ApsaraDB for MongoDB は、包括的なセキュリティ保護を提供し、データセキュリティの懸念を解消します。 ゾーンディザスタリカバリ、リソースアクセス管理 (RAM) 権限付与、監査ログ、ネットワーク分離、IPアドレスホワイトリスト、パスワード認証を使用して、ApsaraDB for MongoDBインスタンスのデータを保護できます。
ゾーンディザスタリカバリ
ApsaraDB for MongoDBは、高い信頼性と高いデータセキュリティを実現するゾーンディザスタリカバリソリューションを提供します。 このソリューションでは、同じリージョンの3つの異なるゾーンにレプリカセットインスタンスまたはシャードクラスターインスタンスのノードをデプロイできます。 停電やネットワーク障害などの不可抗力要因により3つのゾーンのいずれかが切断された場合、ApsaraDB for MongoDBは自動的にフェールオーバーをトリガーし、サービスの可用性とデータセキュリティを確保します。
ApsaraDB for MongoDBインスタンスを作成するときに、複数のゾーンを選択できます。 詳細については、「マルチゾーンレプリカセットインスタンスの作成」または「マルチゾーンシャードクラスターインスタンスの作成」をご参照ください。 既存のレプリカセットインスタンスまたはシャードクラスターインスタンスを複数のゾーンに移行することもできます。 詳細については、「ApsaraDB For MongoDBインスタンスの別のゾーンへの移行」をご参照ください。
MongoDB 4.2以前を実行し、ローカルディスクを使用するApsaraDB for MongoDBインスタンスで透過的データ暗号化 (TDE) が有効になっていない場合、インスタンスを単一のゾーンから別のゾーンに移行できます。
アクセス制御
特定のApsaraDB for MongoDBインスタンスを管理する権限をRAMユーザーに付与します。
RAMを使用して、RAMユーザーを作成および管理できます。 RAMを使用して、Alibaba Cloudアカウント内で使用可能なリソースに対する作成されたRAMユーザーの権限を制御することもできます。 企業内の複数のユーザーが同時に同じリソースを使用する必要がある場合は、RAMを使用してユーザーに最小限の権限を割り当てることができます。 これにより、ユーザーが同じキーを共有できなくなり、企業の情報セキュリティリスクが軽減されます。
詳細については、「ApsaraDB For MongoDBでRAMユーザー権限を設定する方法」をご参照ください。
ApsaraDB for MongoDBインスタンスにアカウントを作成し、アカウントに権限を付与します。
本番環境では、rootアカウントの資格情報を使用してApsaraDB for MongoDBインスタンスに接続しないでください。 インスタンスにアカウントを作成し、作成したアカウントに権限を付与できます。
詳細については、「MongoDBデータベースユーザーの権限の管理」をご参照ください。
ネットワーク分離
ApsaraDB for MongoDBインスタンスを仮想プライベートクラウド (VPC) にデプロイします。
ApsaraDB for MongoDBはさまざまなネットワークをサポートしています。 ApsaraDB for MongoDBインスタンスをVPCにデプロイすることを推奨します。
VPCは、クラシックネットワークよりも高いセキュリティと高いパフォーマンスを提供する分離された仮想ネットワークです。 ApsaraDB for MongoDBインスタンスをVPCにデプロイする前に、VPCを作成する必要があります。 詳細については、「デフォルトVPCおよびデフォルトvSwitch」をご参照ください。
ApsaraDB for MongoDBインスタンスがクラシックネットワークにデプロイされている場合、インスタンスをVPCに移行できます。 詳細については、「ApsaraDB For MongoDBインスタンスのネットワークタイプをクラシックネットワークからVPCに切り替える」をご参照ください。 ApsaraDB for MongoDBインスタンスがVPCにデプロイされている場合、それ以上の操作は必要ありません。
説明ApsaraDB for MongoDBは、VPCを介したパスワードなしのアクセスをサポートします。 VPCは、ApsaraDB for MongoDBインスタンスに接続するための便利で安全な方法を提供します。 詳細については、「VPC経由のパスワード不要アクセスの無効化」をご参照ください。
IPアドレスのホワイトリストを設定します。
ApsaraDB for MongoDBインスタンスが作成されると、デフォルトのIPアドレスホワイトリストが作成されます。 デフォルトのIPアドレスホワイトリストには、
127.0.0.1のIPアドレスのみが含まれます。 ApsaraDB for MongoDBインスタンスに接続する前に、IPアドレスホワイトリストを手動で設定する必要があります。詳細については、「ApsaraDB For MongoDBインスタンスのIPアドレスホワイトリストの変更」をご参照ください。
説明IPアドレスホワイトリストに
0.0.0.0/0エントリを追加しないでください。 0.0.0.0/0エントリは、ApsaraDB for MongoDBインスタンスにすべてのIPアドレスからアクセスできることを示しています。ビジネス要件に基づいてIPアドレスホワイトリストを設定し、設定されたIPアドレスホワイトリストを定期的に更新することを推奨します。 IPアドレスがApsaraDB for MongoDBインスタンスへのアクセスを必要としないことを確認したら、すぐにIPアドレスを削除することを推奨します。
監査ログ
ApsaraDB for MongoDBインスタンスの監査ログには、インスタンスで実行されたすべての操作が記録されます。 監査ログは、インスタンス内のデータに対して実行された操作に関する情報を取得するのに役立ちます。 監査ログを分析して、問題のトラブルシューティング、異常な動作の特定、およびインスタンスのセキュリティの監査を行うことができます。
詳細については、「監査ログの表示」をご参照ください。
データ暗号化
SSL 暗号化
インターネット経由でApsaraDB for MongoDBインスタンスに接続する場合、インスタンスのSSL暗号化を有効にできます。 SSL暗号化は、転送中のデータの保護に役立ちます。 ApsaraDB for MongoDBは、SSLに準拠してトランスポート層でネットワーク接続を暗号化し、データのセキュリティを向上させ、データの整合性を確保します。 詳細については、「mongo shellを使用してApsaraDB For MongoDBデータベースにSSL暗号化モードで接続する」をご参照ください。
TDE
TDEは、データがデータファイルからディスクに書き込まれる前にデータを暗号化し、データがディスクから読み出されてメモリに書き込まれる前にデータを復号化するために使用される。 TDE はデータファイルのサイズを大きくしません。 アプリケーションの構成データを変更することなく、TDEを使用できます。 詳細については、「ApsaraDB For MongoDBインスタンスのTDEの設定」をご参照ください。
説明TDEは、コレクションレベルの暗号化のみをサポートします。 フィールドレベルの暗号化の詳細については、「明示的な暗号化」をご参照ください。 フィールドレベルの暗号化は、MongoDB 4.2を実行し、ローカルディスクを使用するApsaraDB for MongoDBインスタンスでのみサポートされます。