FIPS 用の MongoDB の設定
Overview
連邦情報処理標準(FIPS)は、データを安全に暗号化および復号化するソフトウェア モジュールとライブラリを認証するために使用される米国政府のコンピューター セキュリティ標準です。MongoDB は、OpenSSL の FIPS 140-2 認定ライブラリを使用して実行するように構成できます。FIPS をデフォルトで実行するように構成するか、必要に応じてコマンド ラインから実行するように構成します。
FIPS と TLS/SSL の完全な説明は、このドキュメントの範囲外です。 このチュートリアルでは、FIPS および TLS/SSL に関する事前の知識があることを前提としています。
重要
MongoDB および FIPS
FIPS は、アクセス制御システムではなく、暗号化システムのプロパティです。 ただし、環境で FIPS 準拠の暗号化とアクセス制御が必要な場合は、アクセス制御システムが FIPS 準拠の暗号化のみを使用することを確認する必要があります。
MongoDB の FIPS サポートは、MongoDB がネットワーク暗号化、SCRAM 認証、および x.509 認証に SSL/TLS ライブラリを使用する方法をカバーします。 Kerberos または LDAP 認証を使用する場合は、これらの外部メカニズムが FIPS に準拠していることを確認する必要があります。
注意
MongoDB は、TLS 1.1 + が利用可能なシステムで TLS 1.0暗号化のサポートを無効にします。
プラットフォーム サポート
FIPS モードは MongoDB Enterpriseエディションでのみ使用できます。 MongoDB Enterpriseをダウンロードしてインストールするには、「 MongoDB Enterprise のインストール 」を参照してください。
FIPS モードは次のプラットフォームでサポートされています。
プラットフォーム | TLS/SSL ライブラリ |
|---|---|
Linux | OpenSSL |
Windows | セキュア チャネル(Schannel) |
MacOS | セキュア トランスポート |
OpenSSL3 のサポート
MongoDB 6.0.7以降、 FIPS モード で OpenSSL3 をサポート 次のオペレーティング システムの場合
Ubuntu 22.04
RHEL 9
Amazon Linux 2023
FIPS の構成
プラットフォームに対応する以下のタブを選択します。
前提条件
MongoDB の FIPS モードをサポートするには、Linux システムに FIPS 140-2 モジュールで構成された OpenSSL ライブラリが必要です。
次のコマンドを実行して、OpenSSL ソフトウェアに FIPS のサポートが含まれていることを確認します。
openssl version Red Hat Enterprise Linux 6 .x(RHEL 6 .x)または CentOS 6 .x などのその派生製品の場合、FIPS モードを使用するには OpenSSL ツールキーが少なくとも バージョン
openssl-1.0.1e-16.el6_5である必要があります。 これらのプラットフォームで OpenSSL ライブラリをアップグレードするには、次のコマンドを実行します。sudo yum update openssl 一部のバージョンの Linux では、 プロセスが定期的に実行され、動的ライブラリと事前割り当てされたアドレスが事前に割り当てられます。 このプロセスでは OpenSSL ライブラリ、具体的には
libcryptoが変更されます。 OpenSSL FIPS モードでは、起動時に実行される署名チェックが失敗し、コンパイル以降にlibcryptoが変更されていないことが保証されます。libcryptoをプリリンクしないように Linux プレリンク プロセスを構成するには、次のコマンドを実行します。sudo bash -c "echo '-b /usr/lib64/libcrypto.so.*' >>/etc/prelink.conf.d/openssl-prelink.conf"
FIPS 準拠の操作をサポートするように Linux システムを構成したら、以下の手順に従って、 mongodまたはmongosインスタンスを FIPS モードで動作するように構成します。
手順
A. TLS/SSL を使用するように MongoDB を構成する
TLS/SSL を使用するように配置構成の詳細については、「 TLS/SSL 用にmongodとmongosを構成する 」を参照してください。 証明書が FIPS に準拠していることを確認します。
B. MongoDB インスタンスを FIPS モードで実行します
C. FIPS モードが実行されていることを確認する
サーバーのログファイルで FIPS がアクティブであることを確認します。
FIPS 140-2 mode activated
前提条件
Microsoft は、Windows 10および Windows Server 2016以降の FIPS モードの構成に関する次のリソースを提供しています。
➤Windows の FIPS140 - 検証2
FIPS 準拠の操作をサポートするように Windows システムを構成したら、以下の手順に従って、 mongodまたはmongosインスタンスを FIPS モードで動作するように構成します。
手順
A. TLS/SSL を使用するように MongoDB を構成する
TLS/SSL を使用するように配置構成の詳細については、「 TLS/SSL 用にmongodとmongosを構成する 」を参照してください。 証明書が FIPS に準拠していることを確認します。
B. MongoDB インスタンスを FIPS モードで実行します
C. FIPS モードが実行されていることを確認する
サーバーのログファイルで FIPS がアクティブであることを確認します。
FIPS 140-2 mode activated
前提条件
サポートされているバージョンの macOS は、デフォルトで FIPS に準拠しています。 コンプライアンス ステータスを確認するには、macOS のバージョンのドキュメントを確認してください。 たとえば、Apple は macOS 10.14に対して次のリソースを提供します。
対応バージョンの macOS では、以下の手順に従って、 mongodまたはmongosインスタンスを FIPS モードで動作するように構成します。
手順
A. TLS/SSL を使用するように MongoDB を構成する
TLS/SSL を使用するように配置構成の詳細については、「 TLS/SSL 用にmongodとmongosを構成する 」を参照してください。 証明書が FIPS に準拠していることを確認します。
B. MongoDB インスタンスを FIPS モードで実行します
C. FIPS モードが実行されていることを確認する
サーバーのログファイルで FIPS がアクティブであることを確認します。
FIPS 140-2 mode activated
その他の考慮事項
SCRAM SHA および FIPS モード
MongoDB 5.1以降、 FIPS モードで実行中のインスタンスでは、 SCRAM-SHA- 1認証メカニズムがデフォルトで無効になっています。 setParameter.authenticationMechanisms を使用して SCRAM-SHA-1 認証メカニズム を有効にできますコマンドを使用します。
この変更は、MongoDB setFeatureCompatibilityVersion 4.0 以降を対象とするドライバーには影響しません。
md5 は必要ですが、暗号化の目的には使用されません。
FIPS モードを使用する場合、 SCRAM-SHA- 1の代わりに次のものが使用されます。
Database Tools と FIPS モード
次のプログラムでは--sslFIPSModeオプションのサポートを終了しました。
mongod、mongos 、および FIPS モード
FIPS モードを使用するようにmongodとmongosを構成すると、 mongodとmongosは FIPS 準拠の接続を使用します。
MongoDB Shell と FIPS モード
デフォルトのmongoshディストリビューション:
MongoDB は、以下を使用できる MongoDB Shell ディストリビューションも提供しています。
サーバーに OpenSSL 1.1 および OpenSSL 3 がインストールされている。
--tlsFIPSModeオプションを使用すると、mongoshFIPS モードが有効になります。
Tip
以下も参照してください。
MongoDB ShellOpenSSL1.1 および OpenSSL を含む3 Goディストリビューションをダウンロードするには、MongoDB ダウンロード センター にアクセスし 。