Sicherheits-Empfehlungen für MongoDB

Sicherheit ist ein zentrales Thema für MongoDB. Eine deutsche Studiengruppe entdeckte ungesicherte MongoDB-Instanzen, die frei über das Internet zugänglich waren. Wie die Studenten mittlerweile selbst richtigstellten, lag der Grund dafür jedoch nicht in der Technologie von MongoDB.

Die Gruppe hat mittlerweile diese Erklärung zum Bericht veröffentlicht:

Disclaimer: Da es in Teilen der Presse missverständlich wiedergegeben wurde, möchten wir noch einmal darauf hinweisen, dass für die ungesicherten Datenbanken nicht MongoDB Inc. verantwortlich ist, sondern Betreiber der Open Source Software MongoDB, die diese falsch konfiguriert haben. Des Weiteren ist es uns aus Datenschutzgründen nicht möglich, einzelne Betreiber von MongoDB zu identifizieren oder auszuschließen, dass diese betroffen sind. Selbstverständlich wurden die verantwortlichen Behörden (CERT - Computer Emergency Response Team, BSI - Bundesamt für Sicherheit in der Informationstechnik) informiert, welche wiederum mit den Administratoren der betroffenen IPs Kontakt aufgenommen haben.

Für Leser, die sich nun um die Sicherheit ihrer Systeme sorgen, haben wir einige Informationen zusammengestellt:

  • Einer der beliebtesten Installationsroutinen für MongoDB (RPM) beschränkt den Netzwerkzugriff standardmäßig auf den localhost, ist also in der Grundeinstellung nicht über das Internet zugänglich.
  • Nutzer des MongoDB Cloud Manager können sich zudem per Benachrichtigung warnen lassen, falls die Umgebung über das Internet zugänglich sein sollte (siehe Screenshot unten).
  • Andreas Nilsson, Sicherheitstechniker bei MongoDB, hat bereits einen zweiteiligen Hintergrundbericht online gestellt: Teil 1 beschäftigt sich mit der Architektur und der Konfiguration unseres Sicherheitsmodells. Teil 2 behandelt zehn Konfigurationsfehler, die Ihre Datenbank angreifbar machen können. Die Texte sind in englischer Sprache
  • In der Sicherheits-Checkliste erfahren Sie, wie Sie den Zugriff über das Netzwerk einschränken können. Beachten Sie, dass sich die diesbezüglichen Methoden je nach Hosting-Service (AWS, Azure, lokal usw.) stark unterscheiden.
  • Weitere detaillierte Informationen zum Thema Sicherheit finden Sie in den öffentlich verfügbaren Sicherheitsanleitungen.

Wir raten jedem MongoDB-Nutzer, der einen Sicherheitsvorfall bemerkt hat, einen Schwachstellenbericht zu erstellen.

Erstellen Sie eine neue Benachrichtigung für den Fall, dass der Host über das Internet öffentlich zugänglich ist.

Für weitere Fragen steht Ihnen unser Team unter support@mongodb.com zur Verfügung.