GaussDB(for MySQL)有哪些安全保障措施
网络
- 云数据库GaussDB(for MySQL)实例可以设置所属虚拟私有云,从而确保云数据库GaussDB(for MySQL)实例与其他业务实现网络安全隔离。
- 使用安全组确保访问源为可信的。
- 使用SSL通道,确保数据传输加密。
管理
通过统一身份认证服务(Identity and Access Management,简称IAM),可以实现对云数据库GaussDB(for MySQL)实例的管理权限控制。
如何防止任意源连接数据库
- 数据库开放EIP后,如果公网上的恶意人员获取到您的EIP
DNS和数据库端口,那么便可尝试破解您的数据库并进行进一步破坏。因此,强烈建议您保护好EIP
DNS、数据库端口、数据库帐号和密码等信息,并通过云数据库GaussDB(for
MySQL)实例的安全组限定源IP,保障只允许可信源连接数据库。 - 为避免恶意人员轻易破解您的数据库密码,请按照云数据库GaussDB(for MySQL)实例的密码策略设置足够复杂度密码,并定期修改。
访问GaussDB(for MySQL)实例应该如何配置安全组
- 通过内网访问GaussDB(for MySQL)实例时,设置安全组分为以下两种情况:
- ECS与GaussDB(for MySQL)实例在相同安全组时,默认ECS与GaussDB(for MySQL)实例互通,无需设置安全组规则。
- ECS与GaussDB(for MySQL)实例在不同安全组时,需要为GaussDB(for MySQL)和ECS分别设置安全组规则。
- 设置GaussDB(for MySQL)安全组规则:为GaussDB(for MySQL)所在安全组配置相应的 入方向规则 。
- 设置ECS安全组规则:安全组默认规则为出方向上数据报文全部放行,此时,无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时,需要为ECS所在安全组配置相应的出方向规则。
- 通过弹性公网IP访问GaussDB(for MySQL)实例时,需要为GaussDB(for MySQL)所在安全组配置相应的 入方向规则 。
将根证书导入Windows/Linux操作系统
导入Windows操作系统
-
单击“开始”,运行框输入“MMC”,回车。
-
在MMC控制台菜单栏中单击“文件”,选择“添加/删除管理单元”。
-
在“添加或删除管理单元”对话框,选择“可用管理单元”区域的“证书”。单击“添加”添加证书。
-
在“证书管理”对话框,选择“计算机账户”,单击“下一步”。
-
在“选择计算机”对话框,单击“完成”。
-
在“添加或删除管理单元”对话框,单击“确定”。
-
在MMC控制台,双击“证书”。
-
右键单击“受信任的根证书颁发机构”,选择“所有任务”,单击“导入”。
-
单击“下一步”。
-
单击“浏览”,将文件类型更改为“所有文件 ( . )”。
-
找到下载的根证书ca.pem文件,单击“打开”,然后在向导中单击“下一步”。
注意 您必须在浏览窗口中将文件类型更改为“所有文件 ( *.* )”才能执行此操作,因为“.pem”不是标准证书扩展名。 -
单击“下一步”。
-
单击“完成”。
-
单击“确定”,完成根证书导入。
导入Linux操作系统
您可以使用任何终端连接工具(如WinSCP、PuTTY等工具)将证书上传至Linux系统任一目录下。
示例:
图 导入证书
如何管理GaussDB(for MySQL)安全性
若要避免安全性问题,切勿使用用户账户的主天翼云用户名和密码。推荐您使用您的主天翼云账户来创建IAM用户,并将这些用户分配给数据库用户账户。如有必要,您还可使用您的主账户创建其他用户账户。
创建账户过程中出错,可能是因为您的账户缺少权限,或者您的账户未正确设置。示例:
您的访问策略中可能缺少执行特定操作的权限,如创建数据库实例。要修复该问题,您的IAM管理员需要为您的账户提供必要的角色。
