ApsaraDB for MongoDB は、包括的なセキュリティ保護を提供し、データセキュリティの懸念を解消します。 ゾーンディザスタリカバリ、RAM 認証、監査ログ、ネットワーク分離、ホワイトリスト、またはパスワード認証を使用して、データベースのデータセキュリティを保証できます。
ゾーンディザスタリカバリ
ApsaraDB for MongoDB は、HA およびデータセキュリティ要件をさらに満たすゾーンディザスタリカバリソリューションを提供します。 このソリューションでは、レプリカセットインスタンスのノードまたはシャードクラスターインスタンスのコンポーネントが、 1 つのリージョン内の 3 つの ゾーン 間でデプロイされます。 電源やネットワーク障害などの不可抗力要因によりゾーンが切断された場合、HA システムはフェイルオーバーを自動的にトリガーして、インスタンスの可用性とデータセキュリティを保証します。
インスタンスを作成するときに、複数のゾーンを選択できます。 詳細は、「ゾーンディザスタリカバリソリューション」または「マルチゾーンシャードクラスタインスタンスの作成」をご参照ください。 レプリカセットインスタンスを複数のゾーンに移行することもできます。 詳細は、「クロスゾーンでのインスタンスの移行」をご参照ください。
アクセス制御
- RAM ユーザーに ApsaraDB for MongoDB インスタンスを管理する権限を付与します。
Resource Access Management (RAM) を使用すると、RAM ユーザーアカウントを作成および管理し、Alibaba Cloud アカウントのリソースに対する操作権限を管理できます。 企業内の複数のユーザーが同時にリソースを使用する必要がある場合、RAM を使用すると最小限のアクセス許可のみを割り当てることができ、Alibaba Cloud アカウントのキーを共有する必要性を回避できます。 この方法により、企業の情報セキュリティリスクが軽減されます。
詳細については、「ApsaraDB for MongoDB に対する RAM ユーザー権限の設定方法」をご参照ください。
- データベースユーザーの作成と承認
本番環境では、root ユーザーとしてデータベースに接続しないでください。 データベースユーザーを作成し、必要に応じて権限を付与できます。
詳細については、「DMS を使用して MongoDB ユーザーを管理する」をご参照ください。
ネットワーク分離
- VPC の使用
ApsaraDB for MongoDB は、複数のネットワークタイプをサポートしています。 VPC の使用を推奨します。
VPC は、クラシックネットワークよりも高いセキュリティとパフォーマンスを備えた、分離された仮想ネットワークです。 事前に VPC を作成しておく必要があります。 詳細については、「 デフォルトのVPC と VSwitch の作成」をご参照ください。
ApsaraDB for MongoDB インスタンスがクラシックネットワークにデプロイされている場合、インスタンスのネットワークタイプを VPC に切り替えることができます。 詳細については、「インスタンスのネットワークタイプの切り替え」をご参照ください。 ApsaraDB for MongoDB インスタンスが VPC にデプロイされている場合、それ以上の操作は不要です。
注 ApsaraDB for MongoDB は、VPC 経由のパスワードフリーアクセスをサポートします。 VPC は、データベースに接続するための便利で安全な方法を提供します。 詳細については、「ApsaraDB for MongoDB インスタンスのパスワード不要アクセスの有効化/無効化」をご参照ください。 - ホワイトリストの設定
デフォルトでは、ApsaraDB for MongoDB インスタンスが作成された後、そのホワイトリストの IP アドレスは
127.0.0.1
になります。 MongoDB データベースに接続する前に、ホワイトリストに IP アドレスを手動で設定する必要があります。詳細については、「ホワイトリストの構成」をご参照ください。
注- IP アドレスを
0.0.0.0/0
に設定しないでください。これは、任意の IP アドレスからデータベースにアクセスできることを示します。 - ビジネスニーズに基づいてホワイトリストを設定し、不要になった IP アドレスをホワイトリストから定期的に削除することを推奨します。
- IP アドレスを
ログ監査
ApsaraDB for MongoDB の監査ログには、データベースで実行したすべての操作が記録されます。 監査ログを使用すると、データベースで障害分析、動作分析、およびセキュリティ監査を実行して、データ実行情報を取得できます。
詳細については、「監査ログの構成」をご参照ください。
データ暗号化
- SSL 暗号化
インターネット経由でデータベースに接続する場合、Secure Sockets Layer (SSL) 暗号化を有効にして、データリンクのセキュリティを向上させることができます。 SSL 暗号化は、トランスポート層でネットワーク接続を暗号化できます。 これにより、データのセキュリティが向上し、データの整合性が保証されます。 詳細については、「mongo シェルを使用して、SSL 暗号化モードで ApsaraDB for MongoDB データベースに接続する」をご参照ください。
- TDE
TDE を使用すると、データファイルに対してリアルタイムで入出力の暗号化および復号を実行できます。 データがディスクに書き込まれる前にデータを暗号化し、データがディスクから読み取られる前にデータを復号します。 TDE では、データファイルのサイズは大きくなりません。 ApsaraDB for MongoDB を使用するアプリケーションを変更せずに、TDE を使用できます。 詳細については、「TDE の設定」をご参照ください。