[mongo] [security] 9.1 安全基本及安全措施
參考文檔:
MongoDB provides various features, such as authentication, access control, encryption, to secure your MongoDB deployments. Some key Security features include:
Authentication
SCRAM
x.509
Role-Based Access Control
Enable Access Control
Manage Users and Roles
TLS/SSL (Transport Encryption)
Configure mongod and mongos for TLS/SSL
TLS/SSL Configuration for Clients
![[mongo] [security] 9.1 安全基本及安全措施](http://m.bai1xia.com/news/zb_users/cache/ly_autoimg/m/MTI0MDk.jpg "[mongo] [security] 9.1 安全基本及安全措施")
Kerberos Authentication
LDAP Proxy Authentication
Encryption at Rest
Auditing
Security Checklist
MongoDB also provides the?Security Checklist?for a list of recommended actions to protect a MongoDB deployment.
安全措施
本文檔提供了應(yīng)實(shí)施的安全措施列表,以保護(hù)MongoDB安裝。該列表并非詳盡無(wú)遺。
實(shí)施前檢查清單/注意事項(xiàng)
?啟用訪問(wèn)控制并強(qiáng)制執(zhí)行身份驗(yàn)證
啟用訪問(wèn)控制并指定身份驗(yàn)證機(jī)制。您可以使用MongoDB的SCRAM或x.509身份驗(yàn)證機(jī)制,也可以與現(xiàn)有的Kerberos / LDAP設(shè)施集成。身份驗(yàn)證要求所有客戶端和服務(wù)器在連接到系統(tǒng)之前都必須提供有效的憑據(jù)。
請(qǐng)參閱身份驗(yàn)證和?啟用訪問(wèn)控制。
?配置基于角色的訪問(wèn)控制
首先創(chuàng)建一個(gè)用戶管理員,然后創(chuàng)建更多的用戶。為訪問(wèn)系統(tǒng)的每個(gè)使用者/應(yīng)用程序創(chuàng)建一個(gè)唯一的MongoDB用戶。
遵循最小權(quán)限原則。創(chuàng)建角色,以定義一組用戶所需的準(zhǔn)確訪問(wèn)權(quán)限。創(chuàng)建用戶,并僅為其分配執(zhí)行操作所需的角色。用戶可以是個(gè)人或客戶應(yīng)用程序。
建議:
用戶可以在跨數(shù)據(jù)庫(kù)之間擁有權(quán)限。如果用戶需要在多個(gè)數(shù)據(jù)庫(kù)上的權(quán)限,請(qǐng)使用授予相應(yīng)數(shù)據(jù)庫(kù)權(quán)限的角色創(chuàng)建一個(gè)用戶,而不是在不同的數(shù)據(jù)庫(kù)中多次創(chuàng)建該用戶。
請(qǐng)參閱基于角色的訪問(wèn)控制(Role-Based Access Control)和?管理用戶和角色。
?加密通信(TLS / SSL)
將MongoDB配置為對(duì)所有傳入和傳出連接使用TLS/SSL。使用TLS/SSL加密MongoDB部署的mongod和mongos組件之間以及所有應(yīng)用程序和MongoDB之間的通信。
從版本4.0開始,MongoDB使用本機(jī)TLS/SSL OS庫(kù):
注意
從版本4.0開始,MongoDB在可用TLS 1.1+的系統(tǒng)上禁用對(duì)TLS 1.0加密的支持。有關(guān)更多詳細(xì)信息,請(qǐng)參閱禁用TLS 1.0。
請(qǐng)參閱為TLS / SSL配置mongod和mongos。
?加密和保護(hù)數(shù)據(jù)
將日志收集到日志存儲(chǔ)區(qū)。這些日志包含DB身份驗(yàn)證嘗試,包括源IP地址。
?限制網(wǎng)絡(luò)泄露
確保MongoDB在受信任的網(wǎng)絡(luò)環(huán)境中運(yùn)行,并配置防火墻或安全組來(lái)控制MongoDB實(shí)例的入站和出站流量。
只允許受信任的客戶端訪問(wèn)MongoDB實(shí)例所在的網(wǎng)絡(luò)接口和端口。例如,使用IP白名單允許從受信任的IP地址進(jìn)行訪問(wèn)(請(qǐng)參閱)
注意
從MongoDB 3.6開始,MongoDB二進(jìn)制文件、mongod和mongos默認(rèn)綁定到localhost。從MongoDB版本2.6到3.4,默認(rèn)情況下,只有來(lái)自官方MongoDB RPM(Red Hat、CentOS、Fedora Linux和衍生工具)和DEB(Debian、Ubuntu和衍生工具)包的二進(jìn)制文件才會(huì)綁定到localhost。要了解有關(guān)此更改的更多信息,請(qǐng)參閱?Localhost Binding Compatibility Changes。
擴(kuò)展:
Network and Configuration Hardening
net.bindIp?configuration setting
security.clusterIpSourceWhitelist?configuration setting
authenticationRestrictions?to specify per-user IP whitelist.
?審核系統(tǒng)活動(dòng)
跟蹤對(duì)數(shù)據(jù)庫(kù)配置和數(shù)據(jù)的訪問(wèn)和更改。?MongoDB Enterprise 包含系統(tǒng)審核工具,該工具可以記錄MongoDB實(shí)例上的系統(tǒng)事件(例如,用戶操作,連接事件)。這些審核記錄可以進(jìn)行檢測(cè)分析,并允許管理員驗(yàn)證適當(dāng)?shù)目刂拼胧?稍O(shè)置過(guò)濾器以記錄特定事件,例如身份驗(yàn)證。
請(qǐng)參閱?Auditing 和 Configure Auditing。
?用專用用戶運(yùn)行mongodb
使用專用的操作系統(tǒng)用戶帳戶運(yùn)行MongoDB進(jìn)程。確保該帳戶具有訪問(wèn)數(shù)據(jù)的權(quán)限,但沒(méi)有不必要的權(quán)限。
有關(guān)運(yùn)行MongoDB的更多信息,請(qǐng)參閱Install MongoDB?。
?使用安全配置選項(xiàng)運(yùn)行
擴(kuò)展
Network and Configuration Hardening
?《安全實(shí)施指南》(如果適用)
?考慮安全標(biāo)準(zhǔn)合規(guī)性
定期/正在進(jìn)行的生產(chǎn)檢查
確保您的信息安全管理系統(tǒng)策略和過(guò)程擴(kuò)展到MongoDB安裝,包括執(zhí)行以下操作:
定期將修補(bǔ)程序應(yīng)用于計(jì)算機(jī)并查看準(zhǔn)則。
查看策略/過(guò)程更改,尤其是對(duì)網(wǎng)絡(luò)規(guī)則的更改,以防止MongoDB意外暴露于Internet。
查看MongoDB數(shù)據(jù)庫(kù)用戶并定期輪換他們。
MongoDB 云數(shù)據(jù)庫(kù) GaussDB(for Mongo) 數(shù)據(jù)庫(kù)
版權(quán)聲明:本文內(nèi)容由網(wǎng)絡(luò)用戶投稿,版權(quán)歸原作者所有,本站不擁有其著作權(quán),亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容,請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理,核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。
版權(quán)聲明:本文內(nèi)容由網(wǎng)絡(luò)用戶投稿,版權(quán)歸原作者所有,本站不擁有其著作權(quán),亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容,請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理,核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。
相關(guān)文章
