Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/
Sistemas autogerenciados
/
Segurança

Proteção de rede e configuração para implantações autogerenciadas

Nesta página

  • Proteção de configuração do MongoDB
  • Fortalecimento da rede

Para reduzir a exposição ao risco de todo o sistema MongoDB, certifique-se de que apenas hosts confiáveis tenham acesso ao MongoDB.

Proteção de configuração do MongoDB

Vinculação IP

Os binários do MongoDB , mongod e mongos, vinculam-se a localhost por padrão.

Aviso

Antes de vincular sua instância a um endereço IP acessível publicamente, você deve proteger seu cluster contra o acesso não autorizado. Para obter uma lista completa de recomendações de segurança, consulte a Lista de verificação de segurança para implementações autogerenciadas. No mínimo, procure habilitar a autenticação e fortalecer a infraestrutura de rede.

Aviso

Certifique-se de que suas instâncias demongod e mongos só estejam acessíveis em redes confiáveis. Se o sistema tiver mais de uma interface de rede, vincule os programas do MongoDB à interface de rede privada ou interna.

Para obter mais informações, consulte Vinculação de IP em implementações autogerenciadas.

Fortalecimento da rede

Firewalls

Os firewalls permitem que os administradores filtrem e controlem o acesso a um sistema, fornecendo controle granular sobre as comunicações de rede. Para administradores do MongoDB, os seguintes recursos são importantes: limitar o tráfego de entrada em uma porta específica para sistemas específicos e limitar o tráfego de entrada de hosts não confiáveis.

Em sistemas Linux, a interface do iptables fornece acesso ao firewall subjacente do netfilter. Em sistemas Windows, a interface de linha de comando netsh fornece acesso ao Firewall do Windows subjacente. Para obter informações adicionais sobre a configuração do firewall, consulte:

Para obter melhores resultados e minimizar a exposição geral, garanta que somente o tráfego de fontes confiáveis possa alcançar as instâncias mongod e mongos e que as instâncias mongod e mongos possam se conectar somente a saídas confiáveis.

Redes privadas virtuais

Redes virtuais privadas, ou VPNs, possibilitam vincular duas redes por meio de uma rede confiável criptografada e de acesso limitado. Normalmente, os usuários do MongoDB que usam VPNs usam TLS/SSL em vez de VPNs IPSEC para problemas de desempenho.

Dependendo da configuração e da implementação, as VPNs fornecem validação de certificados e uma escolha de protocolos de criptografia, o que exige um nível rigoroso de autenticação e identificação de todos os clientes. Além disso, como as VPNs fornecem um túnel seguro, usando uma conexão VPN para controlar o acesso à sua instância MongoDB, você pode evitar ataques de adulteração e "man-in-the-middle".

Desabilitar encaminhamento de IP

O encaminhamento de IP permite que os servidores encaminhem pacotes para outros sistemas. Desative este recurso nos servidores que hospedam o mongod.

Para desabilitar o encaminhamento de IP no Linux, use o comando sysctl:

sudo sysctl -w net.ipv4.ip_forward=0

Para tornar a alteração persistente, edite o arquivo /etc/sysctl.conf para adicionar esta linha:

net.ipv4.ip_forward = 0

O encaminhamento de IP está desabilitado por padrão no Windows.

Voltar

OSCF Schema

Próximo

Vinculação IP