Atlas ネットワークセキュリティに関するガイダンス
項目一覧
Atlas は、データベース配置用に次のような安全なネットワーク構成のデフォルトを提供します。
必須の TLS / SSL 接続暗号化
1 つ以上の専用クラスターを持つすべてのプロジェクトのVPC
IPアクセス リストを使用し、明示的に宣言したソースからの接続のみを受け入れる認証
これらの保護を、独自のセキュリティ ニーズと設定に合わせてさらに構成できます。
このページの推奨事項を使用して、クラスターのネットワークセキュリティ構成を計画します。
Atlas ネットワークセキュリティの機能
Atlas はデータベースへのすべての接続に対して TLS / SSL 暗号化を強制します。
M10+ 専有クラスターを使用することを推奨します。これは、AWS または Google Cloud 上で 1 つ以上の M10+ 専有クラスターを持つすべての Atlas プロジェクトが専用の - VPC を提供するためです。- Azure 上の VNet。
MongoDB Atlasはすべての専有クラスターをこの VPC または VNet 内に配置します。
デフォルトでは、すべてのクラスターへのアクセスがブロックされます。次のいずれかの方法で、受信接続を明示的に許可しなければなりません。
パブリックIPアドレスをIP アクセス リストに追加します。
VPC / VNet ピアリングを使用して、プライベート IP アドレスを追加します。
プライベートエンドポイントを追加します 。これは Atlas によってIP アクセス リストに自動的に追加されます。他のアクセスは自動的に追加されません。
また、セキュリティを強化するために、複数の方法を併用することもできます。
TLS
Atlas は、データベースへの接続に対して必須の TLS 暗号化を強制します。TLS 1.2 はデフォルトのプロトコルです。詳しくは、「Set Minimum TLS Protocol Version 追加設定の構成 」の セクションを参照してください。
IP アクセス リスト
Atlas 管理者として、次の操作を行うことができます。
IPアクセスリストを設定して、データベースへの認証を試行できるIPアドレスを制限することができます。
Atlas クラスターは、 IP アクセス リストに追加したIPアドレスと CIDR ブロックIP範囲からのアクセスのみを許可します。アプリケーション サーバーや他のクライアントは、IPIP アクセス リストにIPアドレスが含まれていない場合、Atlas クラスターにアクセスできません。
ファイアウォール構成
クライアントアプリケーションサーバーから Atlas に接続し、アウトバウンド ネットワーク接続をブロックするファイアウォールを経由する場合は、アプリケーションが Atlas ホスト上の TCP トラフィックにアウトバウンド接続を行えるようにファイアウォールも構成する必要があります。これにより、アプリケーションはクラスターにアクセスできるようになります。
Atlas クラスターのパブリック IP は、垂直スケーリング、トポロジーの変更、またはメンテナンスイベントなどのクラスター変更の過半数の場合に同じままです。ただし、レプリカセットからシャードクラスタへの変換、シャードの追加、またはリージョンの変更など、特定のトポロジーの変更では新しいIPアドレスを使用する必要があります。
レプリカセットからシャーディングされたクラスターへの変換の場合、アプリケーションクライアントの再接続に失敗すると、アプリケーションにデータが停止する可能性があります。DNSシードリスト接続文字列を使用すると、アプリケーションがシャーディングされたクラスターの mongosに自動的に接続されます。標準の接続文字列を使用する場合は、新しい クラスタートポロジー を反映するように接続文字列を更新する必要があります。
新しいシャードを追加する場合、アプリケーションクライアントの再接続に失敗するとアプリケーションがデータ停止時を引き起こす可能性があります。
プライベートエンドポイント
プライベートエンドポイントは、Atlas が相互接続を開始することを許可せずに、自分のVPCから Atlas VPCへの一方向接続を容易にします。これにより、ネットワーク信頼境界を拡張することなく、Atlas への安全な接続を使用できるようになります。次のプライベートエンドポイントが利用可能です。
Amazon Web Services PrivateLink、AWS VPCからの接続用
Microsoft Azure Private Link ( Microsoft Azure VNet からの接続用)
Private Service Connect、Google Cloud Platform VPCからの接続
VPC/VNet ピアリング
ネットワークピアリングを使用すると、独自のVPCをAtlasのVPCに接続し、トラフィックをプライベートにルーティングして、パブリックインターネットからデータフローを隔離できます。AtlasはVPCを1対1でAtlasプロジェクトにマップします。
VPC接続を介して実行されるほとんどの操作はアプリケーション環境から発生するため、AtlasがピアVPCへのアウトバウンドアクセスリクエストを行う必要が最小限に抑えられます。ただし、Atlasを LDAP 認証を使用するように設定する場合は、Atlasが LDAP プロトコルを介してピア VPC の認証エンドポイントにアウトバウンド接続できるようにする必要があります。Atlas では8.0によりLDAP認証は非推奨になっていることにご注意ください。代わりに Workforce Identity Federation と ワークロード Identity Federation を使用することをお勧めします。
最初のクラスターを配置する前に、 VPC ピアリング ウィザードを使用して Atlas CIDR ブロックを選択できます。Atlas VPC CIDR ブロックは、ピアリングするVPCの CIDR ブロックと重複してはなりません。Atlas は、 CIDR ブロックに基づいて、 VPC あたりのMongoDBインスタンスの数を制限します。例、CIDR ブロックが /24 のプロジェクトは、27 3-ノードレプリカセットと同等に制限されます。
Atlas ネットワークセキュリティに関する推奨事項
プライベートエンドポイント
ネットワークの信頼境界の拡大を制限するために、すべての新しいステージングおよび本番プロジェクトにはプライベートエンドポイントを設定することをお勧めいたします。
一般的に、すべての Atlas プロジェクトにプライベートエンドポイントを使用することをお勧めします。これにより、最も細かいセキュリティが提供され、クラウドネットワークの拡大に伴うIPアクセスリストや大規模なIPアドレスブロックの管理負担が軽減されます。各エンドポイントにはコストがかかるため、下位環境ではプライベートエンドポイントを必要としないことを検討するかもしれませんが、ネットワークの信頼境界の拡大を制限するために、上位環境ではそれらを活用することをお勧めします。
制限や考慮事項を含む Atlas のプライベートエンドポイントの詳細については、「 Atlas のプライベートエンドポイントの詳細 」を参照してください。クラスターのプライベートエンドポイントを設定する方法については、「 専用クラスターのプライベートエンドポイントの設定 」を参照してください。
IP アクセス リスト
APIキーとプログラムによるアクセスのIP アクセス リストを設定して、CI/CDパイプラインやオーケストレーション システムなどの信頼できるIPアドレスからのアクセスのみを許可することをお勧めします。これらのIPアクセス リストは、サービス アカウントのプロビジョニング時に Atlas コントロール プレーンに設定され、クラスターへの接続用に Atlasプロジェクトデータ プレーンで設定できるIPアクセス リストとは別です。
IP アクセス リストを設定するときは、以下を行うことをお勧めします。
一時的なアクセスリストエントリは、チームメンバーが一時的な作業場所から環境にアクセスする必要がある場合や、プロダクションダウンのシナリオを解決するために人間のプロダクションアクセスが必要な緊急時に使用します。これらのインシデントに備えるために、一時的なアクセスを迅速に追加するオートメーションスクリプトをビルドすることをお勧めいたします。
可能な限り小さいネットワークセグメントをカバーするIPアクセスリストエントリを定義してください。これを行うには、可能な限り個々のIPアドレスを優先し、大きな CIDR ブロックを避けてください。
VPC/VNet ピアリング
VPCまたはVNetのピアリングを設定する場合、次のことをお勧めいたします。
厳密なネットワーク信頼境界を維持するために、セキュリティグループと ネットワークACL を構成し、Atlas 側の VPC からアプリケーション VPC 内のシステムへのインバウンドアクセスを防止します。
機密性の高いアプリケーションインフラストラクチャと Atlas VPC間の中間者として機能する新しいVPCを作成します。VPCは非推移的であるため、Atlasへのアクセスが必要なアプリケーションのコンポーネントのみを公開できます。
オートメーションの例:Atlas ネットワーク セキュリティ
次の例では、 IPアクセス リスト、VPCピアリング、プライベートエンドポイントを使用して、アプリケーション環境と Atlas クラスター間の接続を構成します。
これらの例では、次のような他の推奨される構成も適用されます。
開発/テスト環境用にクラスター階層が
M10に設定されました。クラスターサイズガイドを使用して、アプリケーションのサイズに合った推奨クラスター階層を学んでください。単一リージョン、3ノードレプリカセット/シャード配置トポロジー。
この例では、Amazon Web Services、Azure、Google Cloud Platform をどちらも使用しています。これら 3 つのクラウドプロバイダーのいずれかを使用できますが、クラウドプロバイダーと一致するようにリージョン名を変更する必要があります。クラウドプロバイダーとそのリージョンの詳細については、「 クラウドプロバイダー 」を参照してください。
中規模アプリケーション用のクラスター階層が
M30に設定されました。クラスターサイズガイドを使用して、アプリケーションのサイズに合った推奨クラスター階層を学んでください。単一リージョン、3ノードレプリカセット/シャード配置トポロジー。
この例では、Amazon Web Services、Azure、Google Cloud Platform をどちらも使用しています。これら 3 つのクラウドプロバイダーのいずれかを使用できますが、クラウドプロバイダーと一致するようにリージョン名を変更する必要があります。クラウドプロバイダーとそのリージョンの詳細については、「 クラウドプロバイダー 」を参照してください。
注意
Atlas CLIで接続を設定する前に、次のことを行わなければなりません。
IP アクセス リスト エントリを作成する
各接続ごとに次のコマンドを実行してください。適切なオプションと実際の値を使用するようにエントリを変更します:
atlas accessList create 192.0.2.15 --type ipAddress --projectId 5e2211c17a3e5a48f5497de3 --comment "IP address for app server 2" --output json
この例に関する詳細については、「 Atlas accessLists create 」を参照してください。
Amazon Web Services 、 GCP 、 Azureを使用してIP アクセス リストエントリを作成する方法については、「 専用クラスターのプライベートエンドポイントの設定 」を参照してください。
VPCピアリング接続を作成する
Atlas VPCにピアリングするVPCごとに次のコマンドを実行します。必要に応じて、aws を azure または gcp に置き換え、オプションと値をVPCまたは VNet に適したものに変更します。
atlas networking peering create aws --accountId 854333054055 --atlasCidrBlock 192.168.0.0/24 --region us-east-1 --routeTableCidrBlock 10.0.0.0/24 --vpcId vpc-078ac381aa90e1e63
この例に関する詳細と構成オプションについては、以下を参照してください。
Atlas networking peering create Amazon Web Services、Amazon Web Services VPC用
Atlas ネットワーク ピアリング作成Azure ( Microsoft Azure VNets 向け)
atlas ネットワーキング ピアリング作成 gcp、Google Cloud VPC用
プライベートエンドポイントの作成
作成するプライベートエンドポイントごとに次のコマンドを実行します。必要に応じて、aws を azure または gcp に置き換え、オプションと値をVPCまたは VNet に適したものに変更します。
atlas privateEndpoints aws create --region us-east-1 --projectId 5e2211c17a3e5a48f5497de3 --output json
この例に関する詳細と構成オプションについては、以下を参照してください。
Atlas privateEndpoints Amazon Web Services create、Amazon Web Services VPCからの接続用
atlas privateEndpoints azure create、Microsoft Azure VNetからの接続用
atlas privateEndpoints GCP create、GCP Private Service Connectからの接続用
注意
Terraform でリソースを作成する前に、次の手順を実行する必要があります。
支払い組織を作成し、組織のAPIキーを作成します。ターミナルで次のコマンドを実行し、APIキーを環境変数として保存してください。
export MONGODB_ATLAS_PUBLIC_KEY="<insert your public key here>" export MONGODB_ATLAS_PRIVATE_KEY="<insert your private key here>"
IP アクセス リスト エントリを作成する
IP アクセス リストにエントリを追加するには、次のファイルを作成し、アクセス権を付与するプロジェクトのディレクトリに配置します。ID と名前を変更して、 値を使用します。
accessEntryForAddress1.tf
# Add an entry to your IP Access List resource "mongodbatlas_access_list_api_key" "address_1" { org_id = "<org-id>" ip_address = "2.3.4.5" api_key_id = "a29120e123cd" }
ファイルを生成した後、プロジェクトディレクトリに移動し、次のコマンドを実行してTerraformを初期化してください。
terraform init
Terraform プランを表示するには、次のコマンドを実行してください。
terraform plan
次のコマンドを実行して、プロジェクトのIP アクセス リストに 1 件のエントリを追加します。コマンドは、ファイルとMongoDB & HashiCorp Terraform を使用してエントリを追加します。
terraform apply
プロンプトが表示されたら、yesを入力し、Enterを押して設定を適用してください。
VPCピアリング接続を作成する
アプリケーションVPCと Atlas VPCの間でピアリング接続を作成するには、次のファイルを作成し、アクセス権を付与するプロジェクトのディレクトリに配置します。ID と名前を変更して、 値を使用します。
vpcConnection.tf
# Define your application VPC resource "aws_default_vpc" "default" { tags = { Name = "Default VPC" } } # Create the peering connection request resource "mongodbatlas_network_peering" "mongo_peer" { accepter_region_name = "us-east-2" project_id = local.project_id container_id = one(values(mongodbatlas_advanced_cluster.test.container_id)) provider_name = "AWS" route_table_cidr_block = "172.31.0.0/16" vpc_id = aws_default_vpc.default.id aws_account_id = local.AWS_ACCOUNT_ID } # Accept the connection resource "aws_vpc_peering_connection_accepter" "aws_peer" { vpc_peering_connection_id = mongodbatlas_network_peering.mongo_peer.connection_id auto_accept = true tags = { Side = "Accepter" } }
ファイルを作成したら、プロジェクトディレクトリに移動し、次のコマンドを実行して Terraform を初期化します。
terraform init
Terraform プランを表示するには、次のコマンドを実行してください。
terraform plan
次のコマンドを実行して、アプリケーションからプロジェクトにVPCピアリング接続を追加します。コマンドは、ファイルとMongoDB & HashiCorp Terraform を使用してエントリを追加します。
terraform apply
プロンプトが表示されたら、yesを入力し、Enterを押して設定を適用してください。
プライベートリンクを作成する
アプリケーションのVPCから Atlas VPCへの PrivateLink を作成するには、次のファイルを作成し、接続するプロジェクトのディレクトリに配置します。ID と名前を変更して、 値を使用します。
privateLink.tf
resource "mongodbatlas_privatelink_endpoint" "test" { project_id = "<project-id>" provider_name = "AWS/AZURE" region = "US_EAST_1" timeouts { create = "30m" delete = "20m" } }
ファイルを作成したら、プロジェクトディレクトリに移動し、次のコマンドを実行して Terraform を初期化します。
terraform init
Terraform プランを表示するには、次のコマンドを実行してください。
terraform plan
次のコマンドを実行して、PrivateLink エンドポイントをアプリケーションからプロジェクトに追加します。コマンドはファイルとMongoDB & HashiCorp Terraformを使用してエントリを追加します。
terraform apply
プロンプトが表示されたら、yesを入力し、Enterを押して設定を適用してください。