Proteção de rede e configuração para implantações autogerenciadas
Para reduzir a exposição ao risco de todo o sistema MongoDB, certifique-se de que apenas hosts confiáveis tenham acesso ao MongoDB.
Proteção de configuração do MongoDB
Vinculação IP
Os binários do MongoDB , mongod
e mongos
, vinculam-se a localhost
por padrão.
Aviso
Antes de vincular sua instância a um endereço IP acessível publicamente, você deve proteger seu cluster contra o acesso não autorizado. Para obter uma lista completa de recomendações de segurança, consulte a Lista de verificação de segurança para implementações autogerenciadas. No mínimo, procure habilitar a autenticação e fortalecer a infraestrutura de rede.
Aviso
Certifique-se de que suas instâncias demongod
e mongos
só estejam acessíveis em redes confiáveis. Se o sistema tiver mais de uma interface de rede, vincule os programas do MongoDB à interface de rede privada ou interna.
Para obter mais informações, consulte Vinculação de IP em implementações autogerenciadas.
Fortalecimento da rede
Firewalls
Os firewalls permitem que os administradores filtrem e controlem o acesso a um sistema, fornecendo controle granular sobre as comunicações de rede. Para administradores do MongoDB, os seguintes recursos são importantes: limitar o tráfego de entrada em uma porta específica para sistemas específicos e limitar o tráfego de entrada de hosts não confiáveis.
Em sistemas Linux, a interface do iptables
fornece acesso ao firewall subjacente do netfilter
. Em sistemas Windows, a interface de linha de comando netsh
fornece acesso ao Firewall do Windows subjacente. Para obter informações adicionais sobre a configuração do firewall, consulte:
Configurar firewall Linux
iptables
para sistemas autogerenciados eConfigure o firewall do Windows
netsh
para sistemas autogerenciados.
Para obter melhores resultados e minimizar a exposição geral, garanta que somente o tráfego de fontes confiáveis possa alcançar as instâncias mongod
e mongos
e que as instâncias mongod
e mongos
possam se conectar somente a saídas confiáveis.
Redes privadas virtuais
Redes virtuais privadas, ou VPNs, possibilitam vincular duas redes por meio de uma rede confiável criptografada e de acesso limitado. Normalmente, os usuários do MongoDB que usam VPNs usam TLS/SSL em vez de VPNs IPSEC para problemas de desempenho.
Dependendo da configuração e da implementação, as VPNs fornecem validação de certificados e uma escolha de protocolos de criptografia, o que exige um nível rigoroso de autenticação e identificação de todos os clientes. Além disso, como as VPNs fornecem um túnel seguro, usando uma conexão VPN para controlar o acesso à sua instância MongoDB, você pode evitar ataques de adulteração e "man-in-the-middle".
Desabilitar encaminhamento de IP
O encaminhamento de IP permite que os servidores encaminhem pacotes para outros sistemas. Desative este recurso nos servidores que hospedam o mongod
.
Para desabilitar o encaminhamento de IP no Linux, use o comando sysctl
:
sudo sysctl -w net.ipv4.ip_forward=0
Para tornar a alteração persistente, edite o arquivo /etc/sysctl.conf
para adicionar esta linha:
net.ipv4.ip_forward = 0
O encaminhamento de IP está desabilitado por padrão no Windows.