MongoDB 安全终极指南——避免不当配置

国家互联网中心于2019年2月通报指出,由于MongoDB用户的不当配置,导致部分MongoDB用户存在信息泄露风险。而在《Forrester Wave™:2019 大数据 NoSQL综述》报告中,MongoDB荣获领导者称号,并在数据安全等21项评估标准中斩获最高分。这说明:MongoDB 本身并无安全漏洞,问题出在不当配置上。国家互联网中心于2019年2月通报指出,由于MongoDB用户的不当配置,导致部分MongoDB用户存在信息泄露风险。而在《Forrester Wave™:2019 大数据 NoSQL综述》报告中,MongoDB荣获领导者称号,并在数据安全等21项评估标准中斩获最高分。这说明:MongoDB 本身并无安全漏洞,问题出在不当配置上。

14

MongoDB声明

对此,MongoDB公司发表了关于安全性的最新声明:

安全问题多与MongoDB老版本、免费版本用户未启用MongoDB广泛的安全功能有关。在过去的两年里,MongoDB Atlas为用户提供了安全默认配置,包括默认情况下启用身份验证的最新版本MongoDB Server,以及持续部署的增强安全功能。

MongoDB一直积极、主动地教导客户如何更好地使用MongoDB,为客户提供简单易懂且内容详尽的文档,包括在线培训、MongoDB安全手册和MongoDB安全最佳实践清单等,并反复强调启用安全性的方法和重要性。从五年前的MongoDB 2.6版本开始,我们在所有最受欢迎的下载安装程序上都启用了默认安全设置。3.6及后续版本则进一步启用了所有生成选项的默认安全配置。

我们诚挚鼓励所有用户更新到最新版本,从而获得更优的安全性——默认情况下禁用网络访问,以及使用SHA-256进行TLS 1.1+加密通信和身份验证。

发表评论