Docs Menu
Docs Home
/
MongoDB Atlas

クラスターのセキュリティ機能の構成

項目一覧

  • 事前設定されたセキュリティ機能
  • FIPS140 -2
  • 転送中の暗号化
  • 仮想プライベートクラウド
  • 保管時の暗号化
  • 必要なセキュリティ機能
  • ネットワークとファイアウォールの要件
  • IP アクセス リスト
  • ユーザー認証または承認
  • オプションのセキュリティ機能
  • ネットワークピアリング接続
  • プライベートエンドポイント
  • Amazon Web Services 統合アクセス
  • クラスターの認証と承認
  • キー マネジメントを使用した保管時の暗号化
  • クライアントサイドのフィールド レベル暗号化
  • データベース監査
  • アクセス トラッキング
  • Atlas UI アクセスのための多要素認証
  • Atlas Control Plane へのアクセスまたは Atlas Control Plane からのアクセス許可
  • Data Federation へのアクセス許可
  • OCSP 証明書の失効チェック

Atlasは箱から出してすぐに安全に使用できます。Atlas には、安全なデフォルト設定が事前に構成されています。独自のセキュリティ ニーズと設定に合わせて、クラスターのセキュリティ機能を微調整できます。クラスターの次のセキュリティ機能と考慮事項を確認します。

重要

セキュリティ上のベストプラクティスとして、名前空間とフィールド名には機密情報を含めないでください。Atlas は、この情報を難読化しません。

事前設定されたセキュリティ機能

次のセキュリティ機能は、Atlas 製品の一部です。

FIPS140 -2

Atlas 14022は、すべてのデータベースに対して FIPS - レベル を自動的に有効にします。

転送中の暗号化

Atlas では、データベースへの接続を暗号化するために TLS/SSL が必要です。

TLS / SSL 証明書は次のとおりです:

  • Atlas が証明書を発行した日から 90 日間有効です。

  • 証明書の有効期限が切れる 42 日前にローテーションされました。

TLS暗号化の詳細については、 Atlas セキュリティのホワイトペーパー を参照してください。

SSL または TLS OCSP 証明書失効チェックを構成するには、「OCSP 証明書失効チェック」を参照してください。

仮想プライベートクラウド

1 つ以上の M10+ 専有クラスターを持つすべての MongoDB Atlas プロジェクトには、専用の VPCAzureを使用する場合は VNet) が提供されます。MongoDB Atlasはすべての専有クラスターをこの VPC または VNet 内に配置します。

保管時の暗号化

デフォルトでは、Atlas は Atlas クラスターに保存されているすべてのデータを暗号化します。Atlas は、キー管理を使用した保存時の暗号化もサポートしています。

必要なセキュリティ機能

以下のセキュリティ機能を設定する必要があります。

ネットワークとファイアウォールの要件

アプリケーションが MongoDB Atlas 環境にアクセスできることを確認してください。アプリケーション環境から Atlas への受信ネットワーク アクセスを追加するには、次のいずれかを実行します。

  1. パブリック IP アドレスを IP アクセス リストに追加する

  2. VPC / VNet ピアリングを使用して、プライベート IP アドレスを追加します。

  3. プライベートエンドポイントを追加します。

Tip

以下も参照してください。

IP アクセス リスト

ファイアウォールが送信ネットワーク接続をブロックする場合は、アプリケーション環境から Atlas への送信アクセスも開く必要があります。アプリケーションが Atlas ホスト上の TCP トラフィックにポート 27015 ~ 27017 への送信接続を行えるようにファイアウォールを構成する必要があります。これにより、アプリケーションは Atlas に保存されているデータベースにアクセスできるようになります。

注意

デフォルトでは、MongoDB Atlas クラスターはアプリケーション環境への接続を開始できる必要はありません。LDAP 認証と承認 を使用して Atlas クラスターを有効にする場合は、Atlas クラスターから安全な LDAP へのネットワーク アクセスを直接許可する必要があります。パブリック DNS ホスト名が Atlas クラスターがアクセスできる IP を指している限り、パブリック IP またはプライベート IP を使用して LDAP へのアクセスを許可できます。

VPC / VNet ピアリングを使用しておらず、パブリック IP アドレスを使用して Atlas に接続する予定の場合は、追加情報については次のページを参照してください。

IP アクセス リスト

Atlas はプロジェクトの IPアクセス リストのエントリからのみ、クラスターへのクライアント接続を許可します。 接続するには、IP アクセス リストにエントリを追加する必要があります。 プロジェクトの IP アクセス リストを設定するには、「 IP アクセス リスト エントリの設定 」を参照してください。

Google Cloud Platform(GCP) または Microsoft Azure に配置された Atlas クラスターの場合は、Google Cloud または Azure サービスの IP アドレスをAtlas プロジェクト IP アクセス リストに追加して、それらのサービスにクラスターへのアクセスを許可します。

ユーザー認証または承認

Atlas では、データベースに接続するためにクライアントの認証が必要です。データベースにアクセスするには、データベースユーザーを作成する必要があります。クラスターにデータベースユーザーを設定するには、「データベースユーザーの設定」を参照してください。Atlas はクラスターの認証と承認のための多くのセキュリティ機能を提供しています。

プロジェクト内のクラスターにアクセスするには、そのプロジェクトにユーザーが属している必要があります。 ユーザーは複数のプロジェクトに属することができます。

Tip

以下も参照してください。

Atlas UI へのアクセスを設定します。

オプションのセキュリティ機能

以下のセキュリティ機能を設定することが可能です。

ネットワークピアリング接続

Atlas は、他の Amazon Web ServicesAzure、または Google Cloud ネットワークピアリング接続とのピアリング接続をサポートしています。詳細については、「ネットワークピアリング接続の設定」を参照してください。

重要

これが選択したリージョンの最初の M10+ 専用有料クラスターであり、かつ 1 つ以上の VPC ピアリング接続を作成する予定の場合は、続行する前に VPC ピアリング接続に関するドキュメントを確認してください。

プライベートエンドポイント

Atlas は次のプライベートエンドポイントをサポートします。

プライベートエンドポイントを使用するには、「Atlas のプライベートエンドポイントについて」を参照してください。

Amazon Web Services 統合アクセス

Data Federationカスタマー キー マネジメントを使用した保管時の暗号化を含む一部の Atlas 機能は、 Amazon Web Services IAM ロールを認証に使用します。

Atlas が使用する Amazon Web Services IAM ロールを設定するには、「 統合 Amazon Web Services アクセスの設定」を参照してください。

クラスターの認証と承認

Atlas では、クラスターの認証と承認のために、次のセキュリティ機能を提供しています。

データベースユーザー認証または承認

Atlas では、クラスターにアクセスするためにクライアントの認証が必要です。データベースにアクセスするには、データベースユーザーを作成する必要があります。クラスターのデータベースユーザーを設定するには、「データベースユーザーの設定」を参照してください。

データベース認証のカスタムロール

Atlas では、組み込みの Atlas ロールで必要な権限セットが付与されない場合に、データベース承認用のカスタムロールの作成をサポートしています。

Amazon Web Services IAM による認証

Amazon Web Services IAMロールの認証と認可を設定できます。 詳細については、「 Amazon Web Services IAM による認証の設定 」を参照してください。

LDAP によるユーザー認証または承認

Atlasは、LDAP を使用したユーザー認証と承認の実行をサポートしています。LDAP を使用するには、「LDAP を使用したユーザー認証と承認の設定」を参照してください。

X.509 によるユーザー認証

X. 509 クライアント証明書により、データベース ユーザーにプロジェクト内のクラスターへのアクセス権を提供できます。X.509 認証のオプションとして、Atlas が管理する X.509 認証と、自己管理型の X.509 認証があります。自己管理型の X.509 認証について詳しくは、「自己管理型 X.509 認証の設定」を参照してください。

MongoDB サポートの Atlas バックエンド インフラストラクチャへのアクセス権の制限

組織の所有者は、MongoDB プロダクション サポート従業員が組織内の任意の Atlas クラスターの Atlas バックエンド インフラストラクチャにアクセスすることを制限できます。組織の所有者は、Atlas クラスター レベルでアクセス制限に 24 時間のバイパスを許可できます。

重要

MongoDB サポートからのインフラストラクチャへのアクセスをブロックすると、サポート問題のレスポンスと解決時間が長くなり、クラスターの可用性に悪影響を及ぼす可能性があります。

このオプションを有効にするには、「Atlas バックエンド インフラストラクチャへの MongoDB サポート アクセスの設定」を参照してください。

キー マネジメントを使用した保管時の暗号化

Atlas は、Amazon Web Services KMS、Azure Key Vault、Google Cloud を使用して、ストレージ エンジンとクラウドプロバイダーのバックアップを暗号化するのをサポートしています。保管時の暗号化に使用するには、「カスタマー キー マネジメントを使用した保管時の暗号化」を参照してください。

クライアントサイドのフィールド レベル暗号化

Atlas は、フィールドの自動暗号化を含む、クライアント側フィールドレベル暗号化をサポートしています。すべての Atlas ユーザーは、MongoDB の自動クライアント側フィールドレベル暗号化機能を使用する権利があります。

詳細については、 「クライアント側フィールド レベルの暗号化の要件」を参照してください。

注意

MongoDB CompassAtlas UI 、およびMongoDB Shellmongosh)は、クライアント側のフィールド レベルで暗号化されたフィールドの復号化をサポートしていません。

Tip

以下も参照してください。

データベース監査

Atlas はすべてのシステム イベント アクションの監査をサポートしています。データベース監査を使用するには、「データベース監査の設定」を参照してください。

アクセス トラッキング

Atlas は認証ログを Atlas UI に直接表示するので、クラスターに対して行われた認証の成功と失敗を簡単に確認できます。 データベース アクセス履歴を表示するには、「 データベース アクセス履歴の表示」を参照してください。

Atlas UI アクセスのための多要素認証

Atlas は、Atlas アカウントへのアクセスを制御するために MFA をサポートしています。MFA を設定するには、「多要素認証オプションの管理」を参照してください。

Atlas Control Plane へのアクセスまたは Atlas Control Plane からのアクセス許可

次の Atlas 機能のいずれかを使用している場合は、ネットワークの IP アクセス リストに Atlas IP アドレスを追加する必要があります。

Atlas Control Plane の IP アドレスの取得

現在の Atlas コントロール プレーンの IP アドレスを取得するには、controlPlaneIPAddressesエンドポイントに GET リクエストを送信します。API エンドポイントは、次のように、クラウドプロバイダーとリージョン別に分類された CIDR 表記で、インバウンドとアウトバウンド Atlas コントロール プレーン IP アドレスのリストを返します。

{
  "controlPlane": {
    "inbound": {
      "aws": { // cloud provider
        "us-east-1": [ // region
          "3.92.113.229/32",
          "3.208.110.31/32",
          "107.22.44.69/32"
          ...,
        ],
        ...
       }
     },
     "outbound": {
       "aws": { // cloud provider
         "us-east-1": [ // region
           "3.92.113.229/32",
           "3.208.110.31/32",
           "107.22.44.69/32"
           ...,
         ],
         ...
        }
      }
  },
  "data_federation": {
    "inbound": {},
    "outbound" {}
  },
  "app_services": {
    "inbound": {},
    "outbound" {}
  },
  ...
}

返された IP アドレスをクラウドプロバイダーの KMS IP アクセス リストに追加するには、 Amazon Web ServicesAzureGCP を使用してカスタマー キーを管理するための前提条件を参照してください

必要なアウトバウンド アクセス

アウトバウンド アクセスは、Atlas コントロール プレーンから送信されるトラフィックです。現在のアウトバウンド Atlas コントロール プレーン IP アドレスを取得するには、Atlas Admin API を使用することをお勧めします。

必要なインバウンド アクセス

インバウンド アクセスとは、Atlas コントロール プレーンに入ってくるトラフィックのことです。ネットワークで特定の IP アドレスへのアウトバウンド HTTP リクエストのみが許可されている場合は、Atlas が Webhook および KMS と通信できるように、インバウンド IP アドレスからのアクセスを許可する必要があります。現在のインバウンド Atlas コントロールプレーンの IP アドレスを取得するには、Atlas Admin API を使用することをお勧めします。

Data Federation へのアクセス許可

ネットワークで特定の IP アドレスのみへのアウトバウンド リクエストが許可されている場合は、リクエストがフェデレーティッドデータベースインスタンスに到達できるように、 TCP ポート 27017 で次の IP アドレスへのアクセスを許可する必要があります。

108.129.35.102
13.54.14.65
18.138.155.47
18.140.240.47
18.196.201.253
18.200.7.156
18.204.47.197
18.231.94.191
3.122.67.212
3.6.3.105
3.8.218.156
3.9.125.156
3.9.90.17
3.98.247.136
3.99.32.43
3.130.39.53
3.132.189.43
35.206.65.216
35.209.197.46
35.210.31.154
35.210.66.17
20.23.173.153
20.23.171.79
20.96.56.124
20.190.207.191
20.197.103.232
20.197.103.246
34.217.220.13
34.237.78.67
35.158.226.227
52.192.130.90
52.193.61.21
52.64.205.136
54.203.115.97
54.69.142.129
54.91.120.155
54.94.3.214
65.1.222.250
99.81.123.21

OCSP 証明書の失効チェック

ネットワークで特定の IP アドレスのみへのアウトバウンド リクエストが許可されている場合、SSL または TLS OCSP 証明書失効チェックを許可するには、 SSL または TLS 証明書の OCSP URL にある Atlas の CA(証明機関) OCSP レスポンダー サーバーへのアクセスを許可する必要があります。

OCSP 証明書失効チェックを無効にするには、アプリケーションで使用している MongoDB ドライバー バージョンのドキュメントを参照してください。

戻る

トラブルシューティング

次へ

クラスター アクセス クイックスタート

項目一覧