문서 홈 → MongoDB 실행 및 관리 → MongoDB Atlas
데이터베이스 배포를 위한 보안 기능 구성
이 페이지의 내용
- 사전 구성된 보안 기능
- 전송 중 암호화
- 가상 사설 클라우드
- 저장된 데이터 암호화
- 필수 보안 기능
- 네트워크 및 방화벽 요구 사항
- IP 액세스 목록
- 사용자 인증 또는 권한 부여
- 보안 기능 옵션
- 네트워크 피어링 연결
- 비공개 엔드포인트
- 통합 AWS 액세스
- 데이터베이스 배포 인증 및 권한 부여
- 키 관리를 사용한 미사용 데이터 암호화
- Client-Side Field Level Encryption
- 데이터베이스 감사
- 액세스 추적
- Atlas UI 액세스를 위한 다단계 인증
- Atlas Control Plane에 대한 액세스 허용
- Data Federation에 대한 액세스 허용
- OCSP 인증서 해지 확인
Atlas는 즉시 안전하게 사용할 수 있습니다. Atlas는 안전한 기본 설정으로 사전 구성되어 제공됩니다. 고유한 보안 요구 사항 및 선호도에 맞게 데이터베이스 배포의 보안 기능을 미세 조정할 수 있습니다. 데이터베이스 배포에 대한 다음 보안 기능 및 고려 사항을 검토하세요.
중요
네임스페이스 및 필드 이름에 민감한 정보를 포함하지 않는 것이 보안 권장사항 입니다. Atlas는 이 정보를 숨기지 않습니다.
사전 구성된 보안 기능
Atlas 제품에는 다음 보안 기능이 포함되어 있습니다.
전송 중 암호화
데이터베이스에 대한 연결을 암호화하기 위해 Atlas가 TLS/SSL을 요구합니다.
SSL 또는 TLS OCSP 인증서 해지 확인을 구성하려면 OCSP 인증서 해지 확인을 참조하세요.
가상 사설 클라우드
하나 이상의 M10+ 전용 클러스터가 있는 모든 Atlas 프로젝트에는 전용 VPC (또는 Azure를 사용하는 경우에는 VNet)가 제공됩니다. Atlas는 이 VPC 또는 VNet 내에 모든 전용 클러스터를 배포합니다.
저장된 데이터 암호화
기본적으로 Atlas는 Atlas 데이터베이스 배포에 저장된 모든 데이터를 암호화합니다. Atlas는 키 관리를 사용한 미사용 데이터 암호화도 지원합니다.
필수 보안 기능
반드시 다음과 같은 보안 기능을 구성해야 합니다.
네트워크 및 방화벽 요구 사항
애플리케이션이 MongoDB Atlas 환경에 연결할 수 있는지 확인하세요. 애플리케이션 환경에서 Atlas로의 인바운드 네트워크 액세스를 추가하려면 다음 중 하나를 수행하세요.
IP 액세스 목록에 공인 IP 주소 추가하기
VPC/VNet 피어링을 사용하여 비공개 IP 주소를 추가합니다.
비공개 엔드포인트를 추가합니다.
팁
다음도 참조하세요.
방화벽이 아웃바운드 네트워크 연결을 차단하는 경우, 애플리케이션 환경에서 MongoDB Atlas로의 아웃바운드 액세스 권한을 허용해야 합니다. 애플리케이션이 Atlas 호스트의 TCP 트래픽에 대해 포트 27015부터 27017까지 아웃바운드 연결을 할 수 있도록 방화벽을 구성해야 합니다. 이렇게 하면 애플리케이션이 Atlas에 저장된 데이터베이스에 액세스할 수 있습니다.
참고
기본적으로 MongoDB Atlas 클러스터는 귀하의 애플리케이션 환경에 대한 연결을 시작할 필요가 없습니다. LDAP 인증 및 권한 부여를 통해 Atlas 클러스터를 활성화하고자 한다면 Atlas 클러스터가 귀하의 보안 LDAP로 직접 네트워크 액세스를 허용해야 합니다. 공개 또는 비공개 IP를 사용하여 귀하의 LDAP에 대한 액세스를 허용할 수 있으며, 이때 퍼블릭 DNS 호스트명이 Atlas 클러스터가 접근할 수 있는 IP를 가르키고 있어야 합니다.
VPC/VNet 피어링을 사용하지 않고 공용 IP 주소를 사용하여 Atlas에 연결하려는 경우, 다음 페이지에서 추가 정보를 확인하세요.
IP 액세스 목록
Atlas는 프로젝트의 IP 액세스 목록에 있는 엔트리에서 데이터베이스 배포에 대한 클라이언트 연결만 허용합니다. 연결하려면 IP 액세스 목록에 항목을 추가해야 합니다. 프로젝트의 IP 액세스 목록을 설정하려면 IP 액세스 목록 항목 구성을 참조하세요.
Google Cloud Platform(GCP) 또는 Microsoft Azure에 배포된 Atlas 클러스터의 경우, Google Cloud 또는 Azure 서비스의 IP 주소를 Atlas 프로젝트 IP 액세스 목록에 추가하여 해당 서비스가 클러스터에 접근할 수 있도록 허용하세요.
사용자 인증 또는 권한 부여
Atlas는 데이터베이스에 연결하기 위해 클라이언트에 인증을 요구합니다. 데이터베이스에 액세스하려면 데이터베이스 사용자를 만들어야 합니다. 데이터베이스 배포에 대한 데이터베이스 사용자를 설정하려면 데이터베이스 사용자 구성 을 참조하세요. Atlas는 데이터베이스 배포 인증 및 권한 부여를 위한 다양한 보안 기능을 제공합니다.
프로젝트의 데이터베이스 배포에 액세스하려면 사용자가 해당 프로젝트에 속해 있어야 합니다. 사용자는 여러 프로젝트에 소속될 수 있습니다.
팁
다음도 참조하세요.
보안 기능 옵션
다음과 같은 보안 기능을 구성할 수 있습니다.
네트워크 피어링 연결
Atlas는 다른 AWS, Azure 또는 Google Cloud 네트워크 피어링 연결과의 피어링 연결을 지원합니다. 자세한 내용은 네트워크 피어링 연결 설정을 참조하세요.
중요
이것이 선택한 리전 또는 리전의 첫 번째 M10+ 전용 유료 클러스터이고 하나 이상의 VPC 피어링 연결을 생성하려는 경우, 계속하기 전에 VPC 피어링 연결에 대한 문서를 검토하세요.
비공개 엔드포인트
Atlas는 다음에 대한 비공개 엔드포인트를 지원합니다:
AWS PrivateLink 를 사용하는 AWS 기능
Azure Private Link 를 사용하는 Azure 기능
Private Service Connect 를 사용하는 Google Cloud 기능
비공개 엔드포인트를 사용하려면 Learn About Private Endpoints in Atlas(Atlas의 비공개 엔드포인트에 대해 알아보기)를 참조하세요.
통합 AWS 액세스
Data Federation 및 고객 키 관리를 사용한 미사용 데이터 암호화를 포함한 일부 Atlas 기능은 AWS IAM 역할 을 사용합니다. 인증을 위해.
Atlas가 사용할 AWS IAM 역할을 설정하려면 통합 AWS 액세스 설정을 참조하세요.
데이터베이스 배포 인증 및 권한 부여
Atlas는 데이터베이스 배포 인증 및 권한 부여를 위해 다음과 같은 보안 기능을 제공합니다.
데이터베이스 사용자 인증 또는 권한 부여
Atlas는 데이터베이스 배포에 액세스하려면 클라이언트가 인증을 받아야 합니다. 데이터베이스에 액세스하려면 데이터베이스 사용자를 생성해야 합니다. 데이터베이스 배포에 대한 데이터베이스 사용자를 설정하려면 데이터베이스 사용자 구성을 참조하세요.
데이터베이스 권한 부여를 위한 사용자 지정 역할
Atlas는 기본 제공 Atlas 역할이 원하는 권한 집합을 부여하지 않는 경우 데이터베이스 권한 부여에 대한 사용자 지정 역할의 생성을 지원합니다.
AWS IAM으로 패스워드리스 인증 설정하기
다음과 같은 방법으로 AWS IAM 사용자에 대한 암호 없는 인증을 설정할 수 있습니다.
AWS IAM 역할을 구성하여 사용자 이름 또는 비밀번호 필드를 선택 사항으로 만듭니다.자세한 내용은 AWS IAM 역할을 사용한 비밀번호 없는 인증 설정을 참조하세요.
AssumeRoleWithSAML API 작업 을 통해 얻은 임시 자격 증명 사용 . 자세히 알아보려면 SAML을 사용하여 비밀번호 없는 인증 설정을 참조하세요.
LDAP를 사용한 사용자 인증 또는 권한 부여
Atlas는 LDAP로 사용자 인증 및 권한 부여를 수행할 수 있도록 지원합니다. LDAP를 사용하려면 LDAP로 사용자 인증 및 권한 부여 설정을 참조하세요.
X.509를 사용한 사용자 인증
X.509 클라이언트 인증서는 데이터베이스 사용자에게 프로젝트의 데이터베이스 배포에 대한 액세스를 제공합니다. X.509 인증 옵션에는 Atlas에서 관리하는 X.509 인증 및 자체 관리형 X.509 인증이 포함됩니다. 자체 관리형 X.509 인증에 대한 자세한 내용은 자체 관리형 X.509 인증 설정을 참조하세요.
Atlas 백엔드 인프라에 대한 MongoDB 지원 액세스 제한
조직의 소유자는 자신의 조직에서 모든 Atlas 데이터베이스 배포를 위한 Atlas 백엔드 인프라에 MongoDB 프로덕션 지원 직원의 접근을 제한할 수 있습니다.조직 소유자는 Atlas 데이터베이스 배포 수준에서 액세스 제한을 24시간 우회하도록 권한을 부여할 수 있습니다.
중요
MongoDB 지원의 인프라 액세스를 차단하면 지원 문제 대응 및 해결 시간이 늘어나고 데이터베이스 배포의 가용성에 부정적인 영향을 미칠 수 있습니다.
이 옵션을 활성화하려면 Atlas 백엔드 인프라에 대한 MongoDB 지원 액세스 구성을 참조하세요.
키 관리를 사용한 미사용 데이터 암호화
Atlas는 스토리지 엔진과 클라우드 제공업체 백업을 암호화하기 위해 AWS KMS, Azure Key Vault, Google Cloud를 지원합니다. 휴면 상태 암호화를 사용하려면 고객 키 관리를 사용한 휴면 상태에서의 암호화를 참조하세요.
Client-Side Field Level Encryption
Atlas는 필드 자동 암호화를 포함하여 클라이언트 사이드 필드 수준 암호화 를 지원합니다. 모든 Atlas 사용자는 MongoDB의 자동 클라이언트 사이드 필드 수준 암호화 기능을 사용할 수 있습니다.
자세한 내용은 클라이언트 측 필드 레벨 암호화 요구 사항을 참조하세요.
참고
MongoDB Compass, Atlas UI 및 MongoDB Shell (mongosh)은 클라이언트 사이드 필드 수준 암호화 필드의 암호 해독을 지원하지 않습니다.
데이터베이스 감사
Atlas는 모든 시스템 이벤트 조치에 대한 감사를 지원합니다. 데이터베이스 감사를 사용하려면 데이터베이스 감사 설정을 참조하세요.
액세스 추적
Atlas는 인증 로그를 Atlas UI에 직접 표시하므로 데이터베이스 배포에 대한 인증 시도의 성공 및 실패를 쉽게 검토할 수 있습니다. 데이터베이스 액세스 기록을 보려면 데이터베이스 액세스 기록 보기를 참조하세요.
Atlas UI 액세스를 위한 다단계 인증
Atlas는 Atlas 계정에 대한 액세스를 제어할 수 있도록 MFA 를 지원합니다. MFA를 설정하려면 다단계 인증 옵션 관리를 참조하세요.
Atlas Control Plane에 대한 액세스 허용
다음 Atlas 기능 중 하나를 사용하는 경우 네트워크의 IP 액세스 목록에 Atlas IP 주소를 추가해야 할 수 있습니다.
참고
미사용 데이터 암호화 기능을 활성화하는 경우, 샤드 클러스터 를 사용하는 경우 CSRS(Config 서버복제본 세트) 를 포함하여 배포의 모든 호스트에 대해 공용 IP에서의 액세스를 허용해야 합니다.
Atlas Control Plane IP 주소 가져오기
controlPlaneIPAddresses 엔드포인트에 GET 요청을 보내 현재 Atlas 컨트롤 플레인 IP 주소를 가져옵니다. API 엔드포인트 는 다음과 같이 클라우드 제공자 및 리전별로 분류된 인바운드 및 아웃바운드 Atlas 컨트롤 플레인 IP 주소의 목록을 CIDR 표기법으로 반환합니다.
{ "controlPlane": { "inbound": { "aws": { // cloud provider "us-east-1": [ // region "3.92.113.229/32", "3.208.110.31/32", "107.22.44.69/32" ..., ], ... } }, "outbound": { "aws": { // cloud provider "us-east-1": [ // region "3.92.113.229/32", "3.208.110.31/32", "107.22.44.69/32" ..., ], ... } } }, "data_federation": { "inbound": {}, "outbound" {} }, "app_services": { "inbound": {}, "outbound" {} }, ... }
반환된 IP 주소를 클라우드 제공자의 KMS IP 액세스 목록에 추가하려면 AWS, Azure 및 GCP를 사용하여 고객 키를 관리하기 위한 사전 구성 요소를 참조하세요.
필수 아웃바운드 액세스
아웃바운드 액세스는 Atlas 컨트롤 플레인에서 들어오는 트래픽입니다. Atlas 관리자 API를 사용 하여 현재 아웃바운드 Atlas 컨트롤 플레인 IP 주소를 가져오는 것이 좋습니다.
필수 인바운드 액세스
인바운드 액세스는 Atlas 컨트롤 플레인으로 들어오는 트래픽입니다. 네트워크에서 특정 IP 주소로만 아웃바운드 HTTP 요청을 허용하는 경우, Atlas가 웹훅 및 KMS 와 통신할 수 있도록 다음 IP 주소로부터의 액세스를 허용해야 합니다.
3.92.113.229 3.208.110.31 3.211.96.35 3.212.79.116 3.214.203.147 3.215.10.168 3.215.143.88 3.232.182.22 18.214.178.145 18.235.30.157 18.235.48.235 18.235.145.62 34.193.91.42 34.193.242.51 34.194.7.70 34.196.80.204 34.196.151.229 34.200.66.236 34.235.52.68 34.236.228.98 34.237.40.31 34.238.35.12 35.153.40.82 35.169.184.216 35.171.106.60 35.173.54.44 35.174.179.65 35.174.230.146 35.175.93.3 35.175.94.38 35.175.95.59 44.206.200.18 44.207.9.197 44.207.12.57 50.19.91.100 52.7.232.43 52.71.233.234 52.73.214.87 52.87.98.128 52.203.106.167 54.145.247.111 54.163.55.77 54.167.217.16 100.26.2.217 107.20.0.247 107.20.107.166 107.22.44.69
Data Federation에 대한 액세스 허용
사용자의 네트워크에서 특정 IP 주소로만 아웃바운드 요청을 허용하는 경우, 요청이 연합 데이터베이스 인스턴스에 도달할 수 있도록 TCP 포트 27017에 다음과 같은 IP 주소에 대한 액세스를 허용해야 합니다.
18.204.47.197 34.237.78.67 54.91.120.155 34.217.220.13 54.203.115.97 54.69.142.129 108.129.35.102 18.200.7.156 99.81.123.21 3.8.218.156 3.9.125.156 3.9.90.17 18.196.201.253 3.122.67.212 35.158.226.227 13.54.14.65 52.64.205.136 3.6.3.105 65.1.222.250 18.231.94.191 54.94.3.214
OCSP 인증서 해지 확인
사용자의 네트워크가 특정 IP 주소로만 아웃바운드 요청을 허용하는 경우, SSL 또는 TLS OCSP 인증서 폐기 확인을 허용하기 위해서는 SSL 또는 TLS 인증서의 OCSP URL에서 찾을 수 있는 Atlas의 CA (인증 기관) OCSP Responder 서버에 대한 접근을 허용해야 합니다.
OCSP 인증서 해지 확인을 비활성화하려면 애플리케이션에서 사용하는 MongoDB 드라이버 버전에 대한 설명서를 참조하세요.