MongoDB Security беше в новините тази седмица по всички грешни причини. Всички разговори бяха за около 40 000 бази данни, които бяха открити от група студенти, базирани в Германия. Някои от базите данни дори съдържаха производствени данни. Това е ужасяващо на няколко нива – не само имате производствени данни в неудостоверена база данни, но също така е оставена отворена за интернет. Единственото изненадващо е, че отне толкова време, за да бъде разкрит. Ако не искате вашите MongoDB сървъри да са в новините, ето три прости стъпки за подобряване на сигурността на вашата MongoDB инсталация:
-
Винаги активирайте удостоверяването
Важно е да активирате удостоверяване за всички ваши MongoDB клъстери. Дори ако това е инсталация за разработка, винаги активирайте удостоверяването и се уверете, че вашите работни потоци са настроени, за да могат да поддържат удостоверяване. Повече подробности за добавянето на потребители и роли можете да намерите тук.
Можете също да отидете още една стъпка по-далеч и да използвате X509 сертификати вместо пароли за удостоверяване. Това ще ви предпази от всякакви атаки, базирани на пароли, като атака на „Речник“. Ако имате корпоративната версия на MongoDB, можете също да използвате Kerberos за удостоверяване.
-
Заключете достъпа със защитни стени
Целият достъп до вашите сървъри на база данни трябва да бъде на базата на „необходимост“ и можете да използвате защитни стени, за да заключите достъпа. Типичната конфигурация е да заключите достъпа, така че само вашите сървъри на приложения и ИТ екип да имат достъп до сървърите. Ако сте на Amazon AWS, използвайте групи за сигурност, за да заключите достъпа до сървърите. И накрая, най-важният момент – Не излагайте базата си данни в интернет! Има само няколко добри причини някога да изложите базата си данни в интернет.
-
Използвайте изолирани мрежи
Повечето публични облаци днес предлагат опции за разполагане на вашите сървъри в изолирано мрежово пространство, което не е достъпно от публичния интернет. Можете да се свържете с интернет, но никакъв интернет трафик не може да стигне до вас. Например, AWS предлага виртуални частни облаци (VPC), а Azure предлага виртуални мрежи (VNET). Тези изолирани мрежи осигуряват задълбочена защита за вашата инсталация на база данни. В AWS можете да разположите сървърите си на база данни в частна подмрежа във VPC – дори ако има неправилна конфигурация, сървърите на вашите бази данни не са изложени на интернет.
По-долу са някои други подходящи статии относно сигурността на MongoDB. Ако имате допълнителни въпроси, моля, свържете се с нас на [email protected].
- Трите А на сигурността на MongoDB – удостоверяване, оторизация и одит
- 10 съвета за подобряване на сигурността на MongoDB
- Сигурно внедряване на MongoDB в Amazon AWS
- Обезопасете своите Mongo клъстери със SSL