Atlas cifra todos los snapshots mediante el sistema de cifrado estándar de almacenamiento de tu proveedor de nube, asegurando la seguridad de tus datos en clúster en reposo. Tu proveedor de nube administra las claves de cifrado.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Si utilizas Cifrado en reposo mediante gestión de claves de cliente para tus proyectos y clústeres, Atlas aplica una capa adicional de cifrado a tus snapshots utilizando el proveedor Key Management Service (KMS).
Ver la clave utilizada para cifrar una snapshot
Para proyectos y clústeres que usan cifrado en reposo utilizando la gestión de claves del cliente, Atlas utiliza el proveedor de Key Management Service (KMS).
Para los clústeres que utilizan AWS IAM como su Key Management Service, Atlas utiliza la llave maestra de cliente (llave maestra de cliente) del Proyecto y las credenciales de usuario o rol IAM de AWS en el momento de la snapshot para cifrar automáticamente los archivos de datos de la snapshot. Se trata de una capa adicional de cifrado sobre el cifrado existente aplicada a todos los volúmenes de almacenamiento y snapshots de Atlas. Los datos de Oplog recogidos para las restauraciones de PIT también se cifran con la llave maestra de cliente del cliente.
Atlas almacena la ID única de la llave maestra de cliente y las credenciales de usuario IAM de AWS o los roles usados para acceder a la llave maestra de cliente. Atlas utiliza esta información al restaurar la snapshot. Puedes acceder a una snapshot cifrada y restaurar una snapshot usando cifrado en reposo.
Para los clústeres que utilizan Azure Key Vault como su Key Management Service, Atlas utiliza el identificador de clave del Proyecto, las credenciales del Key Vault y las credenciales de la cuenta de la aplicación Active Directory en el momento del snapshot para cifrar automáticamente los archivos de snapshot. Esta es una capa adicional de cifrado sobre el cifrado existente aplicado a todos los volúmenes de almacenamiento y snapshot de Atlas. Los datos de registro de operaciones (Oplog) recopilados para restauraciones de PIT también están cifrados con la llave maestra de cliente del cliente.
Atlas almacena el ID único del Azure Key Identifier utilizado para cifrar la snapshot. Atlas también almacena las credenciales de Azure Key Vault y las credenciales de la cuenta de la aplicación Active Domain utilizadas para acceder al Key Identifier. Atlas utiliza esta información al restaurar la snapshot. Puedes acceder a una snapshot cifrada y restaurar una snapshot utilizando cifrado en reposo.
Atlas utiliza tu Llave de Cuenta de Servicio de Google Cloud para cifrar y descifrar tus claves maestras de MongoDB. Estas claves maestras de MongoDB se utilizan para cifrar los archivos de base de datos del clúster y los snapshots de proveedores de nube. Los datos Oplog recopilados para las restauraciones PIT también están cifrados con la llave maestra de cliente del cliente. Puede acceder a una snapshot cifrada y restaurar una snapshot utilizando cifrado en reposo.
Procedimiento
Para ver la clave utilizada para cifrar una snapshot:
En Atlas, ve a los detalles de Backup de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Backup en la sección Database.
Los detalles de la copia de seguridad se muestran.
Haga clic en el enlace del clúster.
Haz clic Snapshotsen.
Tenga en cuenta el Encryption Key ID.
Toma nota del Encryption Key ID para cada snapshot en el clúster. Atlas enumera el identificador de clave utilizado para cifrar la snapshot. Las snapshots sin cifrar muestran Not enabled, lo que significa que no activaste Cifrado en reposo utilizando gestión de claves del cliente. Sin embargo, Atlas cifra todos los snapshots y los datos en reposo por defecto utilizando la clave por defecto del proveedor de nube.
Importante
Atlas requiere acceso a la llave de cifrado asociada con el Encryption Key ID del snapshot para poder restaurar ese snapshot.
Antes de borrar una ID de clave de cifrado utilizada con Atlas cifrado en reposo usando su gestión de claves, revise cada clúster habilitado con copia de seguridad en el Proyecto para detectar cualquier snapshot que siga utilizando esa ID de clave de cifrado. Una vez que eliminas una clave de cifrado, todas las instantáneas cifradas con esa clave se vuelven inaccesibles y no recuperables.
Atlas borra automáticamente las copias de seguridad de acuerdo con el Cronograma de copias de seguridad, Retención y Snapshots on-demand. Una vez que Atlas haya borrado todas las snapshots que dependan de un ID de llave de cifrado dado, puedes borrar la llave de forma segura.
Si deshabilitas un ID de clave de cifrado, debes volver a habilitar la clave antes de restaurar una snapshot cifrada con esa clave.
Para obtener documentación completa sobre cómo configurar el cifrado en reposo mediante tu gestión de claves para un proyecto Atlas, consulta Cifrado en reposo utilizando KMS. Luego puede implementar un nuevo clúster o habilitar un clúster existente con Cifrado en reposo utilizando su gestión de claves.