自己管理型配置のためのネットワークと設定の強化
MongoDB システム全体のリスクを軽減するには、信頼できるホストのみが MongoDB にアクセスできるようにしてください。
MongoDB 設定の強化
IP バインディング
MongoDB バイナリ( mongodとmongosは、デフォルトでlocalhostにバインドされます。
警告
非ローカルホスト(例: (一般にアクセス可能な)IP アドレスを使用して、クラスターを不正アクセスから保護していることを確認します。 セキュリティ推奨事項の完全なリストについては、「自己管理型配置のセキュリティ チェックリスト」を参照してください。 最低限、認証を有効化し、ネットワーク インフラストラクチャの強化 を検討してください。
警告
詳細については、「自己管理型配置の IP バインディング 」を参照してください。
ネットワークの強化
ファイアウォール
ファイアウォールを使用すると、管理者はネットワーク通信を細かく制御することで、システムへのアクセスをフィルタリングおよび制御できます。 MongoDB の管理者にとって、次の機能は重要です。特定のポートの受信トラフィックを特定のシステムに制限したり、信頼されていないホストからの受信トラフィックを制限したりします。
Linux システムでは、 iptablesインターフェースは基盤となるnetfilterファイアウォールへのアクセスを提供します。 Windows システムでは、 netshコマンドライン インターフェースによって基盤となるWindows ファイアウォールへのアクセスが提供されます。 For additional information about firewall configuration, see:
最良の結果を得るには、信頼できるソースからのトラフィックのみがmongod } インスタンスとmongosインスタンスに到達できること、およびmongodインスタンスとmongosインスタンスが信頼できる出力にのみ接続できることを確認します。
仮想プライベートネットワーク
仮想プライベートネットワーク、つまり VPN を使用すると、暗号化されアクセスが制限された信頼できるネットワークを介して 2 つのネットワークをリンクできます。 通常、VPN を使用する MongoDB ユーザーは、パフォーマンスの問題から IPSEC VPN ではなく TLS/SSL を使用します。
構成と実装に応じて、VPN は証明書の検証と暗号化プロトコルの選択を提供します。これには、すべてのクライアントの厳格なレベルの認証と識別が必要です。 さらに、VPN は安全なトンネルを提供するため、VPN 接続を使用して MongoDB インスタンスへのアクセスを制御することで、改行や「中間者攻撃(man-in-the-middle attack)を防ぐことができます。
IP 転送を無効にする
IP 転送により、サーバーはパケットを他のシステムに転送できます。 mongodをホストしているサーバーでこの機能を無効にします。
Linux で IP 転送を無効にするには、次のようにsysctlコマンドを使用します。
sudo sysctl -w net.ipv4.ip_forward=0
変更を永続的にするには、 /etc/sysctl.confファイルを編集して次の行を追加します。
net.ipv4.ip_forward = 0
Windows では IP 転送はデフォルトで無効になっています。