自管理部署的安全检查清单

启用访问控制并指定身份验证机制。

MongoDB Community 支持多种身份验证机制，客户端可利用这些机制来验证其身份：

• SCRAM（默认）

• 基于 x.509 证书的身份验证

除上述机制外，MongoDB Atlas 和 MongoDB Enterprise 还支持以下机制：

• LDAP 代理身份验证，以及

• Kerberos 身份验证。

这些机制允许 MongoDB 集成到您的当前身份验证系统中。

首先创建用户管理员，然后再创建其他用户。为访问系统的每个人/应用程序创建唯一的 MongoDB 用户。

遵循最小权限原则。创建角色，用于定义一组用户所需的确切访问权限。然后创建用户，并仅向其分配执行操作所需的角色。用户可以是个人或客户端应用程序。

配置 MongoDB，对所有传入和传出连接使用 TLS/SSL。使用 TLS/SSL 对 MongoDB 部署的 mongod 和 mongos 组件之间的通信以及所有应用程序与 MongoDB 之间的通信进行加密。

MongoDB 使用原生 TLS / SSL OS 库：

您可以通过 WiredTiger 存储引擎的原生静态加密来加密存储层中的数据。

如不使用 WiredTiger 的静态加密，则应使用文件系统、设备或物理加密（例如 dm-crypt）在每个主机上对 MongoDB 数据进行加密。还应使用文件系统权限保护 MongoDB 数据。MongoDB 数据包括数据文件、配置文件、审核日志和关键文件。

在通过线路将数据传输到服务器之前，您可以使用 Queryable Encryptio（可查询加密）或 Client-Side Field Level Encryption（客户端字段级加密）对文档应用程序端内的字段进行加密。

将日志收集到中央日志存储中。这些日志包含数据库身份验证尝试，包括源 IP 地址。

确保 MongoDB 在受信任的网络环境中运行，并配置防火墙或安全群组来控制 MongoDB 实例的入站和出站流量。

禁用直接 SSH 根访问权限。

仅允许可信客户端访问 MongoDB 实例可用的网络接口和端口。

跟踪数据库配置和数据的访问与更改。MongoDB Enterprise 包含一个系统审核工具，它可记录有关 MongoDB 实例的系统事件（包括用户操作和连接事件）。这些审核记录支持取证分析，并允许管理员进行适当控制。您可将过滤器设为仅记录特定事件，例如身份验证事件。

使用专用的操作系统用户帐户运行 MongoDB 进程。确保该帐户具有访问数据的权限，但没有不必要的权限。

MongoDB 支持在某些服务器端操作中执行 JavaScript 代码：mapReduce、$where、$accumulator 和 $function。如果不使用这些操作，请使用 --noscripting 选项禁用服务器端脚本。

保持启用输入验证。默认情况下，MongoDB 通过 net.wireObjectCheck 设置启用输入验证。这可确保 mongod 实例存储的所有文档都是有效的 BSON。

《安全技术实现指南》(STIG) 提供针对美国国防部内部部署的安全准则。MongoDB Inc. 可应要求提供其 STIG。

对于需要 HIPAA 或 PCI-DSS 合规性的应用程序，请参阅 MongoDB 安全参考架构，详细了解如何使用 MongoDB 的关键安全功能来构建合规的应用程序基础架构。