数据库安全审计可以跨区域使用吗?
数据库安全审计不支持跨区域(Region)使用。待审计的数据库和购买的数据库安全审计实例必须在同一区域,您才能使用数据库安全审计功能。
数据库安全审计可以跨可用区使用吗?
待审计的数据库和购买的数据库安全审计实例必须在同一区域,您才能使用数据库安全审计。如果待审计的数据库和购买的数据库安全审计实例在同一区域,但不在同一可用区,则您可以使用数据库安全审计。
例如,您在某个区域的“可用区1”购买了数据库安全审计,如图所示,待审计的数据库部署在该区域的“可用区2”或“可用区3”,则您可以使用购买的数据库安全审计。
在“可用区1”购买数据库安全审计
数据库安全审计(旁路模式)是否会影响业务?
不影响。数据库安全审计是数据库安全服务提供的旁路模式数据库审计功能,只对数据库进行审计,不影响用户业务,与本地审计工具不冲突。
数据库安全审计可以应用于哪些场景?
- 数据库安全审计采用数据库旁路部署方式,在不影响用户业务的提前下,可以对管理控制台上的RDS、ECS/BMS自建的数据库进行灵活的审计。
- 基于数据库风险操作,监视数据库登录、操作类型(数据定义、数据操作和数据控制)和操作对象,有效对数据库进行审计。
- 从风险、会话、SQL注入等多个维度进行分析,帮助您及时了解数据库状况。
- 提供审计报表模板库,可以生成日报、周报或月报审计报表(可设置报表生成频率)。同时,支持发送报表生成的实时告警通知,帮助您及时获取审计报表。
支持的数据库类型
数据库安全审计支持数据库类型及版本如表所示。
数据库类型 | 版本 |
---|---|
MySQL | 5.0、5.1、5.5、5.6、5.7 8.0(8.0.11及以前的子版本) 8.0.23 |
Orace (因Orace为闭源协议,适配版本复杂,如您需审计Orace数据库,请先联系客服人员) | 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c |
PostgreSQL | 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 |
SQL Server | 2008、2008R2 2012 2014 2016 2017 |
DWS | 1.5 |
SHENTONG | V7.0 |
GBase 8a | V8.5 |
GBase 8s | V8.8 |
Gbase XDM Custer | V8.0 |
Greenpum | V6.0 |
HighGo | V6.0 |
TAURUS | MySQL 8.0 |
DAMENG | DM8 |
KINGBASE | V8 |
MongoDB | V5.0 |
您需要在数据库端、应用端或代理端安装Agent,将添加的数据库连接到数据库安全审计实例。
数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上,安装节点的操作系统说明如下所示。
数据库安全审计的Agent支持的Linux系统版本如表所示。
系统名称 | 系统版本 |
---|---|
CentOS | CentOS 6.3 (64bit) CentOS 6.5 (64bit) CentOS 6.8 (64bit) CentOS 6.9 (64bit) CentOS 7.0 (64bit) CentOS 7.1 (64bit) CentOS 7.2 (64bit) CentOS 7.3 (64bit) CentOS 7.4 (64bit) CentOS 7.5 (64bit) CentOS 7.6 (64bit) |
Debian | Debian 7.5.0 (64bit) Debian 8.2.0 (64bit) Debian 8.8.0 (64bit) Debian 9.0.0 (64bit) |
Fedora | Fedora 24 (64bit) Fedora 25 (64bit) |
OpenSUSE | SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) |
SUSE | SUSE 11 SP4 (64bit) SUSE 12 SP1 (64bit) SUSE 12 SP2 (64bit) |
Ubuntu | Ubuntu 14.04 (64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit) |
EuerOS | Euer 2.2 (64bit) Euer 2.3 (64bit) Euer 2.5 (64bit) |
OpenEuer | OpenEuer 20.03 (64bit) |
Orace inux | Orace inux 6.9 (64bit) Orace inux 7.4 (64bit) |
RedHat | Red Hat Enterprise inux 7.4 (64bit) Red Hat Enterprise inux 7.6 (64bit) |
NeoKyin | NeoKyin 7.0 (64bit) |
Kyin | Kyin inux Advanced Server reease V10 (64bit) |
Uniontech OS | Uniontech OS Server 20 Enterprise (64bit) |
数据库安全审计的Agent支持的Windows系统版本如下所示:
Windows Server 2008 R2(64bit)
Windows Server 2012 R2(64bit)
Windows Server 2016(64bit)
Windows 7(64bit)
Windows 10(64bit)
DBSS Agent的运行依赖Npcap,如果安装过程中提示"Npcap not found,please install Npcap first",请安装Npcap后,再安装DBSS Agent。
Npcap下载链接:https://npcap.com/#download
Npcap not found
数据库安全审计支持双向审计吗?
数据库安全审计支持双向审计。双向审计是对数据库的请求和响应都进行审计。
数据库安全审计默认使用双向审计。
数据库安全审计可以审计不同VPC的数据库吗?
数据库安全审计支持审计不同VPC的数据库。当您需要审计不同VPC的数据库时,需要VPC互相通信,可以通过在VPC间建立对等连接的方式实现。请参考创建同一账户下的对等连接进行配置。
数据库安全审计支持TLS连接的应用吗?
不支持。TLS(Transport Layer Security)连接的应用是加密的,无法使用数据库安全审计功能。
数据库安全审计的审计数据可以保存多久?
数据库安全审计支持将在线和归档的审计数据至少保存180天的功能。
您可以在数据库安全审计的“总览”界面,通过选择数据库和审计周期,查看对应时间段的审计数据。
版本 | 支持的数据库实例 | 系统资源要求 | 性能参数 |
---|---|---|---|
基础版 | 最多支持3个数据库实例 | CPU:4U 内存:16GB 硬盘:500GB | 吞吐量峰值:3,000条/秒 入库速率:360万条/小时 4亿条在线SQ语句存储 50亿条归档SQ语句存储 |
专业版 | 最多支持6个数据库实例 | CPU:8U 内存:32GB 硬盘:1T | 吞吐量峰值:6,000条/秒 入库速率:720万条/小时 6亿条在线SQ语句存储 100亿条归档SQ语句存储 |
高级版 | 最多支持30个数据库实例 | CPU:16U 内存:64GB 硬盘:2T | 吞吐量峰值:30,000条/秒 入库速率:1080万条/小时 15亿条在线SQ语句存储 600亿条归档SQ语句存储 |
说明l 数据库实例通过数据库IP+数据库端口计量。
如果同一数据库IP具有多个数据库端口,数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口,即为一个数据库实例;1个数据库IP具有N个数据库端口,即为N个数据库实例。
例如:用户有2个数据库资产分别为IP1和IP2,IP1有一个数据库端口,则为1个数据库实例;IP2有3个数据库端口,则为3个数据库实例。IP1和IP2合计为4个数据库实例,选择服务版本规格时需要大于或等于4个数据库实例,即选用专业版(最多支持审计6个数据库实例)。
l 不支持修改规格。若要修改,请退订后重购。
l 本表中在线SQL语句的条数,是按照每条SQL语句的容量为1KB来计算的。
数据库安全审计发生异常,多长时间用户可以收到告警通知?
- 在数据库安全审计正常运行的情况下,从系统发生异常到收到告警通知最大时延不超过5分钟。
- 当您设置告警通知后,在数据库安全审计正常运行的情况下,当数据库安全审计实例资源(CPU、内存和磁盘)超过设置的告警阈值时,系统产生告警通知。用户约在5分钟内可以收到告警通知。
每天发送告警总条数与每天收到的邮件数是相同的吗?
是的。一条告警信息对应一个通知邮件。
为什么不能在线预览数据库安全审计报表?
如果您需要在线预览报表,请使用Google Chrome或Mozilla FireFox浏览器。
在业务侧使用中间件会影响数据库安全审计功能吗?
- 不会影响使用数据库安全审计。中间件是介于应用系统和操作系统之间的一类软件,通常在操作系统、网络和数据库之上,应用软件的下层,是为处于上层的应用软件提供运行与开发的环境,帮助用户灵活、高效地开发和集成复杂的应用软件。
- 数据库安全审计采用旁路模式部署,通过Agent(数据库节点或应用节点安装Agent)获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,从而实现数据库安全审计功能。因此,您在业务侧使用中间件不影响数据库安全审计功能,不会导致Agent监听SQL失败或者审计没有数据。
DBSS服务能否对第三方工具执行的SQL语句进行捕捉?
可以。DBSS服务审计的数据是Agent接入的全量日志和流量数据,与工具无关。
DBSS服务是否支持线下部署?
不支持。数据库安全服务需要部署在您所使用的云上的服务器中,您需要将相关的业务迁移至目标云上。
云服务首页提示DBSS服务预测容量不足如何处理?
- DBSS实例磁盘不支持单独扩容,磁盘容量预测无法满足保存至少180天日志的合规要求时,需要进行备份。
- 此告警为提醒用户实例磁盘使用阈值较高,建议按小时备份。如果已开启了备份,则可忽略该告警。