安全风险场景
- 发现RDS实例上突然出现好多异常IP的访问,导致数据安全风险,如何屏蔽这些异常IP的访问,保证都是可信任IP来访问?
- 数据库被SQL注入攻击,怎么有效拦截这些异常SQL?
- 数据在传输过程中有被截获、篡改的风险,怎么避免?
RDS提供的安全功能
白名单功能
百度智能云RDS提供的IP白名单功能实现了用户对网络访问的控制。IP白名单对RDS实例的所有连接方式(VPC内连接、公网连接)生效,建议在申请公网IP前先设置相应白名单规则,可将自己信任的客户端IP或者CIDR网段加入到白名单列表中,那么将只有这些IP可以来进行访问RDS,以此保证RDS实例的安全
DB防火墙功能
您在创建MySQL实例并获取代理实例后,在代理实例管理页面中开启DB防火墙功能。DB防火墙开启后,有两个安全级别供用户选择:告警和阻断。
告警: DB防火墙输出SQL注入告警日志,但不会阻断SQL的正常执行。在该级别下,DB防火墙会对SQL进行解析,被识别出的注入攻击会记录到日志中,SQL会继续发往MySQL实例执行。用户可以在SQL注入查询页面查询被识别出的SQL注入。用户可以梳理SQL注入,将用户认为的误报SQL加入到SQL白名单中;
阻断: DB防火墙输出SQL注入阻断日志,被识别为注入的SQL将被阻断,无法发送到MySQL实例。用户同样可以通过SQL注入查询页面查询被拦截的SQL 用户可根据实际业务场景需要进行安全级别设置
SSL加密功能
公网访问过程中,数据传输可能存在数据被截获、篡改的风险,为了提高链路安全性,可以启用 SSL加密,并安装 SSL CA证书到需要的应用服务。SSL 在传输层对网络连接进行加密,将保证数据在传输过程中的安全性和完整性,减少您对数据传输安全性的顾虑,但 SSL 加密协议会增加网络连接的响应时间及云数据库 RDS 的负载;目前 SSL 加密服务只针对云数据库 RDS for MySQL 5.7 双机高可用版
