Utiliza las siguientes funcionalidades de Atlas para abordar los requisitos de cumplimiento.
Certificaciones y Cumplimiento con Regulaciones
MongoDB Atlas ofrece diversas funcionalidades y configuraciones para ayudarte a abordar los requisitos de seguridad, cumplimiento y privacidad.
La plataforma de datos MongoDB Atlas se somete a rigurosas auditorías independientes de terceros para verificar sus controles de seguridad, privacidad y organizacionales. Atlas cumple con marcos de cumplimiento incluyendo ISO/ IEC 27001, SOC2 Tipo II, PCI DSS y otros listados en nuestro Atlas Trust Center. Puedes ver y descargar atestados, informes de cumplimiento y otras documentaciones de cumplimiento en nuestro Portal de confianza del cliente.
MongoDB Atlas para el gobierno
MongoDB Atlas para Gobierno es una plataforma de datos para desarrolladores multi-nube totalmente gestionado, autorizada en FedRAMP® Moderate, que:
Utiliza un entorno seguro, totalmente gestionado y dedicado autorizado por FedRAMP®.
Apoya los requisitos y misiones únicos del Gobierno de los EE. UU.
Ofrece un conjunto de funcionalidades y la escalabilidad necesaria para modernizar aplicaciones heredadas.
Políticas de recursos de Atlas
Para satisfacer sus requisitos de cumplimiento, las Políticas de recursos de Atlas ofrecen controles a nivel de organización para configurar y gestionar los recursos de Atlas, en conformidad con sus mejores prácticas de seguridad, cumplimiento y operacionales. Los propietarios de organizaciones pueden definir reglas que regulen las acciones de los usuarios al crear o modificar recursos como clústeres, configuraciones de red y los ajustes del proyecto. Recomendamos establecer una política de recursos de acuerdo con los estándares de la empresa al momento de la creación de la Organización.
Las políticas de recursos de Atlas apoyan tus objetivos de cumplimiento al permitirte:
Aplicar la versión mínima de TLS: Mandate the use of modern TLS protocolos en todas las implementaciones de Atlas, reforzando la seguridad y mitigando riesgos asociados con versiones más antiguas y menos seguras. Esto garantiza la conformidad con los estándares contemporáneos de cifrado para todos los datos en tránsito.
Personaliza los cifrados TLS por defecto: Selecciona un conjunto específico de cifrados TLS permitidos para optimizar la seguridad según las necesidades operacionales, evitando al mismo tiempo vulnerabilidades asociadas con métodos de cifrado heredados. Esto permite ajustar finamente los protocolos de cifrado para cumplir con requisitos específicos de cumplimiento.
Restringir las modificaciones de emparejamiento de VPC: Habilite una comunicación segura entre redes a través de conexiones de emparejamiento establecidas VPC mientras se impiden los cambios de configuración. Las interconexiones entre pares a nivel de proyecto actuales siguen activas con sus tablas de enrutamiento y protocolos de seguridad existentes, lo que permite a los clientes ver, pero no modificar, estas relaciones individuales de VPC y sus mecanismos de control de red asociados.
Restringir modificaciones de endpoints privados: Mantenga la conectividad segura del servicio mediante las configuraciones de endpoints privados existentes con acceso de solo lectura. Las conexiones a nivel de proyecto siguen funcionando con su esquema de direcciones IP privadas actual, mientras que los clientes pueden ver, pero no modificar, estos puntos de conexión de servicio dedicados dentro de su VPC.
Control de listas de acceso IP: Evite modificaciones no autorizadas a las listas de acceso IP, lo que facilita el acceso a la red consistente y controlado a sus bases de datos. Esto refuerza la seguridad de las bases de datos al preservar los límites de red cuidadosamente definidos y proteger contra cambios accidentales de configuración.
Establecer límites de nivel de clúster: Defina las medidas de seguridad de implementación estableciendo límites máximos y mínimos de tamaño de clúster que los desarrolladores deben respetar al aprovisionar recursos. Este enfoque de establecimiento de límites garantiza que los equipos puedan implementar entornos de tamaño adecuado dentro de los parámetros aprobados por la organización, optimizando el uso de la infraestructura y aplicando políticas de asignación de recursos consistentes en todas las cargas de trabajo del proyecto.
Establezca el requisito de periodo de mantenimiento: Mejore la estabilidad de la plataforma exigiendo un periodo de mantenimiento para todos los proyectos. Este control de gobernanza permite a las organizaciones establecer un periodo para actualizar predecible (sin especificar un plazo específico) para apoyar el mantenimiento coherente del sistema de acuerdo con las necesidades operativas.
Configura el proveedor de nube y las regiones: Configura tu proveedor de nube y distribuye los clústeres en varias regiones y proveedores para cumplir con tus requisitos de residencia de datos y garantizar una alta disponibilidad.
Bloquea el uso de direcciones IP con comodín: Limita el acceso a tu clúster solo a las direcciones IP permitidas explícitamente al no incluir la dirección IP con comodín en tu lista de acceso IP o en las reglas de firewall. La dirección IP comodín es 0.0.0.0/0 y permite el acceso desde cualquier lugar.
Para obtener más información, consulte Políticas de recursos de Atlas.
Este ejemplo de política de recursos permite crear clústeres en AWS:
{ "name": "Only Allow Clusters on AWS", "policies": [ { "body": "forbid ( principal, action == cloud::Action::\"cluster.createEdit\", resource) unless { context.cluster.cloudProviders == [cloud::cloudProvider::\"aws\"] };" } ] }
El siguiente ejemplo crea un archivo de políticas de recursos de Terraform que puedes usar para aplicar políticas de recursos en tu aplicación. El archivo aplica las siguientes políticas:
Restringe la modificación del clúster solo a un proveedor de nube especificado.
Prohíbe el acceso al clúster desde una dirección IP comodín.
Especifica un tamaño mínimo y máximo para el clúster.
Evita la modificación de los nodos privados.
resource "mongodbatlas_resource_policy" "restrict_cloud_provider" { org_id = var.org_id name = "restrict-cloud-provider" policies = [ { body = <<EOF forbid ( principal, action == ResourcePolicy::Action::"cluster.modify", resource ) unless { context.cluster.cloudProviders == [ResourcePolicy::CloudProvider::"<cloud provider name>"] }; EOF }, ] } resource "mongodbatlas_resource_policy" "forbid_project_access_anywhere" { org_id = var.org_id name = "forbid-project-access-anywhere" policies = [ { body = <<EOF forbid ( principal, action == ResourcePolicy::Action::"project.ipAccessList.modify", resource ) when {context.project.ipAccessList.contains(ip("0.0.0.0/0"))}; EOF }, ] } resource "mongodbatlas_resource_policy" "restrict_cluster_size: { org_id = var.org_id name = "restrict-cluster-size" policies = [ { // restrict cluster size to a minimum of M30 and a maximum of M60 body = <<EOF forbid ( principal, action == ResourcePolicy::Action::"cluster.modify", resource ) when { (context.cluster has minGeneralClassInstanceSizeValue && context.cluster.minGeneralClassInstanceSizeValue < 30) || (context.cluster has maxGeneralClassInstanceSizeValue && context.cluster.maxGeneralClassInstanceSize > 60) }; EOF }, ] } resource "mongodbatlas_resource_policy" "prevent-modifications-private-endpoints" { org_id = var.org_id name = "prevent-modifications-private-endpoints" policies = [ { body = <<EOF forbid ( principal, action == ResourcePolicy::Action::"privateEndpoint.modify", resource ) when {context.project.privateEndpoints == [ \"aws:<VPC_ENDPOINT_ID>", \"azure:<PRIVATE_ENDPOINT_RESOURCE_ID>:<PRIVATE_ENDPOINT_IP_ADDRESS>", \"gcp:<GCP_PROJECT_ID>:<VPC_NAME>" ]}; EOF }, ] }
Encriptación
Se puede implementar cifrado para amplificar la seguridad de los datos en todas las etapas del manejo de datos. El cifrado es uno de los requisitos más comunes para garantizar el cumplimiento de las normas de seguridad de la industria, y Atlas ofrece un sólido conjunto de opciones de cifrado para cumplir con los requisitos.
Por defecto, Atlas cifra los datos en tránsito. Atlas requiere TLS/SSL para cifrar las conexiones a sus bases de datos.
Por defecto, Atlas cifra todos los datos en reposo utilizando el cifrado de disco del proveedor de nube. Al utilizar las copias de seguridad en la nube Atlas, Atlas emplea AES-256Cifrado para cifrar todos los datos almacenados en buckets S de sus clústeres de Atlas.3 Además, Atlas admite el uso de AWS KMS, AKV y GCP para cifrar los motores de almacenamiento y las copias de seguridad de proveedores de nube. Para obtener más información, consulte Cifrado en reposo mediante la administración de claves.
Puede usar Encriptación consultable para proteger las consultas sobre datos encriptados en un conjunto selecto de campos sensibles de un documento almacenado en MongoDB. Con Queryable Encryption, la información sensible permanece protegida incluso cuando los usuarios ejecutar consultas sobre los datos.
Utiliza esquemas de cifrado no determinísticos bien investigados para mantener el equilibrio entre seguridad y funcionalidad.
Con Queryable Encryption, puedes realizar las siguientes tareas:
Cifra los campos de datos confidenciales desde el lado del cliente.
Almacenar los campos de datos confidenciales como datos cifrados completamente aleatorios en el lado del clúster de base de datos, ejecutándose con Atlas.
Ejecuta las query expresivas sobre los datos cifrados.
MongoDB completa estas tareas sin que el servidor tenga conocimiento de los datos que está procesando.
Cuando se utiliza Queryable Encryption, los datos sensibles se cifran durante todo su ciclo de vida: en tránsito, en reposo, en uso, en registros y copias de seguridad. Los datos solo se descifran en el lado del cliente, ya que sólo tú tienes acceso a las claves de cifrado.
Puedes configurar Queryable Encryption mediante los siguientes mecanismos:
Cifrado Automático le permite realizar operaciones de lectura y escritura cifradas sin tener que agregar llamadas explícitas para cifrar y descifrar campos. Recomendamos el cifrado automático en la mayoría de las situaciones, ya que facilita el proceso de escribir tu aplicación cliente. Con el cifrado automático, MongoDB cifra y descifra automáticamente los campos en las operaciones de lectura y escritura.
Encriptación explícita le permite realizar operaciones de lectura y escritura cifradas a través de la librería de cifrado de la librería cliente de MongoDB. Debes especificar la lógica para el cifrado con esta librería a lo largo de toda tu aplicación. El cifrado explícito proporciona un control detallado sobre la seguridad, a costa de una mayor complejidad al configurar colecciones y escribir código para las Librerías de clientes de MongoDB. Con el cifrado explícito se especifica cómo cifrar los campos en el documento para cada operación que se realice en la base de datos, y se incluye esta lógica en toda la aplicación.
Para obtener más información, consulte Usar cifrado explícito.
Regionalización de datos
Atlas admite más de 110+ regiones en AWS, Azure y GCP. Esta distribución mundial de ubicaciones compatibles permite aprovisionar clústeres y almacenar datos que cumplen con los requisitos de localización de datos. También puedes implementar tus clústeres de Atlas en múltiples regiones. Cuando implemente un paradigma de implementación en multiregión, puedes particionar tus datos para que residan en regiones distintas, cada una situada en una región geográfica diferente. Por ejemplo, puede almacenar datos de clientes europeos en Europa y datos de clientes estadounidenses en EE. UU. Esto le permite flexibilidad en su elección de localización de datos y reduce la latencia para los usuarios que acceden a datos desde sus respectivas regiones.
Distribución de Snapshots de copias de seguridad
Puedes distribuir copias instantáneas de seguridad y datos del registro de operaciones (oplog) en varias regiones. Por ejemplo, puedes cumplir con las copias de seguridad de la tienda en diferentes ubicaciones geográficas para permitir la recuperación ante desastres en caso de interrupciones del servicio regionales, o para mantener las copias de seguridad de manera coherente con tus elecciones de localización de datos. Para obtener más información, consulta Distribución de snapshot.
Política de cumplimiento de copias de seguridad
Puedes usar la política de cumplimiento de copia de seguridad en Atlas para proteger datos críticos para el negocio. Esta funcionalidad impide que todos los snapshots de copia de seguridad y los datos de oplog almacenados en Atlas sean modificados o borrados durante un periodo de retención predefinido por cualquier usuario, independientemente de su rol en Atlas.
Esto le ayuda a garantizar que sus copias de seguridad cumplan totalmente con la normativa WORM (Write Once Read Many). Solo un usuario autorizado puede desactivar esta protección tras completar un proceso de verificación con MongoDB. Esto añade un retraso manual obligatorio y un periodo de recuperación para que un atacante no pueda modificar fácilmente la política de copias de seguridad ni exportar los datos. Para obtener más información, consulte Configurar una política de cumplimiento de copias de seguridad.