选择场景
先选一个低风险业务库,明确要验证生产库访问、数据库共享、数据审计、安全防护、租户隔离或审计取证。
体验版(MySQL)按交付包和实施流程推进,业务侧重点准备场景、账号、连接信息和验收口径。
先选一个低风险业务库,明确要验证生产库访问、数据库共享、数据审计、安全防护、租户隔离或审计取证。
整理业务系统、数据库地址、测试账号、访问来源、敏感字段和审计负责人。
按体验版交付包完成部署接入,业务侧只需要使用约定的访问入口验证。
用业务用例确认权限、脱敏、路由和审计结果,再决定是否扩大范围。
快速开始阶段不追求一次性覆盖所有系统,只需要准备一个可验证的业务闭环。
验收重点放在业务结果:谁能访问、哪些字段被保护、哪些动作被拦截、审计能否复盘。
上线前先把环境、网络、账号、日志和回滚边界说清楚,避免策略上线后业务侧不可控。
每个手册都从业务对象出发,说明适用场景、关键配置、验收方式和上线注意事项。
把个人账号、应用账号和工具账号纳入统一入口,按角色和来源限制访问范围。
查看场景围绕手机号、证件号、合同、余额等字段设置访问、脱敏、水印、透明加密、密码设备调用和审计策略。
查看能力把可见或隐式水印、水印 key、trace id 和审计事件绑定,发现外泄后回溯责任主体。
查看场景数据库侧保留少量托管账号,用户权限按角色、时间窗口、数据等级和资源池统一治理。
查看场景围绕主体、来源、资源、风险识别、重写动作、脱敏水印和处置结果形成证据链。
查看场景通过确定性规则、启发式 SQL 攻击识别和模型自动识别,发现注入、越权和未知变形攻击。
查看能力将三未信安、渔翁信息等主流国密生态纳入透明加解密、密钥引用、设备调用和审计闭环。
查看能力在不改核心网关逻辑的前提下,为客户现场补充业务上下文、轻量规则、路由标签和审计字段。
查看配置把租户边界前置到数据库入口,避免报表、导出、后台链路绕过业务系统。
查看场景把查询、写入、报表和批处理流量按业务规则分配到不同上游资源。
查看场景围绕主体、资源、动作、决策和结果生成可复盘的证据链。
查看场景按灰度、观察、拦截、回滚四个阶段推进,降低生产链路变更风险。
查看清单按“入口、上游、账号、策略、审计”拆分配置,方便实施团队分工和版本化管理。
server app_mysql {
listen 0.0.0.0:3307;
default_database crm;
auth local_app_users;
route app_read_write;
audit business_audit;
}
policy customer_data {
subject roles = ["support", "finance"];
resource tables = ["customer", "orders"];
action allow read;
result mask columns = ["phone", "id_card"];
}
定义监听端口、默认数据库、认证方式、路由规则和审计去向。
定义主库、只读库、报表库、灰度库和连接池边界。
把用户、角色、来源、库表列、敏感等级、SQL 风险和动作统一纳入治理。
把数据库侧账号收敛为托管账号,用户侧通过统一身份、临时授权和到期失效控制访问。
定义水印类型、嵌入位置、业务场景、水印 key、trace 关联和回溯查询口径。
把 SQL 防火墙、启发式攻击识别、模型自动识别、脱敏水印、水印回溯和透明加解密处理放进同一条策略链。
定义密码卡、密码机、HSM、KMS、厂商设备连接、密钥别名、调用策略和失败降级口径。
定义扩展入口、只读上下文、超时、失败策略、灰度范围和审计字段,避免扩展逻辑游离于主策略链之外。
覆盖日常发布、回滚、日志轮转、健康检查、容量观察和故障处置。
上线前检查配置引用、账号、上游、策略和审计目录。
变更先进入新版本,确认配置、链路动态扩展和审计字段无误后切换新连接。
发现异常时回退上一份可用配置,保留审计证据。
配合日志策略重开审计文件和运行日志。
关注连接数、拒绝数、延迟、上游状态和审计写入。
| 场景 | 观察项 | 处理动作 |
|---|---|---|
| 访问被拒绝 | 主体、角色、资源、命中策略 | 查看解释结果,确认是策略生效还是配置缺失。 |
| 疑似 SQL 攻击 | 规则命中、启发式标签、模型识别结果、风险分 | 先进入只审计或审批,再按风险等级启用拒绝和限流。 |
| 查询变慢 | 上游池、连接等待、慢查询、审计写入 | 分离报表流量,调整上游池和限流策略。 |
| 共享查询压库 | 主体、SQL 类型、资源池、执行耗时 | 收紧共享授权范围,将高消耗查询分流到只读库或报表资源。 |
| 发现外泄水印 | 水印 key、trace id、导出人、访问资源 | 通过审计 trace 回溯主体、来源、策略命中和输出动作,并进入事件处置。 |
| 审计缺失 | 审计目录、文件权限、轮转状态 | 检查写入权限并重开审计文件。 |
| 配置发布异常 | 校验结果、版本号、最近变更人 | 阻断发布或回滚上一份可用配置。 |
管理接口服务于健康检查、运行状态、策略解释、审计查询和生命周期操作。
| 类别 | 接口 | 用途 |
|---|---|---|
| 健康检查 | /health /ready | 用于负载均衡、启动探针和发布检查。 |
| 运行状态 | /stats /upstreams | 查看连接、请求、拒绝、延迟和上游状态。 |
| 策略解释 | /explain/policy | 解释一次访问为什么允许、拒绝、重写、脱敏、水印、加密或审计。 |
| 审计查询 | /audit/events | 按主体、资源、动作、风险识别、时间和结果查询审计事件。 |
| 审计追踪 | /audit/traces/{trace_id} | 聚合一次访问的认证、策略、敏感命中、水印标识、结果动作和回溯证据。 |
| 配置生命周期 | /reload/validate /reload /rollback | 执行配置校验、发布和回滚。 |
管理接口建议只暴露在运维网络或控制面网络,配合认证、审计和访问限制。
关注上游不可用、审计写入失败、拒绝数突增、连接等待和策略发布失败。
将审计事件、指标和发布记录接入企业安全运营或运维平台。
建议用可复现的业务用例验收,同时确认服务状态、策略命中、审计证据和回滚路径。
业务系统、运维工具、报表工具均通过 DBNginx 连接,直连入口已收敛。
授权用户能访问,未授权用户被拒绝,拒绝原因可解释。
SQL 攻击、异常访问、高危 DML 能被规则、启发式和模型识别并产生处置结果。
手机号、证件号、合同、余额等字段按角色脱敏、水印、拒绝或透明加密。
同一份报表由不同主体导出后可区分水印,外泄样本可回到 trace、主体和访问资源。
数据库侧账号保持收敛,用户访问按角色、有效期、资源范围和消耗路径可控。
查询、写入、报表、批处理命中预期上游,故障切换路径可追踪。
每次访问包含主体、资源、动作、风险识别、策略决策、输出控制、结果和时间信息。
配置异常可阻断发布,生产异常可回退上一份可用配置。
适合验证统一入口、权限收敛、敏感字段保护、访问审计和配置发布流程。
按交付范围启用对应协议、适配器、客户端矩阵与安全能力,不在体验版(MySQL)中混入额外协议边界。
查看策略解释和审计事件,确认主体、资源、动作、命中规则和最终决策。
先提取外泄样本中的可见或隐式水印线索,再按水印 key 或 trace id 查询审计事件,回到访问主体、来源、资源、策略版本和输出动作。
不建议。更适合由 DBNginx 承接业务身份和访问上下文,数据库侧保留少量托管账号,用户侧按角色、时间窗口和资源范围细粒度授权。
可以。建议先开启只审计模式,观察命中情况,再逐步开启拒绝、过滤、脱敏和限流。
通常先从连接地址、账号和入口收敛开始,核心治理策略在 DBNginx 配置中逐步启用。