【产品技术】数据库安全防护规则实践

举报
懒宅君 发表于 2020/06/27 15:09:32 2020/06/27
【摘要】 本文基于数据库安全防护实践编写,汇总了不同行业的典型应用场景,以及根据应用场景配置的数据库安全防护规则,简单说明如何根据业务需求使用数据库安全防护。典型应用场景可根据自身业务诉求,购买不同的数据库安全防护版本。表1 典型应用场景以及购买数据库服务版本说明行业购买的服务版本业务诉求数据库类型以及规格连接数与QPS食品零售高级版最多支持8个数据库实例最大并发连接数5000保障云上数据库安全类型:...

本文基于数据库安全防护实践编写,汇总了不同行业的典型应用场景,以及根据应用场景配置的数据库安全防护规则,简单说明如何根据业务需求使用数据库安全防护。

典型应用场景

可根据自身业务诉求,购买不同的数据库安全防护版本。

表1 典型应用场景以及购买数据库服务版本说明

行业

购买的服务版本

业务诉求

数据库类型以及规格

连接数与QPS

食品零售

高级版

  • 最多支持8个数据库实例

  • 最大并发连接数5000

保障云上数据库安全

  • 类型:RDS        MySQL

  • 规格:16核64GB + 32核128GB

  • 连接数:150 +        140

  • QPS:600 + 700

学校

基础版

  • 最多支持2个数据库实例

  • 最大并发连接数1000

满足安全合规

  • 类型:RDS        MySQL

  • 规格:4核32GB + 16核32GB

  • 连接数: 30 +        60

  • QPS:800 + 500

医疗

基础版

  • 最多支持2个数据库实例

  • 最大并发连接数1000

满足安全合规

自建SQL Server,代理接入

自建数据库

汽车销售

高级版

  • 最多支持8个数据库实例

  • 最大并发连接数5000

保障云上数据库安全

  • 类型:RDS        SQL Server

  • 规格:16核64GB

  • 连接数:400

  • QPS:1500

保险

专业版

  • 最多支持4个数据库实例

  • 最大并发连接数2500

保障云上数据库安全

  • 类型:RDS        MySQL

  • 规格:32核64GB

  • 连接数:80

  • QPS:350

配置防护规则前操作

配置数据库安全防护规则前,用户需要完成以下配置操作:

  1. 登录HexaTier

  2. 配置日志存储位置

  3. 配置受保护的数据库

场景:满足安全合规

当用户的业务部署到云上后,需要满足网络安全等级保护制度要求。对于数据库,用户需要采用数据库监控和审计,对攻击行为进行记录;且日志的存储期限不低于6个月。

对于需要满足网络安全等级保护制度要求的用户,建议购买数据库安全审计。

表1 数据库安全防护与数据库安全审计功能差异说明

功能特性

数据库安全防护

数据库安全审计

部署模式

直路

旁路

支持的数据库类型

  • Microsoft        SQL Server

  • MySQL

  • PostgreSQL

  • DWS

  • MySQL

  • Oracle

  • PostgreSQL

支持的在线日志上限

3000

3亿~12亿

支持的功能

审计、防火墙、防拖库、数据脱敏

审计

支持的数据库实例个数

基础版:2个

基础版:3个

专业版:4个

专业版:6个

高级版:8个

高级版:30个

价格

请参见价格详情

网络安全等级保护制度要求的日志的存储期限不低于6个月,在具体评测时,为了减少审计日志量,可以精确配置审计规则。

如果用户购买了数据库安全防护,建议用户参照以下操作配置防护规则:

配置数据库活动监控策略

建议配置监控以下数据库操作:

  • 关键库和关键表的修改、删除操作

  • 失败的登录操作

  • 管理操作(操作频繁时配置)

配置数据库防拖库策略

建议配置关键库(一般包括用户、密码等)的防拖库策略,默认配置1000条操作,用户可以根据实际业务情况进行调整。

场景:保障数据库安全

当用户业务具有以下特征时,建议用户使用数据库安全防护,保障数据库安全:

  • 业务网站较大,业务流量高

  • 具有敏感数据,例如酒店、医疗等

  • 数据库在云上,线下多个应用,直接连接云上数据库

为了防止数据库受攻击,同时对业务进行分权管理,建议用户参照以下操作配置防护规则:

配置基于风险的IDS策略

  1. 配置基于风险的IDS策略。

  2. 根据自身业务情况,配置风险引擎(建议总分值为50)。

配置基于表的防火墙策略

建议配置关键表只允许指定账号访问。

 

 


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。