设为首页 收藏本站
查看: 964|回复: 0

[经验分享] MongoDB安全的3A -- 认证(Authentication)、授权(Authorization)和审计(Audit

[复制链接]

尚未签到

发表于 2018-10-26 07:14:00 | 显示全部楼层 |阅读模式
  MongoDB安全的3A -- 认证(Authentication)、授权(Authorization)和审计(Auditing
  
  英文原文:
  http://blog.mongodirector.com/the-three-as-of-mongodb-security-authentication-authorization-auditing/
DSC0000.jpg

  MongoDB公司在过去的18个月取得了令人印象深刻的进步。该产品的最具重大意义的提高之一是安全方面。安全对于生产数据库是最重要的。现有关系型数据库提供了大量的插件和空间来帮助DBA管理数据库安全并且MongoDB也越来越类似。本文我们将深入认证(Authentication)、授权(Authorization)和审计(Auditing)方面。
  1. 认证(Authentication
  MongoDB提供了大量的用户连接到数据的认证机制。选择提供安全和管理最好的平衡的机制。尽管认证是可选的,但推荐的安全实践是所有的生产系统启用认证。
  质疑应答认证(Challenge Response Authentication(MongoDB-CR))
  这是传统的基于用户名密码的认证。用户可以在一个数据库或整个集群范围创建。如果一个用户只须在特定的数据库访问数据,推荐只在该数据库创建用户。集群级别的访问应该限制给管理员。
  X.509证书认证(X.509 certificate Authentication
  用户可以使用X.509证书认证到他们的MongoDB数据库。为了实现它,MongoDB实例需要启用SSL。默认MongoDB社区版没有启用SSL。你需要转向你自己的版本或者注册使用企业版。你可以使用唯一的标题对每个X.509证书在MongoDB创建一个用户。更多操作向导细节参考MongoDB X.509 certificate setup指南。
  Kerberos认证(Kerberos Authentication
  MongoDB企业版支持使用Kerberos认证,它是一个客户端/服务器认证的行业标准。例如,如果你是一个安装有活动目录(Active Directory)的企业,可以使用Kerberos认证机制认证用户 – 这避免了管理用户名/密码或者证书的麻烦。点击这里获取集成MongoDB到活动目录的指南。
  2. 授权(Authorization
  授权系统决定了用户可以执行什么操作,一旦他们完成授权。MongoDB支持基于角色的访问控制(RBAC)模型。每个用户分配特定的角色,决定了他允许执行什么操作。MongoDB有一批内置角色并且你也可以创建你自己的角色。每个角色分配了一批对资源允许操作的权限。MongoDB在以下范围提供了内置角色:
  数据库用户角色(Database user roles) -- read, readWrite
  数据库管理员角色(Database administrator roles) -- dbAdmin, dbOwner, userAdmin
  集群管理员角色(Cluster administrator roles) -- clusterAdmin, clusterManager, clusterMonitor, hostManager
  备份和恢复角色(Backup and restore roles) -- backup, restore
  所有数据库角色(All Database roles) -- readAnyDatabase, readWriteAnyDatabase, userAdminAnyDatabase
  超级用户角色(Superuser roles) – root
  参考内置角色文档,更详细的理解需要分配给用户的角色。
  3. 审计(Auditing
  MongoDB 2.6企业版增加了对审计的支持。你可以配置MongoDB实例,对于感兴趣的MongoDB操作,像用户登录、DDL修改、复制集配置修改等,生成审计事件。这能让你使用已经存在企业审计工具来获取和处理需要的事件。更详细的信息参考MongoDB可被审计的事件列表。
  更多关于提高MongoDB数据库性能的技巧,请参考我们的其他博客文章 – 10 tips to improve your MongoDB security


运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-626493-1-1.html 上篇帖子: MongoDB 3.2 版本说明(Release Notes for MongoDB 3.2) 下篇帖子: mongodb备份还原
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表