MongoDB Security is deze week om de verkeerde redenen in het nieuws geweest. Er wordt alleen gepraat over de ongeveer 40.000 databases die zijn gevonden door een groep studenten in Duitsland. Sommige databases bevatten zelfs productiegegevens. Het is flagrant op verschillende niveaus - je hebt niet alleen productiegegevens in een niet-geverifieerde database, maar het wordt ook opengelaten voor internet. Het enige verrassende is dat het zo lang duurde om te worden blootgesteld. Als u niet wilt dat uw MongoDB-servers in het nieuws komen, zijn hier drie eenvoudige stappen om de beveiliging van uw MongoDB-installatie te verbeteren:
-
Altijd verificatie inschakelen
Het is belangrijk om authenticatie in te schakelen voor al uw MongoDB-clusters. Zelfs als het een ontwikkelingsinstallatie is, moet u altijd authenticatie inschakelen en ervoor zorgen dat uw workflows zijn afgestemd op het ondersteunen van authenticatie. Meer details over het toevoegen van gebruikers en rollen vindt u hier.
U kunt ook een stap verder gaan en X509-certificaten gebruiken in plaats van wachtwoorden voor authenticatie. Dit beschermt u tegen alle op wachtwoorden gebaseerde aanvallen zoals een 'woordenboek'-aanval. Als je de enterprise build van MongoDB hebt, kun je Kerberos ook gebruiken voor authenticatie.
-
Toegang vergrendelen met firewalls
Alle toegang tot uw databaseservers moet op een "need to"-basis zijn en u kunt firewalls gebruiken om de toegang te vergrendelen. De typische configuratie is om de toegang te vergrendelen, zodat alleen uw applicatieservers en IT-team toegang hebben tot de servers. Als je Amazon AWS gebruikt, gebruik dan beveiligingsgroepen om de toegang tot de servers te vergrendelen. Tot slot het belangrijkste punt - Stel uw database niet bloot aan internet! Er zijn maar een paar goede redenen om uw database ooit bloot te stellen aan internet.
-
Gebruik geïsoleerde netwerken
De meeste openbare clouds bieden tegenwoordig opties om uw servers te implementeren in een geïsoleerde netwerkruimte die niet bereikbaar is vanaf het openbare internet. U kunt contact opnemen met internet, maar geen internetverkeer kan u bereiken. Zo biedt AWS Virtual Private Clouds (VPC) en Azure biedt Virtual Networks (VNET). Deze geïsoleerde netwerken bieden een diepgaande verdediging voor uw database-installatie. Op AWS kunt u uw databaseservers implementeren op een privésubnet in een VPC - zelfs als er een verkeerde configuratie is, zijn uw databaseservers niet blootgesteld aan internet.
Hieronder staan enkele andere relevante artikelen over MongoDB-beveiliging. Als je nog vragen hebt, neem dan contact met ons op via [email protected].
- De drie A's van MongoDB-beveiliging:authenticatie, autorisatie en auditing
- 10 tips om uw MongoDB-beveiliging te verbeteren
- Beveiligde MongoDB-implementatie op Amazon AWS
- Beveilig uw Mongo-clusters met SSL