MongoDB 安全

MongoDB Security Documentation



安全

MongoDB提供了多种特性,如 authentication,access control,encryption,来保护你的MongoDB的部署。

一些关键的安全特性:

Authentication Authorization TLS/SSL Enterprise Only
认证
SCRAM-SHA-1
Role-Based Access Control
Enable Auth
Manage User and Roles
Transport Encryption
Configure mongod and mongos for TLS/SSL
TLS/SSL Configuration for Clients
Keyberos Authentication
LDAP Proxy Authentication
Encryption at Rest
Auditing
Authentication:认证;   Authorization:授权;   Kerberos:一种安全认证系统;  Auditing:审计


安全检查列表

MongoDB同样提供了 推荐动作列表的安全检查列表 来保护MongoDB的部署。


Enable Access Control and Enforce Authentication

允许接入控制和指定认证机制。 你可以使用默认的 MongoDB 认证机制或一个现有的外部框架。 认证要求所有的客户端和服务端在连接到系统之前提供合法的证书。 在集群部署中,为每个MOngoDB服务器启用身份认证。


Configure Role-Based Access Control

首先创建一个administrator用户,之后创建其他用户。 为访问系统的每个人和应用程序创建一个唯一的 MongoDB-user。


Encrypt Communication

为所有传入和传出的连接的 MongoDB配置TLS/SSL。 使用TLS/SSL来加密MongoDB客户端和组件或所有应用程序 与 MongoDB之间的通信。


Encrypt and Protect Data

从MongoDB企业3.2开始,WiredTiger 存储引擎的本地加密
就能够配置在存储层加密数据。

如果未使用WiredTiger的加密,应该在每个主机上使用文件系统、设备或物理加密对MondoDB数据进行加密。使用文件系统权限保护MongoDB数据。MongoDB数据包含了 数据文件,配置文件,监测文件和关键文件


Limit Network Exposure

确保MongoDB运行在一个信任的网络环境中,并且限制MongoDB实例监听传入连接的接口。只允许受信任的客户端访问MongoDB实例可用的网络接口和端口。
Exposure:曝光


Audit System Activity

追踪访问和更改数据库配置和数据,这些监测记录进行取证分析,并允许管理员检查适当的控制。


Run MongoDB with a Dedicated User

使用一个专用的操作系统用户账户来运行MongoDB进程,确保这个账户有权限去访问数据但是没有不必要的权限。
dedicated:专用的


Run MongoDB with Secure Configuration Options

MongoDB支持对某些服务器端操作执行JS代码,如果你没有使用这些操作,你可以在服务器上禁用脚本选项。
保证输入验证启用,MongoDB通过默认的wireObjecCheck设置启用输入验证。这确保了由MongoDB实例存储的所有文档都是有效的BSON。


Request a Security Technical Implementation Guide

安全技术实现指南(Security Technical Implementation Guide ,简称STIG))包含了部署的安全指导方针。


Consider Security Standards Compliance

对于要求HIPAA或pcidss符合性的应用程序,请参考 MongoDB Security Reference Architecture去了解更多关于如何使用关键的安全功能来构建兼容的应用程序基础设施。
Compliance:符合性


认证

虽然认证和授权关系非常紧密,认证和授权是两个不同的概念。

认证 是用来识别用户的身份;
授权 控制已经认证的用户使用资源和行为的权限;

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 202,980评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,178评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,868评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,498评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,492评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,521评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,910评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,569评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,793评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,559评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,639评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,342评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,931评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,904评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,144评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,833评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,350评论 2 342

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,580评论 18 139
  • MongoDB对数据安全提供了多种保证,其中包含验证、访问控制、加密来确保部署的数据安全。 1.开启访问控制强制校...
    飞扬小米阅读 1,955评论 0 49
  • 背景: 阅读新闻 12C CDB模式下RMAN备份与恢复 [日期:2016-11-29] 来源:Linux社区 作...
    阳屯okyepd阅读 3,332评论 0 7
  • Guide to BluetoothSecurity原文 本出版物可免费从以下网址获得:https://doi.o...
    公子小水阅读 7,879评论 0 6
  • Spring Boot 参考指南 介绍 转载自:https://www.gitbook.com/book/qbgb...
    毛宇鹏阅读 46,717评论 6 342