ApsaraDB for MongoDB menyediakan perlindungan keamanan komprehensif untuk menghilangkan kekhawatiran terkait keamanan data Anda. Anda dapat mengamankan data di instance ApsaraDB for MongoDB menggunakan pemulihan bencana zona, otorisasi Resource Access Management (RAM), log audit, isolasi jaringan, daftar putih alamat IP, dan otentikasi kata sandi.
Pemulihan bencana zona
ApsaraDB for MongoDB menyediakan solusi pemulihan bencana zona untuk mencapai keandalan tinggi dan keamanan data yang optimal. Solusi ini memungkinkan Anda mendistribusikan node dari instance set replika atau instance kluster sharded di tiga zona berbeda dalam wilayah yang sama. Jika salah satu dari tiga zona terputus karena faktor force majeure seperti pemadaman listrik atau gangguan jaringan, ApsaraDB for MongoDB secara otomatis memicu failover untuk memastikan ketersediaan layanan dan keamanan data.
Anda dapat memilih beberapa zona saat membuat instance ApsaraDB for MongoDB. Untuk informasi lebih lanjut, lihat Buat Instance Set Replika Multi-Zona atau Buat Instance Kluster Sharded Multi-Zona. Anda juga dapat memigrasikan instance set replika atau instance kluster sharded yang ada ke zona-zona berbeda. Untuk informasi lebih lanjut, lihat Migrasikan Instance ke Zona Berbeda.
Jika enkripsi data transparan (TDE) tidak diaktifkan untuk instance ApsaraDB for MongoDB Anda yang menjalankan MongoDB 4.2 atau versi lebih lama dan menggunakan disk lokal, Anda dapat memigrasikan instance tersebut dari zona tunggal ke zona berbeda.
Kontrol akses
Otorisasi pengguna RAM untuk mengelola instance ApsaraDB for MongoDB tertentu.
Anda dapat menggunakan Resource Access Management (RAM) untuk membuat dan mengelola pengguna RAM serta mengontrol izin mereka terhadap sumber daya yang tersedia dalam akun Alibaba Cloud Anda. Jika beberapa pengguna di perusahaan Anda perlu menggunakan sumber daya yang sama secara bersamaan, Anda dapat memberikan izin minimal kepada pengguna melalui RAM. Ini mencegah pengguna berbagi kunci yang sama dan mengurangi risiko keamanan informasi untuk perusahaan Anda.
Untuk informasi lebih lanjut, lihat Bagaimana Cara Mengonfigurasi Izin Pengguna RAM pada ApsaraDB for MongoDB.
Buat akun pada instance ApsaraDB for MongoDB dan berikan izin kepada akun tersebut.
Dalam lingkungan produksi, hindari menyambungkan ke instance ApsaraDB for MongoDB menggunakan kredensial akun root. Sebagai gantinya, buat akun baru pada instance dan berikan izin sesuai kebutuhan.
Untuk informasi lebih lanjut, lihat Kelola Izin Pengguna Database MongoDB.
Isolasi jaringan
Sebarkan instance ApsaraDB for MongoDB dalam Virtual Private Clouds (VPC).
ApsaraDB for MongoDB mendukung berbagai jenis jaringan. Kami merekomendasikan agar Anda menerapkan instance ApsaraDB for MongoDB dalam VPC.
VPC adalah jaringan virtual terisolasi yang menawarkan keamanan dan performa lebih tinggi dibandingkan jaringan klasik. Sebelum menerapkan instance ApsaraDB for MongoDB dalam VPC, Anda harus membuat VPC terlebih dahulu. Untuk informasi lebih lanjut, lihat VPC Default dan vSwitch Default.
Jika instance ApsaraDB for MongoDB diterapkan dalam jaringan klasik, Anda dapat memigrasikannya ke VPC. Untuk informasi lebih lanjut, lihat Ubah Tipe Jaringan Instance dari Jaringan Klasik ke VPC. Jika instance ApsaraDB for MongoDB sudah diterapkan dalam VPC, tidak ada tindakan lebih lanjut yang diperlukan.
CatatanApsaraDB for MongoDB mendukung akses tanpa kata sandi melalui VPC. VPC menyediakan metode yang nyaman dan aman untuk terhubung ke instance ApsaraDB for MongoDB. Untuk informasi lebih lanjut, lihat Nonaktifkan Akses Tanpa Kata Sandi melalui VPC.
Konfigurasikan daftar putih alamat IP.
Setelah instance ApsaraDB for MongoDB dibuat, daftar putih alamat IP default akan dibuat. Daftar putih alamat IP default hanya berisi alamat IP
127.0.0.1. Sebelum Anda dapat terhubung ke instance ApsaraDB for MongoDB, Anda harus mengonfigurasi daftar putih alamat IP secara manual.Untuk informasi lebih lanjut, lihat Modifikasi Whitelist untuk Instance.
CatatanJangan tambahkan entri
0.0.0.0/0ke daftar putih alamat IP. Entri 0.0.0.0/0 menunjukkan bahwa instance ApsaraDB for MongoDB dapat diakses dari semua alamat IP.Kami merekomendasikan agar Anda mengonfigurasi daftar putih alamat IP berdasarkan kebutuhan bisnis Anda dan memperbarui daftar putih alamat IP yang dikonfigurasi secara berkala. Setelah Anda memastikan bahwa alamat IP tidak lagi memerlukan akses ke instance ApsaraDB for MongoDB, segera hapus alamat IP tersebut.
Log audit
Log audit dari instance ApsaraDB for MongoDB mencatat semua operasi yang dilakukan pada instance tersebut. Log audit membantu Anda memperoleh informasi tentang operasi yang dilakukan pada data di instance. Anda dapat menganalisis log audit untuk memecahkan masalah, mengidentifikasi perilaku abnormal, dan mengaudit keamanan instance.
Untuk informasi lebih lanjut, lihat Lihat Log Audit.
Enkripsi data
Enkripsi SSL
Jika Anda terhubung ke instance ApsaraDB for MongoDB melalui Internet, Anda dapat mengaktifkan enkripsi SSL untuk instance tersebut. Enkripsi SSL melindungi data yang sedang ditransmisikan dengan mengenkripsi koneksi jaringan di lapisan transportasi sesuai dengan SSL untuk meningkatkan keamanan dan memastikan integritas data. Untuk informasi lebih lanjut, lihat Gunakan Mongo Shell untuk Terhubung ke Database dalam Mode Enkripsi SSL.
TDE
TDE digunakan untuk mengenkripsi data sebelum ditulis ke disk dan mendekripsi data sebelum dibaca dari disk ke memori. TDE tidak meningkatkan ukuran file data, dan Anda dapat menggunakannya tanpa perlu memodifikasi konfigurasi aplikasi Anda. Untuk informasi lebih lanjut, lihat Konfigurasikan TDE untuk Instance.
CatatanTDE hanya mendukung enkripsi tingkat koleksi. Untuk informasi lebih lanjut tentang enkripsi tingkat bidang, lihat Enkripsi Eksplisit. Enkripsi tingkat bidang hanya didukung oleh instance ApsaraDB for MongoDB yang menjalankan MongoDB 4.2 dan menggunakan disk lokal.