Segurança - MongoDB na AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança

A nuvem AWS oferece uma plataforma escalável e altamente confiável ajuda a permitir que clientes implantem aplicativos e dados com rapidez e segurança.

Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse modelo compartilhado pode reduzir seus encargos operacionais na medida em que a AWS opera, gerencia e controla os componentes desde o sistema operacional do host e a camada de virtualização até a segurança física das instalações onde os serviços operam. Por sua vez, você assume a responsabilidade e gestão do sistema operacional convidado (inclusive atualizações e patches de segurança), de outros aplicativos associados, bem como da configuração do firewall do grupo de segurança fornecido pela AWS. Para obter mais informações sobre segurança na AWS, visite o Centro de segurança da AWS.

AWS Identity and Access Management (IAM)

Essa solução utiliza uma função do IAM com acesso menos privilegiado. Não é necessário ou recomendado armazenar chaves SSH, chaves secretas ou chaves de acesso em instâncias provisionadas.

Segurança do sistema operacional

O usuário root em nós de cluster pode ser acessado apenas usando a chave SSH especificada durante o processo de implantação. A AWS não armazena essas chaves SSH, portanto, se você perder a sua chave SSH, você pode perder o acesso à essas instâncias.

Os patches de sistema operacional são de sua responsabilidade e devem ser realizados periodicamente.

Segurança de rede

A configuração de segurança de rede padrão para esta solução segue as melhores práticas de segurança da AWS. As instâncias provisionadas do MongoDB são implantadas em sub-redes privadas e podem ser acessadas de três maneiras:

  • Conectando-se à instância do bastion host usando um terminal SSH.

  • A partir de recursos da AWS (como o Amazon EC2) que você talvez tenha noMongoDBServerAccessSecurityGroupSecurity group ou que você possa iniciar usando o security group. Você pode incluir a instância do seu aplicativo neste security group.

  • Incluindo novas regras no MongoDBServerSecurityGroup para permitir acesso a seu banco de dados a partir de um bloco CIDR IP conhecido. Por exemplo, você pode adicionar uma regra de entrada para habilitar a VLAN 10.50.10.0/24 em seu datacenter para conectar-se por meio de uma VPN ou AWS Direct Connect.


                Adicionar regras de entrada a seu security group

Figura 8: Adicionar regras de entrada a seu security group

Security Groups (Grupos de segurança)

Um grupo de segurança atua como um firewall que controla o tráfego para uma ou mais instâncias. Ao executar uma instância, você pode associar um ou mais security groups à instância. Você adiciona regras a cada security group que permite tráfego de entrada ou de saída das instâncias associadas. É possível modificar as regras de um grupo de segurança a qualquer momento. As novas regras são aplicadas automaticamente para todas as instâncias que estão associados ao grupo de segurança.

Este Quick Start cria três security groups:

  • O MongoDBServerSecurityGroup é usado para conceder acesso a bastion hosts à porta 22 das instâncias do MongoDB.

  • OMongoDBServersSecurityGroup é usado para a comunicação entre instâncias do mongodb: instâncias primárias e de réplica nas portas de banco de dados e nas portas SSH.

  • OMongoDBServerAccessSecurityGroup dá acesso às instâncias do EC2 a seu banco de dados na porta que você configurou para ouvintes de banco de dados.

Após a implantação do Quick Start, você é responsável por manter esses security groups e por incluir ou excluir regras.

Segurança do banco de dados

A solução define um novo usuário root com um nome de usuário administrador especificado (por padrão, "admin") e uma senha de administrador. O acesso não autorizado ao banco de dados não é permitido. Além disso, um keyfile interno de autenticação é configurado entre nós de conjunto de réplicas.