全部產品
Search

搜尋本產品

    Database Autonomy Service:安全基準檢測

    文件中心

    Database Autonomy Service:安全基準檢測

    更新時間:Mar 29, 2025

    DAS(Database Autonomy Service)安全基準巡檢功能旨在協助您快速探索資料庫執行個體中的潛在安全配置風險,協助您提升資料庫的安全性和可靠性。通過本功能,您可以輕鬆發現並修複不同地區和引擎的資料庫執行個體的安全風險,並以直觀的方式呈現檢測結果,從配置上保障資料庫的安全性。

    背景資訊

    • 根據Verizon 2023年的報告,約50%的資料庫泄露與弱口令和撞庫攻擊有關。

    • 根據網信辦的檢測報告,2023年在中國境內發現數千個國產資料庫存在未授權訪問和弱口令風險,其中11.3%的資料庫存在問題(共檢查了8000多個執行個體)。

    說明

    這些問題主要集中在弱口令漏洞和預設管理員密碼未更改。如果資料庫執行個體暴露在公網,弱口令的危害性將更大。

    功能限制

    • 資料庫所在地區為:

      • 公用雲

        華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華南1(深圳)、華南2(河源)、華北3(張家口)、華北5(呼和浩特)、西南1(成都)、華南3(廣州)、華北6(烏蘭察布)、印尼(雅加達)、美國(維吉尼亞)、美國(矽谷)、日本(東京)、德國(法蘭克福)、英國(倫敦)、菲律賓(馬尼拉)、馬來西亞(吉隆坡)、新加坡和中國(香港)

      • 金融雲

        華東1(杭州)金融雲、華東2(上海)金融雲、華北2(北京)金融雲(邀測)和華南1(深圳)金融雲

    • 僅支援MySQL,PolarDB MySQL與PolarDB-X 2.0執行個體。

      說明

      不支援對PolarDB-X 2.0進行備份檢測。

    功能特性

    安全基準檢測

    • 檢測範圍

      • 資料庫配置:密碼原則複雜度(例如RDS MySQL可以開啟強密碼原則)。

      • 網路設定:白名單存取控制、SSL安全配置。

      • 存取控制:弱口令檢測。

      • 儲存池:備份設定。

        說明

        在資料庫遭遇鎖定或刪除等事件時,備份尤為重要。

      • 事後安全:審計日誌,提供追蹤與檢測功能。

    • 執行機制

      即時檢測:支援手動觸發專項合規檢查。

    弱口令檢測

    • 檢測模型

      • 配合字典庫匹配(包含互連網常見的10,000,000+弱口令組合,並與雲安全合作提供新發現的弱口令)。

      • 支援多種密碼強度策略的快速批量檢測。

    • 防護措施

      檢測到弱口令帳號時觸發安全警示。

    操作指南

    1. 登入DAS控制台

    2. 在左側導覽列中,選擇資訊安全中心 > 安全巡檢

      • 發起巡檢:單擊發起巡檢,在彈出窗中勾選需要進行巡檢的執行個體,單擊image將其移動到右側,單擊確定即可對選定的資料庫執行個體進行安全巡檢。

        說明

        安全巡檢是一個耗時的操作,具體耗時取決於您執行個體的數量和複雜度,可能需要幾分鐘到幾十分鐘不等。您無需等待任務完成,可稍後返回此頁面查看巡檢結果。

        image

      • 巡檢列表:巡檢結果將以列表形式展示在頁面上(每個執行個體,對應一行資料)。

        說明

        檢測結果系統會以醒目的標記進行提示(紅色表示存在風險,黃色表示警告,綠色則為安全)。

        image

        檢測項

        檢測規則

        說明

        弱口令

        • 危險:存在弱口令的使用者。

        • 警告:不涉及。

        • 安全:未發現弱口令使用者。

        是否存在使用弱口令的賬戶。

        白名單

        • 危險:白名單存在0.0.0.0/0全通配置。

        • 警告:配置了公網IP下大範圍的 /8 的網段。

        • 安全:無高風險的白名單配置。

        是否存在不符合安全規範的IP白名單。

        說明

        白名單安全風險定義:執行個體開啟了公網訪問,且白名單配置了0.0.0.0/0或大範圍的公網 IP 位址區段i.e. /8

        SSL認證

        • 危險:不涉及。

        • 警告:執行個體SSL未開啟。

        • 安全:執行個體SSL已開啟。

        資料庫連接是否啟用了SSL加密。

        備份

        • 危險:檢測最近7天內未產生備份組。

        • 警告:檢測2-7天內產生備份組。

        • 安全:近1天記憶體在備份組。

        最新備份組產生時間(受備份策略的影響)。

        說明

        • 暫不支援PolarDB-X 2.0。

        • 若執行個體未配置自動備份策略,連續7天無備份組則標記為危險。

        審計

        • 危險:不涉及。

        • 警告:未開啟審計日誌。

        • 安全:已開啟審計日誌。

        是否開啟了審計日誌功能。

      • 查看詳情:單擊對應巡檢執行個體任務操作列下的詳情,查看巡檢詳情。

        說明

        在彈出窗中,單擊下方的再次巡檢,即可對當前執行個體進行再次巡檢。

        image

      • 下載:單擊巡檢列表右上方的下載image按鈕,下載您當前列表中的巡檢結果。

        image

      • 巡檢訂閱:您可以在右上方訂閱開關,啟用巡檢訂閱服務。

        說明

        啟用訂閱服務後,阿里雲會在以下重要節點,通過站內信及簡訊等多渠道,及時向您推送安全通告。

        • 阿里雲收到或發現新的安全威脅情報等。

        • 國家網信辦等監管部門發布最新合規要求。

        image

    修複建議

    若資料庫巡檢結果中出現了非安全的巡檢結果,您可參考如下方案進行修複:

    • 弱口令:請確保您的資料庫密碼複雜度符合資料庫安全標準,這對於必須暴露於公網的資料庫尤為重要。

      說明

      若您使用的是RDS MySQL,建議您開啟validate_password的外掛程式。修改密碼後,可通過SHOW VARIABLES LIKE 'validate_password%'命令檢查策略是否生效"。

      • 長度為8~32個字元。

      • 由大寫字母、小寫字母、數字和特殊字元中的任意三種組成。

      • 特殊字元為!@#$%^&*()_+-=

      • 資料庫修改密碼參考:

    • 白名單:建議優先修複暴露於公網的資料庫白名單設定,移除不必要的白名單IP。確保僅信任的IP地址能夠訪問您的資料庫,以降低潛在的安全風險。

    • SSL認證:如您已啟用資料庫的公網訪問,強烈建議您啟用SSL加密,以確保資料在傳輸過程中的安全性。這將有助於防止傳輸中的資料被截獲,篡改等安全風險。

    • Database Backup:為應對突發情況並確保商務持續性,需提前做好Database Backup。根據業務需求,可選擇每日、每周或更長時間的備份周期,以確保資料的安全性和可恢複性。

    • 審計日誌:強烈建議您啟用Database Audit日誌功能。這不僅有助於事後追責與合規,還能提供即時安全風險檢測能力,從而提升資料庫的安全層級。

    說明

    如果您在使用過程中有任何疑問或問題,可以使用DingTalk搜尋DingTalk群號58255008752,加入DingTalk群反饋。

    常見問題

    Q:基準檢測是否影響資料庫效能?

    A:對執行個體無影響,檢測過程採用輕量級採集代理,且業務高峰自動延遲掃描。