Configurar segurança de rede
Nesta página
- Visão geral
- Segurança da camada de transporte (TLS)
- Configuração de firewall
- AWS
- Azure
- GCP
- Filtragem de DNS
- Origens de solicitação permitidas
- Lista de acesso IP
- Encontre seu endereço IP
- Visualizar entradas da lista de acesso IP
- Criar uma entrada de lista de acesso IP
- Editar uma entrada de lista de acesso IP
- Excluir uma entrada de lista de acesso IP
- Lista de acesso à API
Visão geral
O App Services usa diversos protocolos de segurança de rede para impedir o acesso não autorizado aos seus dados. Você pode:
Configurar o TLS para proteger as solicitações de rede de e para seu aplicativo.
Defina os endereços IP dos quais todas as solicitações de saída se originam.
Defina e gerencie URLs e endereços IP a partir dos quais as solicitações de entrada podem se originar.
Segurança da camada de transporte (TLS)
O App Services usa TLS 1.3 para proteger todas as solicitações de rede de e para seu aplicativo, incluindo:
Aplicativos que se conectam de um Realm SDK.
Solicitações Atlas Data API enviadas por HTTPS.
Queries e operações em uma fonte de dados vinculada do MongoDB Atlas.
O certificado TLS é pré-definido e não pode ser personalizado ou desativado.
Observação
Criptografia de backend
Toda a comunicação interna entre o App Services e o Atlas é criptografada com certificados x509.
Configuração de firewall
O App Services apenas envia pedidos de saída a partir de uma lista definida de endereços IP. A lista exata depende do provedor de nuvem para o qual o servidor de aplicativos é implantado. Você pode copiar os endereços IP listados nesta seção para uma lista de permissões para solicitações recebidas em seu firewall.
Você pode baixar uma lista informática de todos os endereços IP usados pelo App Services no formato JSON ou CSV. Você também pode encontrar arquivos JSON e CSV específicos do fornecedor de serviços em nuvem nas seções a seguir.
Observação
Se você executar uma função da interface do usuário do Atlas App Services, a solicitação será originada do servidor mais próximo de você, não da região em que o aplicativo está implantado.
AWS
Baixe endereços IP AWS: JSON, CSV
As solicitações de saída de um aplicativo implantado na AWS serão originadas de um dos seguintes endereços IP:
13.236.189.10 18.202.2.23 18.210.66.32 18.211.240.224 18.213.24.164 52.63.26.53 54.203.157.107 54.69.74.169 54.76.145.131 18.192.255.128 18.157.138.240 18.158.38.156 52.220.57.174 18.140.123.126 13.251.182.174 65.0.112.137 3.6.231.140 13.234.189.107 13.232.212.70 65.0.113.75 3.7.215.88 3.6.255.136 65.0.188.79 13.233.17.88 18.136.226.22 122.248.203.228 54.251.109.67 54.255.78.248 54.179.247.236 13.251.170.158 3.105.146.190 52.65.242.206 54.79.24.107 13.238.106.70 52.28.11.211 3.121.9.73 52.29.205.189 3.122.49.121 3.121.58.147 3.121.97.130 108.128.63.52 108.128.66.245 108.128.51.69 108.128.45.118 52.213.157.241 108.128.66.107 3.9.6.254 3.9.74.211 3.9.61.59 35.176.121.115 3.9.85.190 3.9.47.47 13.36.132.152 15.188.240.49 13.37.29.138 15.188.152.56 13.39.52.19 15.188.159.135 177.71.159.160 52.67.231.12 18.230.146.14 52.67.94.32 18.230.109.192 18.229.199.232 3.212.79.116 3.92.113.229 34.193.91.42 34.237.40.31 3.215.10.168 34.236.228.98 3.214.203.147 3.208.110.31 100.26.2.217 3.215.143.88 18.119.73.75 3.136.153.91 3.128.101.143 35.166.246.78 35.161.40.209 54.149.249.153 35.161.32.231 52.34.65.236 35.163.245.143
Azure
Baixe endereços IP do Azure: JSON, CSV
As solicitações de saída de um aplicativo implementado no Azure se originarão de um dos seguintes endereços IP:
20.105.25.17 20.212.99.191 20.24.112.135 20.53.104.226 20.84.232.59 20.96.47.95 40.112.209.0 52.149.111.83
GCP
Baixar endereços IP da GCP: JSON, CSV
As solicitações de saída de um aplicativo implantado no GCP se originarão de um dos seguintes endereços IP:
34.150.239.218 34.69.118.121 34.78.133.163 34.82.246.143 34.93.58.231
Observação
As listas de IP acima se aplicam apenas a solicitações de saída do Atlas Function, incluindo triggers e endpoints HTTPS que fazem solicitações de saída.
Para solicitações originadas do servidor de sincronização, recomendamos permitir a listagem de toda a sub-rede da região do sistema do aplicativo e do provedor de nuvem. Você pode encontrar a região do sistema na interface do usuário de App Services em App Settings > General > Deployment Region.
Filtragem de DNS
Você pode usar a filtragem de DNS para permitir especificamente conexões de aplicativos clientes, incluindo Device Sync, com o servidor.
Acesse o *.services.cloud.mongodb.com via HTTPS ou porta 443.
Origens de solicitação permitidas
Você pode definir essa opção de configuração no arquivo root_config.json no nível do aplicativo. Esse campo aceita uma array de URLs das quais as solicitações de entrada podem se originar. Se você definir quaisquer origens de solicitação permitidas, o App Services bloqueará qualquer solicitação de entrada de uma origem que não esteja listada.
Lista de acesso IP
O App Services permite solicitações de cliente das entradas habilitadas na lista de acesso IP do aplicativo. As solicitações permitidas ainda usarão as regras de autenticação e autorização do App Services. Quando você adiciona entradas de lista de acesso IP, o App Services bloqueia qualquer solicitação originada de um IP que não esteja na lista de acesso.
Importante
Por padrão, qualquer aplicativo recém-criado permite o acesso de qualquer IP cliente adicionando uma entrada de lista de acesso para 0.0.0.0/0. Se você excluir esta entrada, nenhum cliente poderá acessar seu aplicativo a partir de qualquer endereço IP.
Encontre seu endereço IP
Visualizar entradas da lista de acesso IP
Para visualizar suas configurações de lista de acesso IP, navegue até App Settings na interface do usuário do App Services e clique na guia IP Access List.
Para visualizar suas entradas de lista de acesso IP, ligue para appservices accessList list. Em seguida, a CLI solicitará seu ID do aplicativo.
Para visualizar suas entradas de lista de acesso IP, crie uma solicitação GET no seguinte formato. Você deve especificar o ID do grupo e do aplicativo.
curl --request GET \ --header 'Authorization: Bearer <access_token>' \ https://services.cloud.mongodb.com/api/admin/v3.0/groups/<groupId>/apps/<appId>/security/access_list
Criar uma entrada de lista de acesso IP
Para adicionar um endereço IP à lista de entradas habilitadas, clique no botão verde Add IP address para abrir o modal Add IP Access List Entry. Esse modal permite que você especifique seu endereço IP atual ou use um personalizado. Você também pode especificar um comentário sobre a entrada.
Para criar uma entrada de lista de acesso IP, chame appservices accessList create. A CLI solicitará que você insira um endereço IP e selecione uma aplicação em uma lista de todas as suas aplicações.
Opcionalmente, você pode especificar qualquer um dos seguintes argumentos ao chamar o programa:
appservices accessList create \ --app=<Your App ID> \ --ip=<IP Address> \ --comment=<Optional Comment> \ --use-current \ --allow-all
Para criar uma entrada de lista de acesso IP, crie uma solicitação do POST no seguinte formato. Você deve especificar o endereço IP no corpo da solicitação e o ID do grupo e do aplicativo no URL da solicitação.
curl --request POST \ --header 'Authorization: Bearer <access_token>' \ --data '{ "address": "<IP Address>" }' \ https://services.cloud.mongodb.com/api/admin/v3.0/groups/<groupId>/apps/<appId>/security/access_list
Editar uma entrada de lista de acesso IP
Para editar uma entrada, clique no botão edit no lado direito da entrada e o modal Update IP Access List Entry será aberto. Esse modal permite que você especifique seu endereço IP atual ou use um personalizado. Você também pode especificar um comentário sobre a entrada.
Você pode editar uma entrada da lista de acesso IP atualizando o endereço IP da entrada ou adicionando um comentário à entrada. Para atualizar o endereço IP de uma entrada, ligue para:
``appservices accessList update --new-ip <IP Address>``
Para adicionar ou atualizar um comentário, chame:
``appservices accessList update --comment <Optional Comment>``
Em seguida, a CLI solicitará que você selecione uma aplicação em uma lista de todos os seus aplicativos e o endereço IP a ser atualizado.
Para atualizar o endereço IP de uma entrada, crie uma solicitação PATCH no seguinte formato. Você deve especificar o novo endereço IP no corpo da solicitação e o grupo, o aplicativo e o ID de endereço IP no URL da solicitação. O ID do endereço IP refere-se à entrada que você deseja atualizar. Para obter a ID de um endereço IP, visualize suas entradas de lista de acesso IP.
curl --request PATCH \ --header 'Authorization: Bearer <access_token>' \ --data '{ "address": "<IP Address>" }' \ https://services.cloud.mongodb.com/api/admin/v3.0/groups/<groupId>/apps/<appId>/security/access_list/<ipID>
Excluir uma entrada de lista de acesso IP
Para excluir uma entrada, clique no botão delete no lado direito da entrada, e um modal abrirá solicitando que você confirme que deseja excluir a entrada. Clique no botão vermelho delete no modal para concluir a exclusão da entrada.
Para excluir uma entrada da lista de acesso IP, chame appservices accessList delete. A CLI solicitará que você insira o ID do aplicativo e selecione qual endereço IP excluir.
Para excluir uma entrada da lista de acesso IP, crie uma solicitação DELETE no seguinte formato. Você deve especificar o ID do grupo, do aplicativo e do endereço IP. Para obter a ID de um endereço IP, visualize suas entradas de lista de acesso IP.
curl --request DELETE \ --header 'Authorization: Bearer <access_token>' \ https://services.cloud.mongodb.com/api/admin/v3.0/groups/<groupId>/apps/<appId>/security/access_list/<ipID>
Lista de acesso à API
Ao criar uma chave de API do Atlas para acesso de projeto ou organização a partir da Realm CLI ou da App Services Admin API, você pode especificar endereços IP que podem utilizar esta chave de API. Se você especificar um endereço IP, o App Services bloqueará qualquer solicitação originada de um endereço IP que não esteja na lista de acesso.