数据库作为企业的核心业务,其运维操作是安全管控的重点。堡垒机企业双擎版支持对MySQL、SQL Server、PostgreSQL类型的RDS和MySQL、PostgreSQL、PostgreSQL(兼容Oracle)的PolarDB以及MySQL、SQL Server、PostgreSQL、Oracle类型的自建数据库进行运维和审计。本文介绍如何通过堡垒机进行数据库运维。
背景信息
企业资产中,除了Windows服务器、Linux服务器外,还有大量的数据库资产。数据库作为核心业务资产包含大量敏感信息,如何保证运维安全、防止越权访问、违规操作等更是企业的重点关注需求。
数据库业务比较多样化,有云原生数据库如RDS、以及自建数据库,并包含MySQL、SQL Server、PostgreSQL、Oracle多种类型,且很多大型企业数据库业务也通常会分布在多跨账号、跨VPC以及线下IDC或异构云等混合场景下,那么如何实现对如上混合场景的统一运维管控、方便运维安全团队的集中管理也是堡垒机的重点。
阿里云堡垒机企业双擎版支持Windows服务器、Linux服务器以及数据库的运维管控,针对多种类型数据库均可实现运维权限划分及事后审计追溯,最大化保证数据库运维安全。另外还提供混合场景运维能力,通过网络域运维能力将跨账号、线下IDC、异构云混合场景下的资产进行统一平台接入,便于安全团队的一站式管控。
同时,企业双擎版具有可靠底层架构保障,双引擎部署,双活架构运行,对于数据库的运维高要求操作提供更稳定的业务保障。详细信息,请参见功能特性。
数据库运维流程
使用堡垒机进行数据库运维时,管理员先通过堡垒机对资产进行管理,以及运维人员进行权限划分。运维人员再通过客户端或者命令行建立到堡垒机的SSH隧道,在堡垒机管控下登录数据库资产进行运维。
前提条件
在本地主机安装支持SSH隧道的数据库运维工具,例如DBeaver、DbVisualizer、NavicatPremium、NavicatForMysql等。详细信息,请参见客户端远程连接工具及版本推荐。
已将数据库资产导入到堡垒机。具体操作,请参见数据库管理。
已获取堡垒机运维地址。您可以在堡垒机概览页面的堡垒机实例信息区域获取运维地址。具体操作,请参见堡垒机页面概览。
说明堡垒机提供固定的域名模式运维地址,同时使用动态IP以确保安全不易被攻击。运维地址解析出的IP可能会发生变化,请您使用堡垒机分配的域名地址进行运维,避免因IP变化而无法运维。
步骤一:授权数据库资产
堡垒机通过配置资产授权,细粒度划分用户访问权限,防止数据库的越权访问,严格管控运维人员可访问的资产、账号。具体操作步骤如下:
登录堡垒机系统。具体操作,请参见登录系统。
在左侧导航栏选择。
在用户页面的用户列表中,单击目标用户操作列的授权数据库。
在用户详情页面,单击授权数据库,在授权数据库面板,选中要为该用户授权的数据库,单击确定。
数据库授权完成后,在数据库列表中,单击已授权数据库已授权账户列的无已授权账户,点击授权账户,在选择账户面板,为该用户选择要授权的数据库账户,单击更新。
步骤二:获取数据库运维令牌
运维人员可开启SSH隧道,使用运维令牌进行运维审计。获取数据库运维令牌的具体操作,请参见获取运维令牌。
登录运维门户获取运维令牌时,如果当前数据库账户未在堡垒机上托管,则需要在运维令牌对话框配置数据库账户的基本信息后,才能获取运维令牌。关于新建数据库账户的更多信息,请参见管理数据库账户。
运维令牌需要在有效期内使用,管理员可以在堡垒机设置令牌有效期。若开启运维审批,则以管理员审批通过时设置的有效期为准。
如果管理员设置允许运维员自主续期,则令牌过期前,运维员可以自主为令牌续期,过期之后需要重新申请令牌。若已开启运维审批,则运维员不可进行续期。运维令牌配置修改后需要重新申请或更新令牌才可生效。
若令牌在有效期内但运维连接失败,可能为运维并发已达到上限,请联系管理员升配堡垒机规格或释放空闲连接;或管理员限制了该来源IP和时间段导致无法运维,请联系管理员解除限制。
审计记录的运维用户信息为申请令牌的用户,与客户端中所填用户名和资产账户无关。
步骤三:通过客户端工具或者命令行建立SSH隧道
阿里云堡垒机可通过2种运维方式对数据库进行运维管控,运维人员可以通过客户端工具或命令行方式开启SSH隧道,使用运维令牌进行运维审计。具体操作,请参见数据库运维。以下以客户端工具为例介绍运维流程:
打开Navicat Premium工具,新建PostgreSQL连接。
在常规页签,配置连接名称和数据库资产的信息,包括主机、用户名、密码等。
下表介绍主要配置项。
配置项
说明
主机
数据库资产地址。
用户名
需要运维的数据库资产账户登录名称。
密码
如果管理员已在堡垒机中托管了数据库账户密码,则密码处可留空;如果管理员未在堡垒机中托管数据库账户密码,则密码处需填写数据库账户的登录密码。
说明 建议您勾选保存密码,如果未勾选,客户端可能会要求您填写账户密码,您可以将运维令牌填写在密码处。
在SSH页签,配置运维的基础信息,包括使用SSH通道、主机、端口、用户名、密码等信息。配置完成后,单击确定。
下表介绍主要配置项。
配置项
说明
使用SSH通道
勾选使用SSH通道。
主机
堡垒机运维地址。
端口
堡垒机SSH运维端口。默认为60022。
用户名
运维员登录堡垒机的用户名称。
密码
填写步骤二:获取数据库运维令牌获取的运维令牌。
说明 建议您勾选保存密码,如果未勾选,客户端可能会要求您填写账户密码,您可以将运维令牌填写在密码处。
在Navicat Premium工具中,双击新创建的数据库连接,登录数据库资产进行运维。
步骤四:数据库运维审计
运维人员通过堡垒机进入数据库资产之后,堡垒机可对运维人员的操作进行审计,包括会话审计、实时监控、操作日志等,实现事后追溯。
登录堡垒机系统。具体操作,请参见登录系统。
在左侧导航栏,选择。
在会话审计页面,查看会话记录。
