O MongoDB usa a Biblioteca compartilhada de criptografia automática (recomendado) ou o processo executável do mongocryptd para converter queries em queries criptografadas e criptografar ou descriptografar dados.
Antes de começar
Para usar o CSFLE com criptografia automática, você deve primeiro escolher o componente de análise de query que deseja que o MongoDB use para criptografar os campos.
crypt_shared, a biblioteca CSFLE recomendada.
mongocryptd, que está incluído nas instalações do MongoDB Enterprise Edition .
A biblioteca libmongocrypt e os drivers do MongoDB exigem a Biblioteca compartilhada de criptografia automática ou mongocryptd para interpretar consultas criptografadas. Para mais informações, consulte Instalar libmongocrypt para CSFLE.
Biblioteca compartilhada de criptografia automática
A Automatic Encryption Shared Library é uma biblioteca dinâmica que permite que seu aplicação cliente execute a criptografia automática. Uma biblioteca dinâmica é um conjunto de funcionalidades acessadas por um aplicação no tempo de execução em vez de compilar tempo. A Biblioteca compartilhada de criptografia automática executa as seguintes tarefas:
Lê o esquema de criptografia para determinar quais campos criptografar ou descriptografar
Impede que seu aplicativo execute operações não suportadas em campos criptografados
A biblioteca compartilhada de criptografia automática não realiza nenhuma das seguintes ações:
Executar criptografia ou descriptografia de dados
Acessar o material da chave de criptografia
Escutar dados pela rede
A Biblioteca compartilhada de criptografia automática é uma alternativa preferencial ao mongocryptd e não exige que você inicie outro processo para executar a criptografia automática.
Observação
Embora seja recomendável usar a Biblioteca Compartilhada de Criptografia Automática, o mongocryptd ainda é suportado.
Para saber mais sobre criptografia automática, consulte Recursos do CSFLE.
mongocryptd
mongocryptd está instalado com o MongoDB Enterprise Edition.
Quando você cria um cliente MongoDB habilitado para CSFLE, o processo do mongocryptd começa automaticamente por padrão.
O processo do mongocryptd:
Usa as regras de criptografia automática especificadas para marcar campos em operações de leitura e gravação para criptografia.
Impede que operações não suportadas sejam executadas em campos criptografados.
Analisa o esquema de criptografia especificado para a conexão do banco de dados. As regras de criptografia automática usam um subconjunto rigoroso da sintaxe de JSON schema. Se as regras contiverem sintaxe de criptografia automática inválida ou qualquer sintaxe do
schema validation, omongocryptdretornará um erro.
mongocryptd executa apenas as funções anteriores e não executa nenhuma das seguintes:
mongocryptdnão executa criptografia ou descriptografiamongocryptdnão acessa nenhum material chave de criptografiamongocryptdnão escuta pela rede
Para executar a criptografia de campo e a descriptografia automática, os drivers usam a biblioteca libmongocrypt licenciada pela Apache.
Os drivers oficiais do MongoDB exigem acesso ao processo mongocryptd na máquina host do cliente . Esses clientes procuram o processo mongocryptd no sistema PATH por padrão.
Passos
Selecione o componente de análise de query que deseja usar e siga as etapas para instalar e configurar um componente de análise de query CSFLE.