Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Docs Menu
Docs Home
/ /
Cifrado en reposo
Docs Home
/ /
Encriptación
/
Cifrado en reposo
Docs Home
/
Manual de base de datos
/
Seguridad
/
Encriptación
/
Cifrado en reposo

Rotar las llaves de cifrado

La mayoría de los requisitos regulatorios exigen que una clave administrada utilizada para descifrar datos confidenciales debe rotarse y reemplazarse por una nueva clave una vez al año.

Nota

Desambiguación

Para cambiar las claves de la base de datos configuradas con el cifrado AES256-GCM después de una restauración del sistema de archivos, consulte --eseDatabaseKeyRollover en su lugar.

MongoDB ofrece dos opciones para la rotación de claves. Puedes reemplazar el binario por una nueva instancia que utilice una nueva clave. O bien, si usas un servidor KMIP para la gestión de claves, puedes rotar la clave maestra del cliente.

Rotar un miembro del conjunto de réplicas

Nota

Para evitar cambiando el quórum de escritura, nunca sustituya más de un set de réplicas a la vez.

Para un set de réplicas, para rotar un nodo:

  1. Inicie una nueva instancia mongod, configurada para usar una nueva clave. Incluye la opción --replSet con el nombre del set de réplicas, así como cualquier otra opción específica de tu configuración, como --dbpath y --bind_ip.

    mongod --replSet myReplSet --enableEncryption \
    --kmipServerName <KMIP Server HostName> \
    --kmipServerCAFile ca.pem --kmipClientCertificateFile client.pem

  2. Conecte mongosh al primario del set de réplicas.

  3. Agrega la instancia al set de réplicas:

    rs.add( { host: <host:port> } )

    Advertencia

    Antes de MongoDB 5.0, un nuevo secundario añadido aún cuenta como nodo con derecho a voto incluso aunque no pueda servir lecturas ni convertirse en primario hasta que sus datos sean coherentes. Si tienes una versión de MongoDB anterior a la 5.0 y agregas un secundario con su votes y la configuración de priority mayor a cero, esto puede llevar a una situación en la que la mayoría de los nodos con derecho a voto estén en linea pero no se pueda elegir un primario. Para evitar estas situaciones, considera añadir el nuevo arrendatario secundario, inicialmente, con priority :0 y votes :0. Después, ejecuta rs.status() para asegurar que el nodo haya pasado al estado SECONDARY. Por último, usa rs.reconfig() para actualizar su prioridad y votos.

    Durante el proceso de sincronización inicial, se produce el re-cifrado de los datos con un conjunto completamente nuevo de claves de base de datos, así como con una nueva clave de sistema.

  4. Remueve el nodo antiguo del conjunto de réplicas y borra todos sus datos. Para obtener instrucciones, consulte Remover miembros de un set de réplicas autogestionado

Rotación de la clave maestra de KMIP

Si está usando un servidor KMIP para la gestión de claves, puede rotar la llave maestra de cliente, que es la única clave gestionada externamente. Con la nueva clave maestra, el almacén de claves interno se re-encriptará, pero las claves de base de datos permanecerán sin cambios. Esto elimina la necesidad de volver a cifrar todo el conjunto de datos.

  1. Rotar la clave maestra para los nodos secundarios del set de réplicas de uno en uno.

    1. Reinicia el secundario, incluyendo la --kmipRotateMasterKey opción. Incluye cualquier otra opción específica de tu configuración, como --bind_ip. Si el nodo ya incluye la opción --kmipKeyIdentifier, actualiza la opción --kmipKeyIdentifier con la nueva clave que se va a usar u omítela para solicitar una nueva clave al servidor KMIP:

      mongod --enableEncryption --kmipRotateMasterKey \
        --kmipServerName <KMIP Server HostName> \
        --kmipServerCAFile ca.pem --kmipClientCertificateFile client.pem

      Si se utiliza un archivo de configuración, incluya el security.kmip.rotateMasterKey.

    2. Tras la rotación exitosa de la clave maestra y el re-cifrado del almacén de claves de la base de datos, la mongod se cerrará.

    3. Reinicia la secundaria sin el parámetro --kmipRotateMasterKey. Incluye cualquier otra opción específica de tu configuración, como --bind_ip.

      mongod --enableEncryption --kmipServerName <KMIP Server HostName> \
        --kmipServerCAFile ca.pem --kmipClientCertificateFile client.pem

      Si se utiliza un archivo de configuración, remueve la configuración de security.kmip.rotateMasterKey.

  2. Reduce el primario del set de réplicas.

    Conecte mongosh al principal y utilice rs.stepDown() para rebajar al principal y forzar la elección de un nuevo principal:

    rs.stepDown()

  3. Cuando rs.status() indica que el nodo primario ha cedido y otro nodo ha asumido el estado PRIMARY, rota la clave maestra para el nodo que ha cedido:

    1. Reinicia el nodo rebajado, incluyendo la opción --kmipRotateMasterKey. Incluye cualquier otra opción específica de tu configuración, como --bind_ip. Si el nodo ya incluye la opción --kmipKeyIdentifier, actualiza la opción --kmipKeyIdentifier con la nueva clave para usar u omitir.

      mongod --enableEncryption --kmipRotateMasterKey \
        --kmipServerName <KMIP Server HostName> \
        --kmipServerCAFile ca.pem --kmipClientCertificateFile client.pem

      Si se utiliza un archivo de configuración, incluya el security.kmip.rotateMasterKey.

    2. Tras la rotación exitosa de la clave maestra y el re-cifrado del almacén de claves de la base de datos, la mongod se cerrará.

    3. Reiniciar el nodo que ha cedido sin la opción --kmipRotateMasterKey. Incluir cualquier otra opción específica de la configuración, como --bind_ip.

      mongod --enableEncryption --kmipServerName <KMIP Server HostName> \
        --kmipServerCAFile ca.pem --kmipClientCertificateFile client.pem

      Si se utiliza un archivo de configuración, remueve la configuración de security.kmip.rotateMasterKey.

Volver

Configurar

Next

TLS/SSL

En esta página