Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
MongoDB Branding Shape
Click here >
Docs Menu
Docs Home
/ /
Driver de Nodo.js
Docs Home
/
Librerías de clientes
/
Node.js
/
Driver de Nodo.js
Docs Home
/
Librerías de clientes
/
Node.js
/
Driver de Nodo.js

Encriptación en uso

Overview

Puedes usar el driver de Node.js para encriptar campos específicos del documento mediante un conjunto de funcionalidades llamado encriptación en uso. El cifrado en uso permite que tu aplicación cifre los datos antes de enviarlos a MongoDB y consulte documentos con campos cifrados.

Advertencia

MongoDB 8.2 Problema conocido

La versión 8.2.0 de mongocryptd podría no ejecutarse en Windows. Este error afecta el encriptación en uso con el driver si se especifica el argumento --logpath NUL al iniciar mongocryptd.

Para obtener más información sobre este problema y cómo resolverlo, consulta Problemas conocidos en el MongoDB 8.2 notas de versión.

El cifrado en uso impide que los usuarios no autorizados vean datos de texto sin formato mientras se envían a MongoDB o mientras están en una base de datos cifrada. Para habilitar la encriptación en uso en una aplicación y autorizarla a descifrar datos, debe crear claves de cifrado a las que solo su aplicación pueda acceder. Solo las aplicaciones que tienen acceso a tus claves de cifrado pueden acceder a los datos en texto plano descifrados. Si un atacante obtiene acceso a la base de datos, solo puede ver los datos cifrados, ya que no tiene acceso a las claves de cifrado.

Puede que uses cifrado en uso para cifrar los campos de tus documentos de MongoDB que contengan los siguientes tipos de datos sensibles:

  • Números de tarjetas de crédito

  • Direcciones

  • Información de salud

  • Información financiera

  • Cualquier otra información sensible o identificable personalmente (PII)

MongoDB ofrece las siguientes funcionalidades para habilitar el cifrado en uso:

Queryable Encryption

Queryable Encryption es la funcionalidad de cifrado en uso de última generación, introducida por primera vez como una funcionalidad previa en MongoDB Server versión 6.0 y como una funcionalidad generalmente disponible (GA) en MongoDB Server versión 7.0. Queryable Encryption permite buscar campos cifrados por igualdad y cifra cada valor de forma única.

Importante

Funcionalidad de vista previa incompatible con el servidor MongoDB 7.0

La implementación de Queryable Encryption en MongoDB Server 6.0 es incompatible con la versión GA introducida en MongoDB Server 7.0. La funcionalidad de previsualización Queryable Encryption ya no es compatible.

Para obtener más información sobre Queryable Encryption, vea Queryable Encryption en el manual de MongoDB Server.

Encriptación a nivel de campo

El cifrado a nivel de campo del lado del cliente (CSFLE) se introdujo en la versión 4.2 de MongoDB Server y permite buscar la igualdad en campos cifrados. CSFLE difiere de Queryable Encryption en que puedes seleccionar, ya sea un algoritmo de cifrado determinista o aleatorio para cifrar campos. Cuando utilices CSFLE, solo podrás query campos cifrados que utilicen un algoritmo de cifrado determinista. Cuando utiliza un algoritmo de cifrado aleatorio para cifrar campos en CSFLE, pueden ser descifrados, pero no se pueden realizar consultas de igualdad en esos campos. Cuando utilices Queryable Encryption, no podrás especificar el algoritmo de cifrado, pero sí podrás consultar todos los campos cifrados.

Cuando cifras un valor de manera determinista, el mismo valor de entrada produce el mismo valor de salida. Si bien el cifrado determinista te permite realizar consultas en esos campos cifrados, los datos cifrados con baja cardinalidad son susceptibles a la ruptura de códigos mediante el análisis de frecuencia.

Tip

Para obtener más información sobre estos conceptos, consulta las siguientes entradas de Wikipedia:

Para saber más sobre CSFLE, consulte CSFLE en el manual del servidor.

Soporte del pipeline de agregación

A partir de MongoDB Server 8.1, puedes utilizar la etapa de agregación $lookup con clientes configurados para el cifrado en uso. Esta funcionalidad requiere la versión 6.3.0 o posterior del paquete mongodb-client-encryption.

La etapa $lookup permite unir datos relacionados entre colecciones cifradas sin tener que obtener y combinar documentos manualmente en el código de tu aplicación. Tanto la colección de origen como la colección from deben estar configuradas para encriptación en uso. Los campos especificados en localField y foreignField no deben ser campos cifrados.

El siguiente ejemplo muestra una operación de $lookup en una colección cifrada:

const pipeline = [
  {
    $lookup: {
      from: "encryptedCollection",
      localField: "userId",
      foreignField: "_id",
      as: "userDetails"
    }
  }
];
const results = await collection.aggregate(pipeline).toArray();

Volver

Kerberos (GSSAPI)

Next

Protocolo de seguridad TLS

En esta página