Docs Menu
Docs Home
/
Atlas Architecture Center
/
Seguridad
Docs Home
/
Atlas Architecture Center
/
Seguridad
Docs Home
/
Atlas Architecture Center
/
Seguridad

Características para el cumplimiento de estándares externos

Utilice las siguientes funciones de Atlas para abordar los requisitos de cumplimiento.

Certificaciones y Cumplimiento con Regulaciones

MongoDB Atlas ofrece varias características y configuraciones para ayudarlo a abordar los requisitos de seguridad, cumplimiento y privacidad.

La plataforma de datos MongoDB Atlas se somete a rigurosas auditorías independientes de terceros para verificar su seguridad, privacidad y controles organizativos. Atlas cumple con los marcos de cumplimiento, como ISO/IEC 27001, SOC2 Tipo II, PCI DSS y otros enumerados en nuestra Centro de Confianza Atlas. Puede consultar y descargar certificaciones, informes de cumplimiento y demás documentación de cumplimiento en nuestro Portal de Confianza del Cliente.

MongoDB Atlas para el gobierno

MongoDB Atlas for Government es una plataforma de datos para desarrolladores multicloud totalmente administrada y autorizada en FedRAMP® Moderate que:

  • Utiliza un entorno seguro, totalmente gestionado y dedicado autorizado por FedRAMP®.

  • Apoya los requisitos y misiones únicos del gobierno de EE. UU.

  • Ofrece un conjunto de características y la escalabilidad necesaria para modernizar aplicaciones heredadas.

Políticas de recursos de Atlas

Para cumplir con sus requisitos de cumplimiento, las Políticas de Recursos de Atlas ofrecen controles para toda la organización que permiten configurar y administrar los recursos de Atlas, de acuerdo con sus mejores prácticas de seguridad, cumplimiento y operaciones. Los propietarios de la organización pueden definir reglas que rijan las acciones de los usuarios al crear o modificar recursos, como clústeres, configuraciones de red y ajustes de proyecto. Le recomendamos que establezca una política de recursos según los estándares de su empresa al crear la organización.

Las políticas de recursos de Atlas respaldan sus objetivos de cumplimiento al permitirle:

  • Aplicar laversión mínima de TLS: exigir el uso de la versión moderna ProtocolosTLS en todas las implementaciones de Atlas, lo que mejora la seguridad y mitiga los riesgos asociados con versiones anteriores y menos seguras. Esto garantiza el cumplimiento de los estándares de cifrado actuales para todos los datos en tránsito.

  • Personaliza los cifrados TLS por defecto: Selecciona un conjunto específico de cifrados TLS permitidos para optimizar la seguridad según las necesidades operacionales, evitando al mismo tiempo vulnerabilidades asociadas con métodos de cifrado heredados. Esto permite ajustar finamente los protocolos de cifrado para cumplir con requisitos específicos de cumplimiento.

  • Restringir modificaciones de emparejamiento de VPC: Habilite la comunicación segura entre redes mediante conexiones de emparejamiento de VPC establecidas, a la vez que evita cambios de configuración. Los emparejamientos actuales a nivel de proyecto permanecen activos con sus tablas de enrutamiento y protocolos de seguridad, lo que permite a los clientes ver, pero no modificar, estas relaciones de VPC individuales y sus mecanismos de control de red asociados.

  • Restringir modificaciones de endpoints privados: Mantenga la conectividad segura del servicio mediante las configuraciones de endpoints privados existentes con acceso de solo lectura. Las conexiones a nivel de proyecto siguen funcionando con su esquema de direcciones IP privadas actual, mientras que los clientes pueden ver, pero no modificar, estos puntos de conexión de servicio dedicados dentro de su VPC.

  • Control de listas de acceso IP: Evite modificaciones no autorizadas a las listas de acceso IP, lo que facilita el acceso a la red consistente y controlado a sus bases de datos. Esto refuerza la seguridad de las bases de datos al preservar los límites de red cuidadosamente definidos y proteger contra cambios accidentales de configuración.

  • Establecer límites de nivel de clúster: Defina las medidas de seguridad de implementación estableciendo límites máximos y mínimos de tamaño de clúster que los desarrolladores deben respetar al aprovisionar recursos. Este enfoque de establecimiento de límites garantiza que los equipos puedan implementar entornos de tamaño adecuado dentro de los parámetros aprobados por la organización, optimizando el uso de la infraestructura y aplicando políticas de asignación de recursos consistentes en todas las cargas de trabajo del proyecto.

  • Establecer unrequisito de ventana de mantenimiento: Mejore la estabilidad de la plataforma al exigir una ventana de mantenimiento para todos los proyectos. Este control de gobernanza permite a las organizaciones establecer un período de actualización predecible (sin imponer un plazo específico) para facilitar un mantenimiento constante del sistema según las necesidades operativas.

  • Configurar proveedor de nube y regiones: configure su proveedor de nube y distribuya clústeres entre múltiples regiones y proveedores para cumplir con sus requisitos de residencia de datos y garantizar una alta disponibilidad.

  • Bloquear el uso de la dirección IP comodín: Limite el acceso a su clúster únicamente a las direcciones IP permitidas explícitamente. Para ello, no incluya la dirección IP comodín en su lista de acceso IP ni en las reglas del firewall. La dirección IP comodín es 0.0.0.0/0 y permite el acceso desde cualquier lugar.

Para obtener más información, consulte Políticas de recursos de Atlas.

El siguiente ejemplo de política de recursos permite crear clústeres en AWS:

{
  "name": "Only Allow Clusters on AWS",
  "policies": [
    {
      "body": "forbid ( principal, action == cloud::Action::\"cluster.createEdit\", resource) unless { context.cluster.cloudProviders   == [cloud::cloudProvider::\"aws\"] };"
    }
  ]
}

El siguiente ejemplo crea un archivo de políticas de recursos de Terraform que puede usar para implementar políticas de recursos en su aplicación. El archivo implementa las siguientes políticas:

  • Restringe la modificación del clúster únicamente a un proveedor de nube específico.

  • Prohíbe el acceso al clúster desde una dirección IP comodín.

  • Especifica un tamaño de clúster mínimo y máximo.

  • Evita la modificación de puntos finales privados.

resource "mongodbatlas_resource_policy" "restrict_cloud_provider" {
  org_id = var.org_id
  name   = "restrict-cloud-provider"
  policies = [
    {
      body = <<EOF
        forbid (
            principal,
            action == ResourcePolicy::Action::"cluster.modify",
            resource
        )
        unless
          { context.cluster.cloudProviders == [ResourcePolicy::CloudProvider::"<cloud provider name>"] };
      EOF
    },
  ]
}
resource "mongodbatlas_resource_policy" "forbid_project_access_anywhere" {
  org_id = var.org_id
  name   = "forbid-project-access-anywhere"
  policies = [
    {
      body = <<EOF
        forbid (
            principal,
            action == ResourcePolicy::Action::"project.ipAccessList.modify",
            resource
        )
        when {context.project.ipAccessList.contains(ip("0.0.0.0/0"))};
    EOF
    },
  ]
}
resource "mongodbatlas_resource_policy" "restrict_cluster_size: {
    org_id = var.org_id
    name   = "restrict-cluster-size"
    policies = [
        {
            // restrict cluster size to a minimum of M30 and a maximum of M60
            body = <<EOF
               forbid (
                   principal,
                   action == ResourcePolicy::Action::"cluster.modify",
                   resource
               )
               when {
                   (context.cluster has minGeneralClassInstanceSizeValue && context.cluster.minGeneralClassInstanceSizeValue < 30)
                   || (context.cluster has maxGeneralClassInstanceSizeValue && context.cluster.maxGeneralClassInstanceSize > 60)
               };
            EOF
        },
    ]
}
resource "mongodbatlas_resource_policy" "prevent-modifications-private-endpoints" {
  org_id = var.org_id
  name   = "prevent-modifications-private-endpoints"
  policies = [
    {
      body = <<EOF
        forbid (
            principal,
            action == ResourcePolicy::Action::"privateEndpoint.modify",
            resource
        )
        when {context.project.privateEndpoints == [
                \"aws:<VPC_ENDPOINT_ID>",
                \"azure:<PRIVATE_ENDPOINT_RESOURCE_ID>:<PRIVATE_ENDPOINT_IP_ADDRESS>",
                \"gcp:<GCP_PROJECT_ID>:<VPC_NAME>"
            ]};
        EOF
    },
  ]
}

Encriptación

Puede implementar el cifrado para ampliar la seguridad de los datos en todas las etapas de su gestión. El cifrado es uno de los requisitos más comunes para garantizar el cumplimiento de los estándares de seguridad del sector, y Atlas ofrece un sólido conjunto de opciones de cifrado para satisfacerlos.

  • De forma predeterminada, Atlas cifra los datos en tránsito. Atlas requiere TLS/SSL para cifrar las conexiones a sus bases de datos.

  • De forma predeterminada, Atlas cifra todos los datos en reposo mediante el cifrado de disco del proveedor de la nube. Al usar las copias de seguridad en la nube de Atlas, Atlas utiliza AES-.256Cifrado para cifrar todos los datos almacenados en buckets S de sus clústeres de Atlas.3 Además, Atlas admite el uso de AWS KMS, AKV y GCP para cifrar los motores de almacenamiento y las copias de seguridad de proveedores de nube. Para obtener más información, consulte Cifrado en reposo mediante la administración de claves.

  • Puede usar el Cifrado Consultable para proteger las consultas sobre datos cifrados en un conjunto selecto de campos confidenciales de un documento almacenado en MongoDB. Con el Cifrado Consultable, la información confidencial permanece protegida incluso cuando los usuarios realizan consultas sobre los datos.

    Utilice esquemas de cifrado no deterministas bien investigados para mantener un equilibrio entre seguridad y funcionalidad.

    Con Queryable Encryption, puedes realizar las siguientes tareas:

    • Cifra los campos de datos confidenciales desde el lado del cliente.

    • Almacene los campos de datos confidenciales como datos cifrados totalmente aleatorios en el lado del clúster de la base de datos, ejecútelos con Atlas.

    • Ejecuta las query expresivas sobre los datos cifrados.

    MongoDB completa estas tareas sin que el servidor tenga conocimiento de los datos que está procesando.

    Al usar el cifrado consultable, los datos confidenciales se cifran durante todo su ciclo de vida: en tránsito, en reposo, en uso, en registros y en copias de seguridad. Los datos solo se descifran en el lado del cliente, ya que solo usted tiene acceso a las claves de cifrado.

    Puedes configurar Queryable Encryption mediante los siguientes mecanismos:

    • El cifrado automático permite realizar operaciones de lectura y escritura cifradas sin necesidad de añadir llamadas explícitas para cifrar y descifrar campos. Recomendamos el cifrado automático en la mayoría de los casos, ya que agiliza el proceso de creación de la aplicación cliente. Con el cifrado automático, MongoDB cifra y descifra automáticamente los campos en las operaciones de lectura y escritura.

    • El cifrado explícito permite realizar operaciones de lectura y escritura cifradas a través de la biblioteca de cifrado de la biblioteca cliente de MongoDB. Debe especificar la lógica de cifrado con esta biblioteca en toda la aplicación. El cifrado explícito proporciona un control preciso de la seguridad, a costa de una mayor complejidad al configurar colecciones y escribir código para las bibliotecas cliente de MongoDB. Con el cifrado explícito, se especifica cómo cifrar los campos del documento para cada operación que se realiza en la base de datos e incluye esta lógica en toda la aplicación.

      Para obtener más información, consulte Usar cifrado explícito.

Regionalización de datos

Atlas admite más 110de regiones en AWS, Azure y GCP. Esta distribución global de ubicaciones compatibles le permite aprovisionar clústeres y almacenar datos que cumplen con sus requisitos de localización. También puede implementar sus clústeres de Atlas en varias regiones. Al implementar un En elparadigma de implementación multirregional, puede particionar sus datos para que residan en distintas regiones, cada una ubicada en una región geográfica diferente. Por ejemplo, puede almacenar los datos de clientes europeos en Europa y los de clientes estadounidenses en EE. UU. Esto le brinda flexibilidad en la elección de la ubicación de sus datos y reduce la latencia para los usuarios que acceden a los datos desde sus respectivas regiones.

Distribución de instantáneas de respaldo

Puede distribuir instantáneas de respaldo y datos de registros de operaciones entre varias regiones. Por ejemplo, puede almacenar copias de seguridad en diferentes ubicaciones geográficas para permitir la recuperación ante desastres en caso de interrupciones regionales o para mantener las copias de seguridad de forma coherente con sus opciones de localización de datos. Para obtener más información, consulte Distribución de instantáneas.

Política de cumplimiento de copias de seguridad

Puedes usar la política de cumplimiento de copia de seguridad en Atlas para proteger datos críticos para el negocio. Esta funcionalidad impide que todos los snapshots de copia de seguridad y los datos de oplog almacenados en Atlas sean modificados o borrados durante un periodo de retención predefinido por cualquier usuario, independientemente de su rol en Atlas.

Esto le ayuda a garantizar que sus copias de seguridad cumplan totalmente con la normativa WORM (Write Once Read Many). Solo un usuario autorizado puede desactivar esta protección tras completar un proceso de verificación con MongoDB. Esto añade un retraso manual obligatorio y un periodo de recuperación para que un atacante no pueda modificar fácilmente la política de copias de seguridad ni exportar los datos. Para obtener más información, consulte Configurar una política de cumplimiento de copias de seguridad.

Volver

Cifrado de datos

Next

DORA

En esta página