Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Fundamentals
Docs Home
/ /
Encriptación a nivel de campo
/
Fundamentals
Docs Home
/
Desarrollo
/
Encriptación en uso
/
Encriptación a nivel de campo
/
Fundamentals

cifrado automático

MongoDB admite el cifrado automático de campos en las operaciones de lectura y escritura cuando se utiliza cifrado a nivel de campo del lado del cliente. Puedes realizar un cifrado automático utilizando mongosh y controladores oficiales de MongoDB. Para obtener una lista completa de drivers oficiales compatibles con soporte para CSFLE, consulta la Compatibilidad del Driver Compatibilidad de CSFLE.

Cómo funcionan las escrituras y lecturas cifradas

Los siguientes diagramas muestran cómo la aplicación cliente y el controlador escriben y leen datos cifrados a nivel de campo.

Escrituras cifradas

Para las operaciones de escritura, el driver cifra los valores de los campos antes de escribirlos en la base de datos MongoDB.

El siguiente diagrama muestra los pasos realizados por la aplicación cliente y el driver para realizar un guardado de datos cifrados a nivel de campo:

Diagrama que muestra el flujo de datos para un guardado de datos cifrados a nivel de campo.

Lecturas cifradas

Para operaciones de lectura, el driver encripta los valores de campo en la query antes de realizar la operación de lectura.

Para las operaciones de lectura que devuelven campos cifrados, el driver descifra automáticamente los valores cifrados solo si el driver fue configurado con acceso a la llave maestra de cliente (CMK) y las llaves de cifrado de datos (DEK) utilizadas para cifrar esos valores.

El siguiente diagrama muestra los pasos que realiza la aplicación cliente y el driver para query y descifrar datos cifrados a nivel de campo:

Diagrama que muestra el flujo de datos para consultar y leer datos cifrados a nivel de campo

Habilitar cifrado a nivel de campo del lado del cliente automático

Para habilitar el cifrado automático, especifique la configuración de cifrado automático en la instancia MongoClient de su cliente.

Los siguientes fragmentos de código muestran cómo crear un cliente con cifrado automático habilitado en mongosh y controladores MongoDB:

var autoEncryptionOpts =
{
   "keyVaultNamespace" : "<database>.<collection>",
   "kmsProviders" : { ... },
   "schemaMap" : { ... }
}
cluster = Mongo(
  "<Your Connection String>",
  autoEncryptionOpts
);

Tip

Variables de entorno

Si es posible, considera definir las credenciales proporcionadas en kmsProviders como variables de entorno y luego pasarlas a mongosh mediante la opción --eval. Esto minimiza las posibilidades de que las credenciales se filtren en los registros.

var clientSettings = MongoClientSettings.FromConnectionString(_connectionString);
var autoEncryptionOptions = new AutoEncryptionOptions(
    keyVaultNamespace: keyVaultNamespace,
    kmsProviders: kmsProviders,
    schemaMap: schemaMap,
    extraOptions: extraOptions);
clientSettings.AutoEncryptionOptions = autoEncryptionOptions;
var client = new MongoClient(clientSettings);
autoEncryptionOpts := options.AutoEncryption().
	SetKmsProviders(provider.Credentials()).
	SetKeyVaultNamespace(keyVaultNamespace).
	SetSchemaMap(schemaMap).
	SetExtraOptions(extraOptions)
client, err := mongo.Connect(context.TODO(), options.Client().ApplyURI(uri).SetAutoEncryptionOptions(autoEncryptionOpts))
MongoClientSettings clientSettings = MongoClientSettings.builder()
    .applyConnectionString(new ConnectionString("mongodb://localhost:27017"))
    .autoEncryptionSettings(AutoEncryptionSettings.builder()
        .keyVaultNamespace(keyVaultNamespace)
        .kmsProviders(kmsProviders)
        .schemaMap(schemaMap)
        .extraOptions(extraOptions)
        .build())
    .build();
MongoClient mongoClient = MongoClients.create(clientSettings);
const secureClient = new MongoClient(connectionString, {
  monitorCommands: true,
  autoEncryption: {
    keyVaultNamespace,
    kmsProviders,
    schemaMap: patientSchema,
    extraOptions: extraOptions,
  },
});
fle_opts = AutoEncryptionOpts(
  kms_providers,
  key_vault_namespace,
  schema_map=patient_schema,
  **extra_options
)
client = MongoClient(connection_string, auto_encryption_opts=fle_opts)

Para obtener más información sobre la configuración específica de MongoClient de CSFLE, consulta Opciones específicas de MongoClient de CSFLE.

Aplicación de cifrado a nivel de campo del lado del servidor

MongoDB admite la validación de esquemas para aplicar el cifrado de campos específicos en una colección. Los clientes que realizan el cifrado automático a nivel de campo del lado del cliente tienen un comportamiento específico según la configuración de la conexión a la base de datos:

  • Si el objeto autoEncryptionOpts schemaMap de la conexión contiene una clave para la colección especificada, el cliente utiliza ese objeto para realizar el cifrado automático a nivel de campo e ignora el esquema remoto. Como mínimo, las reglas locales deben cifrar aquellos campos que el esquema remoto marque como que requieren cifrado.

  • Si el objeto de conexión autoEncryptionOpts schemaMap no contiene una clave para la colección especificada, el cliente descargará el esquema remoto del lado del servidor para la colección y lo usará para realizar el cifrado automático a nivel de campo.

    Importante

    Consideraciones sobre el comportamiento

    Cuando autoEncryptionOpts no contiene una clave para la colección especificada:

    • El cliente confía en que el servidor tiene un esquema válido con respecto al cifrado automático a nivel de campo.

    • El cliente utiliza el esquema remoto únicamente para realizar CSFLE automático. No aplica ninguna otra regla de validación especificada en el esquema.

Para aprender a configurar la aplicación de CSFLE del lado del servidor, consulta Aplicación del esquema del lado del servidor CSFLE.

Volver

Inicio rápido

Next

Cifrado explícito

En esta página