Tuần trước, một trong những khách hàng của tôi đã yêu cầu đề xuất về kiến trúc để triển khai an toàn các phiên bản MongoDB sản xuất trên Amazon EC2 AWS. Điều này khiến tôi suy nghĩ về chủ đề và bài đăng trên blog này là kết quả. Có quá nhiều công ty để lộ cơ sở dữ liệu MongoDB sản xuất của họ trên internet khi có các lựa chọn tốt hơn. Quy tắc số 1 về bảo mật là hạn chế quyền truy cập vật lý vào các máy chủ cơ sở dữ liệu của bạn. Ngay cả khi thông tin đăng nhập của bạn bị xâm phạm, nó sẽ giảm đáng kể tác động nếu kẻ tấn công không thể truy cập vào máy chủ của bạn.
Trước khi đi sâu vào chi tiết, hãy lùi lại một chút và nhớ lại cách nhân viên CNTT đã sử dụng để triển khai cơ sở dữ liệu trong thế giới AWS trước Amazon. Tôi có thể nhớ một số cấu hình khác nhau:
1. Cấu hình Dual Firewall DMZ (Khu phi quân sự)
Trong cấu hình này, các máy chủ tầng trước và tầng giữa được triển khai trong DMZ và các máy chủ cơ sở dữ liệu nằm sau tường lửa thứ hai. Tường lửa phía trước cho phép kết nối trên các cổng web và tường lửa phía sau chỉ cho phép kết nối trên các cổng cơ sở dữ liệu.
2. VLAN - Ít phổ biến hơn Tường lửa kép DMZ
Máy chủ cơ sở dữ liệu và máy chủ front-end nằm trên các VLAN riêng biệt. Chỉ các cổng cơ sở dữ liệu được phép trong kết nối trung kế giữa hai VLAN.
Về mặt kỹ thuật, không có gì thay đổi kể từ đó. Tuy nhiên, các kỹ thuật bây giờ đã khác. Bạn không còn nói về DMZ và tường lửa nữa, mà bạn nói về VPC và Nhóm bảo mật. Nếu bạn là một doanh nghiệp lớn hơn với đội ngũ nhân viên CNTT, tôi chắc chắn sẽ xem xét Amazon VPC. Nó cung cấp cho bạn nhiều quyền kiểm soát đối với mạng lớp 3 và bạn có thể đặt cơ sở dữ liệu của mình vào một mạng con riêng và không để lộ chúng trên internet. Tuy nhiên, nó là một chủ đề dài hơn nhiều cho một bài đăng trên blog khác. Nếu bạn đã thiết lập VPC và muốn thiết lập MongoDB trong VPC, đây là bài đăng trên blog của tôi để hướng dẫn bạn các bước - Triển khai MongoDB trên Amazon VPC.
Trong phần còn lại của bài đăng này, tôi sẽ tập trung vào EC2-classic.
3 bước để định cấu hình tường lửa kép DMZ trong AWS
1. Tạo Nhóm bảo mật cho Máy chủ MongoDB của bạn
Nhóm Bảo mật có thể mở rộng toàn bộ khu vực - vì vậy, ngay cả khi bạn có một nhóm bản sao, bạn có thể phân phối bản sao của mình trên các vùng khả dụng trong khu vực và vẫn có trong cùng một Nhóm bảo mật . Tạo Nhóm bảo mật cho Máy chủ MongoDB của bạn và chỉ thêm tất cả các máy chủ mongo của bạn vào Nhóm bảo mật này.
2. Tạo Nhóm bảo mật cho Máy chủ cấp giữa / trước của bạn
Tạo Nhóm bảo mật bổ sung cho các máy chủ MongoDB cấp trung và / hoặc cấp trước của bạn.
3. Định cấu hình quyền truy cập nhóm bảo mật MongoDB của bạn
Định cấu hình Nhóm bảo mật MongoDB của bạn để chỉ cho phép truy cập vào các máy chủ cấp trước trên các cổng MongoDB. Định cấu hình Nhóm bảo mật giao diện người dùng của bạn để mở các cổng web với internet.
Định cấu hình Dual Firewall DMZ trong AWS Thông qua ScaleGrid
1. Tạo Nhóm bảo mật trong AWS
Đăng nhập vào bảng điều khiển Amazon của bạn và tạo Nhóm bảo mật cho các máy chủ hạng trung / hạng trước của bạn. Hãy gọi Nhóm bảo mật là 'AppServerSG'. Định cấu hình Nhóm bảo mật này để mở cổng http / https nếu cần. Đặt bạn các máy chủ cấp giữa và cấp trước vào Nhóm bảo mật này.
2. Tạo cấu hình đám mây ScaleGrid AWS
Đăng nhập vào bảng điều khiển ScaleGrid và nhấp vào tab Machine Pool. Tạo nhóm Máy tùy chỉnh của riêng bạn để bạn có thể triển khai và quản lý các phiên bản mongo trong tài khoản AWS của riêng bạn. Trong tab Nhóm máy, nhấp vào nút tạo. Nhập khóa API Amazon và khóa bí mật của bạn rồi nhấn Tiếp theo:
3. Chọn Khu vực AWS của bạn cho MongoDB
Chọn vùng AWS bạn chọn để triển khai MongoDB:
4. Định cấu hình chính sách truy cập của bạn
Đây là bước chính của cấu hình bảo mật. Chọn tùy chọn để chỉ cho phép các máy trong một Nhóm bảo mật cụ thể truy cập vào máy chủ MongoDB của bạn. Sau đó, chọn Nhóm bảo mật mà bạn muốn cấp quyền truy cập. Nhập tên cho nhóm máy của bạn và sau đó nhấp vào tiếp theo:
5. Tạo cụm MongoDB của bạn
Điều hướng trở lại trang triển khai MongoDB của bạn trong bảng điều khiển chính. Nhấp vào ‘Tạo’ để tạo một cụm MongoDB mới. Trong lựa chọn Nhóm máy, hãy chọn nhóm máy mà bạn vừa tạo và tạo cụm.
Đây chỉ là một trong những kỹ thuật để đảm bảo việc triển khai MongoDB của bạn trên AWS. Nếu bạn có bất kỳ đề xuất nào khác, vui lòng sử dụng phần nhận xét để cung cấp phản hồi của bạn. Để biết thêm chi tiết về các phương pháp bảo mật, hãy tham khảo các phương pháp bảo mật 10gen. Như thường lệ nếu bạn có bất kỳ câu hỏi nào, hãy gửi email cho chúng tôi theo địa chỉ [email protected].
