Página inicial do Docs → Iniciar e gerenciar o MongoDB → MongoDB Atlas
Configurar recursos de segurança para sistemas de banco de dados
Nesta página
- Recursos de segurança pré-configurados
- Criptografia em trânsito
- Nuvem privada virtual
- Criptografia em repouso
- Funcionalidades de segurança necessários
- Requisitos de rede e firewall
- Lista de acesso IP
- Autenticação ou autorização de usuário
- Funcionalidades de segurança opcionais
- Conexão de peering de rede
- Endpoints privados
- Acesso AWS unificado
- Autenticação e autorização do sistema de banco de dados
- Criptografia em repouso usando o gerenciamento de chaves
- Criptografia no nível de campo do cliente
- Auditoria de banco de dados
- Rastreamento de acesso
- Autenticação multifator para acesso Atlas UI
- Permitir acesso de ou para o plano de controle Atlas
- Permitir acesso ao Data Federation
- Verificação de revogação de certificado OCSP
Você pode usar imediatamente o Atlas com segurança. O Atlas vem pré-configurado com configurações padrão seguras. É possível ajustar as funcionalidades de segurança das implementações de banco de dados para atender às suas necessidades e preferências exclusivas de segurança. Revise as seguintes funcionalidades de segurança e considerações para sistemas de banco de dados.
Importante
Como prática de segurança recomendada, não inclua informações confidenciais em namespaces e nomes de campo. O Atlas não ofusca essas informações.
Recursos de segurança pré-configurados
As seguintes funcionalidade de segurança são parte do produto Atlas:
Criptografia em trânsito
O Atlas exige TLS/SSL para criptografar as conexões com seus bancos de dados.
Para configurar a verificação de revogação de certificado OCSP SSL ou TLS, consulte Verificação de revogação de certificado OCSP.
Nuvem privada virtual
Todos os projetos Atlas com um ou mais clusters dedicados M10+ recebem seu próprio VPC dedicado (ou VNet se você utilizar o Azure). O Atlas distribui todos os clusters dedicados dentro deste VPC ou VNet.
Criptografia em repouso
Por padrão, o Atlas criptografa todos os dados armazenados em seus sistemas de banco de dados do Atlas. O Atlas também permite Encryption at rest usando seu Gerenciamento de Chaves.
Funcionalidades de segurança necessários
Você deve configurar as seguintes funcionalidades de segurança:
Requisitos de rede e firewall
Certifique-se de que seu aplicativo possa alcançar seu ambiente MongoDB Atlas. Para adicionar o acesso de rede de entrada do seu ambiente do aplicativo para o Atlas, faça um dos seguintes:
Adicionar os endereços IP públicos à sua lista de acesso IP
Use emparelhamento VPC/VNet para adicionar endereços IP privados.
Adicionar endpoints privados.
Dica
Veja também:
Se o firewall bloquear conexões de rede de saída, você também deverá abrir o acesso de saída do ambiente do aplicativo para o Atlas. Você deve configurar o firewall para permitir que seus aplicativos façam conexões de saída com as portas 27015 a 27017 com o tráfego TCP nos hosts Atlas. Isto concede aos seus aplicativos acesso aos bancos de dados armazenados no Atlas.
Observação
Os clusters do MongoDB Atlas, por padrão, não requerem a capacidade de estabelecer conexões com ambientes de aplicativos. Se você deseja habilitar agrupamentos do Atlas com autenticação e autorização LDAP, você deverá permitir o acesso de rede a partir de clusters do Atlas diretamente para seu LDAP seguro. Você pode permitir o acesso ao seu LDAP utilizando IPs públicos ou privados desde que um nome de host DNS público aponte para um IP que os agrupamentos Atlas podem acessar.
Se você não estiver usando o emparelhamento VPC/VNet e planeja se conectar ao Atlas usando endereços IP públicos, consulte as páginas a seguir para obter mais informações:
Lista de acesso IP
O Atlas só permite conexões de clientes com o sistema de banco de dados a partir de entradas na lista de acesso IP do projeto. Para se conectar, você deve adicionar uma entrada à lista de acesso IP. Para configurar a lista de acesso IP para o projeto, consulte Configurar entradas da lista de acesso IP.
Para clusters do Atlas implantados no Google Cloud Platform (GCP) ou no Microsoft Azure, adicione os endereços IP de seus serviços do Google Cloud ou do Azure à lista de acesso de IPs do projeto Atlas para conceder a esses serviços acesso ao cluster.
Autenticação ou autorização de usuário
O Atlas exige que os clientes autentiquem para se conectar ao banco de dados. Você deve criar usuários do banco de dados para acessar o banco de dados. Para configurar usuários de banco de dados para seus sistemas de banco de dados, consulte Configurar usuários de banco de dados. O Atlas oferece muitos recursos de segurança para autenticação e autorização de sistema de banco de dados.
Para acessar implantações de banco de dados em um projeto, os usuários devem pertencer a este projeto. Os usuários podem pertencer a vários projetos.
Dica
Veja também:
Funcionalidades de segurança opcionais
Você pode configurar as seguintes funcionalidades de segurança:
Conexão de peering de rede
O Atlas oferece suporte a conexões de emparelhamento com outras conexões de peering de rede AWS, Azure ou Google Cloud. Para saber mais, consulte Configurar uma conexão de peering de rede.
Importante
Se este for o primeiro cluster M10+ dedicado pago para a região ou regiões selecionadas e você planeja criar uma ou mais conexões de emparelhamento VPC, consulte a documentação de conexões de emparelhamento VPC antes de continuar.
Endpoints privados
Atlas oferece suporte a endpoints privados em:
AWS usando o AWS PrivateLink funcionalidade
Azure usando o Azure Private Link funcionalidade
Google Cloud usando o Private Service Connect funcionalidade
Para utilizar endpoints privados, consulte Aprenda sobre Endpoints Privados no Atlas.
Acesso AWS unificado
Alguns recursos do Atlas, incluindo Data Federation e Criptografia em repouso usando o Gerenciamento de chaves do cliente, usam funções do AWSIAM para autenticação.
Para configurar uma função do AWS IAM para ser usada pelo Atlas, consulte Configurar o acesso unificado ao AWS.
Autenticação e autorização do sistema de banco de dados
O Atlas oferece os seguintes recursos de segurança para autenticação e autorização de sistema de banco de dados.
Autenticação ou autorização do usuário do banco de dados
O Atlas exige que os clientes autentiquem para acessar implantações do banco de dados. Você deve criar usuários do banco de dados para acessar o banco de dados. Para configurar usuários do banco de dados para suas implantações do banco de dados, consulte Configurar usuários do banco de dados.
Funções personalizadas para autorização de banco de dados
O Atlas oferece suporte à criação de roles personalizadas para autorização de banco de dados nos casos em que as roles integradas do Atlas não concedem o conjunto de privilégios desejado.
Autenticação Sem Senha com AWS IAM
Você pode configurar a autenticação sem senha para seus usuários do AWS IAM das seguintes maneiras:
Configure as funções do AWS IAM para colocar como opcionais os campos de nome de usuário ou senha. Para mais informações, consulte Configurar autenticação sem senha com funções do AWS IAM.
Utilize credenciais temporárias colhidas com a operação da API AssumeRoleWithSAML. Para mais informações, consulte Configurar autenticação sem senha com SAML.
Autenticação ou autorização de usuário com LDAP
O Atlas oferece suporte a autenticação e autorização de usuários com LDAP. Para utilizar o LDAP, consulte Configurar a autenticação e autorização de usuários com LDAP.
Autenticação de usuário com X.509
Os certificados de cliente X.509 oferecem aos usuários do banco de dados acesso aos sistemas de banco de dados em seu projeto. As opções para autenticação X.509 incluem a autenticação X.509 gerenciada pelo Atlas e a autenticação X.509 autogerenciada. Para saber mais sobre a autenticação X.509 autogerenciada, consulte Configurar a autenticação X.509 autogerenciada.
Restringir o acesso de suporte do MongoDB à infraestrutura de backend do Atlas
Os proprietários da organização podem restringir os Colaboradores do Suporte de Produção MongoDB de acessar a infraestrutura de backend do Atlas para qualquer implantação de banco de dados do Atlas em sua organização. Os proprietários da organização podem conceder um desvio de 24 horas para a restrição de acesso no nível de implantação do Banco de Dados Atlas.
Importante
O bloqueio do acesso à infraestrutura do suporte do MongoDB pode aumentar o tempo de resposta e resolução de problemas de suporte e afetar negativamente a disponibilidade do sistema de banco de dados.
Para habilitar essa opção, consulte Configurar o acesso de suporte do MongoDB à infraestrutura de backend do Atlas.
Criptografia em repouso usando o gerenciamento de chaves
O Atlas oferece suporte ao uso do AWS KMS, do Azure Key Vault e do Google Cloud para criptografar mecanismos de armazenamento e backups de fornecedores de nuvem. Para usar a criptografia em repouso, consulte Criptografia em repouso usando o Gerenciamento de Chaves do Cliente.
Criptografia no nível de campo do cliente
O Atlas é compatível com a criptografia no nível do campo do lado do cliente, incluindo a criptografia automática dos campos. Todos os Atlas users têm o direito de utilizar as funcionalidades automáticas de criptografia no nível do campo do MongoDB do lado do cliente.
Para saber mais, consulte Requisitos de criptografia no nível do campo do cliente.
Observação
O MongoDB Compass, a UI do Atlas e o MongoDB Shell (mongosh) não oferecem suporte à descriptografia de campos criptografados em nível de campo no lado do cliente.
Auditoria de banco de dados
O Atlas oferece suporte à auditoria de todas as ações de eventos do sistema. Para usar auditoria de banco de dados, consulte Configurar auditoria de banco de dados.
Rastreamento de acesso
O Atlas apresenta os registros de autenticação diretamente na UI do Atlas, para que você possa revisar facilmente as tentativas de autenticação bem-sucedidas e malsucedidas feitas nos seus sistemas de banco de dados. Para visualizar seu histórico de acesso ao banco de dados, consulte Exibir histórico de acesso ao banco de dados.
Autenticação multifator para acesso Atlas UI
O Atlas suporta MFA para ajudá-lo a controlar o acesso às suas contas Atlas. Para configurar MFA, consulte Gerenciar suas opções de autenticação multifator.
Permitir acesso de ou para o plano de controle Atlas
Se você usar algum dos seguintes recursos do Atlas, talvez seja necessário adicionar endereços IP do Atlas à lista de acesso IP da sua rede:
Criptografia em repouso usando o gerenciamento de chaves de cliente
Observação
Se você habilitar o recurso Encryption at Rest , deverá permitir o acesso de IPs públicos para todos os hosts em se sistema, incluindo CSRS (Config Server Replica Sets) se estiver usando sharded clusters.
Buscar endereços IP do plano de controle do Atlas
Envie uma solicitação GET para o ponto final controlPlaneIPAddresses para buscar os endereços IP do plano de controle Atlas atual. O endpoint da API retorna uma lista de endereços IP do plano de controle do Atlas de entrada e saída na notação CIDR categorizada por provedor de nuvem e região, semelhante à seguinte:
{ "controlPlane": { "inbound": { "aws": { // cloud provider "us-east-1": [ // region "3.92.113.229/32", "3.208.110.31/32", "107.22.44.69/32" ..., ], ... } }, "outbound": { "aws": { // cloud provider "us-east-1": [ // region "3.92.113.229/32", "3.208.110.31/32", "107.22.44.69/32" ..., ], ... } } }, "data_federation": { "inbound": {}, "outbound" {} }, "app_services": { "inbound": {}, "outbound" {} }, ... }
Para adicionar os endereços IP retornados à lista de acesso KMS IP do seu fornecedor de nuvem, consulte os pré-requisitos para gerenciar chaves de cliente com AWS , Azure e GCP.
Acesso de saída necessário
O acesso de saída é o tráfego proveniente do plano de controle do Atlas. Recomendamos que você use a API do Atlas Admin para obter os endereços IP atuais do plano de controle do Atlas de saída.
Acesso de entrada necessário
O acesso de entrada é o tráfego que entra no plano de controle do Atlas. Se a sua rede permitir solicitações HTTP de saída somente para endereços IP específicos, você deverá permitir o acesso dos seguintes endereços IP para que o Atlas possa se comunicar com seus webhooks e KMS:
3.92.113.229 3.208.110.31 3.211.96.35 3.212.79.116 3.214.203.147 3.215.10.168 3.215.143.88 3.232.182.22 18.214.178.145 18.235.30.157 18.235.48.235 18.235.145.62 34.193.91.42 34.193.242.51 34.194.7.70 34.196.80.204 34.196.151.229 34.200.66.236 34.235.52.68 34.236.228.98 34.237.40.31 34.238.35.12 35.153.40.82 35.169.184.216 35.171.106.60 35.173.54.44 35.174.179.65 35.174.230.146 35.175.93.3 35.175.94.38 35.175.95.59 44.206.200.18 44.207.9.197 44.207.12.57 50.19.91.100 52.7.232.43 52.71.233.234 52.73.214.87 52.87.98.128 52.203.106.167 54.145.247.111 54.163.55.77 54.167.217.16 100.26.2.217 107.20.0.247 107.20.107.166 107.22.44.69
Permitir acesso ao Data Federation
Se a sua rede permitir solicitações de saída somente para endereços IP específicos, você deverá permitir o acesso aos seguintes endereços IP na porta 27017 do TCP para que suas solicitações possam chegar à instância do banco de dados federado:
18.204.47.197 34.237.78.67 54.91.120.155 34.217.220.13 54.203.115.97 54.69.142.129 108.129.35.102 18.200.7.156 99.81.123.21 3.8.218.156 3.9.125.156 3.9.90.17 18.196.201.253 3.122.67.212 35.158.226.227 13.54.14.65 52.64.205.136 3.6.3.105 65.1.222.250 18.231.94.191 54.94.3.214
Verificação de revogação de certificado OCSP
Se a sua rede permitir solicitações de saída somente para endereços IP específicos, para permitir a verificação de revogação de certificados SSL ou TLS OCSP, você deverá permitir o acesso aos servidores Respondentes OCSP da CA (Autoridade de Certificação) do Atlas que podem ser encontrados no URL OCSP do certificado SSL ou TLS.
Para desabilitar a verificação de revogação de certificado OCSP , consulte a documentação para a versão do driver MongoDB que seu aplicativo usa.