MongoDB Security har været i nyhederne i denne uge af alle de forkerte årsager. Al snak har handlet om de omkring 40.000 databaser, der blev fundet afsløret af en gruppe studerende baseret i Tyskland. Nogle af databaserne indeholdt endda produktionsdata. Det er voldsomt på flere niveauer - ikke kun har du produktionsdata på en uautoriseret database, men den er også åben til internettet. Det eneste overraskende er, at det tog så lang tid at blive afsløret. Hvis du ikke ønsker, at dine MongoDB-servere skal være i nyhederne, er her tre enkle trin til at forbedre sikkerheden for din MongoDB-installation:
-
Aktiver altid godkendelse
Det er vigtigt at aktivere godkendelse for alle dine MongoDB-klynger. Selvom det er en udviklingsinstallation, skal du altid aktivere autentificering og sørge for, at dine arbejdsgange er gearet til at kunne understøtte godkendelse. Flere detaljer om tilføjelse af brugere og roller kan findes her.
Du kan også gå et skridt videre og bruge X509-certifikater i stedet for adgangskoder til godkendelse. Dette vil beskytte dig mod ethvert password-baseret angreb som et 'Ordbog'-angreb. Hvis du har Enterprise build af MongoDB, kan du også bruge Kerberos til godkendelse.
-
Lås adgang med firewalls
Al adgang til dine databaseservere skal være på et "need to"-grundlag, og du kan bruge firewalls til at låse adgangen. Den typiske konfiguration er at låse adgangen, så kun dine applikationsservere og it-team har adgang til serverne. Hvis du er på Amazon AWS, skal du bruge sikkerhedsgrupper til at låse adgangen til serverne. Til sidst det vigtigste punkt – Undlad at udsætte din database for internettet! Der er kun et par gode grunde til nogensinde at udsætte din database for internettet.
-
Brug isolerede netværk
De fleste offentlige skyer tilbyder i dag muligheder for at implementere dine servere i et isoleret netværksrum, der ikke er tilgængeligt fra det offentlige internet. Du kan nå ud til internettet, men ingen internettrafik kan komme til dig. For eksempel tilbyder AWS Virtual Private Clouds (VPC), og Azure tilbyder Virtual Networks (VNET). Disse isolerede netværk giver et dybtgående forsvar til din databaseinstallation. På AWS kan du implementere dine databaseservere på et privat undernet i en VPC – selvom der er en fejlkonfiguration, er dine databaseservere ikke eksponeret for internettet.
Nedenfor er nogle andre relevante artikler om MongoDB-sikkerhed. Hvis du har yderligere spørgsmål, bedes du kontakte os på [email protected].
- De tre A'er for MongoDB-sikkerhed – Autentificering, autorisation og revision
- 10 tips til at forbedre din MongoDB-sikkerhed
- Sikker MongoDB-implementering på Amazon AWS
- Beskyt dine Mongo-klynger med SSL