このトピックでは、ApsaraDB for MongoDB のデータセキュリティの問題について説明します。
ホワイトリストグループ名とソース
ホワイトリストの変更 の手順に従って、[ホワイトリスト設定] ページを開き、インスタンスのホワイトリストグループを表示します。
初期状態では、インスタンスにはデフォルトのホワイトリストグループのみが含まれています。 データ移行などの操作をインスタンスで実行すると、ホワイトリストグループの数が徐々に増加します。次の表に、ホワイトリストグループ名とそのソースを示します。
ホワイトリストグループ名 | ソース |
default | 削除できないデフォルトのホワイトリストグループ。 |
ddsdts | インスタンスでデータ移行操作を実行すると、システムによってこのグループが自動的に作成され、Data Transmission Service (DTS) サーバーの IP アドレスがこのグループに追加されます。 説明 インスタンスで現在データ移行タスクが実行されている場合は、このグループを削除しないでください。 削除すると、データ移行タスクが失敗します。 |
ApsaraDB for MongoDB は KMS 暗号化をサポートしていますか?
透過データ暗号化 (TDE) を ApsaraDB for MongoDB コンソールで有効にして、データファイルに対してリアルタイムの I/O 暗号化と復号を実行できます。 これにより、データがディスクに書き込まれる前に暗号化され、ディスクからメモリに読み取られるときに復号化されます。
ApsaraDB for MongoDB で MONGODB-CR 認証を実行できない
問題の説明
ApsaraDB for MongoDB は SCRAM-SHA-1 認証のみをサポートしており、MONGODB-CR 認証はサポートしていません。 schema.currentVersion=3 の設定を変更すると、次のエラーが返されます。
WriteResult({
"writeError" : {
"code" : 13,
"errmsg" : "not authorized on admin to execute command {
update: \"system.version\", updates: [ { q: { _id: \"authSchema\" },
u: { _id: \"authSchema\", currentVersion: 3 },
multi: false, upsert: true } ], ordered: true }"
}
})原因
MONGODB-CR 認証にはセキュリティ上の問題があります。 ApsaraDB for MongoDB はこの認証方式をサポートしておらず、デフォルトの SCRAM-SHA-1 認証のみをサポートしています。
解決策
製品設計の制限により、解決策はありません。
追加情報
SCRAM-SHA-1 は現在推奨されている認証方式です。 SCRAM-SHA-1 認証のプロセス:
クライアントが SCRAM 認証リクエストを開始します。
サーバーがチャレンジレスポンスを発行します。
クライアントが証明データと結合文字列で応答します。
サーバーは、保存されているキーとランダムなパラメーターを組み合わせて、同じアルゴリズムを使用して署名を生成し、クライアントの証明データを確認します。
クライアントがサーバーの署名データを確認します。
SCRAM-SHA-1 認証には、MONGODB-CR 認証に比べて次の利点があります。
柔軟に調整可能なセキュリティ係数。
各ユーザー専用の独立したランダム係数。
より安全な HASH 関数。
相互認証のサポート。