La semana pasada, uno de mis clientes solicitó recomendaciones de arquitectura para implementar de forma segura instancias de producción de MongoDB en Amazon EC2 AWS. Esto me hizo pensar en el tema y esta publicación de blog es el resultado. Demasiadas empresas exponen sus bases de datos MongoDB de producción en Internet cuando hay mejores opciones. La regla #1 de seguridad es restringir el acceso físico a sus servidores de bases de datos. Incluso si sus credenciales se ven comprometidas, reduce en gran medida el impacto si el atacante no puede acceder a sus servidores.
Antes de sumergirnos en los detalles, retrocedamos un poco y recordemos cómo el personal de TI solía implementar bases de datos en el mundo anterior a Amazon AWS. Puedo recordar un par de configuraciones diferentes:
1. Configuración de doble firewall DMZ (zona desmilitarizada)
En esta configuración, los servidores de primer nivel y de nivel medio se implementan en una DMZ y los servidores de bases de datos están detrás del segundo firewall. El cortafuegos frontal permite conexiones en los puertos web y el cortafuegos trasero solo permite conexiones en los puertos de la base de datos.
2. VLAN:menos popular que la DMZ de doble cortafuegos
Los servidores de bases de datos y los servidores front-end están en VLAN separadas. Solo los puertos de la base de datos están permitidos en la interconexión troncal entre las dos VLAN.
Técnicamente, no ha cambiado mucho desde entonces. Sin embargo, las técnicas ahora son diferentes. Ya no habla de DMZ y firewalls, sino que habla en términos de VPC y grupos de seguridad. Si usted es una empresa más grande con personal de TI, definitivamente consideraría Amazon VPC. Le da mucho control sobre la red de capa 3 y puede colocar sus bases de datos en una subred privada y no exponerlas a Internet. Sin embargo, es un tema mucho más largo para otra publicación de blog. Si ya configuró la VPC y desea configurar MongoDB en la VPC, aquí está la publicación de mi blog para guiarlo a través de los pasos:Implementación de MongoDB en Amazon VPC.
En el resto de esta publicación, me concentraré en EC2-clásico.
3 pasos para configurar dual Firewall DMZ en AWS
1. Cree un grupo de seguridad para sus servidores MongoDB
Un grupo de seguridad puede abarcar una región completa, por lo que incluso si tiene un conjunto de réplicas, puede distribuir sus réplicas en las zonas de disponibilidad de la región y aún así tenerlas en el mismo grupo de seguridad. . Cree un grupo de seguridad para sus servidores MongoDB y agregue todos sus servidores mongo solo a este grupo de seguridad.
2. Cree un grupo de seguridad para sus servidores de nivel medio/frontal
Cree un grupo de seguridad adicional para sus servidores MongoDB de nivel medio y/o frontal.
3. Configure su acceso al grupo de seguridad de MongoDB
Configure su grupo de seguridad de MongoDB para permitir el acceso a los servidores de nivel frontal solo en los puertos de MongoDB. Configure su grupo de seguridad front-end para abrir los puertos web a Internet.
Configura Dual Firewall DMZ en AWS a través de ScaleGrid
1. Crear un grupo de seguridad en AWS
Inicie sesión en su consola de Amazon y cree un grupo de seguridad para sus servidores de nivel medio/frontal. Llamemos al grupo de seguridad 'AppServerSG'. Configure este grupo de seguridad para abrir el puerto http/https según sea necesario. Coloque sus servidores de nivel medio y de nivel frontal en este grupo de seguridad.
2. Cree un perfil en la nube de ScaleGrid AWS
Inicie sesión en la consola de ScaleGrid y haga clic en la pestaña Machine Pool. Cree su propio grupo de máquinas personalizado para que pueda implementar y administrar instancias de mongo en su propia cuenta de AWS. En la pestaña Grupo de máquinas, haga clic en el botón Crear. Ingrese su clave API de Amazon y su clave secreta y presione Siguiente:
3. Seleccione su región de AWS para MongoDB
Seleccione la región de AWS de su elección para implementar MongoDB:
4. Configure su política de acceso
Este es el paso principal para la configuración de seguridad. Seleccione la opción para permitir que solo las máquinas de un grupo de seguridad en particular accedan a sus servidores MongoDB. A continuación, seleccione los grupos de seguridad a los que desea proporcionar acceso. Ingrese un nombre para su grupo de máquinas y luego haga clic en siguiente:
5. Cree su clúster de MongoDB
Vuelva a la página de implementaciones de MongoDB en la consola principal. Haga clic en 'Crear' para crear un nuevo clúster de MongoDB. En la selección Grupo de máquinas, seleccione el grupo de máquinas que acaba de crear y cree el clúster.
Esta es solo una de las técnicas para asegurar su implementación de MongoDB en AWS. Si tiene alguna otra sugerencia, utilice las secciones de comentarios para proporcionar sus comentarios. Para conocer prácticas de seguridad más detalladas, consulte las prácticas de seguridad de la 10.ª generación. Como siempre, si tiene alguna pregunta, envíenos un correo electrónico a [email protected].
