MongoDB Security war diese Woche aus den falschen Gründen in den Nachrichten. Das ganze Gerede drehte sich um die etwa 40.000 Datenbanken, die von einer Gruppe von Studenten in Deutschland aufgedeckt wurden. Einige der Datenbanken enthielten sogar Produktionsdaten. Es ist auf mehreren Ebenen ungeheuerlich – Sie haben nicht nur Produktionsdaten in einer nicht authentifizierten Datenbank, sondern sie werden auch für das Internet offen gelassen. Das einzig Überraschende ist, dass es so lange gedauert hat, bis es aufgedeckt wurde. Wenn Sie nicht möchten, dass Ihre MongoDB-Server in den Nachrichten erscheinen, hier sind drei einfache Schritte, um die Sicherheit Ihrer MongoDB-Installation zu verbessern:
-
Authentifizierung immer aktivieren
Es ist wichtig, die Authentifizierung für alle Ihre MongoDB-Cluster zu aktivieren. Auch wenn es sich um eine Entwicklungsinstallation handelt, aktivieren Sie immer die Authentifizierung und stellen Sie sicher, dass Ihre Workflows darauf ausgerichtet sind, die Authentifizierung zu unterstützen. Weitere Details zum Hinzufügen von Benutzern und Rollen finden Sie hier.
Sie können auch noch einen Schritt weiter gehen und X509-Zertifikate anstelle von Passwörtern zur Authentifizierung verwenden. Dies schützt Sie vor passwortbasierten Angriffen wie einem „Wörterbuch“-Angriff. Wenn Sie über den Enterprise-Build von MongoDB verfügen, können Sie auch Kerberos für die Authentifizierung verwenden.
-
Zugriff mit Firewalls sperren
Jeglicher Zugriff auf Ihre Datenbankserver muss auf Bedarfsbasis erfolgen, und Sie können Firewalls verwenden, um den Zugriff zu sperren. Die typische Konfiguration besteht darin, den Zugriff zu sperren, sodass nur Ihre Anwendungsserver und Ihr IT-Team Zugriff auf die Server haben. Wenn Sie sich auf Amazon AWS befinden, verwenden Sie Sicherheitsgruppen, um den Zugriff auf die Server zu sperren. Zum Schluss der wichtigste Punkt – Setzen Sie Ihre Datenbank nicht dem Internet aus! Es gibt nur wenige gute Gründe, Ihre Datenbank jemals dem Internet zugänglich zu machen.
-
Verwenden Sie isolierte Netzwerke
Die meisten öffentlichen Clouds bieten heute Optionen zum Bereitstellen Ihrer Server in einem isolierten Netzwerkbereich, der nicht über das öffentliche Internet erreichbar ist. Sie können das Internet erreichen, aber kein Internetverkehr kann Sie erreichen. Beispielsweise bietet AWS Virtual Private Clouds (VPC) und Azure Virtual Networks (VNET) an. Diese isolierten Netzwerke bieten umfassenden Schutz für Ihre Datenbankinstallation. Auf AWS können Sie Ihre Datenbankserver in einem privaten Subnetz in einer VPC bereitstellen – selbst bei einer Fehlkonfiguration sind Ihre Datenbankserver nicht dem Internet ausgesetzt.
Im Folgenden finden Sie einige andere relevante Artikel zur MongoDB-Sicherheit. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an [email protected].
- Die drei A’s der MongoDB-Sicherheit – Authentifizierung, Autorisierung und Prüfung
- 10 Tipps zur Verbesserung Ihrer MongoDB-Sicherheit
- Sichere MongoDB-Bereitstellung auf Amazon AWS
- Sichern Sie Ihre Mongo-Cluster mit SSL