MONGODB-SICHERHEIT
MongoDB-Datenverschlüsselung
MongoDB bietet robuste Verschlüsselungsfunktionen zum Schutz von Daten während der Übertragung, im Ruhezustand und bei der Verwendung – und schützt die Daten so über ihren gesamten Lebenszyklus.
MongoDB 8.0
_Spot.svg)
Ressourcen
Häufige Fragen
Wie unterscheidet sich die Verschlüsselung während der Nutzung von der Verschlüsselung während des Transports und im Ruhezustand?
Die Verschlüsselung während der Nutzung wird am besten selektiv auf die Felder Ihrer Dokumente angewendet, die Sie als die sensibelsten Daten einstufen, z. B. PII oder PHI.
Die Verwendung der clientseitigen Feldebenenverschlüsselung zusammen mit der Verschlüsselung während der Übertragung und im Ruhezustand ermöglicht die Datenverschlüsselung während des gesamten Lebenszyklus. Dabei kommen ergänzende Ansätze zum Einsatz, die eine umfassende Sicherheitsabwehr bieten, um verschiedenen Bedrohungsmodellen zu begegnen.
- Die Verschlüsselung während der Übertragung schützt alle Daten, die das Netzwerk durchlaufen, verschlüsselt jedoch nicht die Daten, die verwendet werden oder im Ruhezustand sind.
- Die Verschlüsselung im Ruhezustand schützt alle gespeicherten Daten, verschlüsselt jedoch nicht die Daten, die verwendet oder übertragen werden.
- Mit der Verschlüsselung im Ruhezustand verlassen Ihre sensibelsten Daten Ihre Anwendung nie im Klartext. Auf Client-Seite verschlüsselte Felder können vom Server nicht entschlüsselt werden und bleiben während der Übertragung, im Ruhezustand und bei der Verwendung verschlüsselt, selbst während der Verarbeitung von Abfragen.
Müssen die vom Kunden bereitgestellten Verschlüsselungsschlüssel, die für die Atlas-Ruheverschlüsselung verwendet werden, beim selben Cloud-Anbieter gespeichert werden wie die Daten?
Ihre Verschlüsselungsschlüssel können bei einem Cloud-Anbieter Ihrer Wahl gespeichert werden und müssen sich nicht beim selben Cloud-Anbieter wie Ihre Daten befinden. Sie können beispielsweise Ihre Daten in Azure speichern, Ihre Verschlüsselungsschlüssel jedoch in AWS KMS haben, oder Ihre Daten in AWS haben, Ihre Schlüssel jedoch in GCP Cloud KMS. Dieser Ansatz gilt sowohl für die Verschlüsselung ruhender Daten als auch für die Verschlüsselungsfunktionen während der Verwendung.
Kann ich den Cloud-Anbieter KMS zur Verschlüsselung im Ruhezustand mit MongoDB Enterprise verwenden?
Wie unterscheidet sich Queryable Encryption von der Client-seitigen Verschlüsselung auf Feldebene?
Queryable Encryption verwendet einen schnellen verschlüsselten Suchalgorithmus, um zusätzliche verschlüsselte Datenstrukturen auf der Serverseite hinzuzufügen, die die Verarbeitung von Gleichheits- und Bereichsabfragen auf verschlüsselten Daten ermöglichen. Da die Datenbank die Abfrageverarbeitung übernimmt, müssen Sie keine zusätzlichen Resultate an den Client zurücksenden oder zusätzlichen Anwendungscode für die Client-seitige Abfrageverarbeitung schreiben.
Client-seitige Feldverschlüsselung bietet eine ähnliche Funktionalität, indem sie Daten auf der Client-Seite verschlüsselt, bevor sie in die Datenbank eingefügt werden. Die Abfrage ist auf Gleichheitsabfragen beschränkt und für die Gleichheit muss eine deterministische Verschlüsselung verwendet werden.
Welche Abfragetypen unterstützt Queryable Encryption?
Queryable Encryption unterstützt ab der Version 8.0 Gleichheits- und Bereichsabfragen für verschlüsselte Daten.
Bei zukünftigen Versionen werden Präfix-, Suffix- und Teilstring-Abfragetypen unterstützt.