Proteção de rede e configuração
Para reduzir a exposição ao risco de todo o sistema MongoDB, certifique-se de que apenas hosts confiáveis tenham acesso ao MongoDB.
Proteção de configuração do MongoDB
Vinculação IP
Os binários do MongoDB, mongod
e mongos
, vinculam-se a localhost
por padrão.
Aviso
Antes de vincular sua instância a um endereço IP acessível publicamente, você deve proteger seu cluster contra o acesso não autorizado. Para obter uma lista completa de recomendações de segurança, consulte Lista de verificação de segurança. No mínimo, considere habilitar a autenticação e fortalecer a infraestrutura de rede.
Aviso
Certifique-se de que suas instâncias demongod
e mongos
só estejam acessíveis em redes confiáveis. Se o sistema tiver mais de uma interface de rede, vincule os programas do MongoDB à interface de rede privada ou interna.
Para obter mais informações, consulte Vinculação de IP.
Interface de status HTTP e API REST
Alterado na versão 3.6: MongoDB 3.6 remove a interface HTTP preterida e API REST para MongoDB.
Fortalecimento da rede
Firewalls
Os firewalls permitem que os administradores filtrem e controlem o acesso a um sistema, fornecendo controle granular sobre as comunicações de rede. Para administradores do MongoDB, os seguintes recursos são importantes: limitar o tráfego de entrada em uma porta específica para sistemas específicos e limitar o tráfego de entrada de hosts não confiáveis.
Em sistemas Linux, a interface do iptables
fornece acesso ao firewall subjacente do netfilter
. Em sistemas Windows, a interface de linha de comando netsh
fornece acesso ao Firewall do Windows subjacente. Para obter informações adicionais sobre a configuração do firewall, consulte:
Para obter melhores resultados e minimizar a exposição geral, garanta que somente o tráfego de fontes confiáveis possa alcançar as instâncias mongod
e mongos
e que as instâncias mongod
e mongos
possam se conectar somente a saídas confiáveis.
Redes privadas virtuais
Redes virtuais privadas, ou VPNs, possibilitam vincular duas redes por meio de uma rede confiável criptografada e de acesso limitado. Normalmente, os usuários do MongoDB que usam VPNs usam TLS/SSL em vez de VPNs IPSEC para problemas de desempenho.
Dependendo da configuração e da implementação, as VPNs fornecem validação de certificados e uma escolha de protocolos de criptografia, o que exige um nível rigoroso de autenticação e identificação de todos os clientes. Além disso, como as VPNs fornecem um túnel seguro, usando uma conexão VPN para controlar o acesso à sua instância MongoDB, você pode evitar ataques de adulteração e "man-in-the-middle".
Desabilitar encaminhamento de IP
O encaminhamento de IP permite que os servidores encaminhem pacotes para outros sistemas. Desative este recurso nos servidores que hospedam o mongod
.