Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
La capa de protección de red de Atlas (ANPL) es una capa de seguridad adicional de defensa en profundidad que inspecciona el tráfico no autenticado hacia su clúster y bloquea las solicitudes maliciosas antes de que lleguen a la base de datos.
ANPL analiza los patrones de conexión y las características de las solicitudes para identificar y prevenir el tráfico potencialmente dañino, proporcionando una capa adicional de protección más allá de los controles de seguridad de red estándar.
Importante
ANPL está disponible actualmente para un número limitado de clústeres Atlas 8.3 dedicados en proyectos con acceso público a internet (0.0.0.0/0 en la lista de acceso IP). La disponibilidad se basa en criterios de selección específicos y no se puede solicitar de otra manera.
Overview
ANPL opera de forma transparente en la ruta de conexión entre los clientes y su base de datos. Cuando está habilitado, hace lo siguiente:
Supervisa los intentos de conexión no autenticados.
Analiza los patrones de tráfico en busca de comportamientos sospechosos.
Bloquea las solicitudes maliciosas identificadas antes de la autenticación de la base de datos.
Permite que el tráfico legítimo continúe con normalidad.
La activación de ANPL en su clúster no requiere ninguna acción por su parte. Sin embargo, tenga en cuenta que se ha añadido una capa adicional a su ruta de conexión.
Si observa algún comportamiento inesperado o tiene alguna duda sobre el rendimiento de la conexión, póngaseen contacto con el soporte técnico de MongoDB.
Cómo saber si ANPL está habilitado
Puede determinar si ANPL está habilitado en su clúster mediante:
Indicador de descripción general del clúster
Cuando ANPL está habilitado, aparece un indicador en la página de detalles del clúster en la interfaz de usuario de Atlas.
Para ver la descripción general del clúster:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Evento de feed de actividad del proyecto
Cuando ANPL se habilita o deshabilita en un clúster, se registra un evento en el Feed de actividad del proyecto. El evento se denomina Atlas Network Protection Layer became active on a cluster cuando ANPL está habilitado o Atlas Network Protection Layer became inactive on a cluster cuando está deshabilitado.
Deshabilitar ANPL
ANPL no tiene una opción de autoservicio en la interfaz de usuario de Atlas para la versión inicial. Puede desactivar ANPL mediante:
Eliminar el acceso público a Internet
Elimina 0.0.0.0/0 de la lista de acceso IP de tu proyecto. Esto desactiva ANPL automáticamente.
Importante
Eliminar 0.0.0.0/0 de la lista de acceso IP podría provocar un reinicio gradual de los clústeres elegibles. La advertencia de reinicio aparece en la interfaz de usuario de Atlas al modificar la lista de acceso IP.
ANPL se habilita o deshabilita aproximadamente en 15 minutos después del cambio de la lista de acceso IP.
Para obtener información sobre cómo administrar su lista de acceso IP, consulte Configurar entradas de la lista de acceso IP.
Ponte en contacto con soporte
Si necesita deshabilitar ANPL sin modificar la configuración de su lista de acceso IP, póngase encontacto con el soporte de MongoDB para abrir un ticket de soporte.
Impacto y consideraciones
Mejores prácticas de seguridad de red
Si bien ANPL proporciona protección adicional para clústeres con acceso a internet público, MongoDB recomienda utilizar controles de red más restrictivos:
Reemplace
0.0.0.0/0con direcciones IP o rangos CIDR específicos que coincidan con la infraestructura de su aplicación.Utilice soluciones de redes privadas como:
Para obtener más información, consulte las Recomendaciones para la seguridad de la red Atlas en el Centro de arquitectura de Atlas.
Rendimiento
ANPL podría añadir latencia al establecimiento de la conexión. El impacto varía según las condiciones de la red y los patrones de tráfico.
Si experimenta problemas de conexión o una disminución del rendimiento después de habilitar ANPL, póngase en contacto con el soporte técnico de MongoDB.
Comportamiento de reinicio
Cuando ANPL se habilita inicialmente en los clústeres elegibles durante el período de implementación, el cambio se produce durante la ventana de mantenimiento configurada.
Si posteriormente modifica la lista de acceso IP agregando o eliminando 0.0.0.0/0, los cambios surtirán efecto en aproximadamente 15 minutos y podrían provocar un reinicio gradual.