MongoDB 내장형 인증 및 인증 방법 활용

MongoDB 내장형 인증 및 인증 방법 활용

2022-06-01 last update

6 minutes reading Databases MongoDB Security
권한 수여와 신분 검증은 데이터베이스 안전성을 이해하는 두 가지 관건적인 개념이다.이 두 개념은 비슷하지만, 그것들이 무엇인지, 그리고 그것들의 차이점을 이해하는 것이 중요하다.인증은 사용자나 고객이 자신들이 주장하는 실제 신분인지 확인하는 과정이다.다른 한편, 권한 수여는 주어진 사용자나 사용자 그룹에 규칙을 설정하여 그들이 실행할 수 있는 조작과 그들이 접근할 수 있는 자원을 정의하는 것과 관련된다.

인증


MongoDB는 사용자에 대한 인증을 허용하는 몇 가지 메커니즘을 제공합니다. 기본 메커니즘은itsSalted Challenge Response Authentication Mechanism(비상정지)입니다.긴급 정지는 MongoDB가 사용자의 사용자 이름, 비밀번호, 인증 데이터베이스의 조합에 따라 사용자가 제공한 증빙서류를 읽고 검증하는 것과 관련된다. 이 모든 것은 지정된 MongoDB 실례에 의해 알고 있다.사용자의 모든 인증서가 Mongo 데이터베이스에서 원하는 것과 일치하지 않으면 데이터베이스는 사용자에게 인증을 하지 않고 사용자가 정확한 사용자 이름, 비밀번호, 인증 데이터베이스를 제공하기 전에 접근할 수 없습니다.
또한 텍스트 파일을 사용하여 복사본이나 조각 모음과 같은 MongoDB 인스턴스에 연결된 공유 암호로 사용할 수 있습니다.MongoDB 문서에서 건의한 바와 같이 키 파일 인증이라고 불리는 이런 방법은 가장 간단한 보안 형식으로 여겨져 테스트나 개발 환경에 가장 적합하다.
조각 또는 복제가 가능한 운영 환경에 대해 MongoDB 문서는 다른 인증 메커니즘을 사용하는 것이 좋습니다.x.509 authentication.이것은 유효한 x.509 인증서(자체 서명 인증서 또는 제3자 인증서 발급 기구에서 얻은 인증서)를 예상한 그룹 구성원이나 클라이언트에게 나누어 주는 것과 관련된다.단, 이것은 키 파일과 다르다. 왜냐하면 모든 기계는 자신의 전용 x.509 인증서를 가지고 있기 때문이다.이것은 한 기계의 인증서가 이 기계의 신분 검증에만 유용하다는 것을 의미한다.데이터베이스 서버에 도난 x.509 인증서를 제공한 클라이언트는 인증을 할 수 없습니다.
x, 509 인증은 상호 인증이라는 개념을 이용했다.이것은 클라이언트나 집단 구성원이 서버에 자신을 검증할 때 서버도 클라이언트나 집단 구성원에게 자신을 검증한다는 것을 의미한다.클라이언트나 그룹 구성원이 데이터베이스 서버에 잘못된 x.509 인증서를 사용하려고 시도하면 상호 인증이 실패하기 때문에 연결을 막을 수 있습니다.

승인


MongoDB는 역할 기반의 액세스 제어라고 불리는 컴퓨터 보안 개념을 통해 권한을 관리한다.MongoDB 사용자를 만들 때마다 하나 이상의 역할을 선택할 수 있습니다.역할은 사용자가 주어진 데이터베이스, 집합, 집합 집합 또는 집단에 대해 수행할 수 있는 권한을 정의합니다.사용자에게 역할을 할당하면 해당 사용자는 해당 역할에 대한 모든 권한을 갖게 됩니다.
MongoDB는 일반적으로 필요한 권한을 제공하는 내장 역할을 많이 제공합니다.이 중 일부는 각 데이터베이스에 사용할 수 있지만, 대부분은 admin 데이터베이스에만 적용된다. 왜냐하면 강력한 관리 권한을 제공하기 위해서이다.예를 들어, 모든 데이터베이스에서 사용자readWrite 역할을 할당할 수 있습니다. 이는 사용자readWrite 역할을 부여하면 시스템에 저장된 데이터를 읽고 수정할 수 있음을 의미합니다.그러나 readWriteAnyDatabase 역할 (사용자가 localconfig 을 제외한 모든 데이터베이스의 데이터를 읽고 수정할 수 있도록 허용) 은 admin 데이터베이스에서만 사용할 수 있다. 왜냐하면 이것은 더욱 광범위한 시스템 권한을 제공하기 때문이다.
내장된 역할 외에 몬고는 사용자가 시스템에서 어떤 자원에 접근할 수 있는지 더 잘 제어할 수 있도록 사용자 정의 역할을 정의할 수 있습니다.사용자와 마찬가지로 역할도 특정 데이터베이스에 추가됩니다.admin 데이터베이스에서 생성된 역할(시스템의 모든 데이터베이스에 대한 권한을 포함할 수 있음)을 제외하고 사용자가 정의한 역할 권한은 이 역할을 만든 데이터베이스에만 적용됩니다.즉, 역할은 정의에 하나 이상의 기존 역할을 포함할 수 있고 역할은 같은 데이터베이스에 있는 다른 역할로부터 권한을 계승할 수 있다.
사용자 권한에 대한 세분화 제어를 통해 클러스터 관리자가 복제본 집합과 조각 집합을 관리하거나 사용자 관리자가 사용자 및 사용자 정의 역할을 만들고 관리하는 등 일부 기능을 수행할 수 있습니다.이러한 유형의 사용자 관리 정책은 광범위한 권한을 가진 사용자 수를 줄이기 때문에 시스템의 안전성을 강화하는 데 도움을 줄 수 있다.

관련 자원

  • How To Secure MongoDB on Ubuntu 20.04
  • How To Configure Keyfile Authentication for MongoDB Replica Sets on Ubuntu 20.04