全部產品
Search

搜尋本產品

    Database Autonomy Service:安全基準檢測

    文件中心

    Database Autonomy Service:安全基準檢測

    更新時間:May 26, 2026

    DAS(Database Autonomy Service)安全基準巡檢功能旨在協助您快速探索資料庫執行個體中的潛在安全配置風險,協助您提升資料庫的安全性和可靠性。通過本功能,您可以輕鬆發現並修複不同地區和引擎的資料庫執行個體的安全風險,並以直觀的方式呈現檢測結果,從配置上保障資料庫的安全性。

    背景資訊

    • 根據Verizon 2023年的報告,約50%的資料庫泄露與弱口令和撞庫攻擊有關。

    • 根據網信辦的檢測報告,2023年在中國境內發現數千個國產資料庫存在未授權訪問和弱口令風險,其中11.3%的資料庫存在問題(共檢查了8000多個執行個體)。

    說明

    這些問題主要集中在弱口令漏洞和預設管理員密碼未更改。如果資料庫執行個體暴露在公網,弱口令的危害性將更大。

    功能限制

    • 資料庫所在地區為:

      • 公用雲

        華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華南1(深圳)、華南2(河源)、華北3(張家口)、華北5(呼和浩特)、西南1(成都)、華南3(廣州)、華北6(烏蘭察布)、印尼(雅加達)、美國(維吉尼亞)、美國(矽谷)、日本(東京)、德國(法蘭克福)、英國(倫敦)、菲律賓(馬尼拉)、馬來西亞(吉隆坡)、新加坡和中國(香港)

      • 金融雲

        華東1(杭州)金融雲、華東2(上海)金融雲、華北2(北京)金融雲(邀測)和華南1(深圳)金融雲

    • 僅支援MySQL,PolarDB MySQL與PolarDB-X 2.0執行個體。

      說明

      不支援對PolarDB-X 2.0進行備份檢測。

    功能特性

    檢測範圍

    • 資料庫配置:密碼原則複雜度、TDE是否開啟、KMS是否可用。

    • 網路設定:白名單存取控制、SSL安全配置。

    • 存取控制:弱口令檢測。

    • 儲存池:備份設定。

      說明

      在資料庫遭遇鎖定或刪除等事件時,備份尤為重要。

    • 事後安全 :審計日誌,提供追蹤與檢測功能。

    執行機制

    即時檢測:支援手動觸發專項合規檢查。

    檢測項

    檢測項

    檢測規則

    描述

    弱口令

    • 危險:存在弱口令的使用者。

    • 安全:未發現弱口令使用者。

    是否存在使用弱口令的賬戶。

    說明

    • 檢測模型

      • 配合字典庫匹配(包含互連網常見的10,000,000+弱口令組合,並與雲安全合作提供新發現的弱口令)。

      • 支援多種密碼強度策略的快速批量檢測。

    • 防護措施: 檢測到弱口令帳號時觸發安全警示。

    白名單

    • 危險:白名單存在0.0.0.0/0全通配置。

    • 警告:配置了公網IP下大範圍的 /8 的網段。

    • 安全:無高風險的白名單配置。

    是否存在不符合安全規範的IP白名單。

    說明

    白名單安全風險定義:執行個體開啟了公網訪問,且白名單配置了0.0.0.0/0或大範圍的公網 IP 位址區段i.e. /8

    SSL證書

    • 警告:執行個體SSL未開啟。

    • 安全:執行個體SSL已開啟。

    資料庫連接是否啟用了SSL加密。

    備份

    • 危險:檢測最近7天內未產生備份組。

    • 警告:檢測2-7天內產生備份組。

    • 安全:近1天記憶體在備份組。

    最新備份組產生時間(受備份策略的影響)。

    說明

    • 暫不支援PolarDB-X 2.0。

    • 若執行個體未配置自動備份策略,連續7天無備份組則標記為危險。

    審計

    • 警告:未開啟審計日誌。

    • 安全:已開啟審計日誌。

    是否開啟了審計日誌功能。

    TDE加密

    • 警告:未開啟TDE加密功能。

    • 安全:已開啟TDE加密功能。

    是否開啟TDE加密功能。

    KMS密鑰

    • 危險:執行個體使用的KMS密鑰不可用。

    • 安全:執行個體使用的KMS密鑰可用。

    執行個體使用的KMS密鑰是否可用。

    說明

    TDE未開啟時,KMS欄位顯示不涉及。

    操作指南

    1. 登入DAS控制台

    2. 在左側導覽列中,選擇安全中心 > 安全巡檢

      • 發起巡檢:單擊發起巡檢,在彈出窗中勾選需要進行巡檢的執行個體,單擊image將其移動到右側,單擊確定即可對選定的資料庫執行個體進行安全巡檢。

        說明

        • 巡檢需要在實例列表中完成安全中心授權。

        • 安全巡檢是一個耗時的操作,具體耗時取決於您執行個體的數量和複雜度,可能需要幾分鐘到幾十分鐘不等。您無需等待任務完成,可稍後返回此頁面查看巡檢結果。

        發起巡檢對話方塊頂部提示:僅支援MySQL、PolarDB MySQL與PolarDBX執行個體,每次最多可以選擇30個執行個體發起巡檢。

      • 巡檢列表:巡檢結果將以列表形式展示在頁面上(每個執行個體,對應一行資料)。

        說明

        檢測結果系統會以醒目的標記進行提示(紅色表示存在風險,黃色表示警告,綠色則為安全)。

        巡檢列表的檢測項包括:弱口令白名單SSL認證備份審計TDEKMS密鑰。列表同時展示任務ID執行個體ID資料庫類型地區巡檢時間等基礎資訊。

      • 查看詳情:單擊對應巡檢執行個體任務操作列下的詳情,查看巡檢詳情。

        說明

        在彈出窗中,單擊下方的再次巡檢,即可對當前執行個體進行再次巡檢。

        巡檢詳情中包含基本資料(任務ID、執行個體名稱、資料庫類型、巡檢時間、地區)和以下檢測項:弱口令白名單備份審計SSL認證TDEKMS密鑰,每項顯示安全警告不涉及狀態標籤,單擊可展開查看詳細資料。

      • 下載:單擊巡檢列表右上方的下載image按鈕,下載您當前列表中的巡檢結果。

      • 巡檢訂閱:您可以在右上方訂閱開關,啟用巡檢訂閱服務。

        說明

        啟用訂閱服務後,阿里雲會在以下重要節點,通過站內信及簡訊等多渠道,及時向您推送安全通告。

        • 阿里雲收到或發現新的安全威脅情報等。

        • 國家網信辦等監管部門發布最新合規要求。

    修複建議

    若資料庫巡檢結果中出現了非安全的巡檢結果,您可參考如下方案進行修複:

    • 弱口令:請確保您的資料庫密碼複雜度符合資料庫安全標準,這對於必須暴露於公網的資料庫尤為重要。

      說明

      若您使用的是RDS MySQL,建議您開啟validate_password的外掛程式。修改密碼後,可通過SHOW VARIABLES LIKE 'validate_password%'命令檢查策略是否生效"。

      • 長度為8~32個字元。

      • 由大寫字母、小寫字母、數字和特殊字元中的任意三種組成。

      • 特殊字元為!@#$%^&*()_+-=

      • 資料庫修改密碼參考:

    • 白名單:建議優先修複暴露於公網的資料庫白名單設定,移除不必要的白名單IP。確保僅信任的IP地址能夠訪問您的資料庫,以降低潛在的安全風險。

    • SSL認證:如您已啟用資料庫的公網訪問,強烈建議您啟用SSL加密,以確保資料在傳輸過程中的安全性。這將有助於防止傳輸中的資料被截獲,篡改等安全風險。

    • Database Backup:為應對突發情況並確保商務持續性,需提前做好Database Backup。根據業務需求,可選擇每日、每周或更長時間的備份周期,以確保資料的安全性和可恢複性。

    • 審計日誌:強烈建議您啟用Database Audit日誌功能。這不僅有助於事後追責與合規,還能提供即時安全風險檢測能力,從而提升資料庫的安全層級。

    • TDE加密 :為保證資料安全,強烈建議啟用TDE加密 ,以確保 落盤資料 安全。

    • KMS密鑰:可在 密鑰管理主控台 ,選擇對應執行個體地區,啟用對應密鑰。

    說明

    如果您在使用過程中有任何疑問或問題,可以使用DingTalk搜尋DingTalk群號58255008752,加入DingTalk群反饋。

    常見問題

    Q:基準檢測是否影響資料庫效能?

    A:對執行個體無影響,檢測過程採用輕量級採集代理,且業務高峰自動延遲掃描。