注意
MongoDB Atlas责任共担模型定义了MongoDB及其客户在维护安全和弹性数据环境方面的互补职责。在此框架下, MongoDB管理根本的平台的安全性和操作完整性,而客户则负责其特定部署的配置、管理和数据策略。有关安全性和卓越运营之间所有权的详细划分,请参阅责任共担模型。
Atlas网络保护层 (ANPL) 是额外的深度防御安全层,用于检查集群中未经身份验证的流量,并在恶意请求到达数据库之前将其阻止。
ANPL 分析连接模式和请求特征,以识别和阻止潜在的有害流量,从而在标准网络安全控制之外提供额外的保护层。
重要
ANPL 目前可用于具有公共互联网访问权限( IP访问列表中的 0.0.0.0/0)的项目中有限的一设立专用Atlas 8.3 集群。可用性目前基于特定的选择标准,无法以其他方式提出请求。
Overview
ANPL 在客户端和数据库之间的连接路径中透明地运行。启用后,它:
监控未经身份验证的连接尝试。
分析流量模式以发现可疑行为。
在数据库身份验证之前阻止已识别的恶意请求。
允许合法流量正常进行。
在集群上启用 ANPL 不需要您执行任何动作。但是请注意,您的连接路径中已添加了一个附加层。
如何知道 ANPL 是否已启用
您可以通过以下方式确定集群上是否启用了 ANPL:
集群概览指示器
启用 ANPL 后, Atlas用户界面的集群详细信息页面上会出现一个指示器。
要查看集群概览,请执行以下操作:
在Atlas中,转到项目的 Clusters 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在侧边栏中,单击 Database 标题下的 Clusters。
会显示集群页面。
项目操作日志事件
在集群上启用或禁用 ANPL 时,项目操作日志中会记录一个事件。启用Atlas Network Protection Layer became active on a cluster ANPL 时,该事件名为Atlas Network Protection Layer became inactive on a cluster 。
禁用 ANPL
ANPL 在初始发布的Atlas用户界面中没有自助切换功能。您可以通过以下方式禁用 ANPL:
删除公共互联网访问权限
从项目的IP访问列表中删除 0.0.0.0/0。这会自动禁用 ANPL。
重要
从IP访问列表中删除 0.0.0.0/0 可能会触发符合条件的集群滚动重启。修改IP访问列表时, Atlas用户界面会出现重启警告。
在IP访问列表更改后大约 15 分钟内启用或禁用 ANPL。
联系支持人员
影响和注意事项
网络安全最佳实践
虽然 ANPL 为具有公共互联网访问权限的集群提供额外保护,但MongoDB建议使用限制性更强的网络控制:
将
0.0.0.0/0替换为与应用程序基础架构匹配的特定IP地址或 CIDR 范围。
性能
ANPL 可能会增加连接建立的延迟。影响因网络条件和流量模式而异。
如果您在启用 ANPL 后遇到连接问题或性能下降,联系MongoDB支持部门。
重新启动行为
如果在部署期间符合条件的集群上最初启用 ANPL,则更改会在配置的维护窗口期间发生。
如果您稍后通过添加或删除 0.0.0.0/0 来修改IP访问列表,则更改将在大约 15 分钟内生效,并且可能会触发滚动重启。