I sidste uge bad en af mine kunder om arkitekturanbefalinger til sikker implementering af produktions MongoDB-instanser på Amazon EC2 AWS. Dette fik mig til at tænke over emnet, og dette blogindlæg er resultatet. Alt for mange virksomheder eksponerer deres produktions MongoDB-databaser på internettet, når der er bedre muligheder. Regel #1 for sikkerhed er at begrænse fysisk adgang til dine databaseservere. Selvom dine legitimationsoplysninger er kompromitteret, reducerer det i høj grad virkningen, hvis angriberen ikke kan få adgang til dine servere.
Før vi dykker ned i detaljerne, lad os træde lidt tilbage og huske, hvordan it-medarbejdere plejede at implementere databaser i AWS-verdenen før Amazon. Jeg kan huske et par forskellige konfigurationer:
1. Dual Firewall DMZ (demilitariseret zone) konfiguration
I denne konfiguration er front-tier- og mid-tier-serverne installeret i en DMZ, og databaseserverne er bag den anden firewall. Den forreste firewall tillader forbindelser på webportene, og den bagerste firewall tillader kun forbindelser på databaseportene.
2. VLAN – Mindre populær end Dual Firewall DMZ
Databaseserverne og frontend-serverne er på separate VLAN'er. Kun databaseportene er tilladt i trunkforbindelsen mellem de to VLAN'er.
Teknisk er intet meget som ændret siden. Men teknikkerne er nu anderledes. Du taler ikke længere om DMZ'er og firewalls, men du taler om VPC'er og sikkerhedsgrupper. Hvis du er en større virksomhed med en it-medarbejder, ville jeg helt sikkert kigge nærmere på Amazon VPC. Det giver dig meget kontrol over lag 3-netværket, og du kan lægge dine databaser ind i et privat undernet og ikke udsætte dem for internettet. Det er dog et meget længere emne for et andet blogindlæg. Hvis du allerede har konfigureret VPC og ønsker at konfigurere MongoDB i VPC'en, her er mit blogindlæg for at lede dig gennem trinene - Implementering af MongoDB på Amazon VPC.
I resten af dette indlæg vil jeg koncentrere mig om EC2-klassikeren.
3 trin til at konfigurere Dual Firewall DMZ i AWS
1. Opret en sikkerhedsgruppe til dine MongoDB-servere
En sikkerhedsgruppe kan strække sig over en hel region – så selvom du har et replikasæt, kan du distribuere dine replikaer på tværs af tilgængelighedszoner i regionen og stadig have i den samme sikkerhedsgruppe . Opret en sikkerhedsgruppe til dine MongoDB-servere, og tilføj kun alle dine mongo-servere til denne sikkerhedsgruppe.
2. Opret en sikkerhedsgruppe til dine Mid/Front Tier-servere
Opret en ekstra sikkerhedsgruppe til dine mellem- og/eller front-tier MongoDB-servere.
3. Konfigurer din MongoDB-sikkerhedsgruppeadgang
Konfigurer din MongoDB-sikkerhedsgruppe til kun at tillade adgang til front tier-serverne på MongoDB-portene. Konfigurer din frontend-sikkerhedsgruppe til at åbne webportene til internettet.
Konfigurer Dual Firewall DMZ i AWS gennem ScaleGrid
1. Opret en sikkerhedsgruppe i AWS
Log ind på din Amazon-konsol, og opret en sikkerhedsgruppe til dine midt-/front-tier-servere. Lad os kalde sikkerhedsgruppen 'AppServerSG'. Konfigurer denne sikkerhedsgruppe til at åbne http/https-porten efter behov. Placer dine mid-tier- og front-tier-servere i denne sikkerhedsgruppe.
2. Opret en ScaleGrid AWS Cloud-profil
Log ind på ScaleGrid-konsollen og klik på fanen Machine Pool. Opret din egen tilpassede maskinpulje, så du kan implementere og administrere mongo-forekomster på din egen AWS-konto. I fanen Maskinpulje skal du klikke på knappen Opret. Indtast din Amazon API-nøgle og hemmelige nøgle, og tryk på Næste:
3. Vælg din AWS-region for MongoDB
Vælg AWS-regionen efter eget valg til implementering af MongoDB:
4. Konfigurer din adgangspolitik
Dette er hovedtrinet for sikkerhedskonfigurationen. Vælg muligheden for kun at tillade maskiner i en bestemt sikkerhedsgruppe at få adgang til dine MongoDB-servere. Vælg derefter de sikkerhedsgrupper, som du gerne vil give adgang til. Indtast et navn til din maskinpulje, og klik derefter på Næste:
5. Opret din MongoDB-klynge
Naviger tilbage til din MongoDB-implementeringsside i hovedkonsollen. Klik på 'Opret' for at oprette en ny MongoDB-klynge. Vælg den maskinpulje, du lige har oprettet, i Maskinpuljevalget, og opret klyngen.
Dette er blot en af teknikkerne til at sikre din MongoDB-implementering på AWS. Hvis du har andre forslag, så brug venligst kommentarsektionerne til at give din feedback. For mere detaljeret sikkerhedspraksis henvises til 10gen sikkerhedspraksis. Som altid, hvis du har spørgsmål, e-mailer du os på [email protected].