DevOps Wissensdatenbank
DevOps Wissensdatenbank

Fünf kritische MongoDB-Sicherheitskonfigurationen, die Sie jetzt implementieren müssen

Sichern Sie Ihre Daten sofort mit diesem Leitfaden zu den fünf unverzichtbaren Sicherheitskonfigurationen für MongoDB. Erfahren Sie, wie Sie von anfälligen Standardeinstellungen zu einer hochgeschützten Umgebung übergehen, indem Sie obligatorische Benutzerauthentifizierung, strenge rollenbasierte Zugriffssteuerung (RBAC), Netzwerk-IP-Bindung und Ende-zu-Ende-TLS-Verschlüsselung implementieren. Wir behandeln auch entscheidende Audit-Praktiken, die für die Compliance und die sofortige Bedrohungserkennung notwendig sind, und bieten praktische Konfigurationsbeispiele für sofortiges Handeln.

37 Aufrufe

Fünf kritische MongoDB-Sicherheitskonfigurationen, die Sie sofort implementieren müssen

MongoDB ist eine leistungsstarke, flexible NoSQL-Dokumentendatenbank, die von Millionen von Entwicklern und Unternehmen weltweit genutzt wird. Die Flexibilität und einfache Bereitstellung, die MongoDB attraktiv machen, können jedoch auch zu erheblichen Sicherheitslücken führen, wenn die Standardeinstellungen nicht sofort gehärtet werden. Frühe Versionen von MongoDB litten häufig unter öffentlichen Datenlecks, hauptsächlich weil die Sicherheitseinstellungen zu permissiv waren.

Der Schutz Ihrer MongoDB-Bereitstellung ist keine Option; er ist grundlegend für die Wahrung der Datenintegrität, Vertraulichkeit und Einhaltung gesetzlicher Vorschriften. Dieser Leitfaden beschreibt fünf nicht verhandelbare Sicherheitsschritte, die in jeder Produktions- und Vorproduktions-MongoDB-Umgebung implementiert werden müssen, um unbefugten Zugriff und Datendiebstahl zu verhindern. Durch die Implementierung dieser Konfigurationen wechseln Sie von einem anfälligen Standardzustand zu einem robusten, geschützten Datenbankcluster.

1. Erzwingen von obligatorischer Zugriffskontrolle und starker Authentifizierung

Einer der kritischsten Schritte zur Sicherung von MongoDB ist die Gewährleistung, dass die Authentifizierung global aktiviert ist. Standardmäßig erlauben viele MongoDB-Bereitstellungen Verbindungen ohne Anmeldeinformationen, sofern dies nicht explizit anders konfiguriert wird. Diese Vorgehensweise ist inhärent gefährlich.

So aktivieren Sie die Authentifizierung

Die Authentifizierung wird typischerweise über die Konfigurationsdatei (mongod.conf) oder Befehlszeilen-Flags beim Start aktiviert.

Konfigurationsdatei (/etc/mongod.conf):

# /etc/mongod.conf-Ausschnitt
security:
  authorization: enabled

Befehlszeile:

mongod --auth --dbpath /var/lib/mongodb

Erstellen des Administratorbenutzers

Sobald die Zugriffskontrolle aktiviert ist, müssen Sie einen administrativen Benutzer mit der Rolle userAdminAnyDatabase oder root erstellen. Sie können diesen Benutzer nur erstellen, bevor der Dienst mit aktiviertem --auth neu gestartet wird, oder indem Sie die Authentifizierung für den anfänglichen Erstellungsschritt vorübergehend deaktivieren, falls das System bereits läuft.

Beispiel: Erstellen des Root-Benutzers über mongosh

Verbinden Sie sich zuerst mit der Datenbank (falls sie bereits ohne Authentifizierung läuft oder mit Ausnahme von localhost):

use admin
db.createUser(
  {
    user: "mongoAdmin",
    pwd: passwordPrompt(), // Fordert sicher zur Eingabe des Passworts auf
    roles: [ { role: "root", db: "admin" } ]
  }
)

⚠️ Warnung: Verwenden Sie immer starke, komplexe Passwörter, die sicher über einen Secrets Manager gespeichert werden. Speichern Sie sensible Anmeldeinformationen niemals hartkodiert in Skripten oder Konfigurationsdateien.

2. Implementierung einer granularen rollenbasierten Zugriffskontrolle (RBAC)

Nach der Aktivierung der Authentifizierung besteht der nächste Schritt darin, das Prinzip der geringsten Rechte (PoLP) zu etablieren. Das bedeutet, dass jeder Benutzer, jede Anwendung und jedes Dienstkonto nur die minimal erforderlichen Berechtigungen haben sollte, um seine Aufgaben auszuführen.

Vermeiden Sie die Verwendung der Rollen root oder readWriteAnyDatabase für Anwendungsverbindungen. Definieren Sie stattdessen benutzerdefinierte Rollen, die spezifische Berechtigungen für bestimmte Datenbanken oder Sammlungen gewähren.

Praktische RBAC-Schritte

  1. Benutzerdefinierte Rollen definieren: Wenn integrierte Rollen (read, readWrite) nicht ausreichen, erstellen Sie Rollen mit feingranularen Zugriffshandlungen (z. B. nur insert und find für eine bestimmte Sammlung).
  2. Anwendungsbenutzer trennen: Erstellen Sie dedizierte Benutzer für verschiedene Anwendungsebenen (z. B. app_rw für das Backend, reporting_ro für Analysen).
  3. Zugriff für externe Tools einschränken: Stellen Sie sicher, dass Verwaltungstools nur bei unbedingt notwendiger Verwendung über privilegierte Konten verbunden sind.

Beispiel: Erstellen eines schreibgeschützten Benutzers für eine bestimmte Datenbank

use users_db
db.createUser(
  {
    user: "reporting_svc",
    pwd: passwordPrompt(),
    roles: [ { role: "read", db: "users_db" } ] // Nur Lesezugriff auf users_db
  }
)

3. Konfiguration strenger Netzwerkbindung und Firewalls

Die Netzwerkkonfiguration ist die Perimeterverteidigung Ihrer Datenbank. Standardmäßig bindet sich MongoDB oft an alle verfügbaren Netzwerkschnittstellen (0.0.0.0), wodurch es potenziell für das gesamte Netzwerk oder, noch schlimmer, für das öffentliche Internet zugänglich ist, wenn es auf einer Cloud-Instanz ohne ordnungsgemäße Firewall-Regeln läuft.

Einschränkung von bindIp

Die wichtigste Sicherheitsmaßnahme ist die Definition der Einstellung bindIp in Ihrer Konfigurationsdatei. Dies weist MongoDB explizit an, auf welchen IP-Adressen oder Hostnamen es lauschen soll.

Konfigurationsdatei (/etc/mongod.conf):

# Liste der IPs oder Hostnamen, an die gebunden werden soll
# Verwenden Sie 127.0.0.1 für reinen lokalen Zugriff
# Verwenden Sie interne IP(s) für den Zugriff nur von Anwendungsservern
net:
  port: 27017
  bindIp: 127.0.0.1, 10.0.1.5, localhost

Implementierung externer Firewalls (Sicherheitsgruppen)

Zusätzlich zu bindIp (was den MongoDB-Prozess einschränkt) müssen Sie eine externe Firewall (wie iptables, AWS Security Groups oder Azure Network Security Groups) verwenden, um den Datenverkehr zu filtern, bevor er den Server erreicht.

Best Practice: Erlauben Sie eingehenden Verkehr auf dem MongoDB-Port (Standard 27017) nur von Ihren Anwendungsservern, Load Balancern und administrativen Jump-Boxes.

4. Erzwingung der Verschlüsselung für Daten während der Übertragung (TLS/SSL)

Daten, die zwischen Clients (Anwendungen, Shells, Treiber) und dem MongoDB-Server übertragen werden, müssen mithilfe von Transport Layer Security (TLS) oder Secure Sockets Layer (SSL) verschlüsselt werden. Das Senden von Anmeldeinformationen, Abfragen und Ergebnissen über unverschlüsselte Verbindungen setzt Daten potenziellen Abhörangriffen (Man-in-the-Middle-Angriffe) aus.

MongoDB unterstützt die native TLS/SSL-Konfiguration sowohl zur Verschlüsselung des Datenverkehrs als auch zur optionalen Validierung von Client-Zertifikaten.

Aktivierung von TLS/SSL

Um die Verschlüsselung zu aktivieren, müssen Sie gültige TLS-Zertifikate generieren oder erwerben und deren Speicherort in der Konfigurationsdatei angeben.

Konfigurationsdatei (/etc/mongod.conf):

net:
  ssl:
    mode: requireTLS
    # Pfad zur kombinierten Zertifikats- und Schlüsseldatei
    serverCertificateKeyFile: /etc/ssl/mongodb.pem
    # Pfad zur Zertifizierungsstellen-Datei (für Client-Validierung)
    CAFile: /etc/ssl/ca.pem

Client-Verbindung mit TLS

Sobald der Server TLS erfordert, müssen sich alle Clients mit den entsprechenden sicheren Flags verbinden:

mongosh "mongodb://[email protected]/admin?authSource=admin" --tls --tlsCAFile /path/to/ca.pem

Tipp: Verwenden Sie in der Produktion mode: requireTLS, um sicherzustellen, dass alle Verbindungen gesichert sind. Der Modus preferTLS wird normalerweise nur während der Migration oder beim Testen verwendet.

5. Aktivierung der Überwachung und Protokollierung von Aktivitätsprotokollen

Selbst bei starker Zugriffskontrolle und Verschlüsselung können Sicherheitsbedrohungen durch kompromittierte interne Konten oder Eskalation von Berechtigungen entstehen. Die Aktivierung einer umfassenden Überwachung bietet einen historischen Nachweis von Aktionen, der für Compliance, forensische Analysen und die Erkennung verdächtigen Verhaltens von entscheidender Bedeutung ist.

Die MongoDB-Überwachungseinrichtung kann administrative Aktionen, Authentifizierungsversuche, unbefugte Zugriffsversuche und potenziell das Lesen/Schreiben von Daten protokollieren.

Konfiguration für die Überwachung

Die Überwachung wird über den Abschnitt auditLog in der Konfigurationsdatei konfiguriert. Sie können das Ziel (Datei, syslog, Konsole) und die Filterkriterien festlegen.

Konfigurationsdatei (/etc/mongod.conf):

auditLog:
  destination: file
  path: /var/log/mongodb/audit.log
  format: JSON
  # Fokus auf wichtige Sicherheitsereignisse wie Authentifizierung und administrative Änderungen
  filter: '{ atype: { $in: [ "authenticate", "authorize", "createCollection", "createUser", "dropDatabase" ] } }'

Wesentliche Überwachungsschwerpunkte

  • Fehlgeschlagene Authentifizierungsversuche: Ein plötzlicher Anstieg deutet auf einen potenziellen Brute-Force-Angriff hin.
  • Erstellung/Löschung von Benutzern/Rollen: Alle Berechtigungsänderungen müssen protokolliert und überprüft werden.
  • Löschung von Datenbanken oder Sammlungen: Sofortige Warnmeldungen sind für destruktive Operationen erforderlich.

Integrieren Sie die MongoDB-Audit-Protokolle mit zentralisierten Protokollverwaltungssystemen (z. B. Splunk, ELK Stack, DataDog) für Echtzeitwarnungen und langfristige Aufbewahrung.

Fazit

Die Implementierung dieser fünf kritischen Konfigurationen versetzt Ihre MongoDB-Bereitstellung von einem Zustand der Anfälligkeit in einen Zustand der Widerstandsfähigkeit. Sicherheit in MongoDB ist keine Aufgabe, die man einmal einrichtet und vergisst; es ist ein fortlaufender Prozess. Stellen Sie sicher, dass diese Konfigurationen – obligatorische Authentifizierung, granulare RBAC, strenge Netzwerkbindung, TLS-Verschlüsselung und umfassende Überwachung – bei jeder Bereitstellung überprüft und regelmäßig kontrolliert werden. Die Priorisierung dieser Schritte wird das Risiko unbefugten Zugriffs und der Datenkompromittierung erheblich mindern.