MongoDB направи впечатляващи крачки през последните 18 месеца. Една от областите на MongoDB в която се наблюдава най-значителното подобрение е сигурността. Сигурността е от първостепенно значение за производствената база данни. Съществуващите релационни бази данни предоставят редица копчета и контроли, за да помогнат на администратора на база данни (DBA) да управлява сигурността на тяхната база данни, а MongoDB също стига до подобно място. В тази публикация ще се задълбочим в функциите за сигурност в областите на удостоверяване, оторизация и одит.

1. Удостоверяване

   MongoDB предлага различни механизми за удостоверяване на връзката на потребителите с базата данни. Изберете механизма, който осигурява най-добрия баланс между сигурност и управление. Въпреки че е по избор, препоръчва се практиката за сигурност във всички производствени системи да е включено удостоверяване.

   • Удостоверяване на отговор на предизвикателство (MongoDB-CR)

     Това е традиционното удостоверяване, базирано на потребителско име/парола. Потребителите могат да бъдат създадени в обхвата на база данни или целия клъстер. Ако потребителят трябва да има достъп само до данни в конкретна база данни, препоръчва се да създадете само потребител, специфичен за тази база данни. Достъпът на ниво клъстер трябва да бъде ограничен за администратори.

   • Удостоверяване на сертификат X.509

     Потребителите могат да се удостоверяват в своята база данни MongoDB с помощта на сертификат X.509. За да направите това, сървърът MongoDB трябва да има активиран SSL. По подразбиране компилациите на общността на MongoDB нямат активиран SSL. Трябва да пуснете своя собствена компилация или да се регистрирате, за да използвате изданието Enterprise. Можете да създадете потребител в MongoDB за всеки X.509 сертификат с уникален предмет. За повече инструкции стъпка по стъпка вижте настройката на сертификата MongoDB X.509.

   • Удостоверяване на Kerberos

     Комплектациите Enterprise на MongoDB поддържат удостоверяване с помощта на Kerberos, който е индустриалният стандарт за удостоверяване на клиентски сървър. Например, ако сте предприятие с инсталация на Active Directory, можете да използвате механизма за удостоверяване на Kerberos, за да удостоверите вашите потребители. Това избягва неприятностите с управлението на потребителски имена, пароли или сертификати. Щракнете тук за инструкции за интегриране на MongoDB с Active Directory.

2. Упълномощаване

   Системата за упълномощаване определя кои операции могат да извършват потребителите, след като завършат удостоверяване. MongoDB поддържа модел за контрол на достъпа, базиран на роли (RBAC). На всеки потребител се присвояват конкретни роли, които определят операциите, които му е разрешено да извършва. MongoDB има набор от вградени роли и можете също да създадете свои собствени персонализирани роли. На всяка роля се присвоява набор от привилегии, които сдвояват ресурси с разрешени операции върху този ресурс. MongoDB предоставя вградени роли в следните обхвати:

   • Потребителски роли в базата данни

     четене, четене, запис

   • Роли на администратор на база данни (DBA)

     dbAdmin, dbOwner, userAdmin

   • Роли на администратор на клъстер

     clusterAdmin, clusterManager, clusterMonitor, hostManager

   • Роли за архивиране и възстановяване

     архивиране, възстановяване

   • Всички роли в базата данни

     readAnyDatabase, readWriteAnyDatabase,userAdminAnyDatabase

   • Роли на суперпотребител

     корен

   Вижте документацията за вградени роли за по-подробно разбиране на ролите, които трябва да бъдат присвоени на вашите потребители.

3. Одит

   Изданието MongoDB Enterprise 2.6 добави поддръжка за одит. Можете да конфигурирате сървъра на MongoDB да генерира събития за одит за интересни операции в MongoDB, като влизане на потребител, промени в DDL, промени в конфигурацията на набора от реплики и т.н. Това ви позволява да използвате съществуващия си инструмент за одит на предприятието, за да вземете и обработите необходимите събития. За повече информация вижте списъка със събития на MongoDB, които могат да бъдат одитирани.

За повече съвети за подобряване на сигурността на вашите MongoDB бази данни, моля, вижте другата ни публикация в блога – 10 съвета за подобряване на сигурността на MongoDB.