Menu Docs
Página inicial do Docs
/ /
Segurança
Página inicial do Docs
/
Gestão
/
Ops Manager
/
Segurança
Página inicial do Docs
/
Gestão
/
Ops Manager
/
Segurança

Criptografia de configuração de automação

A criptografia de configuração de automação protege credenciais confidenciais no arquivo de configuração de backup local do agente de automação. Quando o agente armazena um backup da configuração do cluster no disco, ele criptografa campos confidenciais, incluindo senhas e chaves de autenticação, usando AES-256-GCM em vez de escrevê-los em texto simples.

Esse recurso ajuda as organizações a atender aos requisitos de conformidade para frameworks como PCI-DSS, HIPAA e SOC 2.

A criptografia está desabilitada por padrão. As implantações existentes permanecem não criptografadas até que você habilite explicitamente esse recurso.

Métodos de criptografia

O Ops Manager oferece suporte a três métodos de criptografia para a configuração de automação:

Método
Melhor para
Fonte de chave de chave de criptografia (KEK)

On-line (KMIP)

Ambientes com infraestrutura KMIP

servidor KMIP gerenciado pelo cliente

Off-line

Ambientes com lacunas de ar ou autônomo

Chave derivada da máquina

Default

Alinhamento automático da conformidade

Segue as configurações de Encryption at Rest

On-line (KMIP)

Dica

Use o modo Online (KMIP) quando a infraestrutura do KMIP estiver disponível. Ele fornece a segurança mais forte porque a chave mestra nunca sai do seu HSM.

O modo online é melhor para ambientes com infraestrutura KMIP. A chave mestre reside em um HSM compatível com KMIP externo e nunca tocam o disco. Uma chave de inicialização separada protege as credenciais do certificado KMIP localmente, permitindo reinicializações autônomas.

Observação

Esse método requer um servidor compatível com KMIP existente . Você deve configurar a autenticação do certificado do cliente (mTLS), correspondendo à configuração security.kmip.* do MongoDB Enterprise Advanced.

Para usar o modo online, defina encryptionMethod como ONLINE_KMS e forneça os detalhes do servidor KMIP.

Parâmetro
Descrição
Obrigatório

kmip.serverName

Nome de host do servidor KMIP ou IP

Sim

kmip.port

Porta do servidor KMIP. Padrão: 5696.

No

kmip.serverCAFile

Caminho do certificado CA (Unix)

Sim

kmip.serverCAFileWindows

Caminho do certificado CA (Windows)

Condicional

kmip.clientCertificateFile

Caminho do certificado do cliente (Unix)

Sim

kmip.clientCertificateFileWindows

Caminho do certificado do cliente (Windows)

Condicional

kmip.clientCertificatePassword

Senha do certificado do cliente (se o PEM estiver criptografado)

No

kmip.keyIdentifier

UUID de uma chave existente no servidor KMIP . Se vazio, o agente cria uma nova chave automaticamente.

No

kmip.useLegacyProtocol

Use KMIP 1.0/1.1 (Criar+Obter) em vez de KMIP 1.2 (Criptografia/Descriptografia). Use quando o servidor KMIP não suportar KMIP 1.2.

No

Esquema de configuração

{
  "configEncryption": {
    "encryptionMethod": "ONLINE_KMS",
    "kmip": {
      "serverName": "<hostname>",
      "port": 5696,
      "serverCAFile": "<path-unix>",
      "serverCAFileWindows": "<path-windows>",
      "clientCertificateFile": "<path-unix>",
      "clientCertificateFileWindows": "<path-windows>",
      "clientCertificatePassword": "<password>",
      "keyIdentifier": "<optional-uuid>",
      "useLegacyProtocol": false
    }
  }
}

Antes de começar

Verifique o seguinte antes de ativar a criptografia KMIP online:

  • Handshake TLS: execute o seguinte comando e confirme que o handshake foi bem-sucedido e o certificado foi aceito:

    openssl s_client -connect <serverName>:<port> \
      -CAfile <serverCAFile> -cert <clientCertificateFile>

  • Permissões de certificado: confirme se o certificado do cliente está autorizado para as operações KMIP necessárias. Verifique o console de administração ou os registros do servidor KMIP.

  • Acessibilidade da rede: confirme se o host do agente pode acessar o servidor KMIP na porta configurada. Verifique as regras de firewall , os grupos de segurança e a resolução de DNS.

  • Expiração do certificado: certifique-se de que a CA do servidor e os certificados do cliente não estejam expirados. Para verificar, execute:

    openssl x509 -enddate -noout -in <certFile>

Permissões do servidor KMIP

O certificado do cliente deve ser autorizado para as seguintes operações no servidor KMIP :

modo KMIP
Operações necessárias

Padrão (KMIP 1.2)

Criar, criptografar, descriptografar em chaves simétricas

Legado (useLegacyProtocol: true)

Crie, entre em chaves simétricas

Se você fornecer keyIdentifier, a permissão Criar não será necessária. Consulte a documentação do servidor KMIP para configurar as permissões apropriadas para o certificado do cliente .

Off-line

O modo offline é melhor para ambientes com ar ou autônomo . O agente deriva uma chave de criptografia de um UUID fornecido pelo cliente combinado com parâmetros de máquina física. Este método não requer dependências externas.

Para usar o modo off-line, defina encryptionMethod como OFFLINE_SOFTWARE e forneça o seguinte parâmetro:

Parâmetro
Descrição
Obrigatório

dynamicSalt

UUID usado para derivação de chave. Atua como o gatilho de rotação.

Sim

UUID dinâmico do Salt

O dynamicSalt é um UUID criptograficamente aleatório que serve como uma entrada adicional para o processo de derivação de chave.

  • UI do Ops Manager: Clique em Generate para produzir um novo UUID automaticamente.

  • API pública: forneça um UUID criptograficamente 4 aleatório (versão). Use um gerador aleatório seguro. Evite UUIDs previsíveis, sequenciais ou codificados.

A alteração do sal dinâmico para um novo UUID aciona a rederivação de chaves, que é o principal mecanismo de rotação para o modo offline.

Esquema de configuração

{
  "configEncryption": {
    "encryptionMethod": "OFFLINE_SOFTWARE",
    "dynamicSalt": "<UUID>"
  }
}

Default

Se a criptografia em repouso (security.enableEncryption) estiver ativada para qualquer processo no sistema, a criptografia offline será ativada automaticamente sem exigir configuração explícita. Caso contrário, a configuração permanece não criptografada.

Observação

O modo padrão não suporta a rotação manual de chaves.

Configurar criptografia

Você pode configurar a criptografia de configuração de automação usando a interface do usuário do Ops Manager ou a API pública.

Por meio da interface do usuário do Ops Manager

Configure a criptografia no nível do projeto no Ops Manager.

1

Navegue até as configurações de Criptografia de Configuração de Automação.

Clique em Settings, Admin Project Settings, Automation Config Encryption.

2

Selecione um método de criptografia.

Selecione Online (KMIP), Offline ou Default.

3

Preencha os campos obrigatórios para o método escolhido.

Para obter descrições de campo , consulte Online (KMIP) ou Offline.

4

Salve e implante as alterações.

Clique em Save, revise e implemente as alterações.

Por meio da API pública

Você pode gerenciar a criptografia de configuração de automação por meio do endpoint de configuração de automação do Ops Manager.

Ponto de conexão: PUT /groups/{PROJECT-ID}/automationConfig

Inclua o configEncryption objeto no corpo da solicitação de configuração de automação. Para saber mais sobre a solicitação completa e a resposta, consulte Atualizar a configuração de automação.

É necessário ter a role para usar esse Project Automation Admin endpoint.

Corpo da solicitação

Inclua um configEncryption objeto no corpo da solicitação de configuração de automação.Consulte Online (KMIP) ou Offline para obter referências de campo completas.

On-line (KMIP):

{
  "configEncryption": {
    "encryptionMethod": "ONLINE_KMS",
    "kmip": {
      "serverName": "kmip.example.com",
      "serverCAFile": "/path/to/ca.pem",
      "clientCertificateFile": "/path/to/client.pem"
    }
  }
}

Off-line:

{
  "configEncryption": {
    "encryptionMethod": "OFFLINE_SOFTWARE",
    "dynamicSalt": "<UUID>"
  }
}

Códigos de resposta

Para obter a especificação completa da resposta, consulte Atualizar a configuração da automação. Os seguintes códigos de erro são específicos da configEncryption validação do:

Código HTTP
Descrição
Notas

200 OK

Configuração salva como rascunho.

Retorna um objeto JSON vazio: {}

400 Bad Request

INVALID_CONFIG_ENCRYPTION_SETTINGS

Retornado se o objeto configEncryption falhar na validação interna.

403 Forbidden

CHANGE_NOT_ALLOWED_EXTERNAL_SYSTEM

Retornado se o projeto estiver restrito por uma bloqueio gerenciada externamente .

Desabilitar criptografia

Para desabilitar a criptografia da configuração de automação, defina o método de criptografia como Padrão.

1

Navegue até as configurações de Criptografia de Configuração de Automação.

Clique em Settings, Admin Project Settings, Automation Config Encryption.

2

Selecione Padrão.

Defina o método de criptografia como Default.

3

Salve e implante as alterações.

Clique em Save, revise e implemente as alterações.

Observação

Se nenhum sistema no projeto usar Encryption at Rest, a criptografia será desabilitada após você implantar essa alteração.

Campos criptografados

Somente campos confidenciais são criptografados. Dados operacionais não confidenciais, como portas, caminhos de registro e topologia, permanecem no texto simples.

categoria
Campos

Autenticação

auth.key
auth.newKey
auth.autoPwd
auth.newAutoPwd
auth.autoKerberosWindowsPassword

Credenciais do usuário

auth.usersWanted.[].initPwd
auth.usersWanted.[].scramSha1Creds.salt
auth.usersWanted.[].scramSha1Creds.storedKey
auth.usersWanted.[].scramSha1Creds.serverKey
auth.usersWanted.[].scramSha256Creds.salt
auth.usersWanted.[].scramSha256Creds.storedKey
auth.usersWanted.[].scramSha256Creds.serverKey

TLS

tls.autoPEMKeyFilePwd

LDAP

ldap.bindQueryPassword
ldap.newBindQueryPassword

Prometeu(a)

prometheus.password
prometheus.passwordHash
prometheus.passwordSalt
prometheus.tlsPemPassword

BI Connector

mongosqlds.[].tlsPEMKeyPassword

Fornecedores de criptografia

encryptionProviders.awsKms.accessKeyId
encryptionProviders.awsKms.secretAccessKey
encryptionProviders.awsKms.sessionToken
encryptionProviders.azureKeyVault.clientId
encryptionProviders.azureKeyVault.tenantId
encryptionProviders.azureKeyVault.secret
encryptionProviders.googleCloudKMS.serviceAccountKey

Criptografia de configuração

configEncryption.kmip.clientCertificatePassword

Artefatos de arquivo

O agente armazena dois arquivos em seu diretório de backup configurado. O usuário do agente deve ter acesso de leitura/escrita a este diretório.

arquivo
Descrição
Permissões (Unix/Windows)

mms-cluster-config-backup.json

Configuração de cluster com campos confidenciais criptografados in-line

0600 / 0600

master.key

chave de criptografia envolvida (JSON)

0400 / 0600

O agente grava arquivos usando um padrão atômico (gravar em um arquivo temporário e renomear). O agente mantém o arquivo de configuração antes do arquivo de chave para garantir a reversão consistente se ocorrer uma falha durante as gravações.

Aviso

Não modifique esses arquivos. O agente os usa para se recuperar de uma reinicialização quando o Ops Manager não pode ser acessado.

Rotação de chaves

O agente oferece suporte à rotação manual e automática de chaves.

Rotação manual

Para girar manualmente as chaves de encriptação, use os seguintes triggers:

Modo
Trigger

On-line (KMIP)

Atualize qualquer propriedade de configuração KMIP no Ops Manager

Off-line

Gere um novo UUID de sal dinâmico no Ops Manager

Default

Alterne primeiro para o modo Online ou Offline

Rotação automática

O agente gira automaticamente as chaves de encriptação quando:

  • O processo do agente é reiniciado.

  • A versão do agente muda (upgrade ou downgrade).

Quando girar

Gire as chaves nas seguintes situações:

  • Suspeita de comprometimento de chave

  • Rotação programada de acordo com a política de segurança da sua organização

  • Mudanças de pessoal envolvendo acesso à infraestrutura

Considerações

As condições a seguir podem afetar a criptografia de configuração de automação em seu sistema.

  • Alterações de hardware: a substituição de hardware ou a migração de VMs pode deixar o backup local inacessível para o agente. O agente se recupera automaticamente buscando novas configurações do Ops Manager.

  • Clonagem de VM: as VMs clonadas mantêm a mesma identidade de máquina e podem descriptografar dados criptografados offline. Use o modo Online (KMIP) para segurança isolada de clone.

  • Atualizações e downgrades do agente: alterar a versão do agente invalida os artefatos de criptografia. O agente obtém novas configurações do Ops Manager automaticamente para criptografar novamente.

  • Conectividade do Ops Manager: se o agente não puder descriptografar os arquivos locais e o Ops Manager não puder ser acessado, ele entrará em um estado de erro e tentará novamente até que a conectividade seja restaurada.

  • Disponibilidade do servidor KMIP: o servidor KMIP deve estar acessível durante as operações do agente para agrupamento e desencapsulamento de chaves.

  • Operador Kubernetes: o modo Operador desabilita a criptografia. O Operador Kubernetes gerencia segredos separadamente.

  • Migração lenta: as implementações existentes são movidas para o modo padrão na atualização. Se a criptografia em repouso estiver ativada para qualquer processo, a criptografia offline será ativada automaticamente.

Arquitetura de segurança

O sistema de criptografia usa criptografia de envelope com uma chave de criptografia de dados (DEK) que criptografa campos e uma Chave de criptografia de chave (KEK) que protege a DEK. No modo Online, a KEK reside em seu HSM compatível com KMIP e nunca afeta o disco. No modo offline, o agente deriva a KEK de atributos específicos da máquina, vinculando os dados criptografados ao host físico.

Algoritmos criptográficos

A tabela a seguir lista os algoritmos criptográficos usados em cada estágio do processo de criptografia.

Propósito
Algoritmo
Detalhes

Criptografia de campo

AES-256-GCM

Chave de 256bits, nonce de 96bits, tag de autenticação de 128bits. Cada campo usa um nonce exclusivo e está vinculado ao seu caminho de configuração por meio de dados autenticados (AAD), evitando adulteração ou realocação de campo .

Derivação da KEK (offline)

PBKDF2-HMAC-SHA256

Deriva a KEK usando uma alta contagem de iteração para proteção computacional contra ataques de força bruta.

DEK wrappers

Envoltório da chave AES (RFC 3394)

Algoritmo aprovado pelo NIST para proteger a DEK sob a KEK. Gera uma chave encapsulada com um valor de verificação de integridade de 8bytes.

Envolvimento DEK (Online KMIP 1.2)

Criptografia/Descriptografia do lado do servidor KMIP

A chave mestre nunca sai do servidor KMIP . O servidor envolve e desembrulhou a DEK diretamente.

Encapsulador DEK (online KMIP legado)

Envoltório da chave AES (RFC 3394)

O agente recupera a chave do servidor KMIP e a usa localmente para o AES Key Wrap e, em seguida, a zera da memória.

Propriedades de segurança

O sistema de criptografia de configuração de automação oferece as seguintes garantias de segurança.

  • Bootstrap do modo online: uma chave separada encapsulada localmente protege as credenciais do certificado KMIP armazenadas na configuração. Isso permite que o agente autentique em seu servidor KMIP durante reinicializações autônomas sem armazenar segredos de texto simples no disco.

  • Gravações atômicas: o agente grava arquivos de configuração e chaves usando um padrão atômico seguro contra falhas. O agente pode se recuperar totalmente de uma falha a qualquer ponto durante a gravação.

  • Nenhum segredo de texto simples no disco: quando você ativa a criptografia, o agente substitui todos os campos de credenciais no arquivo de backup por valores criptografados. O master.key arquivo contém apenas chaves agrupadas (criptografadas).

Melhores práticas de segurança

Siga estas recomendações para fortalecer sua implantação de criptografia de configuração de automação.

  • Prefiro Online (KMIP) quando a infraestrutura do KMIP estiver disponível. Ele fornece a segurança mais forte.

  • Use KMIP 1.2 (padrão) sobre o protocolo legado . A chave mestre nunca sai do HSM.

  • Gire as chaves regularmente de acordo com a política da sua organização.

  • Restringir o acesso ao sistema de arquivos ao diretório de configuração do agente.

  • Garanta a conectividade do Ops Manager antes de alterações de hardware ou migrações de VM no modo offline. O agente se recupera automaticamente buscando novas configurações na próxima pesquisa bem-sucedida.

Solução de problemas

As seções a seguir aborda problemas comuns, etapas de recuperação forçada e tags de registro do agente .

Problemas comuns

A tabela a seguir lista os sinais comuns, suas causas prováveis e as etapas de resolução.

Problema
Provável causa
de conflitos

O agente insere estado de erro na inicialização

Identidade do hardware ou da máquina alterada ( modo offline)

Restaure a conectividade do Ops Manager. O agente se recupera automaticamente.

O agente insere estado de erro na inicialização

servidor KMIP inacessível ou certificado expirado ( modo online)

Verifique a conectividade KMIP e a validade do certificado. Atualize as credenciais no Ops Manager, se necessário. Execute openssl s_client para verificar o handshake TLS, verifique a expiração do certificado e verifique as configurações de firewall e DNS.

O registro mostra "Não foi possível localizar o objeto: KEY_ID"

Chave de criptografia indisponível no KMIP

Use uma das seguintes opções:

  • Restaure a chave com o ID de chave especificado no KMIP.

  • Gire a chave pelo Ops Manager.

  • Exclua master.key, reinicie o agente e permita que ele busque uma nova configuração no Ops Manager e crie um novo ID de chave KMIP.

agent_kmip_connect_failed em registros

Handshake TLS rejeitado

Verifique se serverCAFile corresponde ao servidor KMIP CA. Verifique se clientCertificateFile é aceito pelo servidor. Verifique os registros do servidor KMIP quanto a falhas de autenticação.

agent_kmip_operation_failed em registros

O servidor KMIP rejeitou a operação

Verifique se o certificado do cliente tem as permissões necessárias (Criar/Criptografar/Descriptografar ou Criar/Obter). Verifique se a chave UUID em keyIdentifier existe e está no estado Ativo no servidor.

Arquivos de backup que não são atualizados

Permissões de arquivo ou espaço em disco insuficientes

Verifique se o usuário do agente tem acesso de gravação ao diretório de configuração.

Falha de descriptografia após atualização ou downgrade

Os artefatos de criptografia são limitados à versão

O agente obtém configurações novas do Ops Manager automaticamente.

Recuperação forçada

Se o agente não puder descriptografar o backup local e o Ops Manager estiver acessível, você poderá redefinir o estado da criptografia.

1

Pare o agente de automação

Pare o agente de automação no host afetado.

2

Exclua o arquivo de chave mestre

Exclua master.key do diretório de backup do agente. Esse diretório é o mesmo que contém mms-cluster-config-backup.json, normalmente configurado pela configuração mmsConfigBackup no arquivo de configuração do agente .

3

Reiniciar o agente

Inicie o agente. Ele obtém uma configuração nova do Ops Manager e criptografa novamente.

Aviso

O gerente de operações deve estar acessível antes de você iniciar o agente. Sem conectividade, o agente não tem configuração para a qual voltar e entra em um estado de erro.

Para desabilitar a criptografia como parte da recuperação, consulte Desabilitar criptografia.

Log Tags

As seguintes marcações de registro identificam eventos relacionados à criptografia nos registros do agente .

Tag
Nível
Descrição

agent_encryption_write_start

INFO

Operação de gravação iniciada

agent_encryption_write_complete

DEBUG

Gravação concluída

agent_decryption_read_start

INFO

Operação de leitura/descriptografia iniciada

agent_decryption_read_complete

DEBUG

Leitura/descriptografia concluída

agent_dek_cache_hit

DEBUG

Chave de encriptação fornecida do cache

agent_dek_cache_miss

INFO

Chave não armazenada em cache; regenerando

agent_encryption_key_rotation

INFO

Rotação de chave acionada

agent_encryption_key_rotation_failure

ERROR

Falha na rotação da chave

agent_encryption_method_transition

INFO

Método de criptografia alterado

agent_encryption_dek_wrapped

DEBUG

Chave de criptografia envolvida (inclui método)

agent_encryption_dek_unwrapped

DEBUG

Chave de encriptação desembrulhada (método inclui)

agent_encryption_field_encrypted

DEBUG

Caminho do campo criptografado (somente caminho, sem valores)

agent_decryption_field_decrypted

DEBUG

Caminho do campo descriptografado (somente caminho, sem valores)

agent_encryption_failure

ERROR

Falha na operação de criptografia

agent_decryption_failure

ERROR

Falha na operação de descriptografia

agent_encryption_unexpected_error

ERROR

Erro inesperado no subsistema de criptografia

agent_kmip_connect

DEBUG

Conexão TLS KMIP estabelecida

agent_kmip_connect_failed

ERROR

Falha na conexão TLS KMIP (inclui servidor, porta, contagem de tentativas)

agent_kmip_operation

DEBUG

Operação KMIP concluída (tipo de operação, ID da chave, duração)

agent_kmip_operation_failed

ERROR

Falha na operação KMIP (tipo de operação, ID da chave, erro)

agent_kmip_key_created

INFO

Nova chave criada no servidor KMIP (ID da chave)

agent_kmip_key_reused

DEBUG

Chave KMIP existente reutilizada (ID de chave, origem)

agent_kmip_tls

DEBUG

Configuração KMIP TLS construída (caminhos certificados, sinalizador protegido por senha)

Observação

O Ops Manager nunca registra valores sensíveis.

Voltar

Criptografar snapshots

Próximo

Girar chaves mestra KMIP

Nesta página