NEWTime-series support for Atlas is now available

MongoDB 数据加密

MongoDB 提供强大的加密功能,可在传输、静止和使用过程中保护数据,从而在整个生命周期内保障数据安全。

传输中加密

传输中加密能够在客户端和服务器之间传输数据时提供保护,防止数据被未授权访问或篡改。在 MongoDB Atlas 中,流向 MongoDB 集群的所有网络流量都受到传输层安全 (TLS) 的保护,而且传输层安全性是默认启用的,无法关闭。默认版本是 TLS 1.2。在 MongoDB 集群节点之间传输的数据在传输过程中使用 TLS 进行加密,从而确保整个通信过程的安全。

MongoDB Enterprise Advanced 还支持使用 TLS 进行传输加密。

进一步了解传输中加密 →

静态加密

静态加密可确保对所有存储的文件和数据进行加密,从而提供数据库级保护的关键层。所有客户数据都会自动使用AES-256加密,以确保所有卷(磁盘)数据的安全。该流程利用云提供商的透明磁盘加密,由提供商管理加密密钥。此外,您还可以选择启用数据库级加密,从而通过 AWS Key Management Service (KMS)、Google Cloud KMS 或 Azure Key Vault 使用自己的加密密钥。

MongoDB Enterprise Advanced 使用 AES-256 将静态加密直接集成到 WiredTiger 存储引擎。您可以在 Enterprise Advanced 中配置静态加密,方法是使用支持 KMIP 的密钥管理提供程序。

静态加密 → MongoDB Enterprise AdvancedMongoDB Atlas

正在使用的加密

正在使用的加密可在处理数据时确保数据安全。数据在发送到数据库、存储到数据库或从数据库检索之前,会在客户端使用客户控制的密钥进行加密。该方法的优点是:

  • 全面的数据保护:无论是在使用中、备份时、静止状态还是传输过程中,数据始终处于加密状态,确保整个生命周期的安全。
  • 合规性保证:帮助满足 GDPR、HIPAA、PCI DSS 等严格的数据隐私要求。
  • 集成保护,简化开发:MongoDB 中包含正在使用的加密功能,无需额外费用,省去了第三方加密解决方案的需求,开发人员可使用内置的、熟悉的开发模式使用 MongoDB。

MongoDB 有两种正在使用的加密功能,可以满足您的数据保护需求:客户端字段级加密和 Queryable Encryption。

客户端字段级加密

客户端字段级加密 (CSFLE) 是一种正在使用的加密功能,使客户端应用程序能够在将敏感数据存储到 MongoDB 数据库之前先进行加密处理。敏感数据以透明方式加密,在整个生命周期中始终保持加密状态,只有在客户端才会解密。

了解详情→客户端字段级加密

可查询加密

Queryable Encryption 是一项创新的实时加密技术,它可以帮助组织在使用 MongoDB 查询和处理敏感数据时,确保这些数据的安全。它使得应用程序能够在客户端对敏感数据进行加密,然后安全地将其存储到 MongoDB 数据库中,并且能够直接对这些加密数据执行等值查询和范围查询。这样既能确保对敏感信息提供强有力的加密保护,同时也不会影响到对信息进行复杂查询的能力。

使用 Queryable Encryption 可以获得的其他优势:

  • 开创性技术:Queryable Encryption 使用基于 NIST 标准的基元(例如 AES-256、SHA2 和 HMAC),引入了业界首创的加密搜索算法。这项创新成果是 MongoDB 密码学研究小组数十年在密码学和加密搜索领域专业技术积累的结晶,由该小组开发,其先进性在业界独一无二。
  • 加密数据的表达式查询功能:可以通过前缀、后缀和子字符串查询功能,对加密数据执行等值和范围查询。
  • 增强合规性:在整个生命周期对数据进行加密,确保符合 GDPR 或 HIPAA 等法规要求,避免因违规而产生的高额罚款和法律纠纷,同时提升客户的信任度。
  • 解锁多种应用场景:Queryable Encryption 提供了内置的加密功能,适用于处理高度敏感的应用程序工作流程,如搜索员工档案、处理财务交易或分析医疗记录等,无需专业的密码学知识,就能显著降低数据泄露风险,同时提高开发人员的工作效率。
  • 提高运行效率:在不影响应用程序性能或开发人员工作效率的情况下,确保敏感数据的高安全性。


了解详情 → Queryable Encryption

MongoDB 8.0

MongoDB 的吞吐量提高了 36%,水平扩展更轻松,并且扩展了 Queryable Encryption,因此比以往任何时候都更快、更安全。
数据库插图。

资源

mdb_querying_encrypted_data

Queryable Encryption 已正式发布

有关 Queryable Encryption 技术和客户优势的详细信息。

阅读博客
cloud_manager

在 Atlas 中使用客户密钥管理进行静态加密

使用 AWS KMS、Google Cloud KMS 和 Azure Key Vault,通过加密密钥配置静态加密。

阅读文档
general_security_encrypted_storage

静态加密 (Enterprise)

进一步了解加密流程以及如何配置静态加密。

阅读文档
general_security_encryption

客户端字段级加密

进一步了解如何从客户端加密敏感字段、如何使用 MongoDB 驱动程序等。

阅读文档
general_content_collaborate

密码学研究小组

了解密码学和隐私领域的前沿研究和最新创新。

了解详情
general_content_white_paper

Queryable Encryption 技术论文

深入了解 Queryable Encryption、其设计目标、威胁模型和安全保证。

下载白皮书
general_content_ebook

为什么 Queryable Encryption 很重要

详细了解 Queryable Encryption 对开发人员、安全团队和 IT 决策者为何如此重要。

阅读简介
general_security_privacy

使用 MongoDB 的正在使用的加密保护数据

了解 MongoDB 正在使用的加密解决方案如何帮助客户保护数据。

查看产品单页

常见问题解答

如何获取更多信息,帮助贵组织实施强有力的技术控制?

正在使用的加密与传输中加密和静态加密相比如何?

Minus Button

建议有针对性地为那些包含敏感信息(例如 PII 或 PHI)的文档字段启用“正在使用的加密”功能。

客户端字段级加密技术与传输中加密和静态加密相结合,为数据提供全方位的生命周期保护使,而使用互补的方法提供深度防御的安全态势,以应对各种不同的威胁模式。

  • 传输中加密可以保护所有通过网络传输的数据,但不会加密正在使用或处于静态的数据。
  • 静态加密可以保护所有存储的数据,但不会加密正在使用或传输中的数据。
  • 通过正在使用的加密,最敏感的数据在离开应用程序时永远不会以明文形式存在。在客户端加密的字段不能被服务器解密,并且在传输中、静态和正在使用中保持加密,即使在处理查询时也是如此。