Configurar recursos de segurança para clusters
Nesta página
- Recursos de segurança pré-configurados
- DICAS 140-2
- Criptografia em trânsito
- Nuvem privada virtual
- Criptografia em descanso
- Funcionalidades de segurança necessários
- Requisitos de rede e firewall
- Lista de acesso IP
- Autenticação ou autorização de usuário
- Funcionalidades de segurança opcionais
- Conexão de peering de rede
- Endpoints privados
- Acesso AWS unificado
- Autenticação e autorização de cluster
- Criptografia em repouso usando o gerenciamento de chaves
- Criptografia no nível de campo do cliente
- Auditoria de banco de dados
- Rastreamento de acesso
- Autenticação multifator para acesso Atlas UI
- Permitir acesso de ou para o plano de controle Atlas
- Permitir acesso ao Data Federation
- Verificação de revogação de certificado OCSP
Você pode usar imediatamente o Atlas com segurança. O Atlas vem pré-configurado com configurações padrão seguras. Você pode ajustar os recursos de segurança de seus clusters para atender às suas necessidades e preferências de segurança exclusivas. Analise os seguintes recursos e considerações de segurança para clusters.
Para saber mais sobre as recomendações de segurança de rede do Atlas, consulte Recomendações para segurança de rede do Atlas no Atlas Architecture Center.
Importante
Como prática de segurança recomendada, não inclua informações confidenciais em namespaces e nomes de campo. O Atlas não ofusca essas informações.
Recursos de segurança pré-configurados
As seguintes funcionalidade de segurança são parte do produto Atlas:
DICAS 140-2
O Atlas habilita automaticamente o nível FIPS 140-2 2 para todos os bancos de dados.
Criptografia em trânsito
O Atlas exige TLS/SSL para criptografar as conexões com seus bancos de dados.
Os certificadosTLS/SSL são:
Válido por 90 dias a partir do dia em que o Atlas emite o certificado.
Rotacionado 42 dias antes da data de expiração do certificado.
Para saber mais sobre criptografia TLS, consulte o whitepaper de segurança do Atlas .
Para configurar a verificação de revogação de certificados OCSP SSL ou TLS, consulte Verificação de revogação de certificados OCSP.
Nuvem privada virtual
Todos os projetos Atlas com um ou mais clusters dedicados M10+ recebem seu próprio VPC dedicado (ou VNet se você utilizar o Azure). O Atlas implementa todos os clusters dedicados dentro deste VPC ou VNet.
Criptografia em descanso
Por padrão, o Atlas criptografa todos os dados armazenados em seus clusters do Atlas. O Atlas também permite criptografia em descanso usando seu Gerenciamento de Chaves.
Funcionalidades de segurança necessários
Você deve configurar as seguintes funcionalidades de segurança:
Requisitos de rede e firewall
Certifique-se de que seu aplicativo possa alcançar seu ambiente MongoDB Atlas. Para adicionar o acesso de rede de entrada do seu ambiente do aplicativo para o Atlas, faça um dos seguintes:
Adicionar os endereços IP públicos à sua lista de acesso IP
Use emparelhamento VPC/VNet para adicionar endereços IP privados.
Adicionar endpoints privados.
Veja também:
Se o firewall bloquear conexões de rede de saída, abra também o acesso de saída do ambiente do aplicativo para o Atlas. Você deve configurar o firewall para permitir que seus aplicativos façam conexões de saída com as portas 27015 a 27017 para o tráfego TCP nos hosts do Atlas. Isso faz com que seus aplicativos tenham acesso aos bancos de dados armazenados no Atlas.
Observação
Os clusters do MongoDB Atlas, por padrão, não requerem a capacidade de estabelecer conexões com ambientes de aplicativos. Para habilitar a autenticação e autorização LDAP nos seus Atlas Clusters, é necessário conceder aos clusters acesso direto ao seu servidor LDAP seguro. Você pode permitir o acesso ao seu LDAP através de IPs públicos ou privados, desde que um DNS público redirecione para um IP acessível pelos Atlas clusters.
Se você não estiver usando o emparelhamento VPC/VNet e planeja se conectar ao Atlas usando endereços IP públicos, consulte as páginas a seguir para obter mais informações:
Lista de acesso IP
O Atlas só permite conexões de cliente com o cluster a partir de entradas na lista de acesso IP do projeto. Para se conectar, você deve adicionar uma entrada à lista de acesso IP. Para configurar a lista de acesso IP para o projeto, consulte Configurar entradas da lista de acesso IP.
Para clusters Atlas implementados no Google Cloud Platform (GCP) ou Microsoft Azure, adicione os endereços IP dos seus serviços do Google Cloud ou Azure à lista de acesso IP do projeto Atlas para conceder a esses serviços acesso ao cluster.
Autenticação ou autorização de usuário
O Atlas exige que os clientes autentiquem para se conectar ao banco de dados. Você deve criar usuários do banco de dados para acessar o banco de dados. Para configurar usuários de banco de dados para seus clusters, consulte Configurar usuários de banco de dados. O Atlas oferece muitos recursos de segurança para autenticação e autorização de cluster.
Para acessar clusters em um projeto, os usuários devem pertencer a esse projeto. Os usuários podem pertencer a vários projetos.
Veja também:
Funcionalidades de segurança opcionais
Você pode configurar as seguintes funcionalidades de segurança:
Conexão de peering de rede
O Atlas oferece suporte a conexões de peering com outras conexões de peering de rede do AWS, do Azure ou do Google Cloud. Para saber mais, consulte Configurar uma conexão de peering de rede.
Importante
Se este for o primeiro cluster pago dedicado de M10+ para a região ou as regiões selecionadas e você estiver planejando a criação de uma ou mais conexões de emparelhamento da VPC, consulte a documentação sobre essas conexões antes de continuar.
Endpoints privados
Atlas oferece suporte a endpoints privados em:
AWS usando o recurso AWS PrivateLink.
Azure usando o recurso Azure Private Link
Google Cloud usando o recurso GCP Private Service Connect
Para utilizar endpoints privados, consulte Aprenda sobre Endpoints Privados no Atlas.
Acesso AWS unificado
Algumas funcionalidades do Atlas, incluindo a Data Federation e a Criptografia em repouso usando o Gerenciamento de chaves do cliente, usam as funções do AWS IAM para autenticação.
Para configurar um papel IAM AWS para Atlas para utilizar, consulte Configurar Acesso AWS Unificado.
Autenticação e autorização de cluster
O Atlas oferece os seguintes recursos de segurança para autenticação e autorização de clusters.
Autenticação ou autorização do usuário do banco de dados
O Atlas exige que os clientes autentiquem para acessar clusters. Você deve criar usuários do banco de dados para acessar o banco de dados. Para configurar usuários do banco de dados para seus clusters, consulte Configurar usuários do banco de dados.
Funções personalizadas para autorização de banco de dados
O Atlas oferece suporte à criação de roles personalizadas para autorização de banco de dados nos casos em que as roles integradas do Atlas não concedem o conjunto de privilégios desejado.
Autenticação com AWS IAM
Você pode configurar a autenticação e a autorização para suas funções do AWS IAM . Para saber mais, consulte Configurar autenticação com funções do AWS IAM.
Autenticação ou autorização de usuário com LDAP
O Atlas suporta a execução de autenticação e autorização do usuário com o LDAP. Para usar o LDAP, consulte Configurar autenticação e autorização do usuário como LDAP.
Autenticação de usuário com X.509
Os certificados de cliente X.509 oferecem aos usuários do banco de dados acesso aos clusters em seu projeto. As opções para autenticação X.509 incluem a autenticação X.509 gerenciada pelo Atlas e a autenticação X.509 autogerenciada. Para mais informações sobre a autenticação X.509 autogerenciada, consulte a página Como configurar autenticação X.509 autogerenciada.
Restringir o acesso de suporte do MongoDB à infraestrutura de backend do Atlas
Os proprietários da organização podem restringir o acesso dos funcionários de suporte de produção do MongoDB à infraestrutura de backend do Atlas para qualquer cluster do Atlas em sua organização. Os proprietários da organização podem conceder um desvio de 24 horas para a restrição de acesso no nível do cluster do Atlas.
Importante
Bloquear o acesso à infraestrutura do suporte do MongoDB pode aumentar o tempo de resposta e resolução de problemas de suporte e afetar negativamente a disponibilidade de seu cluster.
Para habilitar essa opção, consulte Configurar o acesso de suporte do MongoDB à infraestrutura de backend do Atlas.
Criptografia em repouso usando o gerenciamento de chaves
Atlas oferece suporte ao uso de AWS KMS, Azure Key Vault e Google Cloud para criptografar mecanismos de armazenamento e backups de provedores de nuvem. Para usar a criptografia em repouso, consulte Criptografia em repouso usando o Customer Key Management.
Criptografia no nível de campo do cliente
O Atlas é compatível com criptografia no nível do campo do lado do cliente, incluindo criptografia automática de campos. Todos os usuários do Atlas têm o direito de utilizar as funcionalidades automáticas de criptografia no nível do campo do MongoDB do lado do cliente.
Para saber mais, consulte Requisitos de criptografia no nível do campo do cliente.
Observação
O MongoDB Compass, a IU do Atlas e o MongoDB Shell (mongosh) não oferecem suporte à descriptografia de campos criptografados em nível de campo no lado do cliente.
Veja também:
Auditoria de banco de dados
O Atlas oferece suporte à auditoria de todas as ações de eventos do sistema. Para usar auditoria de banco de dados, consulte Configurar auditoria de banco de dados.
Rastreamento de acesso
O Atlas apresenta os logs de autenticação diretamente na UI do Atlas, para que você possa revisar facilmente as tentativas de autenticação bem-sucedidas e malsucedidas feitas nos seus clusters. Para visualizar seu histórico de acesso ao banco de dados, consulte Visualizar histórico de acesso ao banco de dados.
Autenticação multifator para acesso Atlas UI
O Atlas suporta MFA para ajudá-lo a controlar o acesso às suas contas Atlas. Para configurar o MFA, consulte Gerenciar suas opções de autenticação multifatorial.
Permitir acesso de ou para o plano de controle Atlas
Se você usar algum dos seguintes recursos do Atlas, talvez seja necessário adicionar endereços IP do Atlas à lista de acesso IP da sua rede:
Criptografia em repouso usando o gerenciamento de chaves de cliente
Observação
Se você habilitar o recurso criptografia em descanso, deverá permitir o acesso a partir de IPs públicos para todos os hosts da sua implantação, inclusive CSRS (servidor de configuração dos conjuntos de réplicas), se estiver usando clusters fragmentados.
Buscar endereços IP do plano de controle do Atlas
Envie uma solicitação GET para o endpoint controlPlaneIPAddresses para buscar os endereços IP atuais do plano de controle do Atlas. O endpoint da API retorna uma lista de endereços IP de entrada e saída do plano de controle do Atlas em notação CIDR, categorizados por provedor de nuvem e região, semelhante ao seguinte:
{ "inbound":{ "aws":{ "<region-name>":["<IP-address>", ...], ... }, "azure":{ "<region-name>":["<IP-address>", ...], ... },"gcp":{ "<region-name>":["<IP-address>", ...] ... } }, "outbound":{ "aws":{ "<region-name>":["<IP-address>", ...], ... }, "azure":{ "<region-name>":["<IP-address>", ...], ... }, "gcp":{ "<region-name>":["<IP-address>", ...], ... } } }
Importante
A API de Administração do Atlas usa os termos inbound e outbound em relação ao plano de controle, não à sua rede. Como resultado:
As regras de entrada da sua rede devem corresponder aos
outboundCIDRs listados na API de administração do Atlas.As regras de saída da sua rede devem corresponder aos
inboundCIDRs listados na API de administração do Atlas.
O diagrama a seguir mostra a relacionamento entre inbound e outbound para o plano de controle e sua rede:
Para adicionar os endereços IP retornados à lista de acesso KMS IP do seu fornecedor de nuvem, consulte os pré-requisitos para gerenciar chaves de cliente com AWS , Azure e GCP.
Acesso necessário: endereços IP controlPlane.outbound
controlPlane.outbound lista os endereços IP do tráfego proveniente do plano de controle. A lista de endereços IP HTTP de entrada da sua rede deve permitir o acesso a partir dos endereços IP listados em controlPlane.outbound.
Recomendamos que você use a API de administração do Atlas para buscar os endereços IP do plano de controle de saída atual do Atlas.
Acesso necessário: endereços IP controlPlane.inbound
controlPlane.inbound lista o tráfego de endereços IP que entra no plano de controle. Se a sua rede permitir solicitações HTTP de saída somente para endereços IP específicos, você deverá permitir o acesso aos endereços IP listados em controlPlane.inbound para que o Atlas possa se comunicar com seus webhooks e KMS.
Recomendamos que você use a API de administração do Atlas para buscar os endereços IP do plano de controle de entrada atual do Atlas.
Permitir acesso ao Data Federation
Se sua rede permitir HTTPS requests de saída somente para endereços IP específicos, você deverá permitir o acesso dos endereços IP de entrada na porta TCP 27017 para que suas solicitações possam chegar à instância do banco de dados federado. Recomendamos que você use a API de administração do Atlas para buscar os endereços IP do plano de controle de entrada atual do Atlas.
Verificação de revogação de certificado OCSP
Se a sua rede permitir solicitações de saída somente para endereços IP específicos, para permitir a verificação de revogação de certificados OCSP SSL ou TLS, você deverá permitir o acesso aos servidores RespondentesOCSP da CA (Autoridade de Certificação) do Atlas que podem ser encontrados no URL OCSP do certificado SSL ou TLS .
Para desativar a verificação de revogação de certificados OCSP, consulte a documentação da versão do driver MongoDB que seu aplicativo usa.