ตอนนี้ข่าวที่น่าจะทำให้หลายๆ คนตื่นตระหนกคือมี Ransomware (โปรแกรมมุ่งเน้นการใช้ข้อมูลของคนอื่นมาเรียกค่าไถ่) หรือ Hacker ไล่โจมตีฐานข้อมูล MongoDB อย่างต่อเนื่อง
ที่ได้ยินข่าวตอนแรกพลก็ตกใจเหมือนกัน แต่พอเข้าไปดูรายละเอียดจริงๆ ว่า Hacker เข้าโจมตีฐานข้อมูลได้อย่างไร กลับกลายเป็น Admin หรือ Developer นี่แหละที่ลืมเปิดช่องไว้ เหมือนล๊อคประตูด้วยลวดมัดบางๆ ไม่ได้ใช้แม่กุญแจอย่างที่ทำกัน โจรออกแรงนิดเดียวก็เข้าบ้านได้
ซึ่งในความเป็นจริงแล้ว MongoDB ก็เหมือนฐานข้อมูลประเภทอื่นๆ คือวิธีใช้ในการพัฒนาก็แบบหนึ่ง แต่พอเอาขึ้น Production จริงๆ ก็ต้องปรับตั้งค่า configuration กันหน่อยนา
โดยปกติ MongoDB มีระบบรักษาความปลอดภัยต่างๆ รวมไว้ในตัวอยู่แล้ว แต่ที่น่าจะพลาดกันคือเอาขึ้นใช้งานไปเฉยๆ ไม่ได้มานั่งคั่วกันตรงนี้
ตอนนี้ทาง MongoDB ก็ได้สรุปรายการเพื่อป้องกันการรุกล้ำออกมาแล้ว ขอเอามาสรุปเสริมกันในที่นี้
** วิธีต่อไปนี้ใช้ได้สำหรับคนที่ยังไม่โดนบุกนะ **
- เรื่องเร่งด่วน คือการใช้ Security check list (ที่ทาง MongoDB มีไว้นานแล้ว) ไล่เช็คทีละส่วนว่ามีตรงไหนขาดตกบกพร่องบ้าง
- ป้องกันการเรียกค่าไถ่ ใช้ MongoDB Cloud Manager และ MongoDB Ops Manager ที่สามารถสำรองข้อมูล (Backup) และสามารถแจ้งเตือนผู้ดูแลระบบหากเกิดการบุกรุกได้
- ถ้าติดตั้งใหม่ ให้เลือกใช้ตัวติดตั้ง MongoDB (RPM) เพราะจะมีการจำกัดการเข้าถึงเป็นค่าเริ่มต้นอยู่แล้ว
- ถ้าใช้ MongoDB 3.4 ขึ้นไป สามารถเข้าไปตั้งค่า Authentication ให้กับระบบโดยไม่ต้อง down ฐานข้อมูลได้
- สุดท้ายเพื่อเสริมความมั่นใจ มีเวลาก็ให้เข้าไปเรียนตามคู่มือ Security ที่ทาง MongoDB เตรียมไว้ หรือจะลงเรียนออนไลน์กับทาง MongoDB ก็ได้
ส่วนที่เหลือคือขายของ MongoDB Atlas เอาไว้โฮส Database โดยมีระบบป้องกันแน่นหนาบริการ และถ้าต้องการเรียนรู้เรื่อง Security เพิ่มเติมก็เข้าไปอ่านของ MongoDB ได้ที่ Security Architecture White Paper‘
ใช้เทคโนโลยีตัวไหน ก็อย่าชะล่าใจว่าจะไม่มีใครมาลุยบ้านเรานะจ๊ะ