針對(duì)用戶重點(diǎn)關(guān)注的數(shù)據(jù)安全,云數(shù)據(jù)庫MongoDB版提供了全面的安全保障。您可以通過同城容災(zāi)、RAM授權(quán)、審計(jì)日志、網(wǎng)絡(luò)隔離、白名單、密碼認(rèn)證等多手段保障數(shù)據(jù)庫數(shù)據(jù)安全。

同城容災(zāi)

為進(jìn)一步滿足業(yè)務(wù)場(chǎng)景中高可靠性和數(shù)據(jù)安全需求,云數(shù)據(jù)庫MongoDB版提供了同城容災(zāi)解決方案。該方案將副本集中的節(jié)點(diǎn)或分片集群實(shí)例中的組件分別部署在同一地域下三個(gè)不同的可用區(qū),當(dāng)三個(gè)可用區(qū)中的任一可用區(qū)因電力、網(wǎng)絡(luò)等不可抗因素失去通信時(shí),高可用系統(tǒng)將自動(dòng)觸發(fā)切換操作,確保整個(gè)實(shí)例的持續(xù)可用和數(shù)據(jù)安全。

您可以在創(chuàng)建實(shí)例時(shí)選擇多可用區(qū),詳情請(qǐng)參見創(chuàng)建多可用區(qū)副本集實(shí)例創(chuàng)建多可用區(qū)分片集群實(shí)例;您也可以將現(xiàn)有的副本集實(shí)例或分片集群實(shí)例從單可用區(qū)遷移至多可用區(qū),詳情請(qǐng)參見遷移可用區(qū)
說明 遷移可用區(qū)僅支持MongoDB 4.2及以下版本且未開啟TDE功能的本地盤版實(shí)例。

權(quán)限控制

  • 授權(quán)RAM用戶管理MongoDB實(shí)例

    使用訪問控制RAM(Resource Access Management),您可以創(chuàng)建、管理子賬號(hào),控制子賬號(hào)對(duì)您名下資源的操作權(quán)限。當(dāng)您的企業(yè)存在多用戶協(xié)同操作資源時(shí),使用RAM可以按需為用戶分配最小權(quán)限,避免與其他用戶共享云賬號(hào)密鑰,降低企業(yè)的信息安全風(fēng)險(xiǎn)。

    具體操作方法請(qǐng)參見云數(shù)據(jù)庫MongoDB版如何為RAM用戶(子賬號(hào))授權(quán)

  • 創(chuàng)建數(shù)據(jù)庫用戶并授權(quán)

    請(qǐng)勿在生產(chǎn)環(huán)境中直接使用root用戶連接數(shù)據(jù)庫,您可以根據(jù)業(yè)務(wù)需求,創(chuàng)建數(shù)據(jù)庫用戶并分配權(quán)限。

    具體操作方法請(qǐng)參見MongoDB數(shù)據(jù)庫賬號(hào)權(quán)限管理

網(wǎng)絡(luò)隔離

  • 使用專有網(wǎng)絡(luò)

    云數(shù)據(jù)庫MongoDB版支持多種網(wǎng)絡(luò)類型,推薦使用專有網(wǎng)絡(luò)。

    專有網(wǎng)絡(luò)是一種隔離的網(wǎng)絡(luò)環(huán)境,安全性和性能均高于傳統(tǒng)的經(jīng)典網(wǎng)絡(luò)。專有網(wǎng)絡(luò)需要事先創(chuàng)建,詳情請(qǐng)參見創(chuàng)建專有網(wǎng)絡(luò)

    當(dāng)MongoDB實(shí)例為經(jīng)典網(wǎng)絡(luò)時(shí),您可以將實(shí)例的網(wǎng)絡(luò)類型切換至專有網(wǎng)絡(luò),詳情請(qǐng)參見經(jīng)典網(wǎng)絡(luò)切換為專有網(wǎng)絡(luò)。如果您的MongoDB實(shí)例已經(jīng)是專有網(wǎng)絡(luò),則無需配置。

    說明 云數(shù)據(jù)庫MongoDB版支持在專有網(wǎng)絡(luò)環(huán)境下開啟免密訪問,在保障高安全性的前提下提供更便捷的數(shù)據(jù)庫連接方式,詳情請(qǐng)參見開啟或關(guān)閉私網(wǎng)免密訪問
  • 合理設(shè)置白名單

    MongoDB實(shí)例創(chuàng)建完畢后,默認(rèn)情況下實(shí)例的白名單中IP地址為127.0.0.1,您必須手動(dòng)設(shè)置白名單地址后才可以連接MongoDB數(shù)據(jù)庫。

    具體操作方法請(qǐng)參見設(shè)置白名單

    說明
    • 請(qǐng)勿將白名單地址配置為0.0.0.0/0,允許所有IP地址訪問。
    • 建議按需設(shè)置并定期維護(hù)白名單,及時(shí)刪除不再需要的IP地址。

日志審計(jì)

云數(shù)據(jù)庫MongoDB版審計(jì)日志記錄了您對(duì)數(shù)據(jù)庫執(zhí)行的所有操作。通過審計(jì)日志,您可以對(duì)數(shù)據(jù)庫進(jìn)行故障分析、行為分析、安全審計(jì)等操作,有效幫助您獲取數(shù)據(jù)的執(zhí)行情況。

具體操作方法請(qǐng)參見查詢審計(jì)日志

數(shù)據(jù)加密

  • SSL鏈路加密

    通過公網(wǎng)連接數(shù)據(jù)庫時(shí),您可以啟用SSL(Secure Sockets Layer)加密功能提高數(shù)據(jù)鏈路的安全性。通過SSL加密功能可以在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密,在提升通信數(shù)據(jù)安全性的同時(shí),保障數(shù)據(jù)的完整性,詳情請(qǐng)參見使用Mongo Shell通過SSL加密連接數(shù)據(jù)庫

  • 透明數(shù)據(jù)加密TDE

    透明數(shù)據(jù)加密TDE(Transparent Data Encryption)可對(duì)數(shù)據(jù)文件執(zhí)行實(shí)時(shí)I/O加密和解密,數(shù)據(jù)在寫入磁盤之前進(jìn)行加密,從磁盤讀入內(nèi)存時(shí)進(jìn)行解密。TDE不會(huì)增加數(shù)據(jù)文件的大小,您無需更改任何應(yīng)用程序,即可使用TDE功能,詳情請(qǐng)參見設(shè)置透明數(shù)據(jù)加密TDE

    說明 透明數(shù)據(jù)加密TDE僅支持集合粒度的加密,如需字段粒度的加密請(qǐng)參見手動(dòng)字段級(jí)加密(僅支持MongoDB 4.2版本本地盤實(shí)例)。