Puedes utilizar Atlas de forma segura desde el primer momento. Atlas viene preconfigurado con configuraciones seguras por defecto. Puedes ajustar las características de seguridad de tus clústeres para satisfacer tus necesidades y preferencias de seguridad únicas. Haz una revisión de las siguientes características y consideraciones de seguridad para los clústeres.
Para obtener más información sobre las recomendaciones para la seguridad de la red Atlas, consulta Recomendaciones para la seguridad de la red Atlas en Atlas Architecture Center.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Importante
Como mejores prácticas de seguridad, no incluya información sensible en namespaces ni en nombres de campos. Atlas no oculta esta información.
Características de seguridad preconfiguradas
Las siguientes características de seguridad son parte del producto Atlas:
Cifrado en tránsito
Atlas requiere TLS para cifrar las conexiones a sus bases de datos.
Los certificadosTLS son:
Válido por 90 días desde el día en que Atlas emite el certificado.
Se rotó 42 días antes de la fecha de vencimiento del certificado.
Para obtener más información sobre el cifrado TLS, consulta el informe técnico de seguridad de Atlas.
Para configurar la comprobación de revocación de certificados OCSP SSL o TLS, consulte Comprobación de revocación de certificados OCSP.
Virtual Private Cloud
Todos los proyectos de Atlas con uno o más clústeres dedicados M10+ reciben su propia VPC dedicada (o VNet si utilizas Azure). Atlas implementa todos los clústeres dedicados dentro de esta VPC o VNet.
Cifrado en reposo
Por defecto, Atlas cifra todos los datos almacenados en los clústeres de Atlas. Atlas también admite cifrado en reposo con la gestión de claves.
FIPS 140-2
Atlas deshabilita por defecto el FIPS 140-2 nivel 2 para todas las bases de datos. Si el entorno requiere que se habilite en Atlas, se debe usar MongoDB Atlas for Government.
MongoDB Atlas for Government habilita automáticamente FIPS 140-2 nivel 2 para todas las bases de datos.
Características de seguridad requeridas
Debe configurar las siguientes características de seguridad:
Requisitos de red y cortafuegos
Asegúrese de que su aplicación pueda acceder a su entorno de MongoDB Atlas. Para añadir el acceso de red entrante desde su entorno de aplicación a Atlas, realice una de las siguientes acciones:
Añada las direcciones IP públicas a su lista de acceso IP
Utiliza el emparejamiento de VPC / VNet para agregar direcciones IP privadas.
Agregar nodos privados.
Si su firewall bloquea las conexiones de red salientes, también debe abrir el acceso saliente desde su entorno de aplicación a Atlas. Debe configurar su firewall para permitir que sus aplicaciones establezcan conexiones salientes a los puertos 27015 a 27017 para el tráfico TCP en los nombres de host o direcciones IP de su clúster. Esto otorga a tus aplicaciones acceso a las bases de datos almacenadas en Atlas.
Para obtener la lista actual de direcciones IP de clúster, utiliza el endpoint Devolver todas las direcciones IP para un Proyecto de la API de Administración de Atlas.
curl --header "Authorization: Bearer <access-token>" \ --header "Accept: application/vnd.atlas.2025-03-12+json" \ --request GET \ "https://cloud.mongodb.com/api/atlas/v2/groups/{GROUP-ID}/ipAddresses"
Nota
Por defecto, los clústeres de MongoDB Atlas no necesitan poder iniciar conexiones con los entornos de aplicaciones. Si se desea habilitar clústeres de Atlas con autenticación y autorización por LDAP, se debe permitir el acceso a la red desde los clústeres de Atlas directamente al LDAP seguro. Se puede permitir el acceso al LDAP utilizando IP públicas o privadas siempre que un nombre de host público de DNS apunte a una IP a la que los clústeres de Atlas puedan acceder.
Si no está utilizando el emparejamiento de VPC / VNet y planea conectarse a Atlas mediante direcciones IP públicas, consulte las siguientes páginas para obtener información adicional:
Lista de acceso IP
Atlas solo permite conexiones de clientes al clúster desde las entradas de la lista de acceso IP del proyecto. Para conectarse, debes agregar una entrada a la lista de acceso IP. Para configurar la lista de acceso IP para el proyecto, consulta Configurar entradas de la lista de acceso IP.
Para los clústeres de Atlas implementados en Google Cloud Platform (GCP) o Microsoft Azure, agrega las direcciones IP de tus servicios de Google Cloud o Azure a la lista de acceso IP del proyecto de Atlas para otorgar a esos servicios acceso al clúster.
Autenticación o autorización de usuarios
Atlas requiere que los clientes se autentiquen para conectarse a la base de datos. Deben crearse usuarios de base de datos para acceder a ella. Para configurar usuarios de base de datos en clústeres, consulte Configurar usuarios de base de datos. Atlas ofrece muchas funcionalidades de seguridad para la autenticación y autorización de clúster.
Para acceder a los clústeres de un proyecto, los usuarios deben pertenecer a ese proyecto. Los usuarios pueden pertenecer a varios proyectos.
Características de seguridad opcionales
Puede configurar las siguientes características de seguridad:
Conexión peering de red
Atlas admite conexiones de emparejamiento con otras conexiones de red de AWS, Azure o Google Cloud. Para obtener más información, consulta Configurar una conexión peering de red.
Importante
Si este es el primer M10+ clúster de pago dedicado para la región o regiones seleccionadas y planea crear uno o más, revise la documentación sobre conexiones de emparejamiento de VPC antes de continuar.
Nodos privados
Atlas brinda soporte a nodos privados en:
AWS utilizando la característica AWS PrivateLink
Azure con la característica Azure Private Link
Google Cloud utiliza la característica GCP Private Service Connect
Para usar nodos privados, consulta Aprende sobre los nodos privados en Atlas.
Acceso unificado a AWS
Algunas características de Atlas, incluidas Data Federation y Cifrado en reposo usando la gestión de claves del cliente, utilizan AWS roles de IAM para la autenticación.
Para configurar un rol AWS IAM para que Atlas lo use, consulta Configurar acceso unificado de AWS.
Autenticación y autorización del clúster
Atlas ofrece las siguientes características de seguridad para la autenticación y autorización de clústeres.
Autenticación o autorización de usuarios de bases de datos
Atlas requiere que los clientes se autentiquen para acceder a los clústeres. Deben crearse usuarios de base de datos para acceder a ella. Para configurar usuarios de base de datos para sus clústeres, consulte Configurar usuarios de base de datos.
Roles personalizados para la autorización de bases de datos
Atlas permite crear roles personalizados para autorizaciones de bases de datos en casos donde los roles integrados de Atlas no otorgan el conjunto deseado de privilegios.
Autenticación con AWS IAM
Puedes configurar la autenticación y autorización para tus roles de AWS IAM. Para obtener más información, consulta Autenticación IAM en AWS.
Autenticación o autorización de usuarios con LDAP
Atlas admite la realización de autenticación y autorización de usuarios con LDAP. Para usar LDAP, consulta Configurar la autenticación y autorización de usuarios con LDAP.
Autenticación de Usuario con X.509
Los certificados de cliente X.509 proporcionan a los usuarios de bases de datos acceso a los clústeres del proyecto. Las opciones para la autenticación X.509 incluyen la autenticación X.509 gestionada por Atlas y la autenticación X.509 autogestionada. Para obtener más información sobre la autenticación X.509 autogestionada, se debe consultar Configurar certificados X.509 autogestionados.
Restringir el acceso del soporte de MongoDB a la infraestructura de backend de Atlas
Los propietarios de la organización pueden restringir a los empleados del soporte de producción de MongoDB el acceso a la infraestructura de backend de Atlas para cualquier clúster de Atlas de su organización. Los propietarios de organizaciones pueden conceder una excepción de 24 horas a la restricción de acceso a nivel del clúster de Atlas.
Importante
Bloquear el acceso a la infraestructura desde MongoDB Support puede aumentar el tiempo de respuesta y resolución de los problemas de soporte y tener un impacto negativo en la disponibilidad del clúster.
Para permitir esta opción, consulta Configurar el acceso de soporte de MongoDB a la infraestructura de backend de Atlas.
Cifrado en reposo mediante la gestión de claves
Atlas admite el uso de AWS KMS, Azure Key Vault y Google Cloud para cifrar los motores de almacenamiento y las copias de seguridad de los proveedores de nube. Para utilizar el cifrado en reposo, consulta Cifrado en reposo usando la gestión de claves del cliente.
Encriptación a nivel de campo
Atlas admite cifrado a nivel de campo del lado del cliente, incluido el cifrado automático de campos. Todos los usuarios de Atlas están autorizados a utilizar las características automáticas de cifrado a nivel de campo del lado del cliente de MongoDB.
Para obtener más información, consulta Requisitos de cifrado a nivel de campo del lado del cliente.
Nota
MongoDB Compass, la interfaz de usuario de Atlas y MongoDB Shell (mongosh) no admiten descifrar campos cifrados del lado del cliente.
Auditoría de bases de datos
Atlas ofrece soporte para auditar todas las acciones de eventos del sistema. Para utilizar la auditoría de bases de datos, consulta Configurar la auditoría de bases de datos.
Seguimiento de acceso
Atlas muestra los registros de autenticación directamente en la interfaz de usuario de Atlas para que se pueda revisar fácilmente los intentos de autenticación exitosos y fallidos realizados en los clústeres. Para ver el historial de acceso a la base de datos, se debe consultar Ver historial de acceso a la base de datos.
Autenticación multifactor para el acceso a la interfaz de usuario de Atlas
Atlas admite MFA para ayudarte a controlar el acceso a tus cuentas de Atlas. Para configurar MFA, consulta Gestionar tus opciones de autenticación multifactor.
Permite el acceso al plano de control de Atlas o desde él
Si utiliza alguna de las siguientes características de Atlas, es posible que deba agregar las direcciones IP de Atlas a la lista de acceso IP de su red:
Cifrado en reposo utilizando la gestión de claves del cliente
Nota
Si activa la característica de cifrado en reposo, debe permitir el acceso desde IP públicas a todos los hosts de su implementación, incluidos los CSRS (sets de réplicas de servidores de configuración) si está utilizando clústeres particionados.
Obtén las direcciones IP del plano de control de Atlas
Envía una solicitud GET al nodo de controlPlaneIPAddresses para obtener las direcciones IP actuales del plano de control de Atlas. El nodo de la API devuelve una lista de direcciones IP del plano de control de Atlas entrantes y salientes en notación CIDR categorizadas por proveedor de nube y región, similar a lo siguiente:
{ "inbound":{ "aws":{ "<region-name>":["<IP-address>", ...], ... }, "azure":{ "<region-name>":["<IP-address>", ...], ... },"gcp":{ "<region-name>":["<IP-address>", ...] ... } }, "outbound":{ "aws":{ "<region-name>":["<IP-address>", ...], ... }, "azure":{ "<region-name>":["<IP-address>", ...], ... }, "gcp":{ "<region-name>":["<IP-address>", ...], ... } } }
Importante
La API de Administración de Atlas utiliza los términos inbound y outbound en relación con el plano de control, no con su red. Como resultado:
Las reglas de entrada de su red deben coincidir con los CIDR
outboundenumerados en la API de administración de Atlas.Las reglas de salida de su red deben coincidir con los CIDR
inboundenumerados en la API de administración de Atlas.
En el siguiente diagrama, se muestra la relación entre inbound y outbound para el plano de control y su red:
Para agregar las direcciones IP devueltas a la lista de acceso IP de KMS de su proveedor de nube, consulta los requisitos previos para gestionar claves de clientes con AWS, Azure y GCP.
Acceso requerido: controlPlane.outbound Direcciones IP
controlPlane.outbound enumera las direcciones IP del tráfico que proviene del plano de control. La lista de direcciones IP HTTP entrantes de la red debe permitir el acceso desde las direcciones de IP que figuran en controlPlane.outbound.
Le recomendamos que utilice la API de administración de Atlas para obtener las direcciones IP del plano de control de Atlas salientes actuales.
Acceso requerido: controlPlane.inbound Direcciones IP
controlPlane.inbound enumera las direcciones IP del tráfico que ingresa al plano de control. Si su red solo permite solicitudes HTTP de salida a direcciones IP específicas, debe permitir el acceso a las direcciones IP enumeradas en controlPlane.inbound para que Atlas pueda comunicarse con sus webhooks y KMS.
Le recomendamos que utilice la API de administración de Atlas para obtener las direcciones IP del plano de control de Atlas entrantes actuales.
Permite el acceso a Data Federation
Si la red solo permite HTTPS requests salientes a direcciones IP específicas, se debe permitir el acceso desde las direcciones IP entrantes en el puerto TCP 27017 para que las solicitudes puedan llegar a la instancia federada de base de datos. Recomendamos usar la API de administración de Atlas para obtener las direcciones IP actuales del plano de control de Atlas entrantes.
Verificación de revocación del certificado OCSP
Si la red permite solicitudes salientes solo a direcciones IP específicas, para permitir la verificación de revocación de certificados SSL o TLS OCSP, se debe permitir el acceso a los servidores de respuesta OCSP de la CA (Autoridad de certificación) de Atlas que se pueden encontrar en la URL de OCSP del certificado SSL o TLS.
Para deshabilitar la comprobación de revocación de certificados OCSP, consulte la documentación de la versión del controlador de MongoDB que utiliza su aplicación.