FIPS를 위한 MongoDB 구성
이 페이지의 내용
개요
FIPS(연방 정보 처리 표준)는 데이터를 안전하게 암호화하고 해독하는 소프트웨어 모듈 및 라이브러리를 인증하는 데 사용되는 미국 정부의 컴퓨터 보안 표준입니다. MongoDB를 OpenSSL용 FIPS 140-2 인증 라이브러리와 함께 실행되도록 구성할 수 있습니다. 기본적으로 실행되거나 명령줄에서 필요에 따라 실행되도록 FIPS를 구성합니다.
FIPS 및 TLS/SSL에 대한 자세한 설명은 이 문서의 범위를 벗어납니다. 이 튜토리얼은 FIPS 및 TLS/SSL에 대한 사전 지식이 있다고 가정합니다.
중요
MongoDB 및 FIPS
FIPS는 액세스 제어 시스템이 아닌 암호화 시스템의 속성입니다. 그러나 사용 중인 환경에 FIPS 준수 암호화 및 액세스 제어가 필요한 경우, 액세스 제어 시스템이 FIPS 준수 암호화만 사용하도록 해야 합니다.
MongoDB의 FIPS 지원은 MongoDB가 네트워크 암호화, SCRAM 인증, x.509 인증에 SSL/TLS 라이브러리를 사용하는 방식을 다룹니다. Kerberos 또는 LDAP 인증을 사용하는 경우 이러한 외부 메커니즘이 FIPS를 준수하는지 확인해야 합니다.
참고
MongoDB가 TLS 1 지원을 비활성화합니다. TLS가 1 인 시스템에서 0 암호화.1+를 사용할 수 있습니다.
플랫폼 지원
FIPS 모드는 MongoDB Enterprise 에디션에서만 사용할 수 있습니다. MongoDB Enterprise 를 다운로드하고 설치하려면 MongoDB Enterprise 설치를 참조하세요.
FIPS 모드는 다음 플랫폼에서 지원됩니다:
플랫폼 | TLS/SSL 라이브러리 |
|---|---|
Linux | OpenSSL |
Windows | 보안 채널(Schannel) |
macOS | 보안 전송 |
OpenSSL3 지원
MongoDB 부터 6 시작.0.7, FIPS 모드는 OpenSSL3 을 지원합니다. 다음 운영 체제의 경우:
Ubuntu 22.04
RHEL 9
Amazon Linux 2023
FIPS 구성
아래에서 플랫폼에 맞는 탭을 선택합니다:
추가 고려 사항
SCRAM SHA 및 FIPS 모드
MongoDB 부터 5 1시작. ,FIPS 모드 에서 실행되는 인스턴스는1 기본적으로 SCRAM-SHA- 인증 메커니즘 이 비활성화되어 있습니다. setParameter.authenticationMechanisms 명령을 사용하여 SCRAM-SHA- 인증 메커니즘 을 활성화할 수 있습니다.1
이 변경 사항은 MongoDB setFeatureCompatibilityVersion 4.0 이상을 대상으로 하는 드라이버에는 영향을 미치지 않습니다.
MD5는 필요하지만 암호화 목적으로는 사용되지 않습니다.
FIPS 모드 를 사용하는 경우 SCRAM-SHA-1 대신 다음을 사용합니다.
데이터베이스 도구 및 FIPS 모드
다음 프로그램은 더 이상 --sslFIPSMode 옵션을 지원하지 않습니다.
mongod, mongos 및 FIPS 모드
FIPS 모드를 사용하도록 mongod 및 mongos를 구성한 경우, mongod 및 mongos는 FIPS 호환 연결을 사용합니다.
MongoDB 셸 및 FIPS 모드
기본 mongosh 배포:
MongoDB는 다음을 사용할 수 있는 MongoDB 셸 배포판도 제공합니다.
서버에 설치된 OpenSSL 1.1 및 OpenSSL 3.
--tlsFIPSMode옵션.mongoshFIPS 모드를 활성화합니다.
팁
다음도 참조하세요.
OpenSSL 1 가 포함된 MongoDB Shell 배포판을 다운로드하려면 다음을 수행합니다.1 및 OpenSSL 3 을 사용하는 경우 MongoDB 다운로드 센터로 이동합니다.