¿Qué tan seguro es el protocolo de conexión de MongoDB?

Sólo para su información. Dar una conexión de base de datos directa en una aplicación del lado del cliente es una mala idea . Cree una interfaz REST que permita la autenticación correcta y la validación de entrada. Esto le permitirá tener un control más estricto sobre lo que pueden acceder sus aplicaciones.

El problema es que actualmente MongoDB no ofrece encapsulación SSL. Esto significa que, en sí mismo, el protocolo de conexión puede escucharse a escondidas (los datos enviados a través del protocolo están expuestos). Entonces, si está ejecutando este protocolo de forma no local (en toda la red), entonces sí es no seguro , pero no porque el protocolo en sí sea inseguro, sino porque la implementación actualmente no se puede garantizar la confidencialidad o la integridad debido a la falta de encapsulación.

Sin embargo, puede solucionar esto encapsulando el protocolo usted mismo . Si el protocolo no ofrece SSL, primero debe hacer un túnel y enviar el protocolo a través de ese túnel. Por ejemplo, crea una VPN encriptada entre su servidor web y MongoDB y, a través de esta VPN, envía la conexión del protocolo por cable (tenga en cuenta que debe usar un protocolo VPN seguro). Preferiblemente, esto se implementa para que tenga un cifrado de punto final.

Esto evitará que los espías detecten su conexión de cable.

  

Las conexiones de la base de datos de Mongo podrán usar SSL en algún momento en el futuro, pero aún no está disponible.

Escribiendo para tener una referencia más reciente para este.

De enlace

  

Nuevo en la versión 3.0: la mayoría de las distribuciones de MongoDB ahora incluyen soporte para SSL.

     

...

     

Algunas distribuciones de MongoDB no contienen soporte para SSL. Para usar SSL, asegúrese de elegir un paquete que admita SSL.

Puede verificar si MongoDB para su sistema operativo / distribución es compatible con SSL desde aquí .