TaurusDB有哪些安全保障措施

網絡

• 云數據庫TaurusDB實例可以設置所屬虛擬私有云，從而確保云數據庫TaurusDB實例與其他業務實現網絡安全隔離。
• 使用安全組確保訪問源為可信的。
• 使用SSL通道，確保數據傳輸加密。

管理

通過統一身份認證服務（Identity and Access Management，簡稱IAM），可以實現對云數據庫TaurusDB實例的管理權限控制。

如何防止任意源連接數據庫

• 數據庫開放EIP后，如果公網上的惡意人員獲取到您的EIP。

  DNS和數據庫端口，那么便可嘗試破解您的數據庫并進行進一步破壞。因此，強烈建議您保護好EIP。

  DNS、數據庫端口、數據庫帳號和密碼等信息，并通過云數據庫TaurusDB實例的安全組限定源IP，保障只允許可信源連接數據庫。

• 為避免惡意人員輕易破解您的數據庫密碼，請按照云數據庫TaurusDB實例的密碼策略設置足夠復雜度密碼，并定期修改。

訪問TaurusDB實例應該如何配置安全組

• 通過內網訪問TaurusDB實例時，設置安全組分為以下兩種情況：
  • ECS與TaurusDB實例在相同安全組時，默認ECS與TaurusDB實例互通，無需設置安全組規則。
  • ECS與TaurusDB實例在不同安全組時，需要為TaurusDB和ECS分別設置安全組規則。
  • 設置TaurusDB安全組規則：為TaurusDB所在安全組配置相應的 入方向規則 。
  • 設置ECS安全組規則：安全組默認規則為出方向上數據報文全部放行，此時，無需對ECS配置安全組規則。當在ECS所在安全組為非默認安全組且出方向規則非全放通時，需要為ECS所在安全組配置相應的出方向規則。
• 通過彈性IP訪問TaurusDB實例時，需要為TaurusDB所在安全組配置相應的 入方向規則 。

將根證書導入Windows/Linux操作系統

導入Windows操作系統

1. 單擊“開始”，運行框輸入“MMC”，回車。

2. 在MMC控制臺菜單欄中單擊“文件”，選擇“添加/刪除管理單元”。

3. 在“添加或刪除管理單元”對話框，選擇“可用管理單元”區域的“證書”。單擊“添加”添加證書。

4. 在“證書管理”對話框，選擇“計算機賬戶”，單擊“下一步”。

5. 在“選擇計算機”對話框，單擊“完成”。

6. 在“添加或刪除管理單元”對話框，單擊“確定”。

7. 在MMC控制臺，雙擊“證書”。

8. 右鍵單擊“受信任的根證書頒發機構”，選擇“所有任務”，單擊“導入”。

9. 單擊“下一步”。

10. 單擊“瀏覽”，將文件類型更改為“所有文件 ( . )”。

11. 找到下載的根證書ca.pem文件，單擊“打開”，然后在向導中單擊“下一步”。

    注意
    ?您必須在瀏覽窗口中將文件類型更改為“所有文件 ( *.* )”才能執行此操作，因為“.pem”不是標準證書擴展名。
    

12. 單擊“下一步”。

13. 單擊“完成”。

14. 單擊“確定”，完成根證書導入。

導入Linux操作系統

您可以使用任何終端連接工具（如WinSCP、PuTTY等工具）將證書上傳至Linux系統任一目錄下。

示例：

圖 導入證書

如何管理TaurusDB安全性

若要避免安全性問題，切勿使用用戶賬戶的主天翼云用戶名和密碼。推薦您使用您的主天翼云賬戶來創建IAM用戶，并將這些用戶分配給數據庫用戶賬戶。如有必要，您還可使用您的主賬戶創建其他用戶賬戶。

創建賬戶過程中出錯，可能是因為您的賬戶缺少權限，或者您的賬戶未正確設置。示例：

您的訪問策略中可能缺少執行特定操作的權限，如創建數據庫實例。要修復該問題，您的IAM管理員需要為您的賬戶提供必要的角色。