クラスターのセキュリティ機能の構成
項目一覧
- 事前設定されたセキュリティ機能
- FIPS 140-2
- 転送中の暗号化
- 仮想プライベートクラウド
- 保管時の暗号化
- 必要なセキュリティ機能
- ネットワークとファイアウォールの要件
- IP アクセス リスト
- ユーザー認証または承認
- オプションのセキュリティ機能
- ネットワークピアリング接続
- プライベートエンドポイント
- Amazon Web Services 統合アクセス
- クラスターの認証と承認
- キー マネジメントを使用した保管時の暗号化
- クライアントサイドのフィールド レベル暗号化
- データベース監査
- アクセス トラッキング
- Atlas UI アクセスのための多要素認証
- Atlas Control Plane へのアクセスまたは Atlas Control Plane からのアクセス許可
- Data Federation へのアクセス許可
- OCSP 証明書の失効チェック
Atlasは箱から出してすぐに安全に使用できます。Atlas には、安全なデフォルト設定が事前に構成されています。独自のセキュリティ ニーズと設定に合わせて、クラスターのセキュリティ機能を微調整できます。クラスターの次のセキュリティ機能と考慮事項を確認します。
Atlas ネットワーク セキュリティに関する推奨事項の詳細については、Atlas アーキテクチャ センターの「 Atlas ネットワーク セキュリティに関する推奨事項 」を参照してください。
重要
セキュリティ上のベストプラクティスとして、名前空間とフィールド名には機密情報を含めないでください。Atlas は、この情報を難読化しません。
事前設定されたセキュリティ機能
次のセキュリティ機能は、Atlas 製品の一部です。
FIPS 140-2
Atlas は、すべてのデータベースに対してFIPS 140-2 レベル 2 を自動的に有効にします。
転送中の暗号化
Atlas では、データベースへの接続を暗号化するために TLS/SSL が必要です。
TLS / SSL 証明書は次のとおりです:
Atlas が証明書を発行した日から 90 日間有効です。
証明書の有効期限が切れる 42 日前にローテーションされました。
TLS暗号化 の詳細については、 Atlas セキュリティのホワイトペーパー を参照してください。
SSL または TLS OCSP 証明書失効チェックを構成するには、「OCSP 証明書失効チェック」を参照してください。
仮想プライベートクラウド
1 つ以上の M10+ 専有クラスターを持つすべての Atlas プロジェクトには、専用の VPC(Azure を使用する場合は VNet)が提供されます。Atlasは、すべての専有クラスターをこの VPC または VNet 内に配置します。
保管時の暗号化
デフォルトでは、Atlas は Atlas クラスターに保存されているすべてのデータを暗号化します。Atlas は、キー管理を使用した保管時の暗号化もサポートしています。
必要なセキュリティ機能
以下のセキュリティ機能を設定する必要があります。
ネットワークとファイアウォールの要件
アプリケーションが MongoDB Atlas 環境にアクセスできることを確認してください。アプリケーション環境から Atlas への受信ネットワーク アクセスを追加するには、次のいずれかを実行します。
パブリック IP アドレスを IP アクセス リストに追加する
VPC / VNet ピアリングを使用して、プライベート IP アドレスを追加します。
プライベートエンドポイントを追加します。
以下も参照してください。
ファイアウォールが送信ネットワーク接続をブロックする場合は、アプリケーション環境から Atlas への送信アクセスも開く必要があります。アプリケーションが Atlas ホスト上の TCP トラフィックにポート 27015 ~ 27017 への送信接続を行えるようにファイアウォールを構成する必要があります。これにより、アプリケーションは Atlas に保存されているデータベースにアクセスできるようになります。
注意
デフォルトでは、MongoDB Atlas クラスターはアプリケーション環境への接続を開始できる必要はありません。LDAP 認証と承認 を使用して Atlas クラスターを有効にする場合は、Atlas クラスターから安全な LDAP へのネットワーク アクセスを直接許可する必要があります。パブリック DNS ホスト名が Atlas クラスターがアクセスできる IP を指している限り、パブリック IP またはプライベート IP を使用して LDAP へのアクセスを許可できます。
VPC / VNet ピアリングを使用しておらず、パブリック IP アドレスを使用して Atlas に接続する予定の場合は、追加情報については次のページを参照してください。
IP アクセス リスト
Atlas はプロジェクトの IPアクセス リストのエントリからのみ、クラスターへのクライアント接続を許可します。 接続するには、IP アクセス リストにエントリを追加する必要があります。 プロジェクトの IP アクセス リストを設定するには、「 IP アクセス リスト エントリの設定 」を参照してください。
Google Cloud Platform (GCP) または Microsoft Azure に配置された Atlas クラスターの場合、Google Cloud または Azure サービスの IP アドレスを Atlas プロジェクト IP アクセス リストに追加して、それらのサービスにクラスターへのアクセスを許可します。
ユーザー認証または承認
Atlas では、データベースに接続するためにクライアントの認証が必要です。データベースにアクセスするには、データベースユーザーを作成する必要があります。クラスターにデータベースユーザーを設定するには、「データベースユーザーの設定」を参照してください。Atlas はクラスターの認証と承認のための多くのセキュリティ機能を提供しています。
プロジェクト内のクラスターにアクセスするには、そのプロジェクトにユーザーが属している必要があります。 ユーザーは複数のプロジェクトに属することができます。
以下も参照してください。
オプションのセキュリティ機能
以下のセキュリティ機能を設定することが可能です。
ネットワークピアリング接続
Atlas は、他の AWS 、Azure 、または Google Cloud ネットワークピアリング接続とのピアリング接続をサポートしています。詳細については、「ネットワークピアリング接続の設定」を参照してください。
重要
これが選択した 1 つまたは複数のリージョンで最初の M10+ 専用有料クラスターで、かつ 1 つ以上の VPC ピアリング接続を作成する予定の場合は、続行する前に VPC ピアリング接続に関するドキュメントを確認してください。
プライベートエンドポイント
Atlas は次のプライベートエンドポイントをサポートします。
AWS PrivateLink 機能を使用する AWS
Azure Private Link 機能を使用する Azure
GCP プライベート サービス コネクト機能を使用した Google Cloud
プライベートエンドポイントを使用するには、「Atlas のプライベートエンドポイントについて」を参照してください。
Amazon Web Services 統合アクセス
Data Federation や カスタマー キー管理を使用した保管時の暗号化などの一部の Atlas 機能は、認証に AWS IAM ロールを使用します。
Atlas が使用するAWS IAM ロールを設定するには、「統合 AWS アクセスの設定」を参照してください。
クラスターの認証と承認
Atlas では、クラスターの認証と承認のために、次のセキュリティ機能を提供しています。
データベースユーザー認証または承認
Atlas では、クラスターにアクセスするためにクライアントの認証が必要です。データベースにアクセスするには、データベースユーザーを作成する必要があります。クラスターのデータベースユーザーを設定するには、「データベースユーザーの設定」を参照してください。
データベース認証のカスタムロール
Atlas では、組み込みの Atlas ロールで必要な権限セットが付与されない場合に、データベース承認用のカスタムロールの作成をサポートしています。
Amazon Web Services IAM による認証
Amazon Web Services IAMロールの認証と認可を設定できます。 詳細については、「 Amazon Web Services IAM による認証の設定 」を参照してください。
LDAP によるユーザー認証または承認
Atlas は、LDAP によるユーザー認証と承認の実行をサポートしています。LDAP を使用するには、「LDAP によるユーザー認証と承認の設定」を参照してください。
X.509 によるユーザー認証
X. 509 クライアント証明書により、データベース ユーザーにプロジェクト内のクラスターへのアクセス権を提供できます。X.509 認証のオプションとして、Atlas が管理する X.509 認証と、自己管理型の X.509 認証があります。自己管理型の X.509 認証について詳しくは、「自己管理型 X.509 認証の設定」を参照してください。
MongoDB サポートの Atlas バックエンド インフラストラクチャへのアクセス権の制限
組織の所有者は、MongoDB プロダクション サポート従業員が組織内の任意の Atlas クラスターの Atlas バックエンド インフラストラクチャにアクセスすることを制限できます。組織の所有者は、Atlas クラスター レベルでアクセス制限に 24 時間のバイパスを許可できます。
重要
MongoDB サポートからのインフラストラクチャへのアクセスをブロックすると、サポート問題のレスポンスと解決時間が長くなり、クラスターの可用性に悪影響を及ぼす可能性があります。
このオプションを有効にするには、「Atlas バックエンド インフラストラクチャへの MongoDB サポート アクセスの設定」を参照してください。
キー マネジメントを使用した保管時の暗号化
Atlas は、AWS KMS 、Azure Key Vault、Google Cloud を使用したストレージ エンジンの暗号化とクラウドプロバイダーのバックアップをサポートしています。保管時の暗号化を使用するには、「カスタマー キー管理を使用した保管時の暗号化」を参照してください。
クライアントサイドのフィールド レベル暗号化
Atlas は、フィールドの自動暗号化を含む、クライアント側フィールドレベル暗号化をサポートしています。すべての Atlas ユーザーは、MongoDB の自動クライアント側フィールドレベル暗号化機能を使用する権利があります。
詳細については、 「クライアント側フィールド レベルの暗号化の要件」を参照してください。
注意
MongoDB Compass 、 Atlas UI 、およびMongoDB Shell ( mongosh)は、クライアント側のフィールド レベルで暗号化されたフィールドの復号化をサポートしていません。
以下も参照してください。
データベース監査
Atlas はすべてのシステム イベント アクションの監査をサポートしています。データベース監査を使用するには、「データベース監査の設定」を参照してください。
アクセス トラッキング
Atlas は認証ログを Atlas UI に直接表示するので、クラスターに対して行われた認証の成功と失敗を簡単に確認できます。 データベース アクセス履歴を表示するには、「 データベース アクセス履歴の表示」を参照してください。
Atlas UI アクセスのための多要素認証
Atlas は、Atlas アカウントへのアクセスを制御するために MFA をサポートしています。MFA を設定するには、「多要素認証オプションの管理」を参照してください。
Atlas Control Plane へのアクセスまたは Atlas Control Plane からのアクセス許可
次の Atlas 機能のいずれかを使用している場合は、ネットワークの IP アクセス リストに Atlas IP アドレスを追加する必要があります。
注意
保管時の暗号化機能を有効にする場合、シャーディングされたクラスターを使用している場合は CSRS(Config Server Replica Sets)を含む、配置内のすべてのホストのパブリック IP からのアクセスを許可する必要があります。
Atlas Control Plane の IP アドレスの取得
現在の Atlas コントロール プレーンの IP アドレスを取得するには、controlPlaneIPAddresses エンドポイントに GET リクエストを送信します。API エンドポイントは、次のように、クラウドプロバイダーとリージョン別に分類された CIDR 表記で、インバウンドとアウトバウンド Atlas コントロール プレーン IP アドレスのリストを返します。
{ "inbound":{ "aws":{ "<region-name>":["<IP-address>", ...], ... }, "azure":{ "<region-name>":["<IP-address>", ...], ... },"gcp":{ "<region-name>":["<IP-address>", ...] ... } }, "outbound":{ "aws":{ "<region-name>":["<IP-address>", ...], ... }, "azure":{ "<region-name>":["<IP-address>", ...], ... }, "gcp":{ "<region-name>":["<IP-address>", ...], ... } } }
重要
Atlas Administration API は、ネットワークではなくコントロールプレーンに関連して、inbound と outbound という用語を使用します。以下はその結果です。
ネットワークの インバウンド ルールは、Atlas Administration API にリストされている
outboundCIDR と一致している必要があります。ネットワークのアウトバウンド ルールは、Atlas Administration API にリストされている
inboundCIDR と一致している必要があります。
次の図は、コントロール プレーンとネットワークの inbound と outbound の関係を示しています。
返された IP アドレスをクラウドプロバイダーの KMS IP アクセス リストに追加するには、 Amazon Web Services 、Azure 、GCP を使用してカスタマー キーを管理するための前提条件を参照してください
必要なアクセス: controlPlane.outbound IPアドレス
controlPlane.outbound では、コントロール プレーンから送信されるトラフィックのIPアドレスが一覧表示されます。ネットワークのインバウンドHTTP IPアドレス リストでは、controlPlane.outbound にリストされているIPアドレスからのアクセスが許可されている必要があります。
現在のアウトバウンド Atlas コントロール プレーン IP アドレスを取得するには、Atlas Admin API を使用することをお勧めします。
必要なアクセス: controlPlane.inbound IPアドレス
controlPlane.inbound は、コントロール プレーンに受信するIPアドレス トラフィックを一覧表示します。ネットワークで特定のIPアドレスへのアウトバウンドHTTPリクエストのみが許可されている場合は、Atlas が Webhook および KMS と通信できるように、controlPlane.inbound にリストされているIPアドレスへのアクセスを許可する必要があります。
現在のインバウンド Atlas コントロールプレーンの IP アドレスを取得するには、Atlas Admin API を使用することをお勧めします。
Data Federation へのアクセス許可
ネットワークで特定の IP アドレスへの HTTPS requests のみが許可されている場合は、リクエストがフェデレーティッドデータベースインスタンスに到達できるように、TCP ポート 27017 でインバウンド IP アドレスからのアクセスを許可する必要があります。現在のインバウンド Atlas コントロール プレーンの IP アドレスを取得するには、Atlas Admin API を使用することをお勧めします。
OCSP 証明書の失効チェック
ネットワークで特定の IP アドレスのみへのアウトバウンド リクエストが許可されている場合、 SSL または TLS OCSP 証明書失効チェックを許可するには、SSL または TLS 証明書の OCSP URL にある Atlas の CA(認証局)OCSP 応答サーバーへのアクセスを許可する必要があります。
OCSP 証明書失効チェックを無効にするには、アプリケーションで使用している MongoDB ドライバーのバージョンのドキュメントを参照してください。