MongoDB安全的3A -- 认证(Authentication)、授权(Authorization)和审计(Audit

本文涉及的产品
云数据库 MongoDB,独享型 2核8GB
推荐场景:
构建全方位客户视图
简介:

 

clip_image002

 

MongoDB公司在过去的18个月取得了令人印象深刻的进步。该产品的最具重大意义的提高之一是安全方面。安全对于生产数据库是最重要的。现有关系型数据库提供了大量的插件和空间来帮助DBA管理数据库安全并且MongoDB也越来越类似。本文我们将深入认证(Authentication)、授权(Authorization)和审计(Auditing)方面。

 

1. 认证(Authentication

MongoDB提供了大量的用户连接到数据的认证机制。选择提供安全和管理最好的平衡的机制。尽管认证是可选的,但推荐的安全实践是所有的生产系统启用认证。

 

质疑应答认证(Challenge Response Authentication(MongoDB-CR))

这是传统的基于用户名密码的认证。用户可以在一个数据库或整个集群范围创建。如果一个用户只须在特定的数据库访问数据,推荐只在该数据库创建用户。集群级别的访问应该限制给管理员。

 

X.509证书认证(X.509 certificate Authentication

用户可以使用X.509证书认证到他们的MongoDB数据库。为了实现它,MongoDB实例需要启用SSL。默认MongoDB社区版没有启用SSL。你需要转向你自己的版本或者注册使用企业版。你可以使用唯一的标题对每个X.509证书在MongoDB创建一个用户。更多操作向导细节参考MongoDB X.509 certificate setup指南。

 

Kerberos认证(Kerberos Authentication

MongoDB企业版支持使用Kerberos认证,它是一个客户端/服务器认证的行业标准。例如,如果你是一个安装有活动目录(Active Directory)的企业,可以使用Kerberos认证机制认证用户 – 这避免了管理用户名/密码或者证书的麻烦。点击这里获取集成MongoDB到活动目录的指南。

 

2. 授权(Authorization

授权系统决定了用户可以执行什么操作,一旦他们完成授权。MongoDB支持基于角色的访问控制(RBAC)模型。每个用户分配特定的角色,决定了他允许执行什么操作。MongoDB有一批内置角色并且你也可以创建你自己的角色。每个角色分配了一批对资源允许操作的权限。MongoDB在以下范围提供了内置角色:

 

数据库用户角色(Database user roles) -- read, readWrite

数据库管理员角色(Database administrator roles) -- dbAdmin, dbOwner, userAdmin

集群管理员角色(Cluster administrator roles) -- clusterAdmin, clusterManager, clusterMonitor, hostManager

备份和恢复角色(Backup and restore roles) -- backup, restore

所有数据库角色(All Database roles) -- readAnyDatabase, readWriteAnyDatabase, userAdminAnyDatabase

超级用户角色(Superuser roles) – root

 

参考内置角色文档,更详细的理解需要分配给用户的角色。

 

3. 审计(Auditing

MongoDB 2.6企业版增加了对审计的支持。你可以配置MongoDB实例,对于感兴趣的MongoDB操作,像用户登录、DDL修改、复制集配置修改等,生成审计事件。这能让你使用已经存在企业审计工具来获取和处理需要的事件。更详细的信息参考MongoDB可被审计的事件列表

 

















本文转自UltraSQL51CTO博客,原文链接: http://blog.51cto.com/ultrasql/1739339,如需转载请自行联系原作者



相关实践学习
MongoDB数据库入门
MongoDB数据库入门实验。
快速掌握 MongoDB 数据库
本课程主要讲解MongoDB数据库的基本知识,包括MongoDB数据库的安装、配置、服务的启动、数据的CRUD操作函数使用、MongoDB索引的使用(唯一索引、地理索引、过期索引、全文索引等)、MapReduce操作实现、用户管理、Java对MongoDB的操作支持(基于2.x驱动与3.x驱动的完全讲解)。 通过学习此课程,读者将具备MongoDB数据库的开发能力,并且能够使用MongoDB进行项目开发。   相关的阿里云产品:云数据库 MongoDB版 云数据库MongoDB版支持ReplicaSet和Sharding两种部署架构,具备安全审计,时间点备份等多项企业能力。在互联网、物联网、游戏、金融等领域被广泛采用。 云数据库MongoDB版(ApsaraDB for MongoDB)完全兼容MongoDB协议,基于飞天分布式系统和高可靠存储引擎,提供多节点高可用架构、弹性扩容、容灾、备份回滚、性能优化等解决方案。 产品详情: https://www.aliyun.com/product/mongodb
相关文章
|
安全 NoSQL MongoDB
20 MongoDB高级 - 用户管理安全
20 MongoDB高级 - 用户管理安全
74 1
|
4月前
|
NoSQL 安全 MongoDB
【MongoDB深度揭秘】你的更新操作真的安全了吗?MongoDB fsync机制大起底,数据持久化不再是谜!
【8月更文挑战第24天】MongoDB是一款备受欢迎的NoSQL数据库,以其灵活的文档模型和强大的查询能力著称。处理关键业务数据时,数据持久化至关重要。本文深入探讨MongoDB的写入机制,特别是更新操作时的fsync行为。MongoDB先将数据更新至内存以提升性能,而非直接写入磁盘。fsync的作用是确保数据从内存同步到磁盘,但MongoDB并非每次更新后都立即执行fsync。通过设置不同的写入关注级别(如w:0、w:1和w:majority),可以平衡数据持久性和性能。
52 1
|
4月前
|
持续交付 C# 敏捷开发
“敏捷之道:揭秘WPF项目中的快速迭代与持续交付——从需求管理到自动化测试,打造高效开发流程的全方位指南”
【8月更文挑战第31天】敏捷开发是一种注重快速迭代和持续交付的软件开发方法,通过短周期开发提高产品质量并快速响应变化。本文通过问题解答形式,探讨在Windows Presentation Foundation(WPF)项目中应用敏捷开发的最佳实践,涵盖需求管理、版本控制、自动化测试及持续集成等方面,并通过具体示例代码展示其实施过程,帮助团队提升代码质量和开发效率。
73 0
|
4月前
|
NoSQL MongoDB
阿里云 MongoDB 创建库添加用户并授权
阿里云 MongoDB 创建库添加用户并授权
50 0
|
7月前
|
NoSQL MongoDB 数据库
国内唯一 阿里云荣膺MongoDB“2024年度DBaaS认证合作伙伴奖”
阿里云连续第五年斩获MongoDB合作伙伴奖项,也是唯一获此殊荣的中国云厂商。一起学习MongoDB副本集的选举机制以及可能会出现的特殊情况。
国内唯一 阿里云荣膺MongoDB“2024年度DBaaS认证合作伙伴奖”
|
7月前
|
NoSQL 安全 MongoDB
MongoDB为提供MongoDB数据库服务的云服务合作伙伴推出认证计划
Certified by MongoDB DBaaS计划还将为云计算合作伙伴提供构建深度技术集成所需的专业支持,同时还将携手MongoDB合作伙伴生态系统(MongoDB Partner Ecosystem)共同推出一系列联合的进入市场举措,使云服务合作伙伴能够助力其客户快速走向成功。
3157 0
|
7月前
|
人工智能 NoSQL MongoDB
国内唯一!阿里云荣膺MongoDB “2024年度DBaaS认证合作伙伴奖”
这是阿里云连续第五年斩获 MongoDB 合作伙伴奖项,也是唯一获此殊荣的中国云厂商。
3179 0
|
7月前
|
NoSQL 安全 MongoDB
MongoDB安全机制:认证、授权与加密
【4月更文挑战第30天】MongoDB提供全面的安全机制,包括认证(用户名/密码、LDAP、Kerberos、x.509证书)、授权(基于角色的访问控制,RBAC)和加密(TLS/SSL、透明数据加密TDE、字段级加密FLE),确保数据保密性、完整性和可用性。通过合理配置这些机制,企业可保障数据安全,应对不断变化的安全威胁。
|
7月前
|
NoSQL 安全 MongoDB
|
7月前
|
监控 NoSQL MongoDB
第5期 MongoDB配置用户名密码认证登录
第5期 MongoDB配置用户名密码认证登录
651 0