MongoDB 安全终极指南——避免不当配置

国家互联网中心于2019年2月通报指出，由于MongoDB用户的不当配置，导致部分MongoDB用户存在信息泄露风险。而在《Forrester Wave™：2019 大数据 NoSQL综述》报告中，MongoDB荣获领导者称号，并在数据安全等21项评估标准中斩获最高分。这说明：MongoDB 本身并无安全漏洞，问题出在不当配置上。国家互联网中心于2019年2月通报指出，由于MongoDB用户的不当配置，导致部分MongoDB用户存在信息泄露风险。而在《Forrester Wave™：2019 大数据 NoSQL综述》报告中，MongoDB荣获领导者称号，并在数据安全等21项评估标准中斩获最高分。这说明：MongoDB 本身并无安全漏洞，问题出在不当配置上。

MongoDB声明

对此，MongoDB公司发表了关于安全性的最新声明：

安全问题多与MongoDB老版本、免费版本用户未启用MongoDB广泛的安全功能有关。在过去的两年里，MongoDB Atlas为用户提供了安全默认配置，包括默认情况下启用身份验证的最新版本MongoDB Server，以及持续部署的增强安全功能。

MongoDB一直积极、主动地教导客户如何更好地使用MongoDB，为客户提供简单易懂且内容详尽的文档，包括在线培训、MongoDB安全手册和MongoDB安全最佳实践清单等，并反复强调启用安全性的方法和重要性。从五年前的MongoDB 2.6版本开始，我们在所有最受欢迎的下载安装程序上都启用了默认安全设置。3.6及后续版本则进一步启用了所有生成选项的默认安全配置。

我们诚挚鼓励所有用户更新到最新版本，从而获得更优的安全性——默认情况下禁用网络访问，以及使用SHA-256进行TLS 1.1+加密通信和身份验证。