NEWTime-series support for Atlas is now available

La crittografia dei dati in MongoDB

MongoDB offre solide funzionalità di crittografia per proteggere i dati durante il transito, a riposo e in uso, salvaguardando i dati durante tutto il loro ciclo di vita.

Crittografia in transito

La crittografia in transito protegge i dati durante la trasmissione tra client e server, impedendo l'accesso non autorizzato o la manomissione. In MongoDB Atlas, tutto il traffico di rete verso i cluster MongoDB è protetto da Transport Layer Security (TLS), che è abilitato per impostazione predefinita e non può essere disabilitato. La versione predefinita è TLS 1.2. I dati trasmessi da e tra i nodi del cluster MongoDB sono crittografati in transito tramite TLS, garantendo una comunicazione sicura ovunque.

MongoDB Enterprise Advanced supporta anche la crittografia in transito tramite TLS.

Scopri di più sulla crittografia in transito →

Crittografia a riposo

La crittografia a riposo garantisce che tutti i file e i dati archiviati siano crittografati, fornendo un layer fondamentale di protezione a livello di database. In MongoDB Atlas, i dati dei clienti vengono automaticamente crittografati a riposo utilizzando AES-256 per proteggere tutti i dati del volume (disco). Questo processo utilizza la crittografia trasparente del disco del provider cloud e il provider gestisce le chiavi di crittografia. Inoltre, è possibile abilitare la crittografia a livello di database, che consente di utilizzare chiavi di crittografia proprie, tramite AWS Key Management Service (KMS), Google Cloud KMS o Azure Key Vault.

MongoDB Enterprise Advanced integra la crittografia a riposo direttamente nel suo motore di archiviazione WiredTiger, utilizzando AES-256. È possibile configurare la crittografia a riposo in Enterprise Advanced con un provider di gestione delle chiavi abilitato per KMIP.

Crittografia a riposo → MongoDB Enterprise Advanced e MongoDB Atlas

Crittografia in uso

La crittografia in uso protegge i dati durante l'elaborazione. I dati vengono crittografati sul lato client utilizzando chiavi controllate dal cliente prima di essere inviati, archiviati o recuperati dal database. I vantaggi di questo approccio sono:

  • Protezione completa dei dati: i dati sono crittografati durante l'intero ciclo di vita, durante l'uso, durante i backup, a riposo o in transito.
  • Garanzia di conformità: aiuta a soddisfare severi requisiti sulla privacy dei dati come GDPR, HIPAA, PCI DSS e altri.
  • Protezione integrata per uno sviluppo semplificato: la crittografia in uso è inclusa in MongoDB senza costi aggiuntivi, rendendo superflue soluzioni di crittografia di terze parti. Inoltre, gli sviluppatori possono lavorare con MongoDB utilizzando modelli di sviluppo integrati e noti.

MongoDB presenta due funzionalità di crittografia in uso per soddisfare le esigenze di protezione dei dati: crittografia Client-Side Field-Level e Queryable Encryption.

Crittografia Client-Side Field-Level

La crittografia Client-Side Field-Level (CSFLE) è una funzionalità di crittografia in uso che consente a un'applicazione client di crittografare i dati sensibili prima di archiviarli nel database MongoDB. I dati sensibili vengono crittografati in modo trasparente, rimangono crittografati per tutto il loro ciclo di vita e vengono decrittografati solo sul lato client.

Scopri di più → Crittografia Client-Side Field-Level

Queryable encryption

Queryable Encryption è una tecnologia di crittografia in uso unica nel suo genere, che aiuta le organizzazioni a proteggere i dati sensibili quando vengono interrogati e utilizzati su MongoDB. Consente alle applicazioni di crittografare i dati sensibili sul lato client, archiviarli in modo sicuro nel database MongoDB ed eseguire query di uguaglianza e intervallo direttamente sui dati crittografati. Questo garantisce una solida protezione crittografica per le informazioni sensibili, senza sacrificare la capacità di eseguire query di espressione su di esse.

Ulteriori vantaggi di Queryable Encryption:

  • Tecnologia rivoluzionaria: Queryable Encryption introduce un algoritmo di ricerca crittografato, novità del settore, che utilizza primitive basate su standard NIST come AES-256, SHA2 e HMAC. Sviluppata dal MongoDB Cryptography Research Group e unica nel settore, questa innovazione sfrutta decenni di esperienza pionieristica nella crittografia e nella ricerca crittografata.
  • Funzionalità di interrogazione di espressione su dati crittografati: le query di uguaglianza e intervallo possono essere eseguite su dati crittografati con funzionalità di interrogazione di prefissi, suffissi e sottostringhe pianificate.
  • Maggiore conformità normativa: mantiene i dati crittografati per tutto il loro ciclo di vita, per garantire la conformità a normative come il GDPR o l'HIPAA, evitando costose multe e problemi legali e aumentando la fiducia dei clienti.
  • Consente diversi casi d'uso: Queryable Encryption riduce notevolmente il rischio di esposizione dei dati per le organizzazioni e migliora la produttività degli sviluppatori offrendo funzionalità di crittografia integrate per flussi di lavoro di applicazioni altamente sensibili, come la ricerca nei registri dei dipendenti, l'elaborazione di transazioni finanziarie o l'analisi delle cartelle cliniche, senza dover avere competenze crittografiche.
  • Migliore efficienza operativa: mantenere elevati livelli di sicurezza per i dati sensibili senza compromettere le prestazioni delle applicazioni o la produttività degli sviluppatori.


Scopri di più → Queryable Encryption

MongoDB 8.0

Con un throughput superiore del 36%, una scalabilità orizzontale più semplice e una queryable encryption estesa, MongoDB è più veloce e sicuro che mai.
Illustrazione del database.

Risorse

mdb_querying_encrypted_data

Queryable Encryption è generalmente disponibile

Dettagli sulla tecnologia Queryable Encryption e sui vantaggi per i clienti.

Leggi il blog
cloud_manager

Crittografia a riposo in Atlas tramite la gestione delle chiavi dei clienti

Configura la crittografia a riposo con le tue chiavi di crittografia utilizzando AWS KMS, Google Cloud KMS, Azure Key Vault.

Leggi la documentazione
general_security_encrypted_storage

Crittografia a riposo (Enterprise)

Scopri di più sul processo di crittografia e su come configurare la crittografia a riposo.

Leggi la documentazione
general_security_encryption

Crittografia Client-Side Field-Level

Scopri di più su come crittografare i campi sensibili dal lato client, come utilizzare i driver MongoDB e altro ancora.

Leggi la documentazione
general_content_collaborate

Gruppo di ricerca sulla crittografia

Scopri la ricerca all'avanguardia e le ultime innovazioni nel campo della crittografia e della privacy.

Ulteriori informazioni
general_content_white_paper

Documento tecnico su Queryable Encryption

Uno sguardo più approfondito a Queryable Encryption, ai suoi obiettivi di progettazione, ai modelli di minaccia e alle garanzie di sicurezza.

Scarica il white paper
general_content_ebook

Perché Queryable Encryption è importante

Scopri di più sul motivo per cui Queryable Encryption è importante per gli sviluppatori, i team di sicurezza e i responsabili delle decisioni IT.

Leggi il brief
general_security_privacy

Proteggi i dati con la crittografia in uso di MongoDB

Scopri come le soluzioni di crittografia in uso di MongoDB aiutano i clienti a proteggere i dati.

Leggi la scheda tecnica

FAQ

Come faccio a ricevere ulteriori informazioni per aiutare la mia organizzazione a implementare verifiche tecniche efficaci?

Confronto tra crittografia in uso, in transito e a riposo.

Minus Button

È consigliabile applicare la crittografia in uso in modo selettivo ai campi dei documenti che contengono i dati più sensibili, come PII o PHI.

Se la crittografia dei dati Client-Side Field-Level viene utilizzata insieme alla crittografia in transito e a riposo, la crittografia si estende a tutto il ciclo di vita dei dati stessi. Si adottano infatti approcci complementari, che consentono di implementare una strategia di sicurezza completa, utile ad affrontare diversi modelli di minaccia.

  • La crittografia in transito protegge tutti i dati che attraversano la rete, ma non i dati in uso o a riposo.
  • La crittografia dei dati a riposo protegge tutti i dati archiviati, ma non i dati in uso o in transito.
  • Con la crittografia in uso, i dati più sensibili non trapelano mai dalla tua applicazione in chiaro. I campi crittografati sul lato client non possono essere decifrati dal server e rimangono crittografati in transito, a riposo e in uso anche durante l'elaborazione delle query.