi)啟數(shù)據(jù)庫(kù)安全審計(jì)功能。

審計(jì)ECS自建數(shù)據(jù)庫(kù)

審計(jì)RDS關(guān)系型數(shù)據(jù)庫(kù)（安裝Agent）

審計(jì)RDS關(guān)系型數(shù)據(jù)庫(kù)（免安裝Agent）

數(shù)據(jù)庫(kù)拖庫(kù)檢測(cè)

數(shù)據(jù)庫(kù)慢SQL檢測(cè)

數(shù)據(jù)庫(kù)臟表檢測(cè)

Oracle RAC集群審計(jì)配置最佳實(shí)踐

數(shù)據(jù)庫(kù)安全審計(jì)等保最佳實(shí)踐

數(shù)據(jù)庫(kù)審計(jì)實(shí)例規(guī)則配置最佳實(shí)踐