클러스터를 위한 보안 기능 구성
이 페이지의 내용
Atlas는 즉시 안전하게 사용할 수 있습니다. Atlas는 안전한 기본 설정으로 사전 구성되어 제공됩니다. 고유한 보안 요구 사항 및 선호도에 맞게 클러스터의 보안 기능을 미세 조정할 수 있습니다. 클러스터를 위한 다음 보안 기능 및 고려 사항을 검토하세요.
중요
네임스페이스 및 필드 이름에 민감한 정보를 포함하지 않는 것이 보안 권장사항 입니다. Atlas는 이 정보를 숨기지 않습니다.
사전 구성된 보안 기능
Atlas 제품에는 다음 보안 기능이 포함되어 있습니다.
전송 중 암호화
데이터베이스에 대한 연결을 암호화하기 위해 Atlas가 TLS/SSL을 요구합니다.
TLS/SSL 인증서는 다음과 같습니다.
Atlas 가 인증서를 발급한 날로부터 90 일 동안 유효합니다.
인증서 만료 날짜 42 일 전에 로테이션되었습니다.
TLS 암호화 에 학습 보려면 Atlas 보안 백서를 참조하세요.
SSL 또는 TLS OCSP 인증서 해지 확인을 구성하려면 OCSP 인증서 해지 확인을 참조하세요.
가상 사설 클라우드
하나 이상의 M10+ 전용 클러스터가 있는 모든 Atlas 프로젝트에는 전용 VPC (또는 Azure를 사용하는 경우에는 VNet)가 제공됩니다. Atlas는 이 VPC 또는 VNet 내에 모든 전용 클러스터를 배포합니다.
저장된 데이터 암호화
기본적으로 Atlas는 Atlas 클러스터에 저장된 모든 데이터를 암호화합니다. Atlas는 키 관리를 사용한 미사용 데이터 암호화도 지원합니다.
필수 보안 기능
반드시 다음과 같은 보안 기능을 구성해야 합니다.
네트워크 및 방화벽 요구 사항
애플리케이션이 MongoDB Atlas 환경에 연결할 수 있는지 확인하세요. 애플리케이션 환경에서 Atlas로의 인바운드 네트워크 액세스를 추가하려면 다음 중 하나를 수행하세요.
IP 액세스 목록에 공인 IP 주소 추가하기
VPC/VNet 피어링을 사용하여 비공개 IP 주소를 추가합니다.
비공개 엔드포인트를 추가합니다.
방화벽이 아웃바운드 네트워크 연결을 차단하는 경우, 애플리케이션 환경에서 MongoDB Atlas로의 아웃바운드 액세스 권한을 허용해야 합니다. 애플리케이션이 Atlas 호스트의 TCP 트래픽에 대해 포트 27015부터 27017까지 아웃바운드 연결을 할 수 있도록 방화벽을 구성해야 합니다. 이렇게 하면 애플리케이션이 Atlas에 저장된 데이터베이스에 액세스할 수 있습니다.
참고
기본적으로 MongoDB Atlas 클러스터는 귀하의 애플리케이션 환경에 대한 연결을 시작할 필요가 없습니다. LDAP 인증 및 권한 부여를 통해 Atlas 클러스터를 활성화하고자 한다면 Atlas 클러스터가 귀하의 보안 LDAP로 직접 네트워크 액세스를 허용해야 합니다. 공개 또는 비공개 IP를 사용하여 귀하의 LDAP에 대한 액세스를 허용할 수 있으며, 이때 퍼블릭 DNS 호스트명이 Atlas 클러스터가 접근할 수 있는 IP를 가르키고 있어야 합니다.
VPC/VNet 피어링을 사용하지 않고 공용 IP 주소를 사용하여 Atlas에 연결하려는 경우, 다음 페이지에서 추가 정보를 확인하세요.
IP 액세스 목록
Atlas는 해당 프로젝트의 IP 액세스 목록에 있는 항목에서만 클러스터에 대한 클라이언트 연결을 허용합니다. 연결하려면 IP 액세스 목록에 항목을 추가해야 합니다. 프로젝트의 IP 액세스 목록을 설정하려면 IP 액세스 목록 항목 구성을 참조하세요.
Google Cloud Platform(GCP) 또는 Microsoft Azure에 배포된 Atlas 클러스터의 경우, Google Cloud 또는 Azure 서비스의 IP 주소를 Atlas 프로젝트 IP 액세스 목록에 추가하여 해당 서비스가 클러스터에 접근할 수 있도록 허용하세요.
사용자 인증 또는 권한 부여
Atlas는 데이터베이스에 연결하기 위해 클라이언트에 인증을 요구합니다. 데이터베이스에 액세스하려면 데이터베이스 사용자를 생성해야 합니다. 클러스터에 데이터베이스 사용자를 설정하려면 데이터베이스 사용자 구성을 참조하세요. Atlas는 클러스터 인증 및 권한 부여를 위한 다양한 보안 기능을 제공합니다.
프로젝트의 클러스터에 액세스하려면 사용자가 해당 프로젝트에 속해 있어야 합니다. 사용자는 여러 프로젝트에 소속될 수 있습니다.
보안 기능 옵션
다음과 같은 보안 기능을 구성할 수 있습니다.
네트워크 피어링 연결
Atlas는 다른 AWS, Azure 또는 Google Cloud 네트워크 피어링 연결과의 피어링 연결을 지원합니다. 자세한 내용은 네트워크 피어링 연결 설정을 참조하세요.
중요
이것이 선택한 리전 또는 리전의 첫 번째 M10+
전용 유료 클러스터이고 하나 이상의 VPC 피어링 연결을 생성하려는 경우, 계속하기 전에 VPC 피어링 연결에 대한 문서를 검토하세요.
비공개 엔드포인트
Atlas는 다음에 대한 비공개 엔드포인트를 지원합니다:
Amazon Web Services AWS PrivateLink 기능을 사용하는 Amazon Web Services
Azure Private Link 기능을 사용하는 Azure.
GCP 비공개 서비스 연결 기능을 사용하는 Google Cloud
비공개 엔드포인트를 사용하려면 Learn About Private Endpoints in Atlas(Atlas의 비공개 엔드포인트에 대해 알아보기)를 참조하세요.
통합 AWS 액세스
Data Federation 및 고객 키 관리를 사용한 미사용 데이터 암호화를 포함한 일부 Atlas 기능은 인증을 위해 AWS IAM 역할을 사용합니다.
Atlas가 사용할 AWS IAM 역할을 설정하려면 통합 AWS 액세스 설정을 참조하세요.
클러스터 인증 및 권한 부여
Atlas는 클러스터 인증 및 권한 부여를 위해 다음과 같은 보안 기능을 제공합니다.
데이터베이스 사용자 인증 또는 권한 부여
클라이언트가 클러스터에 액세스하려면 인증을 받아야 합니다. 데이터베이스에 액세스하려면 데이터베이스 사용자를 생성해야 합니다. 클러스터에 대한 데이터베이스 사용자를 설정하려면 데이터베이스 사용자 구성을 참조하세요.
데이터베이스 권한 부여를 위한 사용자 지정 역할
Atlas는 기본 제공 Atlas 역할이 원하는 권한 집합을 부여하지 않는 경우 데이터베이스 권한 부여에 대한 사용자 지정 역할의 생성을 지원합니다.
AWS IAM을 사용한 인증
AWS IAM 역할에 대한 인증 및 권한 부여를 설정할 수 있습니다. 자세한 내용은 AWS IAM으로 인증 설정을 참조하세요.
LDAP를 통해 사용자 인증 또는 권한 부여
Atlas는 LDAP로 사용자 인증 및 권한 부여를 수행할 수 있도록 지원합니다. LDAP를 사용하려면 LDAP로 사용자 인증 및 권한 부여 설정을 참조하세요.
X.509를 사용한 사용자 인증
X.509 클라이언트 인증서는 데이터베이스 사용자에게 프로젝트의 클러스터에 대한 액세스 권한을 제공합니다. X.509 인증 옵션에는 Atlas에서 관리하는 X.509 인증 및 자체 관리형 X.509 인증이 포함됩니다. 자체 관리형 X.509 인증에 대한 자세한 내용은 자체 관리형 X.509 인증 설정을 참조하세요.
Atlas 백엔드 인프라에 대한 MongoDB 지원 액세스 제한
조직의 소유자는 자신의 조직에서 모든 Atlas 클러스터에 대한 Atlas 백엔드 인프라에 MongoDB 프로덕션 지원 직원의 액세스를 제한할 수 있습니다. 조직 소유자는 Atlas 클러스터 수준에서 액세스 제한을 24시간 우회하도록 권한을 부여할 수 있습니다.
중요
MongoDB 지원의 인프라 액세스를 차단하면 지원 문제 대응 및 해결 시간이 늘어나고 클러스터의 가용성에 부정적인 영향을 미칠 수 있습니다.
이 옵션을 활성화하려면 Atlas 백엔드 인프라에 대한 MongoDB 지원 액세스 구성을 참조하세요.
키 관리를 사용한 미사용 데이터 암호화
Atlas는 스토리지 엔진과 클라우드 제공업체 백업을 암호화하기 위해 AWS KMS, Azure Key Vault, Google Cloud를 지원합니다. 휴면 상태 암호화를 사용하려면 고객 키 관리를 사용한 휴면 상태에서의 암호화를 참조하세요.
클라이언트 사이드 필드 레벨 암호화
Atlas는 필드 자동 암호화를 포함하여 클라이언트 사이드 필드 레벨 암호화를 지원합니다. 모든 Atlas 사용자는 MongoDB의 자동 클라이언트 사이드 필드 레벨 암호화 기능을 사용할 수 있습니다.
자세한 내용은 클라이언트 사이드 필드 레벨 암호화 요구 사항에서 확인하세요.
참고
MongoDB Compass, Atlas UI 및 MongoDB Shell(mongosh
)은 클라이언트 사이드 필드 수준 암호화 필드의 암호 해독을 지원하지 않습니다.
데이터베이스 감사
Atlas는 모든 시스템 이벤트 조치에 대한 감사를 지원합니다. 데이터베이스 감사를 사용하려면 데이터베이스 감사 설정을 참조하세요.
액세스 추적
Atlas는 인증 로그를 Atlas UI에 직접 표시하므로 클러스터에 대한 인증 시도의 성공 및 실패를 쉽게 검토할 수 있습니다. 데이터베이스 액세스 기록을 보려면 데이터베이스 액세스 기록 보기를 참조하세요.
Atlas UI 액세스를 위한 다단계 인증
Atlas는 Atlas 계정에 대한 액세스를 제어할 수 있도록 MFA 를 지원합니다. MFA를 설정하려면 다단계 인증 옵션 관리를 참조하세요.
Atlas Control Plane에 대한 액세스 허용
다음 Atlas 기능 중 하나를 사용하는 경우 네트워크의 IP 액세스 목록에 Atlas IP 주소를 추가해야 할 수 있습니다.
참고
미사용 데이터 암호화 기능을 활성화하는 경우, 샤딩된 클러스터 사용 시 CSRS(config 서버 복제본 세트)를 포함하여 배포에 있는 모든 호스트에 대해 공용 IP에서의 액세스를 허용해야 합니다.
Atlas Control Plane IP 주소 가져오기
controlPlaneIPAddresses
엔드포인트에 GET 요청을 보내 현재 Atlas 제어 영역 IP 주소를 가져옵니다. API 엔드포인트는 다음과 같이 클라우드 공급자 및 리전별로 분류된 인바운드 및 아웃바운드 Atlas 제어 영역 IP 주소의 목록을 CIDR 표기법으로 반환합니다.
{ "controlPlane": { "inbound": { "aws": { // cloud provider "us-east-1": [ // region "3.92.113.229/32", "3.208.110.31/32", "107.22.44.69/32" ..., ], ... } }, "outbound": { "aws": { // cloud provider "us-east-1": [ // region "3.92.113.229/32", "3.208.110.31/32", "107.22.44.69/32" ..., ], ... } } }, "data_federation": { "inbound": {}, "outbound" {} }, "app_services": { "inbound": {}, "outbound" {} }, ... }
반환된 IP 주소를 클라우드 제공자의 KMS IP 액세스 목록에 추가하려면 AWS, Azure 및 GCP를 사용하여 고객 키를 관리하기 위한 사전 구성 요소를 참조하세요.
필수 아웃바운드 액세스
아웃바운드 액세스는 Atlas 컨트롤 플레인에서 들어오는 트래픽입니다. 현재 아웃바운드 Atlas 컨트롤 플레인 IP 주소를 가져오려면 Atlas 관리자 API를 사용하는 것이 좋습니다.
필수 인바운드 액세스
인바운드 액세스는 Atlas 컨트롤 플레인으로 들어오는 트래픽입니다. 네트워크에서 특정 IP 주소로부터의 아웃바운드 HTTP 요청만 허용하는 경우, Atlas가 웹훅 및 KMS와 통신할 수 있도록 인바운드 IP 주소로부터의 액세스를 허용해야 합니다. 현재 인바운드 및 아웃바운드 Atlas 컨트롤 플레인 IP 주소를 가져오려면 Atlas 관리자 API를 사용하는 것이 좋습니다.
Data Federation에 대한 액세스 허용
사용자의 네트워크에서 특정 IP 주소로만 아웃바운드 요청을 허용하는 경우, 요청이 연합 데이터베이스 인스턴스에 도달할 수 있도록 TCP 포트 27017에 다음과 같은 IP 주소에 대한 액세스를 허용해야 합니다.
108.129.35.102 13.54.14.65 18.138.155.47 18.140.240.47 18.196.201.253 18.200.7.156 18.204.47.197 18.231.94.191 3.122.67.212 3.6.3.105 3.8.218.156 3.9.125.156 3.9.90.17 3.98.247.136 3.99.32.43 3.130.39.53 3.132.189.43 35.206.65.216 35.209.197.46 35.210.31.154 35.210.66.17 20.23.173.153 20.23.171.79 20.96.56.124 20.190.207.191 20.197.103.232 20.197.103.246 34.217.220.13 34.237.78.67 35.158.226.227 52.192.130.90 52.193.61.21 52.64.205.136 54.203.115.97 54.69.142.129 54.91.120.155 54.94.3.214 65.1.222.250 99.81.123.21
OCSP 인증서 해지 확인
사용자의 네트워크가 특정 IP 주소로만 아웃바운드 요청을 허용하는 경우, SSL 또는 TLS OCSP 인증서 폐기 확인을 허용하기 위해서는 SSL 또는 TLS 인증서의 OCSP URL에서 찾을 수 있는 Atlas의 CA (인증 기관) OCSP Responder 서버에 대한 접근을 허용해야 합니다.
OCSP 인증서 해지 확인을 사용하지 않도록 설정하려면 애플리케이션에서 사용하는 MongoDB 드라이버 버전에 대한 설명서를 참조하세요.