Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/
Segurança
/
Criptografia
/
TLS/SSL (Criptografia de transporte)

Configurar MongoDB para FIPS

Nesta página

  • Visão geral
  • Suporte a plataformas
  • Suporte a OpenSSL3
  • Configurando FIPS
  • Considerações adicionais

Visão geral

O Federal Information Processing Standard (FIPS) é um padrão de segurança de computadores do governo dos EUA usado para certificar módulos de software e bibliotecas que criptografam e descriptografam dados com segurança. Você pode configurar o MongoDB para ser executado com uma biblioteca certificada FIPS 140-2 para OpenSSL. Configure o FIPS para ser executado por padrão ou conforme necessário na linha de comando.

Uma descrição completa de FIPS e TLS/SSL está além do escopo deste documento. Este tutorial pressupõe conhecimento prévio de FIPS e TLS/SSL.

Importante

MongoDB e FIPS

FIPS é propriedade do sistema de criptografia e não do sistema de controle de acesso. No entanto, se seu ambiente exigir criptografia e controle de acesso compatíveis com FIPS, você deverá garantir que o sistema de controle de acesso use apenas criptografia compatível com FIPS.

O suporte a FIPS do MongoDB abrange a maneira como o MongoDB usa bibliotecas SSL/TLS para criptografia de rede, autenticação SCRAM e autenticação x.509. Se você usar Kerberos ou autenticação LDAP, deverá garantir que esses mecanismos externos estejam em conformidade com FIP.

Observação

O MongoDB desabilita o suporte para TLS 1. Criptografia 0 em sistemas onde o TLS 1.1+ está disponível.

Suporte a plataformas

O modo FIPS está disponível apenas com a edição MongoDB Enterprise . Consulte Instalar MongoDB Enterprise para baixar e instalar o MongoDB Enterprise.

O modo FIPS é compatível com as seguintes plataformas:

Plataforma
Biblioteca TLS/SSL
Linux
OpenSSL
Windows
Canal seguro (SChannel)
macOS
Secure Transport

Suporte a OpenSSL3

A partir do MongoDB 6.0.7, o modo FIPS é compatível com OpenSSL3 para os seguintes sistemas operacionais:

  • Ubuntu 22.04

  • RHEL 9

  • Amazon Linux 2023

Configurando FIPS

Selecione a guia abaixo para sua plataforma:

Considerações adicionais

Modo SCRAM SHA e FIPS

A partir do MongoDB 5.1, as instâncias em execução no modo FIPS têm o mecanismo de autenticação SCRAM-SHA-1 desativado por padrão. Você pode habilitar o mecanismo de autenticação SCRAM-SHA-1 com o setParameter.authenticationMechanisms comando.

Essa alteração não afetará os drivers que têm como alvo o MongoDB setFeatureCompatibilityVersion 4.0+.

Se você usar SCRAM-SHA-1:

Ferramentas de banco de dados e modo FIPS

Os seguintes programas não suportam mais a opção --sslFIPSMode :

mongod, mongos e modo FIPS

Se você configurar o mongod e o mongos para utilizar o modo FIPS, o mongod e o mongos utilizarão conexões compatíveis com FIPS.

Modo Shell e FIPS do MongoDB

A distribuição mongosh padrão:

  • Contém OpenSSL 3.

  • Utiliza conexões compatíveis com FIPS para mongod e mongos se você configurar o mongod e mongos para utilizar o modo FIPS.

O MongoDB também fornece uma distribuição do MongoDB Shell que pode usar:

  • OpenSSL 1.1 e OpenSSL 3 instalados no seu servidor.

  • --tlsFIPSMode opção, que ativa o modo FIPS mongosh.

Dica

Veja também:

← Atualizar um cluster para usar TLS/SSL
Auditoria →

Nesta página