Minggu lalu, salah satu pelanggan saya meminta rekomendasi arsitektur untuk menerapkan instans MongoDB produksi secara aman di Amazon EC2 AWS. Ini membuat saya berpikir tentang topik dan posting blog ini adalah hasilnya. Terlalu banyak perusahaan mengekspos database MongoDB produksi mereka di internet ketika ada pilihan yang lebih baik. Aturan #1 keamanan adalah untuk membatasi akses fisik ke server database Anda. Bahkan jika kredensial Anda disusupi, ini sangat mengurangi dampak jika penyerang tidak dapat mengakses server Anda.
Sebelum kita menyelami detailnya, mari kita mundur sedikit dan mengingat bagaimana staf TI dulu menerapkan database di dunia AWS pra-Amazon. Saya dapat mengingat beberapa konfigurasi yang berbeda:
1. Konfigurasi Dual Firewall DMZ (Zona Demiliterisasi)
Dalam konfigurasi ini, server tingkat depan dan menengah ditempatkan di DMZ dan server database berada di belakang firewall kedua. Firewall depan memungkinkan koneksi pada port web dan firewall belakang hanya mengizinkan koneksi pada port database.
2. VLAN – Kurang Populer dibandingkan Dual Firewall DMZ
Server database dan server front-end berada di VLAN terpisah. Hanya port database yang diperbolehkan dalam interkoneksi trunk antara dua VLAN.
Secara teknis, tidak banyak yang berubah sejak itu. Namun, tekniknya sekarang berbeda. Anda tidak lagi berbicara tentang DMZ dan firewall, tetapi Anda berbicara tentang VPC dan Grup Keamanan. Jika Anda adalah perusahaan besar dengan staf TI, saya pasti akan melihat ke Amazon VPC. Ini memberi Anda banyak kendali atas jaringan layer 3 dan Anda dapat menempatkan database Anda ke dalam subnet pribadi dan tidak mengeksposnya ke internet. Namun, ini adalah topik yang lebih panjang untuk posting blog lain. Jika Anda telah mengatur VPC dan ingin mengatur MongoDB di VPC, berikut adalah posting blog saya untuk memandu Anda melalui langkah-langkah – Menyebarkan MongoDB di Amazon VPC.
Di sisa posting ini, saya akan berkonsentrasi pada EC2-klasik.
3 Langkah untuk Mengonfigurasi Dual Firewall DMZ di AWS
1. Buat Grup Keamanan untuk Server MongoDB Anda
Grup Keamanan dapat menjangkau seluruh wilayah – jadi meskipun Anda memiliki kumpulan replika, Anda dapat mendistribusikan replika Anda di seluruh zona ketersediaan di wilayah tersebut dan masih memilikinya di Grup Keamanan yang sama . Buat Grup Keamanan untuk Server MongoDB Anda dan tambahkan semua server mongo Anda hanya ke Grup Keamanan ini.
2. Buat Grup Keamanan untuk Server Tingkat Menengah/Front
Buat Grup Keamanan tambahan untuk server MongoDB tingkat menengah dan/atau depan Anda.
3. Konfigurasikan Akses Grup Keamanan MongoDB Anda
Konfigurasikan Grup Keamanan MongoDB Anda untuk mengizinkan akses ke server tingkat depan hanya di port MongoDB. Konfigurasikan Grup Keamanan ujung depan Anda untuk membuka port web ke internet.
Mengonfigurasi Dual Firewall DMZ di AWS Melalui ScaleGrid
1. Buat Grup Keamanan di AWS
Masuk ke konsol Amazon Anda dan buat Grup Keamanan untuk server tingkat menengah/depan Anda. Sebut saja Grup Keamanan 'AppServerSG'. Konfigurasikan Grup Keamanan ini untuk membuka port http/https seperlunya. Tempatkan Anda server tingkat menengah dan tingkat depan di Grup Keamanan ini.
2. Buat Profil Cloud AWS ScaleGrid
Masuk ke konsol ScaleGrid dan klik tab Machine Pool. Buat kumpulan Mesin kustom Anda sendiri sehingga Anda dapat menerapkan dan mengelola instans mongo di akun AWS Anda sendiri. Di tab Kumpulan mesin, klik tombol buat. Masukkan Anda Amazon API key dan secret key dan tekan Next:
3. Pilih Wilayah AWS Anda untuk MongoDB
Pilih wilayah AWS pilihan Anda untuk menerapkan MongoDB:
4. Konfigurasikan Kebijakan Akses Anda
Ini adalah langkah utama untuk konfigurasi keamanan. Pilih opsi untuk hanya mengizinkan mesin di Grup Keamanan tertentu untuk mengakses server MongoDB Anda. Kemudian pilih Grup Keamanan yang ingin Anda berikan aksesnya. Masukkan nama untuk kumpulan mesin Anda, lalu klik berikutnya:
5. Buat Cluster MongoDB Anda
Navigasi kembali ke halaman penerapan MongoDB Anda di konsol utama. Klik 'Buat' untuk membuat cluster MongoDB baru. Pada pilihan Machine Pool, pilih machine pool yang baru saja Anda buat dan buat cluster.
Ini hanyalah salah satu teknik untuk mengamankan penerapan MongoDB Anda di AWS. Jika Anda memiliki saran lain, silakan gunakan bagian komentar untuk memberikan tanggapan Anda. Untuk praktik keamanan yang lebih rinci, lihat praktik keamanan 10gen. Seperti biasa, jika Anda memiliki pertanyaan, kirimkan email kepada kami di [email protected].
