資料庫作為企業的核心業務,其營運操作是安全管控的重點。Bastionhost企業雙擎版支援對MySQL、SQL Server、PostgreSQL類型的RDS和MySQL、PostgreSQL、PostgreSQL(相容Oracle)的PolarDB以及MySQL、SQL Server、PostgreSQL、Oracle類型的自建資料庫進行營運和審計。本文介紹如何通過Bastionhost進行資料庫營運。
背景資訊
企業資產中,除了Windows伺服器、Linux伺服器外,還有大量的資料庫資產。資料庫作為核心業務資產包含大量敏感資訊,如何保證營運安全、防止越權訪問、違規操作等更是企業的重點關注需求。
資料庫業務比較多樣化,有雲原生資料庫如RDS、以及自建資料庫,並包含MySQL、SQL Server、PostgreSQL、Oracle多種類型,且很多大型企業資料庫業務也通常會分布在多跨帳號、跨VPC以及線下IDC或異構雲等混合情境下,那麼如何?對如上混合情境的統一營運管控、方便營運安全團隊的集中管理也是Bastionhost的重點。
阿里雲Bastionhost企業雙擎版支援Windows伺服器、Linux伺服器以及資料庫的營運管控,針對多種類型資料庫均可實現營運許可權劃分及事後審計追溯,最大化保證資料庫營運安全。另外還提供混合情境營運能力,通過網路域營運能力將跨帳號、線下IDC、異構雲混合情境下的資產進行統一平台接入,便於安全團隊的一站式管控。
同時,企業雙擎版具有可靠底層架構保障,雙引擎部署,雙活架構運行,對於資料庫的營運高要求操作提供更穩定的業務保障。詳細資料,請參見功能特性。
資料庫營運流程
使用Bastionhost進行資料庫營運時,管理員先通過Bastionhost對資產進行管理,以及營運人員進行許可權劃分。營運人員再通過用戶端或者命令列建立到Bastionhost的SSH隧道,在Bastionhost管控下登入資料庫資產進行營運。
前提條件
在本地主機安裝支援SSH隧道的資料庫營運工具,例如DBeaver、DbVisualizer、NavicatPremium、NavicatForMysql等。詳細資料,請參見用戶端遠端連線工具及版本推薦。
已將資料庫資產匯入到Bastionhost。具體操作,請參見資料庫管理。
已擷取Bastionhost營運地址。您可以在Bastionhost概覽頁面的Bastionhost執行個體資訊地區擷取營運地址。具體操作,請參見Bastionhost頁面概覽。
說明Bastionhost提供固定的網域名稱模式營運地址,同時使用動態IP以確保安全不易被攻擊。營運位址解析出的IP可能會發生變化,請您使用Bastionhost分配的網域名稱地址進行營運,避免因IP變化而無法營運。
步驟一:授權資料庫資產
Bastionhost通過配置資產授權,細粒度劃分使用者存取權限,防止資料庫的越權訪問,嚴格管控營運人員可訪問的資產、帳號。具體操作步驟如下:
登入Bastionhost系統。具體操作,請參見登入系統。
在左側導覽列選擇 。
在使用者頁面的使用者列表中,單擊目標使用者操作列的授權資料庫。
在使用者詳情頁面,單擊授權資料庫,在授權資料庫面板,選中要為該使用者授權的資料庫,單擊確定。
資料庫授權完成後,在資料庫列表中,單擊已授權資料庫已授權賬戶列的無已授權賬戶,點擊授權賬戶,在選擇賬戶面板,為該使用者選擇要授權的資料庫賬戶,單擊更新。
步驟二:擷取資料庫營運令牌
營運人員可開啟SSH隧道,使用營運令牌進行營運審計。擷取資料庫營運令牌的具體操作,請參見擷取營運令牌。
登入營運門戶擷取營運令牌時,如果當前資料庫賬戶未在Bastionhost上託管,則需要在營運令牌對話方塊設定資料庫賬戶的基本資料後,才能擷取營運令牌。關於建立資料庫賬戶的更多資訊,請參見管理資料庫賬戶。
營運令牌需要在有效期間內使用,管理員可以在Bastionhost設定令牌有效期間。若開啟營運審批,則以管理員審批通過時設定的有效期間為準。
如果管理員設定允許營運員自主續期,則令牌到期前,營運員可以自主為令牌續期,到期之後需要重新申請令牌。若已開啟營運審批,則營運員不可進行續期。營運令牌配置修改後需要重新申請或更新令牌才可生效。
若令牌在有效期間內但營運串連失敗,可能為營運並發已達到上限,請聯絡管理員升配Bastionhost規格或釋放空閑串連;或管理員限制了該來源IP和時間段導致無法營運,請聯絡管理員釋放保留。
審計記錄的營運使用者資訊為申請令牌的使用者,與用戶端中所填使用者名稱和資產賬戶無關。
步驟三:通過用戶端工具或者命令列建立SSH隧道
阿里雲Bastionhost可通過2種營運方式對資料庫進行營運管控,營運人員可以通過用戶端工具或命令列方式開啟SSH隧道,使用營運令牌進行營運審計。具體操作,請參見資料庫營運。以下以用戶端工具為例介紹營運流程:
開啟Navicat Premium工具,建立PostgreSQL串連。
在常規頁簽,配置串連名稱和資料庫資產的資訊,包括主機、使用者名稱、密碼等。
下表介紹主要配置項。
配置項
說明
主機
資料庫資產地址。
使用者名稱
需要營運的資料庫資產賬戶登入名稱稱。
密碼
如果管理員已在Bastionhost中託管了資料庫賬戶密碼,則密碼處可留空;如果管理員未在Bastionhost中管理的資料庫賬戶密碼,則密碼處需填寫資料庫賬戶的登入密碼。
說明 建議您勾選儲存密碼,如果未勾選,用戶端可能會要求您填寫賬戶密碼,您可以將營運令牌填寫在密碼處。在SSH頁簽,配置營運的基礎資訊,包括使用SSH通道、主機、連接埠、使用者名稱、密碼等資訊。配置完成後,單擊確定。
下表介紹主要配置項。
配置項
說明
使用SSH通道
勾選使用SSH通道。
主機
Bastionhost營運地址。
連接埠
BastionhostSSH營運連接埠。預設為60022。
使用者名稱
營運員登入Bastionhost的使用者名稱稱。
密碼
填寫步驟二:擷取資料庫營運令牌擷取的營運令牌。
說明 建議您勾選儲存密碼,如果未勾選,用戶端可能會要求您填寫賬戶密碼,您可以將營運令牌填寫在密碼處。在Navicat Premium工具中,雙擊新建立的資料庫連接,登入資料庫資產進行營運。
步驟四:資料庫營運審計
營運人員通過Bastionhost進入資料庫資產之後,Bastionhost可對營運人員的操作進行審計,包括會話審計、即時監控、動作記錄等,實現事後追溯。
登入Bastionhost系統。具體操作,請參見登入系統。
在左側導覽列,選擇 。
在會話審計頁面,查看會話記錄。