该系列的一部分:
MongoDB 安全性:确保数据安全的最佳实践
MongoDB,也称为Mongo,是许多现代 Web 应用程序中使用的文档数据库。与任何数据库管理系统一样,负责管理 Mongo 数据库的人员必须遵守推荐的安全最佳实践,以防止数据在发生灾难时丢失并防止其落入恶意行为者之手。
本系列概念文章对 MongoDB 的内置安全功能进行了高级概述,同时还重点介绍了一些通用的数据库安全最佳实践。
保护存储在 MongoDB 中的数据的最基本方法是限制对运行数据库的服务器的网络访问。一种方法是配置虚拟专用网络(VPN)。VPN 将其连接视为本地专用网络,允许在其中的服务器之间进行安全通信。通过在 VPN 后面运行 MongoDB,您可以阻止对未连接到同一 VPN 的任何机器的访问。
但是,就其本身而言,VPN 可能不足以阻止未经授权的用户访问您的 MongoDB 安装。例如,可能有很多人需要访问您的 VPN,但只有少数人需要访问您的 Mongo 数据库。通过在数据库服务器上设置防火墙,您可以更精细地控制谁可以访问您的数据。
防火墙通过基于一组用户定义的规则过滤传入和传出流量来提供网络安全。防火墙工具通常允许您以高精度定义规则,使您可以灵活地授予来自特定 IP 地址的连接访问服务器上特定端口的权限。例如,您可以编写仅允许应用程序服务器访问 MongoDB 安装使用的数据库服务器上的端口的规则。
另一种限制数据库网络暴露的方法是配置IP 绑定。默认情况下,MongoDB在安装时仅绑定到localhost。这意味着,无需进一步配置,全新的 Mongo 安装将只能接受来自localhost或安装 MongoDB 实例的同一服务器的连接。
这个默认设置是安全的,因为这意味着只有那些已经可以访问安装它的服务器的人才能访问数据库。但是,如果您需要从另一台机器远程访问数据库,则此设置会导致问题。在这种情况下,您还可以将您的实例绑定到远程计算机可以访问数据库服务器的 IP 地址或主机名。
