MongoDB udělala za posledních 18 měsíců působivé pokroky. Jednou z oblastí MongoDB, která zaznamenala nejvýraznější zlepšení, je zabezpečení. Bezpečnost je pro produkční databázi nanejvýš důležitá. Stávající relační databáze poskytují řadu knoflíků a ovládacích prvků, které pomáhají správci databáze (DBA) spravovat zabezpečení jejich databáze, a na podobné místo se dostává i MongoDB. V tomto příspěvku se hlouběji ponoříme do bezpečnostních funkcí v oblastech ověřování, autorizace a auditu.

1. Ověření

   MongoDB nabízí různé mechanismy k ověření připojení uživatelů k databázi. Vyberte mechanismus, který poskytuje nejlepší rovnováhu mezi zabezpečením a správou. Ačkoli je to volitelné, doporučuje se, aby všechny produkční systémy měly zapnuté ověřování.

   • Ověření odezvy na výzvu (MongoDB-CR)

     Toto je tradiční ověřování na základě uživatelského jména a hesla. Uživatelé mohou být vytvořeni v rozsahu databáze nebo celého clusteru. Pokud uživatel potřebuje přistupovat pouze k datům v konkrétní databázi, doporučuje se vytvořit pouze uživatele specifického pro tuto databázi. Přístup na úrovni clusteru by měl být pro administrátory omezen.

   • Ověření certifikátem X.509

     Uživatelé se mohou ověřit do své databáze MongoDB pomocí certifikátu X.509. Aby to bylo možné, musí mít server MongoDB povoleno SSL. Ve výchozím nastavení nemají komunitní sestavení MongoDB povoleno SSL. Chcete-li používat edici Enterprise, musíte uvést své vlastní sestavení nebo se zaregistrovat. V MongoDB můžete vytvořit uživatele pro každý certifikát X.509 s jedinečným předmětem. Další podrobné pokyny najdete v nastavení certifikátu MongoDB X.509.

   • Ověření Kerberos

     Sestavení Enterprise MongoDB podporuje ověřování pomocí Kerberos, což je průmyslový standard pro ověřování klientského serveru. Pokud jste například podnik s instalací služby Active Directory, můžete k ověření svých uživatelů použít mechanismus ověřování Kerberos. Vyhnete se tak potížím se správou uživatelských jmen, hesel nebo certifikátů. Kliknutím sem zobrazíte pokyny k integraci MongoDB se službou Active Directory.

2. Autorizace

   Autorizační systém určuje, které operace mohou uživatelé provádět po dokončení ověřování. MongoDB podporuje model řízení přístupu založeného na rolích (RBAC). Každému uživateli jsou přiřazeny specifické role, které určují operace, které smí provádět. MongoDB má sadu vestavěných rolí a můžete si také vytvořit své vlastní role. Každé roli je přiřazena sada oprávnění, která spárují prostředky s povolenými operacemi na daném prostředku. MongoDB poskytuje vestavěné role v následujících rozsahech:

   • Role uživatelů databáze

     číst, číst, zapisovat

   • Role správce databáze (DBA)

     dbAdmin, dbOwner, userAdmin

   • Role správce klastru

     clusterAdmin, clusterManager, clusterMonitor, hostManager

   • Zálohování a obnovení rolí

     zálohovat, obnovit

   • Všechny databázové role

     readAnyDatabase, readWriteAnyDatabase,userAdminAnyDatabase

   • Role superuživatelů

     kořen

   Podrobnější informace o rolích, které je třeba přiřadit vašim uživatelům, najdete v dokumentaci k integrovaným rolím.

3. Audit

   Vydání MongoDB Enterprise 2.6 přidalo podporu pro auditování. Server MongoDB můžete nakonfigurovat tak, aby generoval události auditu pro zajímavé operace MongoDB, jako je přihlášení uživatele, změny DDL, změny konfigurace sady replik atd. To vám umožní použít váš stávající nástroj podnikového auditu k vyzvednutí a zpracování nezbytných událostí. Další informace naleznete v seznamu událostí MongoDB, které lze auditovat.

Další tipy na zlepšení zabezpečení vašich databází MongoDB najdete v našem dalším příspěvku na blogu – 10 tipů, jak zlepšit zabezpečení MongoDB.