你有沒有花點(diǎn)時(shí)間思考一下MongoDB數(shù)據(jù)庫(kù)可能面臨的安全風(fēng)險(xiǎn)？

讓我們想象一個(gè)場(chǎng)景。

你已經(jīng)全心全意地投入到創(chuàng)建應(yīng)用程序中，它的成功與MongoDB密切相關(guān)。但是，如果沒有強(qiáng)大的安全措施，你的寶貴數(shù)據(jù)可能會(huì)成為網(wǎng)絡(luò)犯罪分子的目標(biāo)，他們渴望利用漏洞進(jìn)行未經(jīng)授權(quán)的訪問。

因此，設(shè)置一系列安全配置來保持MongoDB的安全非常重要。

考慮到這個(gè)想法，這篇文章涵蓋了與 MongoDB 相關(guān)的保護(hù)主題，并探討了 5 大 MongoDB 安全最佳實(shí)踐。這些技巧是為開發(fā)人員、數(shù)據(jù)庫(kù)管理員和任何熱衷于增強(qiáng)其 MongoDB 設(shè)置安全性的人設(shè)計(jì)的。

所以，讓我們直接進(jìn)入吧！

什么是 MongoDB 安全性？

MongoDB 是一種廣泛使用的 NoSQL 數(shù)據(jù)庫(kù)，由于其處理大量無組織數(shù)據(jù)的多功能性和可擴(kuò)展性而被廣泛接受。它消除了整個(gè)傳統(tǒng)的數(shù)據(jù)庫(kù)氛圍，并采用面向文檔的方法，使開發(fā)人員能夠在類似于 JSON 的文檔中存儲(chǔ)和獲取數(shù)據(jù)。

這種適應(yīng)性使MongoDB引起關(guān)注，在從內(nèi)容管理系統(tǒng)到深入研究大數(shù)據(jù)分析的一系列用例中都找到了其應(yīng)用。

但這里有一個(gè)問題，所有這些靈活性都伴隨著巨大的責(zé)任。你必須保持MongoDB安全無虞。我們應(yīng)扎緊籬笆，以將壞人拒之門外，防止數(shù)據(jù)泄露并躲避網(wǎng)絡(luò)威脅。隨著越來越多的公司信任MongoDB的超級(jí)重要數(shù)據(jù)，確定可靠的安全實(shí)踐是必須的。

那么，MongoDB安全性的關(guān)鍵方面是什么？我們進(jìn)入下一個(gè)主題。

MongoDB 有哪些安全功能？

在保持 MongoDB 數(shù)據(jù)庫(kù)的安全無虞時(shí)，掌握并充分利用其內(nèi)置的安全功能至關(guān)重要。MongoDB 安全架構(gòu)具有各種強(qiáng)大的功能來保護(hù)數(shù)據(jù)，其中，以下五個(gè)功能最引人注目，可以確保你的信息保持安全和機(jī)密。

認(rèn)證：強(qiáng)大的身份驗(yàn)證實(shí)踐是MongoDB的主要吸引力之一。它使用戶在潛入數(shù)據(jù)庫(kù)之前證明他們是誰(shuí)，從而建立堅(jiān)實(shí)的防御。

MongoDB提供了一系列身份驗(yàn)證方法：用戶名/密碼，X.509證書，LDAP，Kerberos，任你選擇。為你的設(shè)置選擇合適的產(chǎn)品是構(gòu)建堅(jiān)實(shí)安全基礎(chǔ)的關(guān)鍵。

基于角色的訪問控制 （RBAC）：現(xiàn)在，讓我們來談?wù)?RBAC。RBAC 是一個(gè)強(qiáng)大的工具，允許定義角色和分散特定權(quán)限。

它使你可以控制誰(shuí)可以訪問哪些內(nèi)容，并確保人們只能獲得他們需要的東西。通過遵循“最小權(quán)限”規(guī)則，RBAC 通過限制未經(jīng)授權(quán)訪問的潛在損害來提高安全性。

傳輸加密 （SSL/TLS）：必須在數(shù)據(jù)傳輸過程中確保數(shù)據(jù)的安全，對(duì)吧？MongoDB通過SSL / TLS加密技術(shù)為你提供支持。

它在數(shù)據(jù)庫(kù)服務(wù)器和客戶端之間設(shè)置了一條安全路徑。啟用此加密可以保護(hù)敏感信息免受網(wǎng)絡(luò)犯罪分子的侵害，從而為MongoDB 設(shè)置增加一層額外的機(jī)密性。

審計(jì)和日志記錄：持續(xù)監(jiān)視和記錄數(shù)據(jù)庫(kù)在做什么，就像擁有一名私人偵探一樣。

MongoDB 的審計(jì)功能可跟蹤用戶操作、系統(tǒng)事件和身份驗(yàn)證活動(dòng)。定期深入研究這些日志有助于在安全問題變成大問題之前發(fā)現(xiàn)并解決它們。

網(wǎng)絡(luò)隔離：網(wǎng)絡(luò)隔離對(duì)于通過有效配置網(wǎng)絡(luò)設(shè)置來保護(hù) MongoDB 至關(guān)重要。將數(shù)據(jù)庫(kù)服務(wù)器與未經(jīng)授權(quán)的訪問隔離開來，并限制對(duì)必要網(wǎng)絡(luò)的暴露，可以減少攻擊面。

利用防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換 （NAT） 和虛擬專用網(wǎng)絡(luò) （VPN） 可增強(qiáng) MongoDB 部署的整體網(wǎng)絡(luò)安全性。

MongoDB 安全最佳實(shí)踐前 5 名

圖片

實(shí)施基于角色的訪問控制

正如本文前面所討論的，管理誰(shuí)可以進(jìn)入你的數(shù)據(jù)庫(kù)至關(guān)重要，這就是訪問控制發(fā)揮作用的地方。

自特定版本以來，MongoDB默認(rèn)包含基于角色的訪問控制（RBAC）。RBAC 允許你決定用戶可以執(zhí)行哪些操作以及他們可以訪問哪些資源。開箱即用，MongoDB帶有五個(gè)數(shù)據(jù)庫(kù)角色：

• read – 非常適合只讀訪問。
• readWrite – 授予讀取和編輯數(shù)據(jù)的權(quán)限。
• dbAdmin – 為索引等管理任務(wù)開綠燈。
• dbOwner – 允許執(zhí)行任何管理操作（readWrite、dbAdmin 和 userAdmin 的混合）。
• userAdmin – 允許創(chuàng)建和修改角色和用戶的角色。

猜怎么著？

并不局限于這些選項(xiàng)。你可以創(chuàng)建自定義角色并管理集群的自定義角色。這里的黃金法則是遵循最小特權(quán)原則。最低權(quán)限僅為你的團(tuán)隊(duì)提供其任務(wù)所需的訪問權(quán)限。

限制與數(shù)據(jù)庫(kù)的連接

數(shù)據(jù)泄露的最常見原因之一是未經(jīng)授權(quán)的個(gè)人遠(yuǎn)程訪問你的數(shù)據(jù)庫(kù)。為了最大程度地降低這種風(fēng)險(xiǎn)，建議限制對(duì)數(shù)據(jù)庫(kù)的遠(yuǎn)程訪問。一種聰明的方法是僅允許來自指定 IP 地址的連接，這種技術(shù)通常稱為白名單。

通過這樣做，可以最大限度地降低因未經(jīng)授權(quán)的入侵者遠(yuǎn)程訪問數(shù)據(jù)庫(kù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

對(duì)于那些使用MongoDB Atlas（MongoDB的綜合托管服務(wù)）的人來說，Atlas中的每個(gè)項(xiàng)目都配備了自己的虛擬私有云（VPC）。為了獲得額外的保護(hù)層，客戶可以選擇激活 VPC 對(duì)等連接，連接到托管其應(yīng)用程序的私有網(wǎng)絡(luò)，并阻止通過公共互聯(lián)網(wǎng)進(jìn)行的任何潛在訪問。

密切關(guān)注用戶操作

在增強(qiáng) MongoDB 安全性方面，檢查用戶在做什么是一件大事。必須對(duì)事情保持警惕，并記錄正在發(fā)生的事情，以捕捉任何可疑的事情或不應(yīng)該發(fā)生的事情。這不僅僅是發(fā)現(xiàn)安全問題;它還使解決問題變得更加容易。

MongoDB通過其內(nèi)置的審計(jì)解決方案“auditDestination”使該過程變得超級(jí)簡(jiǎn)單。可以設(shè)置審核首選項(xiàng)，并決定將這些審核事件發(fā)送到何處，以便更仔細(xì)地查看。

無論是喜歡在控制臺(tái)上查看這些審計(jì)事件，將它們保存在JSON文件中，還是將它們隱藏在BSON文件中，MongoDB的審計(jì)功能都可以讓你做自己的事情。如果你熱衷于密切關(guān)注登錄失敗等重要事項(xiàng)，你將需要 MongoDB Enterprise。

設(shè)置可靠的審計(jì)實(shí)踐對(duì)于提高 MongoDB 數(shù)據(jù)庫(kù)的整體安全性有很大幫助。它提供了額外的保護(hù)層。

備份數(shù)據(jù)

定期備份 MongoDB 數(shù)據(jù)是加強(qiáng)安全措施的關(guān)鍵步驟。它確保你的數(shù)據(jù)保持可訪問，即使面對(duì)網(wǎng)絡(luò)威脅或意外災(zāi)難也是如此。

如果你不幸正在處理贖金要求或正在應(yīng)對(duì)自然災(zāi)害的后果怎么辦？保持最新的備份可以保證系統(tǒng)快速恢復(fù)到危機(jī)前的狀態(tài)。

各種備份選項(xiàng)：

1. mongodump：此 MongoDB 工具為你提供了整個(gè)數(shù)據(jù)庫(kù)或查詢結(jié)果的快照。非常適合較小的設(shè)置，但對(duì)于較大的數(shù)據(jù)庫(kù)，它可能有一些限制。
2. 文件系統(tǒng)快照：使用 LinuxLVM 等工具進(jìn)行文件系統(tǒng)快照，為全面?zhèn)浞萏峁┝艘环N可靠的方法。
3. MongoDB管理服務(wù)（MMS）：這種托管的在線備份服務(wù)持續(xù)流式傳輸 MongoDB oplog 數(shù)據(jù)，每 6 小時(shí)創(chuàng)建備份并拍攝快照，保留 24 小時(shí)。
4. 基于云的備份：利用 AWS 或 Azure 等云平臺(tái)創(chuàng)建異地備份。即使你的本地基礎(chǔ)設(shè)施面臨挑戰(zhàn)，這也能確保數(shù)據(jù)可用性。
5. 副本集：實(shí)施 MongoDB 的內(nèi)置副本集，以實(shí)現(xiàn)高可用性和容錯(cuò)性。這些集會(huì)自動(dòng)維護(hù)數(shù)據(jù)的重復(fù)副本，充當(dāng)實(shí)時(shí)備份。

總而言之，在選擇備份解決方案時(shí)，考慮數(shù)據(jù)庫(kù)的大小至關(guān)重要。如果你正在處理一個(gè)較小的數(shù)據(jù)庫(kù)，那么使用mongodump是有實(shí)際意義的。

然而，如果你的系統(tǒng)更大、更復(fù)雜，選擇文件系統(tǒng)快照提供了一個(gè)堅(jiān)固的解決方案。

同時(shí)，MMS 為關(guān)鍵數(shù)據(jù)帶來不間斷備份的優(yōu)勢(shì)，確保你有能力應(yīng)對(duì)任何不可預(yù)見的挑戰(zhàn)。

實(shí)施強(qiáng)大的加密措施

為了增強(qiáng) MongoDB 數(shù)據(jù)庫(kù)的安全性，請(qǐng)優(yōu)先加密數(shù)據(jù)以保護(hù)其免受窺探。加密是防止未經(jīng)授權(quán)訪問的強(qiáng)大防御措施，使那些缺乏必要解密密鑰的人無法破譯數(shù)據(jù)。

加密策略：

1. 靜態(tài)加密：通過對(duì)信息所在的位置進(jìn)行加密來增強(qiáng)數(shù)據(jù)保護(hù)。請(qǐng)注意，對(duì)于 MongoDB 社區(qū)版用戶，此功能僅供 MongoDB Enterprise      或 MongoDB Atlas 訂閱者使用。
2. 傳輸中加密：作為 MongoDB 中的默認(rèn)安全措施，所有數(shù)據(jù)在傳輸過程中都通過實(shí)施傳輸層安全性 （TLS） 進(jìn)行加密。

遵守這些加密做法可以確保多層防御，降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并使你的 MongoDB 部署符合嚴(yán)格的安全標(biāo)準(zhǔn)。

全面的 MongoDB 安全清單

現(xiàn)在我們已經(jīng)討論了 MongoDB 安全最佳實(shí)踐，在讓 MongoDB 用于實(shí)時(shí)情況之前，鞏固安全措施至關(guān)重要。這是一個(gè)方便的 MongoDB 安全清單，涵蓋了所有必須做的事情。

圖片

1、認(rèn)證機(jī)制：

• 通過指定身份驗(yàn)證機(jī)制來啟用訪問控制。
• MongoDB支持默認(rèn)的Salted Challenge Response      Authentication Mechanism（SCRAM），用于根據(jù)身份驗(yàn)證數(shù)據(jù)庫(kù)驗(yàn)證用戶憑據(jù)。
• 使用 X.509 證書身份驗(yàn)證增強(qiáng)功能，用于副本集成員和分片集群的客戶端和內(nèi)部身份驗(yàn)證。

2. 基于角色的訪問控制 （RBAC）：

• 建立 RBAC，為每個(gè)應(yīng)用或用戶提供用于數(shù)據(jù)庫(kù)訪問的不同標(biāo)識(shí)。
• 起草具有明確訪問權(quán)限的特定角色，并根據(jù)其運(yùn)營(yíng)需求進(jìn)行分配。

3. 加密通信：

• 使用 TLS/SSL 配置加密 mongod、mongos、應(yīng)用程序和 MongoDB 之間的通信通道。
• 確保數(shù)據(jù)傳輸密封，防止竊聽和未經(jīng)授權(quán)的訪問。

4. 數(shù)據(jù)保護(hù)：

• 如果你正在使用 WiredTiger 存儲(chǔ)引擎，請(qǐng)采取額外的靜態(tài)數(shù)據(jù)加密步驟。
• 對(duì)于其他存儲(chǔ)引擎，請(qǐng)采用文件系統(tǒng)、物理或設(shè)備加密，以及嚴(yán)格的文件系統(tǒng)權(quán)限。
• 考慮使用客戶端字段級(jí)加密來保護(hù)文檔中的特定字段，然后再將其發(fā)送出去。

5. 安全網(wǎng)絡(luò)操作：

• 將MongoDB保持在受信任的網(wǎng)絡(luò)上，僅向受信任的客戶端授予訪問權(quán)限。
• 拒絕直接 SSH 根訪問，并為進(jìn)出 MongoDB 實(shí)例的流量設(shè)置安全組。

6. 審計(jì)系統(tǒng)活動(dòng)：

• 實(shí)施審計(jì)機(jī)制以跟蹤用戶訪問活動(dòng)。
• 充分利用 MongoDB Enterprise 審計(jì)功能，例如用于身份驗(yàn)證等事件的過濾器，使取證分析變得輕而易舉。

7. 安全配置選項(xiàng)：

• 在運(yùn)行 MongoDB 時(shí)啟用安全配置選項(xiàng)。
• 對(duì)于可能存在風(fēng)險(xiǎn)的 JavaScript 代碼（如 mapReduce、$where 和 $function）請(qǐng)謹(jǐn)慎使用，請(qǐng)考慮使用 –noscripting 選項(xiàng)將其關(guān)閉。
• 使用 Mongoose 等模塊驗(yàn)證輸入字段，以加強(qiáng)對(duì)可疑輸入的防御。
• 使用 net.writeObjectCheck 確保 mongod 實(shí)例存儲(chǔ)的所有文檔都是有效的 BSON。

8. MongoDB專用用戶：

• 讓MongoDB使用其獨(dú)占系統(tǒng)用戶賬戶進(jìn)行滾動(dòng)。
• 請(qǐng)確保此賬戶具有正確的數(shù)據(jù)訪問權(quán)限，但不包括可能危及數(shù)據(jù)的額外權(quán)限。
• 將MongoDB從許多人可以訪問的操作系統(tǒng)中移除，以增加安全性層。

通過堅(jiān)持這些 MongoDB 安全技巧，你不僅可以確保數(shù)據(jù)安全，還可以為 MongoDB 設(shè)置打下堅(jiān)實(shí)的基礎(chǔ)，從而為你的運(yùn)營(yíng)創(chuàng)建一個(gè)安全的環(huán)境。

常見問題

MongoDB安全嗎？

絕對(duì)！MongoDB非常重視其安全性。它的功能，如身份驗(yàn)證、授權(quán)、加密和審計(jì)，可以 24/7 全天候保護(hù)你的數(shù)據(jù)。只要確保遵循最佳實(shí)踐，你就可以開始了。

如何啟用 MongoDB 安全性？

為了提高 MongoDB 的安全性，請(qǐng)確保設(shè)置身份驗(yàn)證，設(shè)計(jì)具有最低權(quán)限的用戶角色，激活網(wǎng)絡(luò)綁定，并采用 TLS 加密。使用強(qiáng)密碼并定期更新 MongoDB 以解決任何潛在的安全漏洞也很重要。確保你的數(shù)據(jù)庫(kù)安全無虞！

MongoDB 比 MySQL 更安全嗎？

啊，由來已久的競(jìng)爭(zhēng)。MongoDB 和 MySQL 都有其安全性優(yōu)勢(shì)。MongoDB 帶來了一些很棒的功能，例如靈活的架構(gòu)、水平擴(kuò)展和對(duì)索引的強(qiáng)大支持。另一方面，MySQL一直處于困境中，以其可靠性和性能而聞名。歸根結(jié)底，這完全取決于你的需求。兩者都是安全的，但MongoDB可能只是具有額外的復(fù)雜性。明智的選擇！

結(jié)論

當(dāng)涉及到MongoDB設(shè)置時(shí)，將安全性作為首要任務(wù)是關(guān)鍵，就像任何開源數(shù)據(jù)庫(kù)一樣。在部署 MongoDB 數(shù)據(jù)庫(kù)時(shí)選擇這些默認(rèn)設(shè)置似乎是一種簡(jiǎn)單的方法，但這是一場(chǎng)安全噩夢(mèng)的邀請(qǐng)。

因此，掌握 MongoDB 安全性的工作原理并堅(jiān)持遵循 MongoDB 安全最佳實(shí)踐以獲得一流的保護(hù)至關(guān)重要。

原文鏈接：

https://www.clouddefense.ai/mongodb-security-best-practices/

參考文檔

MongoDB官方安全檢查清單 - MongoDB 手冊(cè) v7.0，

https://www.mongodb.com/zh-cn/docs/manual/administration/security-checklist/