Join us Sept 17 at .local NYC! Use code WEB50 to save 50% on tickets. Learn more >
MongoDB Event
Docs 菜单
Docs 主页
/
MongoDB Atlas
/
Atlas 架构中心
/
安全性

符合外部标准的合规功能

使用以下Atlas功能来解决合规要求。

认证和法规合规性

为了帮助您解决安全、合规和隐私要求, MongoDB Atlas旨在提供最高级别的标准合规性和监管合规。

Atlas数据平台经过严格的独立第三方审核,以验证其安全性、隐私性和组织控制。这些审核有助于确保平台满足合规和监管要求,包括针对高度监管行业的特定要求。

Atlas遵守合规框架,包括 ISO/IEC27001 、SOC2 类型 II、PCI DSS 以及我们的 Atlas信任中心中列出的其他框架。您可以在我们的客户数信任门户中查看和下载证明、合规报告和其他合规文档。

政府应用的 MongoDB Atlas

MongoDB Atlas for Government 是首个获得 FedRAMP® Moderate 授权的完全托管的多云开发者数据平台:

  • 使用安全、完全托管的专用 FedRAMP® 授权环境。

  • 支持美国政府的独特要求和使命。

  • 提供对传统应用程序进行现代化改造所需的设立功能和可扩展性。

Atlas 资源策略

为了支持您的合规要求, Atlas资源策略提供组织范围的控制,以根据您的安全性、合规和操作最佳实践来配置和管理Atlas资源。组织所有者可以定义规则,用于在创建或修改集群、网络配置和项目设置等资源时管理用户操作。我们建议您在创建组织时根据公司标准设立资源策略。

Atlas资源策略支持您合规目标,使您能够:

  • 强制执行最低 TLS 版本:强制在所有Atlas部署中使用现代 TLS 协议,从而增强安全性并降低与旧的、安全性较低版本相关的风险。这确保了所有传输中的数据都符合当代加密标准。

  • 自定义默认 TLS 密码:选择一设立特定的允许 TLS 密码,根据操作需求优化安全性,同时消除与传统加密方法相关的漏洞。这样就可以对加密协议进行微调,以满足特定的合规要求。

  • 限制VPC对等互连互连修改:通过已建立的VPC对等连接启用安全的跨网络通信,同时防止配置更改。当前项目级对等互连使用现有的路由表和安全协议保持活动状态,允许客户查看但不能更改这些一对一的VPC关系及其相关的网络控制机制。

  • 限制私有端点修改:通过具有只读访问权限的现有私有端点配置保持安全的服务连接。项目级连接仍然使用当前的私有IP寻址方案,而客户可以查看但不能修改VPC中的这些专用服务连接点。

  • 控制IP访问列表:防止未经授权修改IP访问权限列表,确保对数据库的网络访问权限一致且受控。这样可以保留仔细定义的网络边界并防止意外的配置更改,从而增强数据库的安全性。

  • 设置集群层限制:通过建立开发者在预配资源时必须遵守的最大和最小集群大小限制来定义部署护栏。这种边界设置方法确保团队可以在组织批准的参数范围内部署适当大小的环境,优化基础架构利用率,同时在所有项目工作负载中实施一致的资源分配策略。

  • 设置维护窗口要求:通过为所有项目设置维护窗口要求来增强平台稳定性。这种管理控制可确保组织根据运营需求建立可预测的更新周期(无需规定特定的时间范围)以支持一致的系统维护。

  • 设置云提供商和地区:设置云提供商并跨多个地区和提供商分配集群,以满足数据驻留要求并确保高可用性。

  • 阻止使用通配符IP地址:在IP访问列表或防火墙规则中不包含通配符IP解决,确保只能从明确允许的IP地址访问集群。通配符IP解决为0.0.0.0 /0 ,允许从任何位置访问权限。

要学习;了解更多信息,请参阅Atlas资源策略。

以下资源策略示例允许在 AWS 上创建集群:

{
  "name": "Only Allow Clusters on AWS",
  "policies": [
    {
      "body": "forbid ( principal, action == cloud::Action::\"cluster.createEdit\", resource) unless { context.cluster.cloudProviders   == [cloud::cloudProvider::\"aws\"] };"
    }
  ]
}

以下示例创建了一个 Terraform资源策略文件,您可以使用该文件在应用程序中实施资源策略。该文件执行以下策略:

  • 将集群修改限制为仅允许指定的云提供商进行。

  • 禁止从通配符IP解决访问权限集群。

  • 指定最小和最大集群大小。

  • 防止修改私有端点。

resource "mongodbatlas_resource_policy" "restrict_cloud_provider" {
  org_id = var.org_id
  name   = "restrict-cloud-provider"
  policies = [
    {
      body = <<EOF
        forbid (
            principal,
            action == ResourcePolicy::Action::"cluster.modify",
            resource
        )
        unless
          { context.cluster.cloudProviders == [ResourcePolicy::CloudProvider::"<cloud provider name>"] };
      EOF
    },
  ]
}
resource "mongodbatlas_resource_policy" "forbid_project_access_anywhere" {
  org_id = var.org_id
  name   = "forbid-project-access-anywhere"
  policies = [
    {
      body = <<EOF
        forbid (
            principal,
            action == ResourcePolicy::Action::"project.ipAccessList.modify",
            resource
        )
        when {context.project.ipAccessList.contains(ip("0.0.0.0/0"))};
    EOF
    },
  ]
}
resource "mongodbatlas_resource_policy" "restrict_cluster_size: {
    org_id = var.org_id
    name   = "restrict-cluster-size"
    policies = [
        {
            // restrict cluster size to a minimum of M30 and a maximum of M60
            body = <<EOF
               forbid (
                   principal,
                   action == ResourcePolicy::Action::"cluster.modify",
                   resource
               )
               when {
                   (context.cluster has minGeneralClassInstanceSizeValue && context.cluster.minGeneralClassInstanceSizeValue < 30)
                   || (context.cluster has maxGeneralClassInstanceSizeValue && context.cluster.maxGeneralClassInstanceSize > 60)
               };
            EOF
        },
    ]
}
resource "mongodbatlas_resource_policy" "prevent-modifications-private-endpoints" {
  org_id = var.org_id
  name   = "prevent-modifications-private-endpoints"
  policies = [
    {
      body = <<EOF
        forbid (
            principal,
            action == ResourcePolicy::Action::"privateEndpoint.modify",
            resource
        )
        when {context.project.privateEndpoints == [
                \"aws:<VPC_ENDPOINT_ID>",
                \"azure:<PRIVATE_ENDPOINT_RESOURCE_ID>:<PRIVATE_ENDPOINT_IP_ADDRESS>",
                \"gcp:<GCP_PROJECT_ID>:<VPC_NAME>"
            ]};
        EOF
    },
  ]
}

加密

您可以实现加密,确保数据处理所有阶段的数据安全性和合合规。加密是确保合规某些标准的最常见要求之一, Atlas提供了一设立强大的加密选项来满足这些要求。

  • 默认下, Atlas会对传输中的数据进行加密。为了确保数据隐私和法规合规, Atlas需要 TLS/SSL 来加密与数据库的连接。

  • 默认下, Atlas使用云提供商磁盘加密对所有静态数据进行加密。使用Atlas云备份时, Atlas会使用 AES-256 加密来加密Atlas集群中 S3 存储桶中存储的所有数据。此外, Atlas支持使用 AWS KMS AKV 和GCP来加密存储引擎和云提供商备份。要学习;了解更多信息,请参阅使用密钥管理进行静态加密。

  • 您可以使用 Queryable Encryption 来确保对存储在 MongoDB 上的文档中选定敏感字段的加密数据的查询安全。借助 Queryable Encryption,即使用户对数据运行查询,敏感信息也能得到保护。

    使用经过充分研究的非确定性加密方案,以在安全性与功能性之间保持平衡。

    使用Queryable Encryption,您可以执行以下任务:

    • 从客户端加密敏感数据字段。

    • 将敏感数据字段作为完全随机的加密数据存储在与Atlas一起运行的数据库集群端。

    • 对加密数据运行表达性查询。

    MongoDB 完成这些任务时,服务器并不知晓所处理的数据。

    使用Queryable Encryption时,敏感数据在其整个生命周期中都会加密:传输中、静态、使用中、日志中和备份中。数据仅在客户端解密,因为只有您有权访问权限加密密钥。

    您可以使用以下机制设置可查询加密:

    • 自动加密使您能够执行加密的读取和写入操作,而无需添加对加密和解密字段的显式调用。我们建议在大多数情况下自动加密,因为它可以简化编写客户端应用程序的进程。通过自动加密, MongoDB会在写入操作中自动对字段进行加密和解密。

    • 显式加密使您能够通过MongoDB驱动程序的加密库执行加密的读取和写入操作。您必须在整个应用程序中指定使用此库进行加密的逻辑。显式加密提供了对安全性的细粒度控制,但费用是在配置集合和为MongoDB驱动程序编写代码时增加了复杂性。通过显式加密,您可以为对数据库执行的每个操作指定如何加密文档中的字段,并在整个应用程序中包含此逻辑。

      要了解更多信息,请参阅使用显式加密。

Data Sovereignty

Atlas 支持 AWSAzureGCP 中超过 110+ 个区域。受支持位置的全球分布确保您可以根据数据主权和合规性要求预配集群并存储数据。了解在 Atlas 上构建的任何应用程序的数据主权要求是确保您遵守适当治理的必要条件。

您可以通过跨多个区域部署Atlas集群来简化数据主权合规。当您部署 多区域部署范例时,您可以将数据分区以驻留在不同的区域,每个区域位于不同的地理地区。示例,您可以将欧洲客户数据存储在欧洲,将美国客户数据存储在美国。这样,您就可以遵守数据主权法规,并减少用户从各自地区访问数据的延迟。

备份快照分发

您可以将备份快照和 oplog 数据分布在多个区域。例如,您可以满足合规性要求,并将备份存储在不同的地理位置,以确保在发生区域性服务中断时进行灾难恢复。要了解更多信息,请参阅快照分布。

备份合规策略

您可以使用Atlas中的备份合规策略来保护关键业务数据。您可以防止任何用户在预定义的保留期内修改或删除存储在Atlas中的所有备份快照和oplog数据,无论其Atlas角色如何。

这样可以确保备份完全符合 WORM(一次写入多次读取)标准。只有指定的授权用户在完成与 MongoDB 支持与法律部门的验证过程后,才能关闭此保护功能。此功能增加了强制性的手动延迟和冷却期,这样攻击者就无法更改备份策略和导出数据。要了解更多信息,请参阅配置备份合规策略

后退

数据加密

来年

审核和日志记录

在此页面上