MongoDB Security đã đưa tin về tất cả những lý do sai lầm trong tuần này. Tất cả các cuộc thảo luận là về khoảng 40.000 cơ sở dữ liệu đã được tìm thấy bởi một nhóm sinh viên ở Đức. Một số cơ sở dữ liệu thậm chí còn chứa dữ liệu sản xuất. Nó nghiêm trọng ở một số cấp độ - bạn không chỉ có dữ liệu sản xuất trên cơ sở dữ liệu chưa được xác thực mà còn bị bỏ ngỏ trên internet. Điều đáng ngạc nhiên duy nhất là nó mất nhiều thời gian để bị lộ. Nếu bạn không muốn máy chủ MongoDB của mình xuất hiện trong tin tức, đây là ba bước đơn giản để cải thiện tính bảo mật của cài đặt MongoDB của bạn:
-
Luôn bật xác thực
Điều quan trọng là phải bật xác thực cho tất cả các cụm MongoDB của bạn. Ngay cả khi đó là cài đặt phát triển, hãy luôn bật xác thực và đảm bảo quy trình làm việc của bạn được hướng tới để có thể hỗ trợ xác thực. Bạn có thể tìm thấy thêm thông tin chi tiết về việc thêm người dùng và vai trò tại đây.
Bạn cũng có thể tiến thêm một bước và sử dụng chứng chỉ X509 thay vì mật khẩu để xác thực. Điều này sẽ bảo vệ bạn khỏi bất kỳ cuộc tấn công dựa trên mật khẩu nào như cuộc tấn công ‘Từ điển’. Nếu bạn có phiên bản MongoDB dành cho doanh nghiệp, bạn cũng có thể sử dụng Kerberos để xác thực.
-
Khóa quyền truy cập bằng tường lửa
Tất cả quyền truy cập vào máy chủ cơ sở dữ liệu của bạn cần phải trên cơ sở “cần thiết” và bạn có thể sử dụng tường lửa để khóa quyền truy cập. Cấu hình điển hình là khóa quyền truy cập để chỉ máy chủ ứng dụng và nhóm CNTT của bạn mới có quyền truy cập vào máy chủ. Nếu bạn đang sử dụng Amazon AWS, hãy sử dụng các nhóm bảo mật để khóa quyền truy cập vào các máy chủ. Cuối cùng, điểm quan trọng nhất - Không để lộ cơ sở dữ liệu của bạn lên internet! Chỉ có một số lý do chính đáng để bạn đưa cơ sở dữ liệu của mình lên internet.
-
Sử dụng mạng Cô lập
Hầu hết các đám mây công cộng ngày nay đều cung cấp các tùy chọn để triển khai máy chủ của bạn trong một không gian mạng riêng biệt mà Internet công cộng không thể truy cập được. Bạn có thể tiếp cận với internet, nhưng không có lưu lượng truy cập internet nào có thể đến được với bạn. Ví dụ:AWS cung cấp Đám mây riêng ảo (VPC) và Azure cung cấp Mạng ảo (VNET). Các mạng bị cô lập này cung cấp khả năng bảo vệ chuyên sâu cho việc cài đặt cơ sở dữ liệu của bạn. Trên AWS, bạn có thể triển khai các máy chủ cơ sở dữ liệu của mình trên một mạng con riêng trong VPC - ngay cả khi có cấu hình sai, các máy chủ cơ sở dữ liệu của bạn sẽ không được tiếp xúc với Internet.
Dưới đây là một số bài viết liên quan khác về bảo mật MongoDB. Nếu bạn có thêm câu hỏi, vui lòng liên hệ với chúng tôi theo địa chỉ [email protected].
- Ba điểm A của bảo mật MongoDB - Xác thực, Ủy quyền và Kiểm tra
- 10 mẹo để cải thiện bảo mật MongoDB của bạn
- Triển khai MongoDB an toàn trên Amazon AWS
- Bảo mật các cụm Mongo của bạn bằng SSL