最佳实践 最佳实践套装

数据库运维安全管理

Ctrl+F / Command+F 全文检索

相关产品

免费体验
客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
视频教程
安全&合规 |

通过数据管理DMS产品,对不同用户进行数据库、表、字段级别的细粒度授权,保障数据库运维安全。

专有网络 VPC 数据管理 云数据库PolarDB
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
视频教程 免费体验
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭
视频教程
数据分析 | 数据迁移 |

介绍如何将自建Hadoop集群及生态组件迁移到阿里云MaxCompute大数据服务。

云服务器ECS DataWorks 大数据计算服务 MaxCompute 云数据库 HBase 版 数据总线 云速搭
数据分析 |

在互联网、电商及游戏等行业通常需要对海量数据做快速实时分析和决策/本文演示如何将业务数据和日志数据通过MaxCompute处理后汇总到ADB/并通过QuickBI等工具进行可视化分析的方案。

日志服务(SLS) 大数据计算服务 MaxCompute 云原生数据仓库AnalyticDB MySQL版 Quick BI
业务上云 |

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS

专有网络 VPC 云服务器ECS 服务器迁移中心 云速搭
视频教程
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
视频教程 立即咨询
中间件 | 容器&微服务 |

Spring Cloud应用经过简单改造,迁移到云上企业级分布式应用服务(EDAS),利用EDAS的监控、调用链、限流降级

专有网络 VPC 云服务器ECS 负载均衡 SLB 企业级分布式应用服务 EDAS
业务上云 | 数据库 |

使用Oracle数据库的应用上云,通过ADAM评分、改造、迁移实现数据库迁移到PolarDB(Oracle兼容版),应用访问

专有网络 VPC 云服务器ECS 云数据库PolarDB 数据库和应用迁移 ADAM

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=235, bpId=135, name=数据库运维安全管理, author=null, keyword=数据库权限,数据库运维,数据库安全, description=通过数据管理DMS产品,对不同用户进行数据库、表、字段级别的细粒度授权,保障数据库运维安全。, position=null, ossUrl=bp-RPQ0S94402M3HX87.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=场景描述 企业的数据库数量比较多、 使用的人比较多的情 况下, 因为不同角色的人访问数据库的权限是不 一样的, 这时候就需要有一个完整的数据库访问 的授权方案, 不同角色按需分配最小够用的权 限。 DMS 的授权粒度可以是库、 表、 字段的维 度。 解决问题 1. 数据库细粒度授权; 2. 权限申请和审批流程; 3. 数据库里敏感数据脱敏; 4. 数据库运维人员操作的事后审计; 产品列表  数据管理 DMS  访问控制 RAM  云数据库 PolarDB, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1数据库运维安全管理最佳实践 业务架构图 场景描述 企业的数据库数量比较多、使用的人比较多的情 况下,因为不同角色的人访问数据库的权限是不 一样的,这时候就需要有一个完整的数据库访问 的授权方案,不同角色按需分配最小够用的权 限。DMS的授权粒度可以是库、表、字段的维 度。 解决问题 1. 数据库细粒度授权; 2. 权限申请和审批流程; 3. 数据库里敏感数据脱敏; 4. 数据库运维人员操作的事后审计; 产品列表  数据管理DMS  访问控制RAM  云数据库PolarDB
2云服务器ECS(产品名称) 文档模板(手册名称)/文档版本信息 阿里云 数据库运维安全管理 最佳实践 文档版本:20150122(发布日期) 2
3数据库运维安全管理 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 数据库运维安全管理最佳实践 文档编号 135 文档版本 V1.2 版本日期 2020-05-08 文档状态 已发布 制作人 明中,寻野 审阅人 敬海 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2020-02-03 云滴、言楼、倩 明中、敬海 创建 薇 V1.1 2020-02-11 筱晖 - 文档优化 V1.2 2020-05-08 明中,寻野 文档优化和交接 I 文档版本:20200211
4数据库运维安全管理 目录 目录 文档版本信息..................................................................................................................................................................I 法律声明.........................................................................................................................................................................II 目录................................................................................................................................................................................III 前置条件及演示环境说明...........................................................................................................................................IV 方案概述........................................................................................................................................................................V 1. 搭建基础环境.........................................................................................................................................................1 1.1. 创建专有网络VPC.................................................................................................................................1 1.2. 创建PolarDB..........................................................................................................................................4 1.2.1. 创建数据库集群............................................................................................................................4 1.2.2. 创建数据库....................................................................................................................................7 1.2.3. 创建数据库账号............................................................................................................................9 1.3. 开通DMS企业版.................................................................................................................................10 2. 数据库实例导入DMS..........................................................................................................................................17 2.1. 数据库实例初始化..............................................................................................................................17 2.2. 数据库中创建user表.........................................................................................................................20 2.3. 数据表中插入数据..............................................................................................................................25 2.4. 数据库实例导入..................................................................................................................................26 3. 创建员工账号并授权..........................................................................................................................................32 3.1. 创建RAM子账号并授权....................................................................................................................32 3.1.1. 创建RAM子账号........................................................................................................................32 3.1.2. 为子账号授权..............................................................................................................................35 3.2. DMS中添加子账号..............................................................................................................................36 3.3. 账号授权..............................................................................................................................................38 3.3.1. 管理员直接授权..........................................................................................................................39 3.3.2. 普通用户自己申请授权..............................................................................................................40 3.3.3. 管理员审批普通用户的申请......................................................................................................46 4. 验证普通用户账号访问数据..............................................................................................................................48 4.1. 有权限的能访问..................................................................................................................................48 4.2. 无权限的不能访问..............................................................................................................................49 4.3. 需要审批的情况..................................................................................................................................50 5. 对敏感数据脱敏处理..........................................................................................................................................55 5.1. 配置敏感列..........................................................................................................................................55 5.2. 敏感列查询效果..................................................................................................................................57 5.3. 申请敏感列权限..................................................................................................................................58 6. 操作审计...............................................................................................................................................................61 7. 安全规则简介......................................................................................................................................................63 III 文档版本:20200211
5数据库运维安全管理 前置条件及演示环境说明 前置条件及演示环境说明 在进行本文操作前,您需要完成以下准备工作:  注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证 页面(https://account.console.aliyun.com/v2/#/authc/home)查看是否已经完成 实名认证。  阿里云账户余额大于100元。您可以登录阿里云控制台,并前往账户总览页面 (https://expense.console.aliyun.com/#/account/home)查看账户余额。  为了便于演示,本文中涉及资源开通时,均默认选择按量付费模式。  本方案仅作为实践演示,具体资源配置以用户实际需求为准。 IV 文档版本:20200211
6数据库运维安全管理 方案概述 方案概述 场景描述 数据资产是现代企业最为重要的资源,各广大企业越来越重视对数据资产的保护。企 业数据库中的数据是数据资产的核心部分。 简单来说,数据库安全,可划分为数据对外安全和数据对内安全两类,每种均涵盖数 据泄漏和数据破坏风险。数据对外安全牵扯到应用的合理设计,漏洞的防范管控,防 火墙技术,避免数据库从外部被攻破;而数据对内安全则着眼于企业内部需要访问数 据库的人和操作行为的管控,避免内因导致数据泄漏、破坏,更容易被企业所忽视。 本实践重点描述数据库对内部人员账号权限等方面的运维安全管理的实现方案。 本最佳实践主要是基于阿里云DMS产品展开的。数据管理(DataManagement Service,简称DMS)是一种集数据管理、结构管理、用户授权、安全审计、数据趋 势、数据追踪、BI图表、性能与优化和服务器管理于一体的数据管理服务。用户使用 数据管理服务实现易用的数据库和服务器统一管理入口,让数据更安全、管理更高效、 数据价值更清晰。DMS的访问安全功能,提供4层认证体系,提供登录/操作审计, 提供云帐号授权、访问地址授权、功能开关等细粒度授权功能。 解决方案 DMS可以针对不同的数据库资源组(通常分为测试环境、开发环境和生产环境;不同 环境可以有多个数据库实例)、不同的人员(人员按角色分类,人员账号对应阿里云账 号;一个账号可以拥有多个角色;)进行细粒度授权。 数据库环境一般分为测试、开发和生产三种类型。管理员对员工的授权可以细化到数 据库、数据表、字段的粒度。除了管理授权外,员工也可以自己申请权限,然后由管 理员来申请;一般情况下,测试环境可免批,生产环境都需要审批,也可以按企业要 求自己设定规则。 人员的角色分为管理员、DBA、普通用户和安全管理员四种。每个阿里云账号对应一 个员工,不用账号可以拥有多个角色。开通DMS企业版的账号是管理员(主账号、 有权限的子账号都可以),其他账号需要由管理员添加和分配角色。具体每个角色所对 应的功能模块如下图所示: 文档版本:20200211 V
7数据库运维安全管理 方案概述 管理员对其他账号的授权中,授权模型里的权限分为查询、导出和变更三种类型,按 够用原则进行授权。也可以是普通用户自行申请。 本最佳实践,是对生产环境的数据,管理员和普通用户进行的授权及权限验证、事后 审计的场景的描述。 文档版本:20200211 VI
8数据库运维安全管理 方案概述 架构图 数据库运维安全管理解决方案架构图: DMS产品的功能逻辑架构图: 文档版本:20200211 VII