Puedes utilizar Atlas de forma segura desde el primer momento. Atlas viene preconfigurado con configuraciones seguras por defecto. Puedes ajustar las características de seguridad de tus clústeres para satisfacer tus necesidades y preferencias de seguridad únicas. Haz una revisión de las siguientes características y consideraciones de seguridad para los clústeres.
Para obtener más información sobre las recomendaciones para la seguridad de la red Atlas, consulte Recomendaciones para la seguridad de la red Atlas en el Centro de Arquitectura Atlas.
Importante
Como mejores prácticas de seguridad, no incluya información sensible en namespaces ni en nombres de campos. Atlas no oculta esta información.
Características de seguridad preconfiguradas
Las siguientes características de seguridad son parte del producto Atlas:
Cifrado en tránsito
Atlas requiere TLS/SSL para cifrar las conexiones a sus bases de datos.
Los certificados TLS/SSL son:
Válido por 90 días desde el día en que Atlas emite el certificado.
Se rotó 42 días antes de la fecha de vencimiento del certificado.
Para obtener más información sobre el cifrado TLS, consulta el informe técnico de seguridad de Atlas.
Para configurar la comprobación de revocación de certificados SSL o TLS OCSP, consulta Comprobación de revocación de certificados OCSP.
Virtual Private Cloud
Todos los proyectos de Atlas con uno o más clústeres dedicados M10+ reciben su propia VPC dedicada (o VNet si utiliza Azure). Atlas implementa todos los clústeres dedicados dentro de esta VPC o VNet.
Cifrado en reposo
De forma predeterminada, Atlas cifra todos los datos almacenados en sus clústeres. Atlas también admite Cifrado en reposo mediante su gestión de claves.
FIPS 140-2
Atlas desactiva FIPS 140-2 Nivel 2 para todas las bases de datos por defecto. Si el entorno requiere que se habilite en Atlas, se debe usar MongoDB Atlas for Government.
MongoDB Atlas for Government habilita automáticamente FIPS 140-2 nivel 2 para todas las bases de datos.
Características de seguridad requeridas
Debe configurar las siguientes características de seguridad:
Requisitos de red y cortafuegos
Asegúrese de que su aplicación pueda acceder a su entorno de MongoDB Atlas. Para añadir el acceso de red entrante desde su entorno de aplicación a Atlas, realice una de las siguientes acciones:
Añada las direcciones IP públicas a su lista de acceso IP
Utiliza el emparejamiento de VPC / VNet para agregar direcciones IP privadas.
Agregar nodos privados.
Si su firewall bloquea las conexiones de red salientes, también debe habilitar el acceso saliente desde su entorno de aplicación a Atlas. Debe configurar su firewall para permitir que sus aplicaciones realicen conexiones salientes a los puertos 27015 a 27017 para el tráfico TCP en los nombres de host o direcciones IP de su clúster. Esto permite que sus aplicaciones accedan a las bases de datos almacenadas en Atlas.
Para obtener la lista actual de direcciones IP del clúster, utilice el punto final Devolver todas las direcciones IP para un proyecto de la API de administración de Atlas.
curl --header "Authorization: Bearer <access-token>" \ --header "Accept: application/vnd.atlas.2025-03-12+json" \ --request GET \ "https://cloud.mongodb.com/api/atlas/v2/groups/{GROUP-ID}/ipAddresses"
Nota
Por defecto, los clústeres de MongoDB Atlas no necesitan poder iniciar conexiones a sus entornos de aplicaciones. Si desea activar clústeres de Atlas con autenticación y autorización LDAP, debe permitir el acceso a la red desde los clústeres de Atlas directamente a su LDAP seguro. Puede permitir el acceso a su LDAP mediante el uso de IP públicas o privadas siempre que un nombre de host DNS público apunte a una IP a la que los clústeres de Atlas puedan acceder.
Si no está utilizando el emparejamiento de VPC / VNet y planea conectarse a Atlas mediante direcciones IP públicas, consulte las siguientes páginas para obtener información adicional:
Lista de acceso IP
Atlas solo permite conexiones de clientes al clúster desde las entradas de la lista de acceso IP del proyecto. Para conectarse, debes agregar una entrada a la lista de acceso IP. Para configurar la lista de acceso IP para el proyecto, consulta Configurar entradas de la lista de acceso IP.
Para los clústeres de Atlas implementados en Google Cloud Platform (GCP) o Microsoft Azure, añada las direcciones IP de sus servicios de Google Cloud o Azure a la lista de acceso IP del proyecto de Atlas para otorgar a esos servicios acceso al clúster.
Autenticación o autorización de usuarios
Atlas requiere que los clientes se autentiquen para conectarse a la base de datos. Deben crearse usuarios de base de datos para acceder a ella. Para configurar usuarios de base de datos en clústeres, consulte Configurar usuarios de base de datos. Atlas ofrece muchas características de seguridad para la autenticación y autorización de clúster.
Para acceder a los clústeres de un proyecto, los usuarios deben pertenecer a ese proyecto. Los usuarios pueden pertenecer a varios proyectos.
Características de seguridad opcionales
Puede configurar las siguientes características de seguridad:
Conexión peering de red
Atlas admite conexiones de emparejamiento con otras conexiones peering de red de AWS, Azure o Google Cloud. Para obtener más información, consulte Configurar una conexión peering de red.
Importante
Si esta es la primera M10+ Si tiene un clúster pago dedicado para la región o regiones seleccionadas y planea crear una o más conexiones de emparejamiento de VPC, revise la documentación sobre conexiones de emparejamiento de VPC antes de continuar.
Nodos privados
Atlas brinda soporte a nodos privados en:
AWS utilizando AWS PrivateLink característica
Azure cuando se utiliza la característica Azure Private Link
Google Cloud utiliza la característica GCP Private Service Connect
Para usar nodos privados, consulta Aprende sobre los nodos privados en Atlas.
Acceso unificado a AWS
Algunas características de Atlas, incluidas Data Federation y Cifrado en reposo mediante la gestión de claves del cliente, utilizan AWS roles de IAM para la autenticación.
Para configurar un rol AWS IAM para que Atlas lo use, consulte Configurar acceso unificado de AWS.
Autenticación y autorización del clúster
Atlas ofrece las siguientes características de seguridad para la autenticación y autorización de clústeres.
Autenticación o autorización de usuarios de bases de datos
Atlas requiere que los clientes se autentiquen para acceder a los clústeres. Deben crearse usuarios de base de datos para acceder a ella. Para configurar usuarios de base de datos para sus clústeres, consulte Configurar usuarios de base de datos.
Roles personalizados para la autorización de bases de datos
Atlas admite la creación de roles personalizados para la autorización de bases de datos en casos en los que los roles de Atlas integrados no otorgan el conjunto de privilegios deseado.
Autenticación con AWS IAM
Puede configurar la autenticación y autorización para sus roles de AWS IAM. Para obtener más información, consulte Autenticación IAM en AWS.
Autenticación o autorización de usuario con LDAP
Atlas admite la realización de autenticación y autorización de usuarios con LDAP. Para utilizar LDAP, consulte Configurar la autenticación y autorización de usuarios con LDAP.
Autenticación de Usuario con X.509
Los certificados de cliente X.509 proporcionan a los usuarios de bases de datos acceso a los clústeres del proyecto. Las opciones para la autenticación X.509 incluyen la autenticación X.509 gestionada por Atlas y la autenticación X.509 autogestionada. Para obtener más información sobre la autenticación X.509 autogestionada, se debe consultar Configurar certificados X.509 autogestionados.
Restringir el acceso del soporte de MongoDB a la infraestructura de backend de Atlas
Los propietarios de la organización pueden restringir a los empleados del soporte de producción de MongoDB el acceso a la infraestructura de backend de Atlas para cualquier clúster de Atlas de su organización. Los propietarios de organizaciones pueden conceder una excepción de 24 horas a la restricción de acceso a nivel del clúster de Atlas.
Importante
Bloquear el acceso a la infraestructura desde MongoDB Support puede aumentar el tiempo de respuesta y resolución de los problemas de soporte y tener un impacto negativo en la disponibilidad del clúster.
Para permitir esta opción, consulta Configurar el acceso de soporte de MongoDB a la infraestructura de backend de Atlas.
Cifrado en reposo mediante la gestión de claves
Atlas admite el uso de AWS KMS, Azure Key Vault y Google Cloud para cifrar los motores de almacenamiento y las copias de seguridad de los proveedores de nube. Para utilizar el cifrado en reposo, consulte Cifrado en reposo mediante la gestión de claves del cliente.
Encriptación a nivel de campo
Atlas admite cifrado a nivel de campo del lado del cliente, incluido el cifrado automático de campos. Todos los usuarios de Atlas están autorizados a utilizar las características automáticas de cifrado a nivel de campo del lado del cliente de MongoDB.
Para obtener más información, consulta Requisitos de cifrado a nivel de campo del lado del cliente.
Nota
MongoDB Compass, la interfaz de usuario de Atlas y MongoDB Shell (mongosh) no admiten descifrar campos cifrados del lado del cliente.
Auditoría de bases de datos
Atlas ofrece soporte para auditar todas las acciones de eventos del sistema. Para utilizar la auditoría de bases de datos, consulta Configurar la auditoría de bases de datos.
Seguimiento de acceso
Atlas muestra los registros de autenticación directamente en la interfaz de usuario de Atlas para que se pueda revisar fácilmente los intentos de autenticación exitosos y fallidos realizados en los clústeres. Para ver el historial de acceso a la base de datos, se debe consultar Ver historial de acceso a la base de datos.
Autenticación multifactor para el acceso a la interfaz de usuario de Atlas
Atlas admite MFA para ayudarlo a controlar el acceso a sus cuentas de Atlas. Para configurar MFA, consulte Gestionar sus opciones de autenticación multifactor.
Permite el acceso al plano de control de Atlas o desde él
Si utiliza alguna de las siguientes características de Atlas, es posible que deba agregar las direcciones IP de Atlas a la lista de acceso IP de su red:
Cifrado en reposo utilizando la gestión de claves del cliente
Nota
Si activa la característica de cifrado en reposo, debe permitir el acceso desde IP públicas a todos los hosts de su implementación, incluidos los CSRS (sets de réplicas de servidores de configuración) si está utilizando clústeres particionados.
Obtén las direcciones IP del plano de control de Atlas
Envíe una solicitud GET al endpoint de controlPlaneIPAddresses para obtener las direcciones IP actuales del plano de control de Atlas. El endpoint de la API devuelve una lista de direcciones IP del plano de control de Atlas entrantes y salientes en notación CIDR categorizadas por proveedor de nube y región, similar a lo siguiente:
{ "inbound":{ "aws":{ "<region-name>":["<IP-address>", ...], ... }, "azure":{ "<region-name>":["<IP-address>", ...], ... },"gcp":{ "<region-name>":["<IP-address>", ...] ... } }, "outbound":{ "aws":{ "<region-name>":["<IP-address>", ...], ... }, "azure":{ "<region-name>":["<IP-address>", ...], ... }, "gcp":{ "<region-name>":["<IP-address>", ...], ... } } }
Importante
La API de Administración de Atlas utiliza los términos inbound y outbound en relación con el plano de control, no con su red. Como resultado:
Las reglas de entrada de su red deben coincidir con los CIDR
outboundenumerados en la API de administración de Atlas.Las reglas de salida de su red deben coincidir con los CIDR
inboundenumerados en la API de administración de Atlas.
En el siguiente diagrama, se muestra la relación entre inbound y outbound para el plano de control y su red:
Para agregar las direcciones IP devueltas a la lista de acceso IP de KMS de su proveedor de nube, consulta los requisitos previos para gestionar claves de clientes con AWS, Azure y GCP.
Acceso requerido: controlPlane.outbound direcciones IP
controlPlane.outbound enumera las direcciones IP del tráfico que proviene del plano de control. La lista de direcciones IP HTTP entrantes de la red debe permitir el acceso desde las direcciones de IP que figuran en controlPlane.outbound.
Le recomendamos que utilice la API de administración de Atlas para obtener las direcciones IP actuales de salida del plano de control de Atlas.
Acceso requerido: controlPlane.inbound direcciones IP
controlPlane.inbound enumera las direcciones IP del tráfico que ingresa al plano de control. Si su red solo permite solicitudes HTTP de salida a direcciones IP específicas, debe permitir el acceso a las direcciones IP enumeradas en controlPlane.inbound para que Atlas pueda comunicarse con sus webhooks y KMS.
Le recomendamos que utilice la API de administración de Atlas para obtener las direcciones IP actuales del plano de control entrante de Atlas.
Permite el acceso a Data Federation
Si la red solo permite HTTPS requests salientes a direcciones IP específicas, se debe permitir el acceso desde las direcciones IP entrantes en el puerto 27017 TCP para que las solicitudes puedan llegar a la instancia federada de base de datos. Recomendamos que se use la API de administración de Atlas para obtener las direcciones IP actuales del plano de control de Atlas entrantes.
Verificación de revocación del certificado OCSP
Si su red solo permite solicitudes salientes a direcciones IP específicas, para permitir la comprobación de revocación de certificados SSL o TLS OCSP, debe permitir el acceso a los servidores de respuesta OCSP de la CA (Autoridad de Certificación) de Atlas que se pueden encontrar en la URL de OCSP del certificado SSL o TLS.
Para deshabilitar la comprobación de revocación de certificados OCSP, se debe consultar la documentación de la versión del driver de MongoDB que utiliza la aplicación.