常见问题解答:安全性
Atlas 如何加密我的数据?
Atlas 对任何静态数据(包括集群数据和数据备份) 使用全卷(磁盘)加密。
Atlas 还要求对客户端数据和集群内网络通信进行 TLS 加密。
如果您的组织需要有关 Atlas 加密的更多具体信息,请联系 Atlas MongoDB 支持:
在 Atlas 中,转到Project Support 页面。
如果尚未显示,请选择包含所需项目的组织导航栏中的Organizations菜单。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在 Projects(项目)菜单旁边,展开 Options(选项)菜单,然后单击 Project Support(项目设置)。
显示“项目支持”页面。
是否可以在部署中禁用 TLS?
No.
Atlas 支持哪些版本的 TLS?
Atlas 要求所有 Atlas 集群使用 TLS 连接。2020 年 7 月后,无论 MongoDB 版本如何,Atlas 默认对所有新 Atlas 集群启用“传输层安全”(TLS) 协议 1.2 版本。
MongoDB 4 。 0及更高版本禁用了对 TLS 1的支持。 0 ,其中TLS 1 。 1 + 可用。您可以手动配置TLS 1 。 1或1 。 0 ,方法是编辑集群配置。
您可以阅读 支付卡行业 (PCI) 以及 美国国家标准与技术研究院 (NIST) 。
如果您对TLS支持有疑问或无法更新应用程序以支持TLS 1.2 ,请联系 Atlas MongoDB 支持部门。
要打开 Atlas 支持票证:
在 Atlas 中,转到Project Support 页面。
如果尚未显示,请选择包含所需项目的组织导航栏中的Organizations菜单。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在 Projects(项目)菜单旁边,展开 Options(选项)菜单,然后单击 Project Support(项目设置)。
显示“项目支持”页面。
如何知道我的应用程序是否支持 TLS 1.2?
如果应用程序的基础编程语言或安全库在 TLS 1.2 之前就已存在,则可能需要更新到最新版本以支持 TLS 1.2。您可能还需要更新应用程序主机操作系统,以支持TLS1.2。
MongoDB 和 Atlas 不提供审核外部应用程序所支持的 TLS 版本的服务。第三方服务(如 howsmyssl.com)可提供相应的工具。MongoDB 不支持此服务,此处引用仅供参考。利用您组织的程序选择供应商或服务来审核应用程序。
如需更新集群以支持 TLS 1.2,我需要做些什么?
审核应用程序是否支持 TLS 1.2。
更新技术堆栈中不支持 TLS 1.2 的所有组件。
修改集群配置以使用 TLS 1.2。
我可以强制启用 TLS 1.0 吗?
Atlas 允许您在修改集群过程中手动配置 TLS 1.0。
对任何 Atlas 集群启用 TLS 1.0 都会带来重大风险。考虑仅在需要更新应用程序堆栈以支持 TLS 1.2 时启用 TLS 1.0。
哪个证书颁发机构签署 MongoDB Atlas TLS 证书?
2522020 月,MongoDB Atlas 迁移到 Let's Encrypt 作为所有 Atlas 集群的 TLS 证书的新证书颁发机构。
从 5 月1 2021开始,MongoDB Atlas 创建的新 TLS 证书使用 ISRG 而不是 IdenTrust 作为其根证书颁发机构,与 Let's Encrypt 的 公告 一致 此转换。
2022 年 3 月 17 日,MongoDB Atlas 已转向 Let's Encrypt,将其作为 cloud.mongodb.com
的 TLS 证书的新证书颁发机构。
请查看以下场景,确保您不会遇到连接问题:
硬编码“证书颁发机构”。
我们不建议对 中间证书 进行硬编码或固定 因为它会带来操作负担和可用性风险。如果 Let's Encrypt 轮换或替换固定的证书,应用程序可能无法连接,从而导致中断。
如果必须固定证书,请将其固定到 Let's Encrypt 的根证书颁发机构 ( ISRG Root X1 ),而不是任何中间证书。
Java 用户
Let's Encrypt 新的 ISRG 根证书不存在于 7u151 更新之前的 Java 版本 7或 8u141 更新之前的 Java 版本 8 的默认信任存储中。 使用 2017 年 7 月 18 日之后的 Java 版本。
确保 Java 客户端软件是最新的。使用最新的 Java 版本可以利用 TLS 证书的许多改进(除了新的“证书颁发机构”的这些要求)。
如果您有自己的信任存储区,请将 Let's Encrypt 证书添加到其中。 要了解更多信息,请参阅硬编码证书颁发机构。
Windows Server 用户
默认情况下, 中不包含 ISRG 根 X1WindowsMongoDB ServerMicrosoft 根证书颁发机构,但可在 可信根计划中使用。
要配置WindowsMongoDB Server 以下载受信任的根证书,包括 Let's Encrypt 的新 ISRG 根证书,请参阅Windows 文档。
Amazon Linux AMI 用户
Amazon Linux AMI 不支持新的 ISRG Root X1 根证书颁发机构。
如果您正在使用 Amazon Linux AMI,请迁移到 Amazon Linux 2。 在 2021 年 9 月 30 日之后,为避免证书兼容性问题, Atlas 必须支持 ISRG Root X1 证书。
要在 2021 年 9 月 30 日之后继续使用 Amazon Linux AMI, 请手动安装新的 ISRG Root X1 根证书颁发机构。
其他所有人
如果您使用的是最新的编程语言和操作系统版本, 则此更改不会对您造成影响。