自托管部署安全检查表

启用访问控制并指定身份验证机制。

MongoDB社区支持多种身份验证机制，客户端可以使用这些机制来验证其身份

• SCRAM（默认）

• x.509证书身份验证.

除了上述机制外，MongoDB Atlas和MongoDB Enterprise还支持以下机制

• LDAP代理身份验证和

• Kerberos身份验证.

这些机制允许MongoDB集成到您现有的身份验证系统中。

首先创建一个用户管理员，然后创建其他用户。为每个访问系统的个人/应用程序创建唯一的MongoDB用户。

遵循最小权限原则。创建定义一组用户所需精确访问权限的角色。然后创建用户并将他们仅分配他们需要执行操作的权限。用户可以是个人或客户端应用程序。

配置MongoDB以使用TLS/SSL加密所有传入和传出连接。使用TLS/SSL加密MongoDB部署的mongod和mongos组件之间以及所有应用程序和MongoDB之间的通信。

MongoDB使用本机的TLS/SSL OS库

您可以使用WiredTiger存储引擎的本地静态加密在存储层加密数据。

如果您不使用WiredTiger的静态加密，则应使用文件系统、设备或物理加密（例如dm-crypt）在每个主机上加密MongoDB数据。您还应使用文件系统权限保护MongoDB数据。MongoDB数据包括数据文件、配置文件、审计日志和密钥文件。

您可以使用可查询加密或客户端字段级加密在将数据传输到服务器之前在应用程序端加密文档中的字段。

将日志收集到集中日志存储。这些日志包含数据库身份验证尝试，包括源IP地址。

确保MongoDB在受信任的网络环境中运行，并配置防火墙或安全组以控制MongoDB实例的入站和出站流量。

禁用直接SSH root访问。

仅允许受信任的客户端访问MongoDB实例可用的网络接口和端口。

跟踪数据库配置和数据访问和变更。MongoDB Enterprise 包含一个系统审计功能，可以记录MongoDB实例上的系统事件（包括用户操作和连接事件）。这些审计记录允许进行取证分析，并允许管理员执行适当的控制。您可以设置过滤器以仅记录特定事件，例如认证事件。

使用专用操作系统用户帐户运行MongoDB进程。确保帐户有权访问数据，但没有不必要的权限。

MongoDB支持执行JavaScript代码以进行某些服务器端操作：mapReduce、$where、$accumulator和$function。如果您不使用这些操作，请使用--noscripting选项禁用服务器端脚本。

保持输入验证启用。MongoDB通过net.wireObjectCheck设置默认启用输入验证。这确保了所有由mongod实例存储的文档都是有效的BSON。

安全技术实施指南（STIG）包含美国国防部部署中的安全指南。MongoDB Inc.在请求后提供其STIG。

对于需要符合HIPAA或PCI-DSS标准的应用程序，请参阅MongoDB安全参考架构，了解如何使用MongoDB的关键安全功能构建符合标准的应用程序基础设施。