Configurar MongoDB para FIPS
Nesta página
Visão geral
O Federal Information Processing Standard (FIPS) é um padrão de segurança de computadores do governo dos EUA usado para certificar módulos de software e bibliotecas que criptografam e descriptografam dados com segurança. Você pode configurar o MongoDB para ser executado com uma biblioteca certificada FIPS 140-2 para OpenSSL. Configure o FIPS para ser executado por padrão ou conforme necessário na linha de comando.
Uma descrição completa de FIPS e TLS/SSL está além do escopo deste documento. Este tutorial pressupõe conhecimento prévio de FIPS e TLS/SSL.
Importante
MongoDB e FIPS
FIPS é propriedade do sistema de criptografia e não do sistema de controle de acesso. No entanto, se seu ambiente exigir criptografia e controle de acesso compatíveis com FIPS, você deverá garantir que o sistema de controle de acesso use apenas criptografia compatível com FIPS.
O suporte a FIPS do MongoDB abrange a maneira como o MongoDB usa bibliotecas SSL/TLS para criptografia de rede, autenticação SCRAM e autenticação x.509. Se você usar Kerberos ou autenticação LDAP, deverá garantir que esses mecanismos externos estejam em conformidade com FIP.
Observação
O MongoDB desabilita o suporte para TLS 1. Criptografia 0 em sistemas onde o TLS 1.1+ está disponível.
Suporte a plataformas
O modo FIPS está disponível apenas com a edição MongoDB Enterprise . Consulte Instalar MongoDB Enterprise para baixar e instalar o MongoDB Enterprise.
O modo FIPS é compatível com as seguintes plataformas:
Plataforma | Biblioteca TLS/SSL |
---|---|
Linux | OpenSSL |
Windows | Canal seguro (SChannel) |
macOS | Secure Transport |
Suporte a OpenSSL3
A partir do MongoDB 6.0.7, o modo FIPS é compatível com OpenSSL3 para os seguintes sistemas operacionais:
Ubuntu 22.04
RHEL 9
Amazon Linux 2023
Configurando FIPS
Selecione a guia abaixo para sua plataforma:
Considerações adicionais
Modo SCRAM SHA e FIPS
A partir do MongoDB 5.1, as instâncias em execução no modo FIPS têm o mecanismo de autenticação SCRAM-SHA-1 desativado por padrão. Você pode habilitar o mecanismo de autenticação SCRAM-SHA-1 com o setParameter.authenticationMechanisms comando.
Essa alteração não afetará os drivers que têm como alvo o MongoDB setFeatureCompatibilityVersion
4.0+.
Se você usar SCRAM-SHA-1:
md5 é necessário, mas não é usado para fins criptográficos, e
se você usar o modo FIPS, em vez de SCRAM-SHA-1 use:
Ferramentas de banco de dados e modo FIPS
Os seguintes programas não suportam mais a opção --sslFIPSMode
:
mongod
, mongos
e modo FIPS
Se você configurar o mongod
e o mongos
para utilizar o modo FIPS, o mongod
e o mongos
utilizarão conexões compatíveis com FIPS.
Modo Shell e FIPS do MongoDB
A distribuição mongosh
padrão:
Contém OpenSSL 3.
Utiliza conexões compatíveis com FIPS para
mongod
emongos
se você configurar omongod
emongos
para utilizar o modo FIPS.
O MongoDB também fornece uma distribuição do MongoDB Shell que pode usar:
OpenSSL 1.1 e OpenSSL 3 instalados no seu servidor.
--tlsFIPSMode
opção, que ativa o modo FIPSmongosh
.
Dica
Veja também:
Para baixar distribuições do MongoDB Shell que contêm OpenSSL 1.1 e OpenSSL 3, acesse a Central de Download do MongoDB.