All Products
Search
Document Center

Database Autonomy Service:Pemeriksaan baseline keamanan

Last Updated:Jun 21, 2026

Fitur Pemeriksaan Baseline Keamanan dari Database Autonomy Service (DAS) membantu Anda mengidentifikasi dengan cepat risiko konfigurasi keamanan potensial pada instans database guna meningkatkan keamanan dan keandalannya. Fitur ini memungkinkan Anda menemukan serta memperbaiki risiko keamanan untuk instans di berbagai wilayah dan mesin. Hasil pemindaian yang intuitif memfasilitasi peningkatan keamanan database melalui optimalisasi konfigurasi.

Latar Belakang

  • Laporan Verizon 2023 Data Breach Investigations menunjukkan bahwa sekitar 50% pelanggaran database terkait dengan password lemah dan serangan credential stuffing.

  • Laporan dari Cyberspace Administration of China mengungkapkan bahwa pada tahun 2023, ribuan database di Tiongkok terpapar risiko akibat akses tidak sah dan password lemah. Dari lebih dari 8.000 instans yang diperiksa, 11,3% memiliki masalah tersebut.

Catatan

Password lemah menimbulkan risiko jauh lebih besar jika instans database terpapar ke internet publik.

Batasan

  • Instans database harus berada di salah satu wilayah berikut:

    • Cloud publik

      Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Chengdu), Tiongkok (Guangzhou), Tiongkok (Ulanqab), Indonesia (Jakarta), AS (Virginia), AS (Silicon Valley), Jepang (Tokyo), Jerman (Frankfurt), Inggris (London), Filipina (Manila), Malaysia (Kuala Lumpur), Singapura, dan Tiongkok (Hong Kong).

    • Cloud Keuangan

      Tiongkok (Hangzhou) Finance, Tiongkok (Shanghai) Finance, Tiongkok (Beijing) Finance (pratinjau undangan saja), dan Tiongkok (Shenzhen) Finance.

  • Hanya instans RDS MySQL, PolarDB for MySQL, dan PolarDB-X 2.0 yang didukung.

    Catatan

    Pemeriksaan backup tidak didukung untuk instans PolarDB-X 2.0.

Fitur

Cakupan deteksi

  • Konfigurasi database: Memeriksa kompleksitas kebijakan password, apakah TDE diaktifkan, dan apakah kunci KMS terkait tersedia.

  • Konfigurasi jaringan: Memeriksa kontrol akses berbasis daftar putih dan konfigurasi keamanan SSL.

  • Kontrol akses: Memeriksa adanya password lemah.

  • Penyimpanan: Memeriksa pengaturan backup.

    Catatan

    Backup sangat penting untuk disaster recovery dari peristiwa seperti penghapusan data tidak sengaja atau serangan ransomware.

  • Keamanan pasca-insiden: Memeriksa apakah log audit diaktifkan untuk menyediakan kemampuan pelacakan dan forensik.

Mekanisme eksekusi

Pemeriksaan langsung: Anda dapat memicu pemeriksaan kepatuhan sesuai permintaan kapan saja secara manual.

Item pemeriksaan

Item pemeriksaan

Aturan pemeriksaan

Deskripsi

Weak Password

  • Danger: Satu atau beberapa akun menggunakan password lemah.

  • Safety: Tidak ditemukan password lemah.

Memeriksa akun yang menggunakan password lemah.

Catatan
  • Model deteksi

    • Menggunakan kamus lebih dari 10.000.000 password lemah umum dan menggabungkan password lemah baru yang ditemukan oleh tim keamanan cloud.

    • Mendukung deteksi batch cepat untuk berbagai kebijakan kekuatan password.

  • Langkah perlindungan: Memicu peringatan keamanan saat mendeteksi akun dengan password lemah.

Whitelist

  • Danger: Daftar putih dikonfigurasi untuk mengizinkan semua alamat IP (0.0.0.0/0).

  • Warning: Rentang alamat IP publik yang besar, seperti blok CIDR /8, dikonfigurasi.

  • Safety: Tidak ditemukan konfigurasi daftar putih berisiko tinggi.

Memeriksa apakah daftar putih alamat IP mematuhi praktik terbaik keamanan.

Catatan

Risiko keamanan daftar putih ada jika akses publik diaktifkan untuk instans dan daftar putih dikonfigurasi dengan 0.0.0.0/0 atau rentang alamat IP publik yang besar, seperti blok /8.

SSL Certificate

  • Warning: SSL tidak diaktifkan untuk instans.

  • Safety: SSL diaktifkan untuk instans.

Memeriksa apakah enkripsi SSL diaktifkan untuk koneksi database.

Backup

  • Danger: Tidak ada set cadangan yang dibuat dalam 7 hari terakhir.

  • Warning: Set cadangan terbaru dibuat 2 hingga 7 hari lalu.

  • Safety: Set cadangan dibuat dalam 24 jam terakhir.

Memeriksa waktu pembuatan set cadangan terbaru, yang bergantung pada kebijakan cadangan.

Catatan
  • Pemeriksaan ini tidak didukung untuk PolarDB-X 2.0.

  • Jika kebijakan cadangan otomatis tidak dikonfigurasi untuk instans, tidak adanya cadangan selama 7 hari berturut-turut dianggap sebagai bahaya.

Audit

  • Warning: Log audit tidak diaktifkan.

  • Safety: Log audit diaktifkan.

Memeriksa apakah log audit diaktifkan.

TDE

  • Warning: TDE tidak diaktifkan.

  • Safe: TDE diaktifkan.

Memeriksa apakah TDE diaktifkan.

KMS key

  • Danger: Kunci KMS yang digunakan oleh instans tidak tersedia.

  • Safe: Kunci KMS yang digunakan oleh instans tersedia.

Memeriksa apakah kunci KMS instans tersedia.

Catatan

Jika TDE tidak diaktifkan, item pemeriksaan ini tidak berlaku.

Prosedur

  1. Masuk ke Konsol DAS.

  2. Di panel navigasi kiri, pilih Security Center > Security Inspection.

    • Initiate Inspection: Klik Initiate Inspection. Di kotak dialog yang muncul, pilih instans yang ingin Anda periksa, klik ikon panah image untuk memindahkannya ke daftar terpilih, lalu klik OK untuk memulai inspeksi keamanan.

      Catatan
      • Sebelum menjalankan inspeksi, Anda harus memberikan otorisasi kepada Security Center di halaman Instances.

      • Inspeksi keamanan dapat memakan waktu beberapa menit hingga lebih dari setengah jam, tergantung jumlah dan kompleksitas instans Anda. Anda tidak perlu menunggu hingga tugas selesai. Anda dapat kembali ke halaman ini nanti untuk melihat hasilnya.

      Hanya instans RDS MySQL, PolarDB for MySQL, dan PolarDB-X yang didukung. Anda dapat memilih hingga 30 instans per inspeksi.

    • Tinjau daftar inspeksi: Hasil inspeksi ditampilkan dalam daftar, dengan satu baris untuk setiap instans.

      Catatan

      Hasil diberi kode warna untuk identifikasi cepat: merah menunjukkan danger, kuning menunjukkan warning, dan hijau menunjukkan safe.

      Daftar menampilkan status setiap item pemeriksaan: Weak password, Whitelist, SSL certificate, Backup, Audit, TDE, dan KMS key. Daftar juga menyediakan informasi dasar seperti task ID, instance ID, database type, region, dan inspection time.

    • Lihat detail: Di kolom Operation untuk suatu tugas, klik Details untuk melihat laporan lengkap.

      Catatan

      Di panel detail, Anda dapat mengklik Inspect Again di bagian bawah untuk menjalankan kembali inspeksi untuk instans saat ini.

      Panel detail mencakup informasi dasar (task ID, nama instans, jenis database, waktu inspeksi, dan wilayah) serta hasil untuk setiap item pemeriksaan: Weak password, Whitelist, Backup, Audit, SSL certificate, TDE, dan KMS key. Setiap item diberi tag status seperti Safe, Warning, atau Not Applicable. Klik suatu item untuk memperluasnya dan melihat informasi lebih lanjut.

    • Unduh hasil: Klik ikon unduh image di pojok kanan atas daftar inspeksi untuk mengunduh hasil saat ini.

    • Berlangganan notifikasi: Anda dapat mengaktifkan sakelar Subscribe di pojok kanan atas untuk menerima notifikasi.

      Catatan

      Setelah berlangganan, Alibaba Cloud mengirimkan notifikasi keamanan melalui pesan internal dan SMS untuk peristiwa penting.

      • Alibaba Cloud menerima atau menemukan intelijen ancaman keamanan baru.

      • Otoritas pengatur seperti Cyberspace Administration of China menerbitkan persyaratan kepatuhan baru.

Saran remediasi

Jika inspeksi menemukan risiko, gunakan saran berikut untuk memperbaikinya:

  • Weak password: Pastikan password database Anda memenuhi standar kompleksitas. Hal ini terutama penting untuk database yang terpapar ke internet publik.

    Catatan

    Jika Anda menggunakan RDS MySQL, kami menyarankan agar Anda mengaktifkan plugin validate_password. Setelah mengubah password, Anda dapat menggunakan perintah SHOW VARIABLES LIKE 'validate_password%' untuk memeriksa apakah kebijakan tersebut berlaku.

    • Harus terdiri dari 8 hingga 32 karakter.

    • Harus mengandung karakter dari minimal tiga jenis berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.

    • Karakter khusus yang didukung adalah !@#$%^&*()_+-=.

    • Untuk petunjuk cara mengubah password, lihat topik berikut:

  • Whitelist: Utamakan memperbaiki pengaturan daftar putih untuk database yang terpapar ke internet publik. Hapus alamat IP yang tidak diperlukan untuk memastikan hanya klien tepercaya yang dapat mengakses database Anda, sehingga mengurangi risiko keamanan potensial.

  • SSL certificate: Untuk database yang dapat diakses publik, kami sangat menyarankan agar Anda mengaktifkan enkripsi SSL untuk melindungi data dalam transmisi. Hal ini membantu mencegah risiko keamanan seperti penyadapan dan perubahan data.

  • Database backup: Untuk memastikan kelangsungan bisnis, backup database Anda secara berkala. Pilih siklus backup, seperti harian atau mingguan, berdasarkan kebutuhan bisnis Anda guna memastikan keamanan dan kemampuan pemulihan data.

  • Audit log: Kami sangat menyarankan agar Anda mengaktifkan log audit database. Hal ini tidak hanya membantu akuntabilitas pasca-insiden dan kepatuhan, tetapi juga menyediakan deteksi risiko keamanan secara real-time serta meningkatkan keamanan keseluruhan database Anda.

  • TDE: Untuk memastikan keamanan data, kami sangat menyarankan agar Anda mengaktifkan TDE untuk melindungi data saat disimpan.

  • KMS key: Di Konsol Key Management Service, pilih wilayah instans Anda dan aktifkan kunci yang sesuai.

Catatan

Jika Anda memiliki pertanyaan, bergabunglah dengan grup DingTalk dengan ID 58255008752 untuk mendapatkan dukungan teknis.

FAQ

Q: Apakah pemeriksaan baseline keamanan memengaruhi kinerja database?

A: Tidak. Pemeriksaan ini tidak memengaruhi instans Anda. Proses deteksi menggunakan agen pengumpulan ringan, dan pemindaian secara otomatis ditunda selama jam sibuk bisnis untuk meminimalkan dampak potensial.