云上等保部署要点——阿里云数据库审计和堡垒机

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群版 2核4GB 100GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 阿里云堡垒机和数据库审计的部署概要。

数据库审计和堡垒机是服务器和数据库的贴身侍卫,也是组织机构通过信息安全等级测评的“刚需”。当前一些行业不断强化对等保的要求,例如教育部要求互联网教育APP要求在6月30日之前完成信息安全等级备案的工作,近期与等保相关的服务和咨询开始多了起来,在这一过程中,数据库审计和堡垒机是被提到最多的两个产品,今天我们就来说一下这两个产品的选购和部署要点。

数据库审计和堡垒机有两个共同点

  • 他们都工作在“旁路”模式下,当然这里的旁路主要是相对于业务系统来说的,因此在部署和运行堡垒机和数据库审计的过程中并不会对业务系统造成任何的干扰,有此顾虑的可以放心了。
  • 他们的主要功能都是用来进行“事后审计”,堡垒机主要是对操作人员的远程管理操作进行运维操作审计、数据库审计主要是对业务系统和运维人员对数据库的访问进行审计。

这两个特性结合在一起就产生了一个问题:必须保证所有的运维操作和数据库访问都能被截获和记录,堡垒机和数据库审计自身是没有办法强制截获流量的,在阿里云上部署堡垒机和数据库审计通常都要结合使用安全组和RDS白名单来保证流量截取的完整性

公共的东西讲完了,先来看堡垒机的部署要点。

阿里云堡垒机的部署可以分成六步:

  • 第一步、释放和激活堡垒机实例、阿里云堡垒机购买后需要激活释放后才能进行后续配置,所以第一步就是到堡垒机的控制台去释放堡垒机实例,在释放的过程中需要选择堡垒机所在的虚拟机交换机。
  • 第二步、登陆堡垒机、堡垒机实例释放完成就可以登陆进行配置了,阿里云堡垒机有两个IP,一个内网IP和一个外网IP,这样在登陆的时候就会有两个选项,内网登陆和外网登陆,通常情况下我们都要选择外网登陆,除非是VPN或者专线环境。
  • 第三步、创建堡垒机本地用户或者导入用户,堡垒机支持导入RAM子账号或者LDAP用户,大部分用户使用堡垒机本地用户即可,这里的用户就是日后要登陆服务器进行运维的管理员。
  • 第四步、创建或者导入资产,这里的资产就是要管理的服务器,阿里云堡垒机支持导入当前帐号下的ECS服务器,也支持手工创建服务器资产,只要网络可达,无论是否是云服务器,均可添加,在创建或者导入资产后可以把服务器的管理员帐号信息填入服务器资产中,这样在不泄露服务器口令的情况下就可以让授权的用户通过堡垒机对该服务器进行管理。
  • 第五步、创建运维规则,通过运维规则来绑定用户和资产,这样“用户”就可以对规则中的“资产”进行运维了管理了,在创建运维规则时可以指定一些诸如允许时段、允许IP、允许执行的命令等管理策略。
  • 第六步、编辑服务器安全组规则,令服务器的管理运维端口(3389/22)只接受来自堡垒机网络地址的请求,保证所有的管理维护操作只能经由堡垒机执行,这一步非常重要,否则堡垒机的审计作用将形同虚设。

说完了堡垒机,再让我们看看数据库审计。

阿里云的数据库审计的部署可以分成如下七步:

  • 第零步、先要选择版本,阿里云上的数据库审计有两个版本,分别是A100和C100,在购买时容易导致选择困难。过去,阿里云的默认选择都是A100,而最近则改成了C100,C100支持阿里云日志服务、支持创建审计规则进行报警,比较适合愿意“折腾”的用户。对于单纯的等保测评来说A100更加简单直接,鉴于大多数要通过等保测评的用户都不喜欢“麻烦”,我们就只介绍A100的部署要点。
  • 第一步、还是释放和启动数据审计实例。
  • 第二步、根据情况从数据库审计的内网或外网地址登陆。
  • 第三步、添加数据库实例,就是对数据库的类型、版本、地址、端口、实例名称等信息进行登记描述,方便对采集到的信息进行分析和存储。添加完了数据库实例之后并不会自动的收到数据库的访问数据,还需要部署Agent进行采集,这一点非常重要。
  • 第四步、部署Agent,假如要审计的对象是阿里云RDS则要把Agent部署在所有需要访问数据库的服务器和客户端上,对你没看错,就是所有,落下任何一台你的审计数据就是不完整的。假如要审计的对象是在阿里云ECS上自建的数据库,则可以将Agent部署在数据库服务器上,这里不同的部署位置需要安装的软件也有所不同。
  • 第五步、开启数据审计管理员和审计员的登陆权限,可以通过数据库审计的外网地址直接登陆,这样就无需阿里云管理员用户即可进行数据审计系统自身的维护以及对采集到的数据库SQL语句进行审计工作了。
  • 第六步、假如是阿里云RDS数据库要通过白名单保证只有安装了Agent的服务器才可以访问RDS、这一步同样非常重要。

通过以上步骤的介绍,希望您可以对阿里云数据库审计和堡垒机的部署过程有一个整体的把握,具体操作步骤可以参考阿里云在线文档。

目录
相关文章
|
21天前
|
Cloud Native 关系型数据库 分布式数据库
《阿里云产品四月刊》—瑶池数据库云原生化和一体化产品能力升级
阿里云瑶池数据库云原生化和一体化产品能力升级,多款产品更新迭代
|
12天前
|
缓存 运维 关系型数据库
数据库容灾 | MySQL MGR与阿里云PolarDB-X Paxos的深度对比
经过深入的技术剖析与性能对比,PolarDB-X DN凭借其自研的X-Paxos协议和一系列优化设计,在性能、正确性、可用性及资源开销等方面展现出对MySQL MGR的多项优势,但MGR在MySQL生态体系内也占据重要地位,但需要考虑备库宕机抖动、跨机房容灾性能波动、稳定性等各种情况,因此如果想用好MGR,必须配备专业的技术和运维团队的支持。 在面对大规模、高并发、高可用性需求时,PolarDB-X存储引擎以其独特的技术优势和优异的性能表现,相比于MGR在开箱即用的场景下,PolarDB-X基于DN的集中式(标准版)在功能和性能都做到了很好的平衡,成为了极具竞争力的数据库解决方案。
|
2天前
|
人工智能 多模数据库 Cloud Native
揽获多项殊荣,阿里云瑶池数据库亮相2024可信数据库发展大会
在2024可信数据库发展大会上,阿里云被选为中国信通院数据库金融工作组共建单位。同时,阿里云Lindorm成为首批通过中国信通院多模数据库产品测试的产品,展示出在多模数据处理能力上的领先性。
|
17天前
|
关系型数据库 分布式数据库 数据库
PolarDB,阿里云的开源分布式数据库,与微服务相结合,提供灵活扩展和高效管理解决方案。
【7月更文挑战第3天】PolarDB,阿里云的开源分布式数据库,与微服务相结合,提供灵活扩展和高效管理解决方案。通过数据分片和水平扩展支持微服务弹性,保证高可用性,且兼容MySQL协议,简化集成。示例展示了如何使用Spring Boot配置PolarDB,实现服务动态扩展。PolarDB缓解了微服务数据库挑战,加速了开发部署,为云原生应用奠定基础。
163 3
|
17天前
|
存储 关系型数据库 分布式数据库
PolarDB,阿里云的云原生分布式数据库,以其存储计算分离架构为核心,解决传统数据库的扩展性问题
【7月更文挑战第3天】PolarDB,阿里云的云原生分布式数据库,以其存储计算分离架构为核心,解决传统数据库的扩展性问题。此架构让存储层专注数据可靠性,计算层专注处理SQL,提升性能并降低运维复杂度。通过RDMA加速通信,多副本确保高可用性。资源可独立扩展,便于成本控制。动态添加计算节点以应对流量高峰,展示了其灵活性。PolarDB的开源促进了数据库技术的持续创新和发展。
233 2
|
22天前
|
SQL 存储 运维
网易游戏如何基于阿里云瑶池数据库 SelectDB 内核 Apache Doris 构建全新湖仓一体架构
随着网易游戏品类及产品的快速发展,游戏数据分析场景面临着越来越多的挑战,为了保证系统性能和 SLA,要求引入新的组件来解决特定业务场景问题。为此,网易游戏引入 Apache Doris 构建了全新的湖仓一体架构。经过不断地扩张,目前已发展至十余集群、为内部上百个项目提供了稳定可靠的数据服务、日均查询量数百万次,整体查询性能得到 10-20 倍提升。
网易游戏如何基于阿里云瑶池数据库 SelectDB 内核 Apache Doris 构建全新湖仓一体架构
|
2天前
|
存储 安全 Cloud Native
阿里云数据库多款产品支持米哈游新游《绝区零》全球开服!
这一次,阿里云继续与大家共同守护「新艾利都」!
|
4天前
|
NoSQL Cloud Native Redis
|
17天前
|
存储 大数据 关系型数据库
从 ClickHouse 到阿里云数据库 SelectDB 内核 Apache Doris:快成物流的数智化货运应用实践
目前已经部署在 2 套生产集群,存储数据总量达百亿规模,覆盖实时数仓、BI 多维分析、用户画像、货运轨迹信息系统等业务场景。
|
21天前
|
关系型数据库 MySQL 测试技术
《阿里云产品四月刊》—瑶池数据库微课堂|RDS MySQL 经济版 vs 自建 MySQL 性能压测与性价比分析
阿里云瑶池数据库云原生化和一体化产品能力升级,多款产品更新迭代