Importante
Característica no disponible en los clústeres Flex
Los clústeres Flex no admiten esta característica en este momento. Para obtener más información, se debe consultar Limitaciones de Atlas Flex.
Atlas aplica cifrado a todo el almacenamiento de clúster y los volúmenes de snapshot en reposo por defecto. Puede añadir otra capa de seguridad utilizando el KMS de su proveedor de nube junto con el motor de almacenamiento cifrado de MongoDB.
Configurar el cifrado en reposo usando la gestión de claves de cifrado en reposo implica gastos adicionales para el proyecto de Atlas. Para obtener más información, se debe consultar Seguridad avanzada.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Para aplicar que las claves gestionadas por el cliente para el cifrado en reposo estén habilitadas en todos los clústeres y las implementaciones de búsqueda dedicadas en un proyecto, utiliza las Políticas de Recursos de Atlas. Puedes utilizar políticas de recursos para requerir llave maestra de cliente antes de crear o modificar clústeres o implementaciones de búsqueda.
Puede utilizar uno o más de los siguientes proveedores de gestión de claves de clientes al configurar el cifrado en reposo para el proyecto Atlas:
Después de configurar al menos un proveedor de gestión de claves para el proyecto de Atlas, puedes habilitar la gestión de claves del cliente para cada clúster de Atlas que requiera cifrado. No es necesario que el proveedor de gestión de claves coincida con el proveedor de servicios en la nube del clúster.
Nota
Cuando se activa o desactiva la gestión de claves de cliente, Atlas realiza una sincronización inicial para volver a cifrar los datos del clúster. También vuelve a crear los índices de MongoDB Search y MongoDB Vector Search en el clúster.
Como alternativa, para proyectos con clústeres de Atlas de M10 o superior implementados solo en regiones de Azure, se puede utilizar la API de administración de Atlas para crear automáticamente Azure Private Link en la AKV, lo que permite a Atlas comunicarse de forma segura con la AKV a través de las interfaces de red privada de Azure. Para aprender más, se debe consultar Administrar claves de cliente con Azure Key Vault.
Atlas no puede rotar las llaves de cifrado gestionadas por el cliente. Se debe consultar la documentación del proveedor de gestión de claves para que ofrezca una orientación en relación a la rotación de claves. Cuando se configura la gestión de claves de cliente en un proyecto, Atlas crea una alerta de rotación de claves de 90 días.
Si el proveedor de KMS deja de estar disponible, esto no desactiva el clúster mientras aún se ejecuta. Si se decide reiniciar el clúster, la falta de un proveedor de KMS desactiva el clúster.
Para aprender sobre las recomendaciones para el cifrado, incluidos los niveles de clasificación de datos y los tipos de cifrado a utilizar, consulta Recomendaciones para el cifrado de datos de Atlas en el Atlas Architecture Center.
Acceso requerido
Para configurar la gestión de claves de cliente, debes tener acceso de Project Owner al proyecto.
Los usuarios con acceso Organization Owner deben añadirse al proyecto como Project Owner.
Configurar Atlas con la gestión de claves del cliente
El cifrado en reposo mediante la gestión de claves requiere credenciales válidas del proveedor de gestión de claves y una llave de cifrado. Para proporcionar estos detalles y activar la gestión de claves de cliente:
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
(Opcional) Alternar el botón junto a Search Node Data Encryption a On.
Si estás utilizando KMS de AWS, puedes habilitar el cifrado para todos los datos en los nodos de búsqueda. También puedes activar esta característica más adelante.
Para obtener más información, consulta Permitir la gestión de claves de cliente para los nodos de búsqueda.
Haz clic Saveen.
(Opcional) Permite el acceso hacia o desde el panel de control de Atlas.
Para obtener más información, consulta Permitir acceso desde el Plano de control de Atlas.
Permite el acceso desde el plano de control de Atlas
En función de la configuración de Key Management Service, es posible que se deban agregar las direcciones IP del plano de control de Atlas para activar el cifrado en reposo para el proyecto, de modo que Atlas pueda comunicarse con el KMS.
Para permitir la comunicación entre Atlas y KMS:
Envía una solicitud GET al endpoint returnAllControlPlaneIpAddresses.
El endpoint de la API devuelve una lista de direcciones IP del plano de control de Atlas entrantes y salientes en CIDR, categorizadas por proveedor de nube y región. Para aprender más, consulta los requisitos previos para gestionar claves de clientes con AWS, Azure y GCP.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de configurar Atlas con Administración de claves de cliente, debe habilitar la administración de claves de cliente para cada clúster de Atlas que contenga datos que desee cifrar.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
Para nuevos clústeres:
Opcional: añade direcciones IP de los nuevos nodos del clúster.
En función de la configuración de la gestión de claves, es posible que haya que añadir las direcciones IP de nodo del clúster de Atlas a la lista de acceso del KMS del proveedor de nube, para que el clúster pueda comunicarse con el KMS. Para permitir la comunicación entre el clúster y KMS:
Envía una solicitud GET al punto de conexión
ipAddresses. El punto de conexión de la API returnAllIpAddresses devuelve una lista de direcciones IP de los nuevos nodos del clúster, similar a la siguiente:{ "groupId": "xxx", // ObjectId "services": { "clusters": [ { "clusterName": "Cluster0", "inbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ], "outbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ] } ] } } Se deben añadir las direcciones IP devueltas a la lista de acceso IP del proveedor de nube. Se debe modificar la lista de acceso IP antes de que el plan de provisionamineto se revierta. El clúster intenta realizar el provisionamineto durante un máximo de tres días antes de que el plan de provisionamineto se revierta debido a las restricciones de acceso IP.
Consulta los requisitos previos para gestionar las claves de cliente con AWS, Azure y GCP para obtener más información.
Nota
Si necesita más tiempo para actualizar la lista de acceso IP, puede:
Aprovisiona el clúster sin cifrado en reposo y luego actívalo después de actualizar la lista de acceso IP.
Se debe configurar una lista de acceso IP más inclusiva en el Key Management Service del proveedor de nube, abrir el clúster con cifrado en reposo y luego modificar la lista de acceso IP.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si se configuró el cifrado en reposo mediante la clave maestra del cliente (CMK) (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Activar la gestión de claves de cliente para los nodos de búsqueda
Al configurar la Gestión de Claves del Cliente para su proyecto, también puede habilitar el cifrado con la Gestión de Claves del Cliente para sus Nodos de Búsqueda. Esto garantiza que sus cargas de trabajo de MongoDB Search y MongoDB Vector Search, incluidos los índices, estén completamente cifradas con las claves administradas por el cliente.
Esta característica está disponible en todos los proveedores de KMS, pero los nodos de búsqueda deben estar en AWS.
Para activar el cifrado de datos de nodos de búsqueda con claves gestionadas por el cliente:
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Se debe activar el cifrado en reposo con la gestión de claves de cliente o editar la configuración.
Si aún no ha configurado la Administración de claves de cliente, siga los pasos que se indican en Configurar Atlas con la Administración de claves de cliente.
De lo contrario, haz clic en el botón Edit junto a Encryption at Rest using your Key Management.
Haz clic Saveen.
Tras habilitar el cifrado de datos de nodos de búsqueda a nivel de proyecto, Atlas lo habilita a nivel de clúster al configurar el cifrado de clúster para cualquier clúster nuevo o existente con nodos de búsqueda. Atlas cifra los nodos de búsqueda con la clave administrada por el cliente y reconstruye los índices de búsqueda. La duración de este proceso depende del tamaño y la cantidad de sus índices.
Nota
Si se desactiva la gestión de claves de cliente a nivel de proyecto o si la clave gestionada por el cliente queda no válida, Atlas se debe pausar el clúster y eliminar los nodos de búsqueda, haciendo que los queries de la base de datos no estén disponibles.
Cuando se vuelve a activar la gestión de claves del cliente o se corrige la configuración de la clave, Atlas reactiva el clúster, aprovisiona nuevos nodos de búsqueda y realiza una sincronización inicial. La funcionalidad de búsqueda se reanuda cuando se completa la sincronización inicial.
Añade nodos a un clúster de Atlas cifrado
Se deben agregar nodos o particiones al set de réplicas o clúster particionado.
Puedes agregar nodos elegibles a clústeres M10+ o aumentar el número de particiones en el clúster particionado.
Opcional: añade direcciones IP de los nuevos nodos del clúster o particiones.
En función de la configuración de la gestión de claves, es posible que haya que añadir las direcciones IP de nodo del clúster de Atlas a la lista de acceso del KMS del proveedor de nube, para que el clúster pueda comunicarse con el KMS. Para permitir la comunicación entre el clúster y KMS:
Envíe una solicitud GET al punto de conexión
ipAddresses. El endpoint de la API returnAllIpAddresses devuelve una lista de direcciones IP de los nuevos nodos o fragmentos del clúster, similar a la siguiente:{ "groupId": "xxx", // ObjectId "services": { "clusters": [ { "clusterName": "Cluster0", "inbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ], // List<String> "outbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ] } ] } } Se deben añadir las direcciones IP devueltas a la lista de acceso IP del proveedor de nube. Se debe modificar la lista de acceso IP antes de que el plan de provisionamineto se revierta. El clúster intenta realizar el provisionamineto durante un máximo de tres días antes de que el plan de provisionamineto se revierta debido a las restricciones de acceso IP.
Consulta los requisitos previos para gestionar las claves de cliente con AWS, Azure y GCP para obtener más información.
Valide la configuración de su KMS
Atlas valida la configuración de KMS:
Cuando añades o actualizas credenciales.
Cada 15 minutos.
On-demand con el endpoint de la API de cifrado en reposo.
Atlas cierra todos los procesos de mongod y mongos en la siguiente comprobación de validez programada si se da una de las siguientes condiciones:
las credenciales del proveedor de gestión de claves pierden validez
alguien borra o desactiva la llave de cifrado
Si Atlas no puede conectarse al proveedor de gestión de claves, Atlas no detiene los procesos. La alerta Encryption at Rest KMS network access denied está activada por defecto para todos los proyectos nuevos con el fin de comunicar cualquier fallo de acceso a la red de KMS. Se pueden configurar los ajustes de la alerta.
Si Atlas cierra tus clústeres, ocurren los siguientes eventos:
Atlas envía un correo electrónico al
Project Ownercon una lista de los clústeres afectados.La página Clusters refleja que Atlas desactivó tus clústeres por una configuración de cifrado en reposo no válida.
No se puede leer ni guardar datos en el clúster desactivado. Se pueden enviar actualizaciones a clústeres desactivados, como cambios en el tamaño del disco e instancia. Atlas procesa estos cambios cuando alguien restaura la llave de cifrado. Atlas continúa realizando mantenimiento y aplicando parches de seguridad. Los clústeres desactivados retienen todos los datos, por lo que la facturación continúa.
Nota
Potencia de la máquina virtual
Mientras un clúster está desactivado, Atlas no detiene la máquina virtual (VM) en la que se está ejecutando el clúster. Atlas puede ejecutar parches que reinician el servidor, pero la energía de la VM no se reinicia.
Para recuperar el acceso a sus datos:
Actualice sus credenciales si han cambiado desde que configuró Atlas con Administración de claves del cliente.
Restaura tu clave si se ha desactivado o eliminado.
Después de actualizar la configuración, se debe hacer clic en Try Again para validarla. Si no se haces, Atlas valida en su siguiente verificación programada. Todos los procesos mongod y mongos se reinician después de que Atlas determina que la configuración es válida.
Advertencia
Si se borró la clave, se debe restaurar esa clave para recuperar el acceso a los clústeres. No se puede cambiar una clave ni desactivar el cifrado en reposo mediante la Gestión de claves del cliente sin una clave válida.
Restaurar una clave eliminada
Para restaurar una clave borrada, se debe consultar la documentación del proveedor de gestión de claves:
Azure Key Vault: Recuperar la clave borrada
GCP KMS: Destruir y restaurar versiones clave
Copias de seguridad cifradas
Atlas cifra todos los volúmenes de snapshot. Esto protege los datos del clúster en disco. Con el KMS del proveedor de nube, se puede:
Cifra los volúmenes de almacenamiento de snapshot donde almacenas tus copias de seguridad.
Cifra los archivos de datos de tus snapshots.
Accede a los snapshots cifrados. Para obtener más información, consulta Acceder a un snapshot cifrado.
Restaura los snapshots con la clave que estaba activa en el momento en que se tomó el snapshot.
Cifrado de los datos del oplog en la restauración PIT .
No puedes restaurar snapshots cifrados con claves que hayan dejado de ser válidos.
Puedes especificar un cronograma de snapshot base que realiza una copia de seguridad cada 6 horas.
Nota
Se pueden descargar snapshots cifradas de la misma manera que las snapshots no cifradas. Recomendamos utilizar el acceso basado en roles a la llave de cifrado para el proyecto como parte de las mejores prácticas de seguridad.
Para aprender cómo descargar snapshots, consulta Restaurar desde un snapshot descargado localmente.
Para aprender más sobre la gestión de claves del cliente y las copias de seguridad en la nube, consulta: