使用数据检测响应功能会检测已授权OSS Bucket中是否存在数据库实例的信息(连接地址、端口号、账号和密码)。如果已知或怀疑某些数据库实例信息可能存在泄露风险,可以将这些数据库的实例名称及账号信息录入数据安全中心 DSC(Data Security Center)。后续数据检测响应服务会对已检测泄露和已录入的数据库实例,进行访问跟踪,检测访问这些数据库实例的数据库信息,并提供相应的访问告警。您需要完成DSC对已检测或需要录入的数据库实例的授权,才能查看到相关的告警详情,帮助您及时发现并处理数据泄露风险。
前提条件
已开通数据检测响应服务并购买了足够的数据库实例防护数量。具体内容,请参见开通检测响应服务。
如果使用RAM用户,RAM用户需要具备目标OSS Bucket、RDS实例和PolarDB实例的管理权限。具体内容,请参见为RAM用户授权DSC。
背景信息
数据库泄露检测和访问告警的工作原理和使用限制,请参见数据库泄露检测。
使用限制
自建数据库情报时:
如果当前账号开通了多账号统一管理功能,最多可以录入100万条数据库信息。多账号统一管理功能的详细内容,请参见多账号统一管理。
如果当前账号未开通多账号统一管理功能,最多可以录入10,000条数据库信息。
授权数据库实例
对于已检测的数据库告警事件,需要完成对应数据库实例授权,才能查看到告警详情。
登录数据安全中心控制台。
在左侧导航栏,选择。
在数据库泄露页面的授权统计区域,单击立即授权。
在资产授权配置面板,单击资产同步。
购买DSC实例后,在Welcome页面完成DSC授权后会立即自动同步云上数据资产列表,此时无需执行资产同步操作。DSC会每天凌晨对后续新增的数据资产进行扫描并自动同步到对应资产的未授权列表中。如果您需要为当天创建的资产授权,则需要手动执行资产同步操作。
在数据库实例列表上方,选择资产类型RDS或PolarDB,在未授权的数据库实例列表中,单击目标数据库实例的操作列的授权。
您可以在实例列表上方,输入并搜索目标数据库实例ID。如果需要批量授权,可选中多个目标资产前面的复选框后,单击列表下方的批量授权。
重要如果当前阿里云账号开通了多账号管理能力,可以根据UID选择成员账号下检测到的数据库实例。开通多账号管理方法,请参见多账号统一管理。
如果当前时间是在开通数据检测响应服务后的首月内,DSC会创建并立即执行数据洞察的扫描任务,进行敏感信息分类分级。
该任务使用主用模板(默认为互联网行业分类分级模板)扫描已授权数据库实例的数据,对数据库实例及其数据库、表进行敏感信息分类分级。该任务在控制台不可见、不可管理。
如果开通数据检测响应服务的时间已超过一个月,您需要手动创建自定义识别任务,选择作用域为指定资产类型的RDS和PolarDB,选择的识别范围必须包含数据检测响应服务已授权连接的RDS实例和PolarDB实例,才能对已授权数据库实例进行敏感数据分类分级。具体内容,请参见添加自定义识别任务。
自建数据库情报
对于已知的疑似泄露、已泄露、可能存在数据泄露风险的数据库,或需要查看目标数据库的访问详情,可以直接录入这些数据库信息到数据检测响应的情报源,只有完成数据库实例的授权,才能将目标数据库实例录入自建情报源中。
登录数据安全中心控制台。
在左侧导航栏,选择。
在数据库泄露页面的账密泄漏情况区域,单击自建情报的录入情报。
在情报管理面板,单击新建情报。
在新建情报对话框中,选择资产类型(RDS或PolarDB)选择数据库实例和数据库账号,选择泄露状态(已泄露、未泄露、疑似泄露),输入备注信息后,单击确定。
如果当前时间,您已经至少完成了一次数据库泄露检测,DSC会记录下检测到的数据库实例信息,并汇总为样例数据。您可以单击样例数据预览,复制这些数据库实例信息进行录入。
后续操作
查看泄露的数据库的告警详情。具体操作,请参见查看泄露的数据库及告警详情。
查看已泄露的数据库信息,以及已泄露和已录入数据库实例的访问告警事件列表。
查看对应数据库实例的告警详情,进一步定位风险位置并判断风险影响,以便后续选择适用的处理策略。
根据已定位分析的数据库实例和账号的泄露信息及访问行为,选择对应的措施处理数据库泄露问题并治理数据库账号管理权限。具体操作,请参见处理泄露的数据库实例和账号。