一、网络层安全防护

1.1 绑定本地IP与监听端口控制

MongoDB默认监听0.0.0.0存在极大风险，应通过net.bindIp参数严格限制访问来源。例如在配置文件中设置：

net:
  bindIp: 127.0.0.1,192.168.1.100  # 仅允许本地和内网指定IP访问
  port: 27017

建议将生产环境数据库部署在内网环境，通过VPN或跳板机访问。对于云上部署，应配置安全组规则仅放行必要IP段。

1.2 TLS/SSL加密传输

启用传输层加密可防止中间人攻击。生成自签名证书步骤如下：

openssl req -newkey rsa:2048 -nodes -keyout mongodb.key -out mongodb.csr
openssl x509 -signkey mongodb.key -in mongodb.csr -req -days 365 -out mongodb.crt

在配置文件中启用：

net:
  tls:
    mode: requireTLS
    certificateKeyFile: /etc/ssl/mongodb.pem
    CAFile: /etc/ssl/ca.pem

二、认证与授权体系

2.1 启用SCRAM-SHA-256认证

MongoDB 4.0+支持更安全的SCRAM-SHA-256认证机制。创建管理员用户示例：

use admin
db.createUser({
  user: "admin",
  pwd: passwordPrompt(), // 使用交互式输入密码
  roles: ["root"]
})

生产环境必须禁用默认的空认证模式，在启动参数中添加--auth。

2.2 基于角色的精细权限控制

采用最小权限原则分配角色，例如为应用创建只读用户：

use appdb
db.createUser({
  user: "app_reader",
  pwd: passwordPrompt(),
  roles: ["readAnyDatabase"]  // 或更精确的role: [{role: "read", db: "appdb"}]
})

MongoDB内置角色包括read、readWrite、dbAdmin等，也可通过db.grantRolesToUser()自定义角色。

三、数据加密方案

3.1 静态数据加密（WiredTiger）

MongoDB企业版支持WiredTiger存储引擎的加密功能。配置示例：

storage:
  engine: wiredTiger
  wiredTiger:
    encryption:
      keyword: "aes-256-cbc"
      kmsProviders:
        local:
          keyFile: /etc/mongodb/encryption_key.txt

密钥文件需通过openssl rand -base64 96生成并妥善保管。

3.2 字段级加密（FLE）

客户端字段级加密可在应用层实现敏感数据保护：

const { MongoClient } = require('mongodb');
const { ClientEncryption } = require('mongodb-client-encryption');
const client = new MongoClient(uri);
const encryption = new ClientEncryption(client, {
  keyVaultNamespace: 'encryption.__keyVault',
  kmsProviders: { local: { key: base64Key } }
});
const encryptedField = {
  encrypt: {
    keyId: keyId,
    bsonType: 'string',
    algorithm: 'AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic'
  }
};

四、审计与日志管理

4.1 启用系统审计

配置审计日志记录所有管理操作：

auditLog:
  destination: file
  format: JSON
  path: /var/log/mongodb/audit.json
  filter: '{ "atype": "authenticate", "param.user": "admin" }'  # 可选过滤条件

审计日志应定期轮转并存储在安全位置，建议保留至少90天。

4.2 慢查询日志分析

通过setParameter启用慢查询日志：

db.setProfilingLevel(1, { slowms: 100 })  // 记录超过100ms的操作

或通过配置文件：

operationProfiling:
  mode: slowOp
  slowOpThresholdMs: 100

五、运维安全实践

5.1 定期安全补丁更新

建立补丁管理流程，关注MongoDB官方安全公告。升级前应在测试环境验证兼容性，典型升级步骤：

# 备份数据
mongodump --host=localhost --out=/backup/
# 停止服务
systemctl stop mongod
# 安装新版本
yum update mongodb-org
# 启动服务并验证
systemctl start mongod
mongo --eval "db.adminCommand({getParameter:1, 'buildInfo':1})"

5.2 备份加密与离线存储

使用mongodump加密备份：

mongodump --uri="mongodb://user:pass@host/db" --out=/backup/ --gzip --encryptionKeyFile=/path/to/key

备份文件应存储在独立安全区域，建议采用3-2-1备份策略（3份副本，2种介质，1份离线）。

六、高级防护措施

6.1 启用LDAP集成

企业环境可集成LDAP实现集中认证：

security:
  ldap:
    servers: "ldap.example.com"
    bind:
      method: "simple"
      saslMechanism: "PLAIN"
    authz:
      queryTemplate: "{USER}?base?one"

6.2 入侵检测系统（IDS）

部署基于机器学习的异常检测，例如监控：

• 异常时间段的登录尝试
• 非工作时间的管理操作
• 频繁的错误认证
• 异常的查询模式

七、安全开发最佳实践

7.1 连接池安全配置

应用连接时应设置合理超时：

const client = new MongoClient(uri, {
  connectTimeoutMS: 5000,
  socketTimeoutMS: 30000,
  serverSelectionTimeoutMS: 5000,
  maxPoolSize: 50
});

7.2 输入验证与参数化查询

防止注入攻击的示例：

// 不安全写法（存在注入风险）
const collection = db.collection(userInputCollectionName);
// 安全写法
const validCollections = ['users', 'orders'];
if (!validCollections.includes(userInputCollectionName)) {
  throw new Error('Invalid collection');
}
const collection = db.collection(userInputCollectionName);

八、合规性要求实现

8.1 GDPR数据保护

实现数据主体访问请求（DSAR）功能：

// 创建数据删除标记的示例
db.users.updateOne(
  { _id: userId },
  { $set: { 
      isDeleted: true,
      deletionDate: new Date(),
      personalData: null  // 实际应采用加密删除
    }}
);

8.2 PCI DSS合规要点

• 禁用默认账户和示例数据库
• 实施双因素认证
• 定期进行渗透测试
• 保留至少1年的完整审计日志

总结与实施路线图

MongoDB安全防护需要构建包含技术防护、流程管理和人员意识的多层防御体系。建议分阶段实施：

1. 基础防护（1周）：网络隔离、认证启用、最小权限
2. 增强防护（2周）：传输加密、静态加密、审计日志
3. 持续优化：定期安全评估、补丁管理、员工培训

通过系统化的安全实践，可显著降低MongoDB环境的数据泄露风险，满足企业级安全合规要求。安全不是一次性项目，而是需要持续投入的运营过程。