Importante
Característica no disponible en los clústeres Flex
Los clústeres Flex no admiten esta característica en este momento. Para obtener más información, se debe consultar Limitaciones de Atlas Flex.
Atlas aplica cifrado a todo el almacenamiento de clúster y los volúmenes de snapshot en reposo por defecto. Puede añadir otra capa de seguridad utilizando el KMS de su proveedor de nube junto con el motor de almacenamiento cifrado de MongoDB.
Configurar el cifrado en reposo usando la gestión de claves de cifrado en reposo implica gastos adicionales para el proyecto de Atlas. Para obtener más información, se debe consultar Seguridad avanzada.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Para aplicar que las claves gestionadas por el cliente para el cifrado en reposo estén habilitadas en todos los clústeres y las implementaciones de búsqueda dedicadas en un proyecto, utiliza las Políticas de Recursos de Atlas. Puedes utilizar políticas de recursos para requerir llave maestra de cliente antes de crear o modificar clústeres o implementaciones de búsqueda.
Puede utilizar uno o más de los siguientes proveedores de gestión de claves de clientes al configurar el cifrado en reposo para el proyecto Atlas:
Después de configurar al menos un proveedor de gestión de claves para el proyecto de Atlas, puedes habilitar la gestión de claves del cliente para cada clúster de Atlas que requiera cifrado. No es necesario que el proveedor de gestión de claves coincida con el proveedor de servicios en la nube del clúster.
Nota
Cuando se activa o desactiva la gestión de claves de cliente, Atlas realiza una sincronización inicial para volver a cifrar los datos del clúster. También vuelve a crear los índices de MongoDB Search y MongoDB Vector Search en el clúster.
Como alternativa, para proyectos con clústeres de Atlas de M10 o superior implementados solo en regiones de Azure, se puede utilizar la Atlas Administration API para crear automáticamente Azure Private Link en la AKV, lo que permite a Atlas comunicarse de forma segura con la AKV a través de las interfaces de red privada de Azure. Para aprender más, se debe consultar Administrar claves de cliente con Azure Key Vault.
Atlas no puede rotar las llaves de cifrado gestionadas por el cliente. Se debe consultar la documentación del proveedor de gestión de claves para que ofrezca una orientación en relación a la rotación de claves. Cuando se configura la gestión de claves de cliente en un proyecto, Atlas crea una alerta de rotación de claves de 90 días.
Si el proveedor de KMS deja de estar disponible, esto no desactiva el clúster mientras aún se ejecuta. Si se decide reiniciar el clúster, la falta de un proveedor de KMS desactiva el clúster.
Para aprender sobre las recomendaciones para el cifrado, incluidos los niveles de clasificación de datos y los tipos de cifrado a utilizar, consulta Recomendaciones para el cifrado de datos de Atlas en el Atlas Architecture Center.
Nota
Para clústeres con cifrado en reposo mediante claves gestionadas por el cliente, la validación de datos de Atlas requiere acceso adicional a su KMS para descifrar los datos. Para obtener más información, consulte Uso de KMS para la validación de datos.
Acceso requerido
Para configurar la gestión de claves de cliente, debes tener acceso de Project Owner al proyecto.
Los usuarios con acceso Organization Owner deben añadirse al proyecto como Project Owner.
Configurar Atlas con la gestión de claves del cliente
El cifrado en reposo mediante la gestión de claves requiere credenciales válidas del proveedor de gestión de claves y una llave de cifrado. Para proporcionar estos detalles y activar la gestión de claves de cliente:
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
(Opcional) Alternar el botón junto a Search Node Data Encryption a On.
Si estás utilizando AWS KMS, opcionalmente puedes habilitar el cifrado para todos los datos en Nodos de búsqueda. También puedes habilitar esta funcionalidad más tarde.
Para obtener más información, consulta Permitir la gestión de claves de cliente para los nodos de búsqueda.
Haz clic Saveen.
(Opcional) Permite el acceso hacia o desde el panel de control de Atlas.
Para aprender más, consulta Permitir el acceso desde el plano de control de Atlas.
Permite el acceso desde el plano de control de Atlas
Dependiendo de la configuración de su KMS, es posible que deba agregar direcciones IP del plano de control de Atlas para habilitar el cifrado en reposo para su proyecto, de modo que Atlas pueda comunicarse con su KMS.
Para permitir la comunicación entre Atlas y KMS:
Envía una solicitud GET al endpoint returnAllControlPlaneIpAddresses.
El endpoint de la API devuelve una lista de direcciones IP del plano de control de Atlas entrantes y salientes en CIDR, categorizadas por proveedor de nube y región. Para aprender más, consulta los requisitos previos para gestionar claves de clientes con AWS, Azure y GCP.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de configurar Atlas con la gestión de claves de cliente, debes permitir la gestión de claves de cliente para cada clúster de Atlas que contenga datos que desees cifrar.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
Para nuevos clústeres:
Opcional: añade direcciones IP de los nuevos nodos del clúster.
En función de la configuración de la gestión de claves, es posible que haya que añadir las direcciones IP de nodo del clúster de Atlas a la lista de acceso del KMS del proveedor de nube, para que el clúster pueda comunicarse con el KMS. Para permitir la comunicación entre el clúster y KMS:
Envía una solicitud GET al punto de conexión
ipAddresses. El punto de conexión de la API returnAllIpAddresses devuelve una lista de direcciones IP de los nuevos nodos del clúster, similar a la siguiente:{ "groupId": "xxx", // ObjectId "services": { "clusters": [ { "clusterName": "Cluster0", "inbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ], "outbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ] } ] } } Se deben añadir las direcciones IP devueltas a la lista de acceso IP del proveedor de nube. Se debe modificar la lista de acceso IP antes de que el plan de provisionamineto se revierta. El clúster intenta realizar el provisionamineto durante un máximo de tres días antes de que el plan de provisionamineto se revierta debido a las restricciones de acceso IP.
Consulta los requisitos previos para gestionar las claves de cliente con AWS, Azure y GCP para obtener más información.
Nota
Si necesita más tiempo para actualizar la lista de acceso IP, puede:
Aprovisiona el clúster sin cifrado en reposo y luego actívalo después de actualizar la lista de acceso IP.
Se debe configurar una lista de acceso IP más inclusiva en el Key Management Service del proveedor de nube, abrir el clúster con cifrado en reposo y luego modificar la lista de acceso IP.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si se configuró el cifrado en reposo mediante la clave maestra del cliente (CMK) (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Activar la gestión de claves de cliente para los nodos de búsqueda
Al configurar la administración de claves de cliente para su proyecto, también puede habilitar el cifrado con dicha administración para sus nodos de búsqueda. Esto garantiza que sus cargas de trabajo de búsqueda de MongoDB y búsqueda vectorial de MongoDB, incluidos los índices, estén completamente cifradas con sus claves administradas por el cliente.
Esta característica está disponible en todos los proveedores de KMS, pero los nodos de búsqueda deben estar en AWS.
Para activar el cifrado de datos de nodos de búsqueda con claves gestionadas por el cliente:
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Se debe activar el cifrado en reposo con la gestión de claves de cliente o editar la configuración.
Si aún no ha configurado la Gestión de Claves del Cliente, siga los pasos en Configurar Atlas con Gestión de Claves del Cliente.
De lo contrario, haz clic en el botón Edit junto a Encryption at Rest using your Key Management.
Haz clic Saveen.
Después de activar el cifrado de datos de nodos de búsqueda a nivel de proyecto, Atlas lo activa a nivel de clúster cuando configuras el cifrado de clúster para cualquier clúster nuevo o existente con nodos de búsqueda. Atlas cifra los nodos de búsqueda utilizando la clave gestionada por el cliente y reconstruye todos los índices de búsqueda. La duración de este proceso depende del tamaño y número de tus índices.
Nota
Si se desactiva la gestión de claves de cliente a nivel de proyecto o si la clave gestionada por el cliente queda no válida, Atlas se debe pausar el clúster y eliminar los nodos de búsqueda, haciendo que los queries de la base de datos no estén disponibles.
Cuando vuelve a habilitar la gestión de claves de clientes o soluciona la configuración de su clave, Atlas reanuda su clúster, proporciona nuevos nodos de búsqueda y realiza una sincronización inicial. La funcionalidad de búsqueda se reanuda cuando se completa la sincronización inicial.
Añade nodos a un clúster de Atlas cifrado
Se deben agregar nodos o particiones al set de réplicas o clúster particionado.
Puedes agregar nodos elegibles a clústeres M10+ o aumentar el número de particiones en el clúster particionado.
Opcional: añade direcciones IP de los nuevos nodos del clúster o particiones.
En función de la configuración de la gestión de claves, es posible que haya que añadir las direcciones IP de nodo del clúster de Atlas a la lista de acceso del KMS del proveedor de nube, para que el clúster pueda comunicarse con el KMS. Para permitir la comunicación entre el clúster y KMS:
Envíe una solicitud GET al punto de conexión
ipAddresses. El endpoint de la API returnAllIpAddresses devuelve una lista de direcciones IP de los nuevos nodos o fragmentos del clúster, similar a la siguiente:{ "groupId": "xxx", // ObjectId "services": { "clusters": [ { "clusterName": "Cluster0", "inbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ], // List<String> "outbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ] } ] } } Se deben añadir las direcciones IP devueltas a la lista de acceso IP del proveedor de nube. Se debe modificar la lista de acceso IP antes de que el plan de provisionamineto se revierta. El clúster intenta realizar el provisionamineto durante un máximo de tres días antes de que el plan de provisionamineto se revierta debido a las restricciones de acceso IP.
Consulta los requisitos previos para gestionar las claves de cliente con AWS, Azure y GCP para obtener más información.
Valide la configuración de su KMS
Atlas valida la configuración de KMS:
Cuando añades o actualizas credenciales.
Cada 15 minutos.
On-demand con el endpoint de la API de cifrado en reposo.
Atlas cierra todos los procesos de mongod y mongos en la siguiente comprobación de validez programada si se da una de las siguientes condiciones:
las credenciales del proveedor de gestión de claves pierden validez
alguien borra o desactiva la llave de cifrado
Si Atlas no puede conectarse al proveedor de gestión de claves, Atlas no detiene los procesos. La alerta Encryption at Rest KMS network access denied está activada por defecto para todos los proyectos nuevos con el fin de comunicar cualquier fallo de acceso a la red de KMS. Se pueden configurar los ajustes de la alerta.
Si Atlas cierra tus clústeres, ocurren los siguientes eventos:
Atlas envía un correo electrónico al
Project Ownercon una lista de los clústeres afectados.La página Clusters refleja que Atlas desactivó tus clústeres por una configuración de cifrado en reposo no válida.
No se puede leer ni guardar datos en el clúster desactivado. Se pueden enviar actualizaciones a clústeres desactivados, como cambios en el tamaño del disco e instancia. Atlas procesa estos cambios cuando alguien restaura la llave de cifrado. Atlas continúa realizando mantenimiento y aplicando parches de seguridad. Los clústeres desactivados retienen todos los datos, por lo que la facturación continúa.
Nota
Potencia de la máquina virtual
Mientras un clúster está desactivado, Atlas no detiene la máquina virtual (VM) en la que se está ejecutando el clúster. Atlas puede ejecutar parches que reinician el servidor, pero la energía de la VM no se reinicia.
Para recuperar el acceso a sus datos:
Actualiza tus credenciales si han cambiado desde que configuraste Atlas con la gestión de claves de cliente.
Se debe restaurar la clave si ha sido deshabilitada o borrada.
Después de actualizar la configuración, se debe hacer clic en Try Again para validarla. Si no se haces, Atlas valida en su siguiente verificación programada. Todos los procesos mongod y mongos se reinician después de que Atlas determina que la configuración es válida.
Advertencia
Si se borró la clave, se debe restaurar esa clave para recuperar el acceso a los clústeres. No se puede cambiar una clave ni desactivar el cifrado en reposo mediante la Gestión de claves del cliente sin una clave válida.
Restaurar una clave eliminada
Para restaurar una clave borrada, se debe consultar la documentación del proveedor de gestión de claves:
Azure Key Vault: Recuperar la clave borrada
GCP KMS: Destruir y restaurar versiones clave
Validación de datos Uso de KMS
Para clústeres con cifrado en reposo mediante claves gestionadas por el cliente, la validación de datos de Atlas requiere acceso adicional a KMS para descifrar los datos durante las comprobaciones de validación.
La validación de datos está habilitada de forma predeterminada para todos los proyectos. Puede desactivarla si los costos adicionales de KMS, las solicitudes o las consideraciones de seguridad no se ajustan a sus necesidades.
Uso del servicio de gestión de claves
Cuando la validación de datos está habilitada, las instancias de validación realizan solicitudes adicionales a su KMS para descifrar los datos de los clústeres cifrados.
Volumen de solicitudes:
Atlas realiza aproximadamente una solicitud de descifrado por miembro del conjunto de réplicas por hora durante la validación. Un conjunto de réplicas estándar de tres nodos con una ventana de validación de siete días genera aproximadamente 500 solicitudes KMS adicionales.
Costos estimados:
Para la mayoría de los clústeres, los costos de KMS relacionados con la validación son mínimos. Para conocer los precios actuales, consulte la documentación de su proveedor de servicios en la nube.
Consideraciones de seguridad:
Las instancias de validación aparecen como entidades principales adicionales en los registros de auditoría de su KMS.
Si utiliza listas de direcciones IP permitidas para su KMS, es posible que deba agregar rangos de direcciones IP de instancias de validación a su lista de direcciones permitidas.
Las instancias de validación utilizan las mismas claves gestionadas por el cliente que los nodos del clúster.
Para obtener la lista actualizada de rangos de direcciones IP de instancias de validación, póngase en contacto con el soporte de MongoDB.
Configuración de la lista de direcciones IP permitidas para clústeres cifrados
La mayoría de las configuraciones de KMS no requieren cambios adicionales en la lista de direcciones IP permitidas para la validación de datos. Sin embargo, si su KMS utiliza controles de acceso basados en IP (por ejemplo, Azure Key Vault con restricciones de firewall), debe agregar los rangos de IP de las instancias de validación a su lista de direcciones permitidas. De lo contrario, la validación fallará.
Para configurar las listas de direcciones IP permitidas para su KMS:
AWS KMS normalmente permite el acceso mediante el rol de IAM. No se requiere ninguna configuración adicional de la lista de direcciones IP permitidas para las instancias de validación si su política de IAM permite el rol de Atlas.
Azure Key Vault suele utilizar listas de direcciones IP permitidas estrictas. Si la validación falla con errores de acceso a KMS, agregue los rangos de IP de validación de Atlas a las reglas de red de Azure Key Vault.
En el portal de Azure, navegue hasta su Key Vault.
Seleccione Networking en el menú de la izquierda.
Debajo de Firewalls and virtual networks, agregue los rangos de IP de validación de Atlas.
Haga clic en Save.
Google Cloud KMS generalmente permite el acceso mediante cuenta de servicio. No se requiere ninguna configuración adicional de lista de direcciones IP permitidas para las instancias de validación si su política de IAM permite la cuenta de servicio de Atlas.
Para obtener más información sobre la validación de datos, consulte Validación de datos para la coherencia del clúster.
Copias de seguridad cifradas
Atlas cifra todos los volúmenes de snapshot. Esto protege los datos del clúster en disco. Con el KMS del proveedor de nube, se puede:
Cifra los volúmenes de almacenamiento de snapshot donde almacenas tus copias de seguridad.
Cifra los archivos de datos de tus snapshots.
Accede a los snapshots cifrados. Para obtener más información, consulta Acceder a un snapshot cifrado.
Restaura los snapshots con la clave que estaba activa en el momento en que se tomó el snapshot.
Cifrado de los datos del oplog en la restauración PIT .
No puedes restaurar snapshots cifrados con claves que hayan dejado de ser válidos.
Puedes especificar un cronograma de snapshot base que realiza una copia de seguridad cada 6 horas.
Nota
Se pueden descargar snapshots cifradas de la misma manera que las snapshots no cifradas. Recomendamos utilizar el acceso basado en roles a la llave de cifrado para el proyecto como parte de las mejores prácticas de seguridad.
Para aprender cómo descargar snapshots, consulta Restaurar desde un snapshot descargado localmente.
Para aprender más sobre la gestión de claves del cliente y las copias de seguridad en la nube, consulta: