RDS安全说明

更新时间：2024-07-03

安全风险场景

发现RDS实例上突然出现好多异常IP的访问，导致数据安全风险，如何屏蔽这些异常IP的访问，保证都是可信任IP来访问？
数据库被SQL注入攻击，怎么有效拦截这些异常SQL？
数据在传输过程中有被截获、篡改的风险，怎么避免？

RDS提供的安全功能

白名单功能

百度智能云RDS提供的IP白名单功能实现了用户对网络访问的控制。IP白名单对RDS实例的所有连接方式（VPC内连接、公网连接）生效，建议在申请公网IP前先设置相应白名单规则，可将自己信任的客户端IP或者CIDR网段加入到白名单列表中，那么将只有这些IP可以来进行访问RDS，以此保证RDS实例的安全。具体详见白名单设置。

DB防火墙功能

您在创建MySQL实例并获取代理实例后，在代理实例管理页面中开启DB防火墙功能。DB防火墙开启后，有两个安全级别供用户选择：告警和阻断。具体详见 DB防火墙设置。

告警： DB防火墙输出SQL注入告警日志，但不会阻断SQL的正常执行。在该级别下，DB防火墙会对SQL进行解析，被识别出的注入攻击会记录到日志中，SQL会继续发往MySQL实例执行。用户可以在SQL注入查询页面查询被识别出的SQL注入。用户可以梳理SQL注入，将用户认为的误报SQL加入到SQL白名单中。

阻断： DB防火墙输出SQL注入阻断日志，被识别为注入的SQL将被阻断，无法发送到MySQL实例。用户同样可以通过SQL注入查询页面查询被拦截的SQL 用户可根据实际业务场景需要进行安全级别设置。

SSL加密功能

公网访问过程中，数据传输可能存在数据被截获、篡改的风险，为了提高链路安全性，可以启用 SSL加密，并安装 SSL CA证书到需要的应用服务。SSL 在传输层对网络连接进行加密，将保证数据在传输过程中的安全性和完整性，减少您对数据传输安全性的顾虑，但 SSL 加密协议会增加网络连接的响应时间及云数据库 RDS 的负载；目前 SSL 加密服务只针对云数据库 RDS for MySQL 5.7 双机高可用版。具体详见 SSL加密设置。

TDE加密功能

透明数据加密TDE（Transparent Data Encryption）是指对数据文件执行实时I/O加密和解密，数据在写入磁盘之前进行加密，从磁盘读入内存时进行解密。TDE不会增加数据文件的大小，研发人员无需更改任何应用程序，即可使用TDE功能。具体详见 TDE加密设置。

数据迁移

视频指南