Begrenzen der Netzwerkexposition von MongoDB
Um die Sicherheit von in MongoDB gespeicherten Daten zu gewährleisten, sollte der Netzwerkzugriff auf den Server, auf dem die Datenbank läuft, eingeschränkt werden. Dieser Beitrag soll Sie dabei unterstützen.
Schutz der in MongoDB gespeicherten Daten
Der Schutz der in MongoDB gespeicherten Daten beginnt mit der Beschränkung des Netzwerkzugriffs auf den Server, auf dem die Datenbank läuft. Eine Möglichkeit, dies zu erreichen, ist die Einrichtung eines virtuellen privaten Netzwerks (VPN). Ein VPN stellt eine Verbindung so dar, als handele es sich um ein lokales privates Netzwerk, was sichere Kommunikation zwischen den darin befindlichen Servern ermöglicht. Durch die Verwendung eines VPNs für MongoDB können Sie den Zugriff auf Maschinen blockieren, die nicht mit demselben VPN verbunden sind.
Allein ein VPN reicht jedoch möglicherweise nicht aus, um unbefugten Zugriff auf Ihre MongoDB-Installation zu verhindern. Es könnte viele Personen geben, die Zugriff auf Ihr VPN benötigen, aber nur wenige von ihnen benötigen Zugriff auf Ihre Mongo-Datenbank. Sie können die Kontrolle darüber, wer auf Ihre Daten zugreifen kann, weiter verfeinern, indem Sie eine Firewall auf Ihrem Datenbankserver einrichten.
Einsatz einer Firewall
Eine Firewall bietet Netzwerksicherheit, indem sie den ein- und ausgehenden Datenverkehr auf der Grundlage von benutzerdefinierten Regeln filtert. Firewall-Tools ermöglichen in der Regel das Festlegen von Regeln mit hoher Präzision, was Ihnen die Flexibilität gibt, Verbindungen von bestimmten IP-Adressen zu bestimmten Ports auf Ihrem Server zuzulassen. Beispielsweise könnten Sie Regeln festlegen, die es nur einem Anwendungsserver ermöglichen, auf den Port Ihres Datenbankservers zuzugreifen, der von einer MongoDB-Installation genutzt wird.
Eine weitere Möglichkeit, die Netzwerkexposition Ihrer Datenbank einzuschränken, besteht darin, IP-Bindung zu konfigurieren. Standardmäßig ist MongoDB nach der Installation nur an „localhost“ gebunden. Das bedeutet, dass eine frische MongoDB-Installation standardmäßig nur Verbindungen von „localhost“ oder demselben Server, auf dem die MongoDB-Instanz installiert ist, akzeptieren wird.
Diese Standardeinstellung ist sicher, da die Datenbank nur für diejenigen zugänglich ist, die bereits Zugriff auf den Server haben, auf dem sie installiert ist. Allerdings kann dies Probleme verursachen, wenn Sie von einem anderen Computer aus remote auf die Datenbank zugreifen müssen. In solchen Fällen können Sie Ihre Instanz zusätzlich an eine IP-Adresse oder einen Hostnamen begrenzen, von dem aus der entfernte Computer den Datenbankserver erreichen kann.