La seguridad de MongoDB ha estado en las noticias esta semana por las razones equivocadas. Toda la charla ha sido sobre las aproximadamente 40,000 bases de datos que un grupo de estudiantes con sede en Alemania encontró expuestas. Algunas de las bases de datos incluso contenían datos de producción. Es atroz en varios niveles:no solo tiene datos de producción en una base de datos no autenticada, sino que también se deja abierta a Internet. Lo único sorprendente es que tomó tanto tiempo exponerse. Si no quiere que sus servidores MongoDB estén en las noticias, aquí hay tres pasos simples para mejorar la seguridad de su instalación MongoDB:
-
Activar siempre la autenticación
Es importante habilitar la autenticación para todos sus clústeres de MongoDB. Incluso si se trata de una instalación de desarrollo, habilite siempre la autenticación y asegúrese de que sus flujos de trabajo estén preparados para admitir la autenticación. Puede encontrar más detalles sobre cómo agregar usuarios y funciones aquí.
También puede ir un paso más allá y usar certificados X509 en lugar de contraseñas para la autenticación. Esto lo protegerá de cualquier ataque basado en contraseña, como un ataque de "Diccionario". Si tiene la versión empresarial de MongoDB, también puede usar Kerberos para la autenticación.
-
Bloquear el acceso con cortafuegos
Todo acceso a los servidores de su base de datos debe ser según la "necesidad", y puede usar firewalls para bloquear el acceso. La configuración típica es bloquear el acceso para que solo los servidores de aplicaciones y el equipo de TI tengan acceso a los servidores. Si está en Amazon AWS, use grupos de seguridad para bloquear el acceso a los servidores. Finalmente, el punto más importante:¡No exponga su base de datos a Internet! Solo hay unas pocas buenas razones para exponer su base de datos a Internet.
-
Usar redes aisladas
La mayoría de las nubes públicas de hoy en día ofrecen opciones para implementar sus servidores en un espacio de red aislado al que no se puede acceder desde la Internet pública. Puede conectarse a Internet, pero ningún tráfico de Internet puede llegar a usted. Por ejemplo, AWS ofrece nubes privadas virtuales (VPC) y Azure ofrece redes virtuales (VNET). Estas redes aisladas brindan una defensa profunda para la instalación de su base de datos. En AWS, puede implementar sus servidores de bases de datos en una subred privada en una VPC; incluso si hay una configuración incorrecta, sus servidores de bases de datos no están expuestos a Internet.
A continuación, se incluyen otros artículos relevantes sobre la seguridad de MongoDB. Si tiene más preguntas, comuníquese con nosotros a [email protected].
- Las tres A de la seguridad de MongoDB:autenticación, autorización y auditoría
- 10 consejos para mejorar la seguridad de MongoDB
- Implementación segura de MongoDB en Amazon AWS
- Proteja sus clústeres de Mongo con SSL
