AnkündigungWir stellen MongoDB 8.0 vor, das schnellste MongoDB aller Zeiten! Mehr erfahren >>Wir stellen MongoDB 8.0 vor, das schnellste MongoDB aller Zeiten! >>

NEWTime-series support for Atlas is now available

MongoDB-Datenverschlüsselung

MongoDB bietet robuste Verschlüsselungsfunktionen zum Schutz von Daten während der Übertragung, im Ruhezustand und bei der Verwendung – und schützt die Daten so über ihren gesamten Lebenszyklus.

Zur Anmeldung

MongoDB Security Hub

Verschlüsselung während der Übertragung

Durch die Verschlüsselung während der Übertragung werden Daten zwischen Clients und Servern gesichert und unbefugter Zugriff oder Manipulation verhindert. In MongoDB Atlas ist der gesamte Netzwerkverkehr zu MongoDB-Clustern durch Transport Layer Security (TLS) geschützt, das standardmäßig aktiviert ist und nicht deaktiviert werden kann. Die Standardversion ist TLS 1.2. Daten, die zu und zwischen MongoDB-Clusterknoten übertragen werden, werden während der Übertragung mit TLS verschlüsselt, um eine sichere Kommunikation zu gewährleisten.

MongoDB Enterprise Advanced unterstützt auch die Verschlüsselung während der Übertragung mit TLS.

Erfahren Sie mehr über die Verschlüsselung während der Übertragung →

Verschlüsselung im Ruhezustand

Durch die Verschlüsselung ruhender Daten wird sichergestellt, dass alle gespeicherten Dateien und Daten verschlüsselt sind, und so eine wichtige Schutzebene auf Datenbankebene bereitgestellt. In MongoDB Atlas werden Kundendaten im Ruhezustand automatisch mit AES-256 verschlüsselt, um alle Daten auf dem Datenträger (Festplatte) zu schützen. Dieser Prozess nutzt die transparente Festplattenverschlüsselung Ihres Cloud-Anbieters, wobei der Anbieter die Verschlüsselungsschlüssel verwaltet. Darüber hinaus haben Sie die Möglichkeit, die Verschlüsselung auf Datenbankebene zu aktivieren, sodass Sie Ihre eigenen Verschlüsselungsschlüssel über AWS Key Management Service (KMS), Google Cloud KMS oder Azure Key Vault verwenden können.

MongoDB Enterprise Advanced integriert die At-Rest-Verschlüsselung mithilfe von AES-256 direkt in seine WiredTiger-Speicher-Engine. Sie können die Verschlüsselung im Ruhezustand in Enterprise Advanced mit einem KMIP-fähigen Schlüsselverwaltungsanbieter konfigurieren.

Verschlüsselung im Ruhezustand → MongoDB Enterprise Advanced und MongoDB Atlas

Verschlüsselung während der Verwendung

Die Verschlüsselung während der Verwendung schützt Daten während der Verarbeitung. Daten werden auf der Client-Seite mit vom Kunden kontrollierten Schlüsseln verschlüsselt, bevor sie an die Datenbank gesendet, dort gespeichert oder aus ihr abgerufen werden. Die Vorteile dieses Ansatzes sind:

Umfassender Datenschutz: Daten werden während ihres gesamten Lebenszyklus verschlüsselt, egal ob sie verwendet werden, gesichert werden, im Ruhezustand sind oder übertragen werden.
Gewährleistung der Compliance: Hilft bei der Einhaltung strenger Datenschutzanforderungen wie GDPR, HIPAA, PCI DSS und mehr.
Integrierter Schutz für eine optimierte Entwicklung: Die Verschlüsselung während der Verwendung ist ohne zusätzliche Kosten in MongoDB enthalten, wodurch Verschlüsselungslösungen von Drittanbietern überflüssig werden und Entwickler mit MongoDB unter Verwendung integrierter, vertrauter Entwicklungsmuster arbeiten können.

MongoDB verwendet zwei Verschlüsselungsfunktionen, um Ihren Datenschutzanforderungen gerecht zu werden: Client-seitige Verschlüsselung auf Feldebene und Queryable Encryption.

Client-seitige Verschlüsselung auf Feldebene

Client-Side Field-Level Encryption (CSFLE) ist eine Verschlüsselungsfunktion während der Nutzung, die es einer Client-Anwendung ermöglicht, vertrauliche Daten zu verschlüsseln, bevor sie in der MongoDB-Datenbank gespeichert werden. Sensible Daten werden transparent verschlüsselt, bleiben während ihres gesamten Lebenszyklus verschlüsselt und werden nur auf der Client-Seite entschlüsselt.

Erfahren Sie mehr → Client-seitige Verschlüsselung auf Feldebene

Queryable Encryption

Queryable Encryption ist die erste Verschlüsselungstechnologie ihrer Art, die Unternehmen dabei hilft, vertrauliche Daten zu schützen, wenn diese abgefragt und auf MongoDB verwendet werden. Sie ermöglicht Anwendungen, vertrauliche Daten auf der Clientseite zu verschlüsseln, sie sicher in der MongoDB-Datenbank zu speichern und Gleichheits- und Bereichsabfragen direkt auf den verschlüsselten Daten durchzuführen. Dadurch wird ein starker kryptografischer Schutz für sensible Informationen gewährleistet, ohne dass die Fähigkeit, aussagekräftige Abfragen durchzuführen, beeinträchtigt wird.

Weitere Vorteile, die Sie mit Queryable Encryption erhalten können:

Bahnbrechende Technologie: Queryable Encryption führt einen branchenweit ersten verschlüsselten Suchalgorithmus ein, der auf NIST-Standards basierende Grundelemente wie AES-256, SHA2 und HMACs verwendet. Diese von der MongoDB Cryptography Research Group entwickelte und in der Branche beispiellose Innovation nutzt die jahrzehntelange Pionierkompetenz der Gruppe im Bereich Kryptografie und verschlüsselte Suche.
Aussagekräftige Abfragefunktionen für verschlüsselte Daten: Gleichheits- und Bereichsabfragen können auf verschlüsselten Daten durchgeführt werden, wobei Präfix-, Suffix- und Teilstring-Abfragefunktionen geplant sind.
Verbesserte Einhaltung gesetzlicher Vorschriften: Halten Sie die Daten während ihres gesamten Lebenszyklus verschlüsselt, um die Einhaltung von Vorschriften wie der GDPR oder dem HIPAA sicherzustellen. So vermeiden Sie kostspielige Bußgelder und rechtliche Probleme und stärken gleichzeitig das Kundenvertrauen.
Vielfältige Anwendungsfälle: Queryable Encryption reduziert das Risiko einer Datenfreigabe für Unternehmen erheblich und verbessert die Produktivität der Entwickler, indem es integrierte Verschlüsselungsfunktionen für hochsensible Anwendungs-Workflows bereitstellt – wie das Durchsuchen von Mitarbeiterdatensätzen, die Verarbeitung von Finanztransaktionen oder die Analyse von Krankenakten – ohne dass hierfür Kenntnisse in Kryptografie erforderlich sind.
Verbesserte Betriebseffizienz: Sorgen Sie für ein hohes Maß an Sicherheit für Ihre vertraulichen Daten, ohne Kompromisse bei der Anwendungsleistung oder der Entwicklerproduktivität einzugehen.

Erfahren Sie mehr → Queryable Encryption

MongoDB 8.0

Mit 36 % höherem Durchsatz, einfacherer horizontaler Skalierung und erweiterter Queryable Encryption ist MongoDB schneller und sicherer als je zuvor.

Weitere Informationen

Ressourcen

Queryable Encryption ist allgemein verfügbar

Details zur Queryable Encryption-Technologie und den Kundenvorteilen.

Blog lesen

Verschlüsselung im Ruhezustand in Atlas unter Verwendung der Kundenschlüsselverwaltung

Konfigurieren Sie die Verschlüsselung im Ruhezustand mit Ihren Verschlüsselungsschlüsseln mithilfe von AWS KMS, Google Cloud KMS und Azure Key Vault.

Die Dokumentation lesen

Verschlüsselung im Ruhezustand (Enterprise)

Erfahren Sie mehr über den Verschlüsselungsprozess und wie Sie die Verschlüsselung im Ruhezustand konfigurieren.

Die Dokumentation lesen

Client-seitige Verschlüsselung auf Feldebene

Erfahren Sie mehr darüber, wie Sie vertrauliche Felder von der Client-Seite aus verschlüsseln, wie Sie MongoDB-Treiber verwenden und vieles mehr.

Die Dokumentation lesen

Cryptography Research Group

Lies über die neuesten Forschungsergebnisse und Innovationen in der Kryptografie und im Datenschutz.

Mehr erfahren

Queryable Encryption Technical paper

Ein tieferer Einblick in Queryable Encryption, seine Designziele, Bedrohungsmodelle und Sicherheitsgarantien.

Whitepaper herunterladen

Warum Queryable Encryption wichtig ist

Erfahren Sie mehr darüber, warum Queryable Encryption für Entwickler, Sicherheitsteams und IT-Entscheidungsträger wichtig ist.

Kurzbeschreibung lesen

Schützen Sie Ihre Daten mit der Verschlüsselung während der Nutzung von MongoDB

Erfahren Sie, wie die im Einsatz befindlichen Verschlüsselungslösungen von MongoDB Kunden dabei helfen, ihre Daten zu schützen.

Datenblatt lesen

Häufige Fragen

Wie bekomme ich mehr Informationen, um meiner Organisation mit wirksamen technischen Kontrollen zu helfen?

Kontakt

Wie unterscheidet sich die Verschlüsselung während der Nutzung von der Verschlüsselung während des Transports und im Ruhezustand?

Die Verschlüsselung während der Nutzung wird am besten selektiv auf die Felder Ihrer Dokumente angewendet, die Sie als die sensibelsten Daten einstufen, z. B. PII oder PHI.

Die Verwendung der clientseitigen Feldebenenverschlüsselung zusammen mit der Verschlüsselung während der Übertragung und im Ruhezustand ermöglicht die Datenverschlüsselung während des gesamten Lebenszyklus. Dabei kommen ergänzende Ansätze zum Einsatz, die eine umfassende Sicherheitsabwehr bieten, um verschiedenen Bedrohungsmodellen zu begegnen.

Die Verschlüsselung während der Übertragung schützt alle Daten, die das Netzwerk durchlaufen, verschlüsselt jedoch nicht die Daten, die verwendet werden oder im Ruhezustand sind.
Die Verschlüsselung im Ruhezustand schützt alle gespeicherten Daten, verschlüsselt jedoch nicht die Daten, die verwendet oder übertragen werden.
Mit der Verschlüsselung im Ruhezustand verlassen Ihre sensibelsten Daten Ihre Anwendung nie im Klartext. Auf Client-Seite verschlüsselte Felder können vom Server nicht entschlüsselt werden und bleiben während der Übertragung, im Ruhezustand und bei der Verwendung verschlüsselt, selbst während der Verarbeitung von Abfragen.

Müssen die vom Kunden bereitgestellten Verschlüsselungsschlüssel, die für die Atlas-Ruheverschlüsselung verwendet werden, beim selben Cloud-Anbieter gespeichert werden wie die Daten?

Ihre Verschlüsselungsschlüssel können bei einem Cloud-Anbieter Ihrer Wahl gespeichert werden und müssen sich nicht beim selben Cloud-Anbieter wie Ihre Daten befinden. Sie können beispielsweise Ihre Daten in Azure speichern, Ihre Verschlüsselungsschlüssel jedoch in AWS KMS haben, oder Ihre Daten in AWS haben, Ihre Schlüssel jedoch in GCP Cloud KMS. Dieser Ansatz gilt sowohl für die Verschlüsselung ruhender Daten als auch für die Verschlüsselungsfunktionen während der Verwendung.

Kann ich den Cloud-Anbieter KMS zur Verschlüsselung im Ruhezustand mit MongoDB Enterprise verwenden?

MongoDB Enterprise unterstützt KMIP-fähige Schlüsselanbieter für die Verschlüsselung im Ruhezustand. Cloud-bereitgestellte KMS (Key Management Systems) werden nicht unterstützt.

Weitere Details finden Sie in der Dokumentation.

Wie unterscheidet sich Queryable Encryption von der Client-seitigen Verschlüsselung auf Feldebene?

Queryable Encryption verwendet einen schnellen verschlüsselten Suchalgorithmus, um zusätzliche verschlüsselte Datenstrukturen auf der Serverseite hinzuzufügen, die die Verarbeitung von Gleichheits- und Bereichsabfragen auf verschlüsselten Daten ermöglichen. Da die Datenbank die Abfrageverarbeitung übernimmt, müssen Sie keine zusätzlichen Resultate an den Client zurücksenden oder zusätzlichen Anwendungscode für die Client-seitige Abfrageverarbeitung schreiben.

Client-seitige Feldverschlüsselung bietet eine ähnliche Funktionalität, indem sie Daten auf der Client-Seite verschlüsselt, bevor sie in die Datenbank eingefügt werden. Die Abfrage ist auf Gleichheitsabfragen beschränkt und für die Gleichheit muss eine deterministische Verschlüsselung verwendet werden.

Weitere Informationen finden Sie in unserer Dokumentation

Welche Abfragetypen unterstützt Queryable Encryption?

Queryable Encryption unterstützt ab der Version 8.0 Gleichheits- und Bereichsabfragen für verschlüsselte Daten.

Bei zukünftigen Versionen werden Präfix-, Suffix- und Teilstring-Abfragetypen unterstützt.