今天我们介绍的是:审计ECS自建数据库
数据库安全审计采用旁路部署模式,通过在数据库或应用系统服务器上部署数据库安全审计Agent,获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,实现对ECS/BMS自建数据库的安全审计。
下图是审计ECS/BMS自建数据库架构图
场景说明
假设您在华为云的弹性云服务器(Elastic Cloud Server ,以下简称ECS)上自建了一个数据库,数据库的详细信息如表1所示,您需要对该数据库内部违规和不正当操作进行定位追责,满足等保测评数据库审计需求。本章节详细介绍该场景下,在数据库端安装Agent,开启数据库安全审计功能和验证审计结果的操作。
约束与限制
使用数据库安全审计需要关闭数据库的SSL。
待审计数据库与数据库安全审计需要在同一区域。
购买数据库安全审计配置“VPC”参数时,需与Agent安装节点所在VPC相同。
数据库安全审计的Agent安装节点,请参见:如何选择数据库安全审计的Agent安装节点?。
步骤一:购买数据库安全审计
您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数,详细操作请参见购买数据库安全审计。
说明:为保证审计功能的正常使用,购买数据库安全审计配置“VPC”参数时,请与Agent安装节点所在VPC相同。
数据库安全审计的Agent安装节点,请参见:如何选择数据库安全审计的Agent安装节点?。
步骤二:添加数据库并开启审计
购买数据库安全审计后,您需要先将目标数据库添加至数据库安全审计实例并开启该数据库的审计功能。