数据库
数据库审计

一、行云管家支持哪些数据库?如何管理?

截止目前,行云管家支持了MySQL、Oracle以及SQLServer的数据库运维审计功能,但是鉴于Oracle不同版本之间的差异较大,我们将Oracle的版本支持限定在:10g、11g、12c。

行云管家为用户提供了数据库访问的跳板机代理,用户通过跳板机在访问数据库时,所有的SQL语句将被审计记录下来。同时,还可将敏感数据设置为脱敏字段,在查询相关的字段数据时,将进行脱敏处理,保护数据不被泄露。

数据库审计原理:数据库审计提供跳板机访问串的功能,将您真实的用户名密码针对每一个用户进行隐藏,并生成一个临时的用户名与密码;此时并不会暴露数据库的真实密码,用户可以拿到访问串以任意形式去访问数据库;

跳板机(代理机):SaaS环境里主要指的是 Proxy宿主机,而在私有部署版里,除了可用Proxy宿主机作为跳板机,还能使用门户中转服务器(一般默认是行云管家服务器)作为跳板机;

二、如何导入数据库

2.1、“新建分组”,根据您的需要对数据库类别进行分组命名;

2.2、进入要导入数据库的分组,点击“导入数据库”,进入向导页面:

2.3、选择数据库类型:在这里可以选择本地数据库和云厂商RDS用户通过连接跳板机来访问目标数据库:

如果您选择的是本地数据库,那么针对本地数据库的管理,您需要事先将本地数据库所在主机导入到行云管家主机列表里;

如果您选择的是云厂商RDS,针对云厂商RDS数据库的管理,您需要在行云管家中部署一个可以连接到该RDS的数据库跳板机(也就是行云管家Proxy或门户中转服务器),来完成对目标数据库的管理;

2.3、如果您选择的是本地数据库,那么此时需要选择数据库所在主机:

2.4、选择数据库代理并选择数据库类型及填写数据库端口,用户在行云管家中,用户通过数据库代理访问目标数据库,并由数据库代理承担SQL指令的拦截、审计、敏感指令告警等职责;

如果您选择的是本地数据库,那么数据库代理(跳板机)将根据您这台主机所在的局域网是Proxy模式或直连模式来选择代理,如果该主机所在云账户是Proxy模式,那么默认数据库代理为Proxy;如果该主机所在云账户是直连模式,那么默认数据库代理为门户中转服务器;

如果您选择的是云厂商RDS,那么您可以点击更换代理来选择您的数据库代理(跳板机),可以选择Proxy(需要您安装有Proxy)或门户中转服务来作为数据库代理;并且您需要填写您的目标数据库服务器地址;

2.5、点击连接测试,测试成功后点击下一步即可关闭并完成向导:

2.6、完成导入后即可看到该数据库代理信息了;

三、创建数据库访问方案

通过数据库访问方案,用户可以指定用户、角色或部门通过授权的数据库访问账号(访问串)通过Navicat、PLSQL、SSMS等数据库远程访问工具来访问目标数据库,访问的会话可以依靠行云管家来进行审计。

3.1、在左侧数据库列表点击要访问的数据库,在右侧页面中,点击“创建新的访问方案”:

3.2、填写方案名称、方案描述、填写授权的数据库账户与密码,点击“下一步”;

3.3、指定该方案的授权对象,可以授权给角色、部门(组织单元)或团队成员,点击“下一步”;

3.4、授权数据库代理机使用此账户访问目标数据库,请在您的目标数据库中以“管理员身份”按步骤执行图中命令来授权;

四、访问数据库

4.1、选择要访问的数据库及访问方案,此时可以有三种方式来通过代理机访问目标数据库: 一键调用本地工具方式、访问串方式、以及通过应用中心宿主机发布数据库工具的方式;

需要注意的是,本地工具及访问串方式,都需要用门户中转服务器或Proxy代理作为数据库代理机。代理机映射端口:映射端口默认从8300端口开始,后面导入的数据库在这基础上加(例如此数据库映射端口用的是8302);此时需要去代理机上开放该映射端口才可进行后续使用,门户中转服务器默认会自动在iptables防火墙里开启该端口,Proxy宿主机需要用户手动去Proxy宿主机防火墙里开启该端口的访问。

4.2、一键调用本地工具方式:通过行云管家浏览器插件功能来调用用户电脑里的本地工具,浏览器插件安装及使用指引请参考本地工具浏览器插件指引

4.3、访问串方式:代理机会生成数据库访问串,打开用户电脑里的本地工具(例如navicat),然后将此数据库访问串信息直接填入即可使用。

将访问串中的IP地址、端口、用户名、密码填入到数据库远程访问工具中即可访问数据库。

4.4、通过发布应用方式来访问数据库

请参考发布工具访问数据库指引

五、数据库运维策略

请参考数据库运维策略指引

六、数据库审计授权

6.1、数据库菜单功能授权:

6.2、访问串方案授权

(1)点击“访问串方案”里的“运维策略”;

(2)点击“基本信息”里的“方案授权”的“设置按钮”;

(3)在“访问方案授权”里授权给对应角色、部门或成员;

七、数据库审计日志

数据库审计日志请查看数据库审计日志指引

八、数据库审计FAQ

数据库审计FAQ请查看数据库审计FAQ指引