启用访问控制并指定身份验证机制。您可以使用MongoDB的SCRAM或x.509身份验证机制，也可以与现有的Kerberos / LDAP设施集成。身份验证要求所有客户端和服务器在连接到系统之前都必须提供有效的凭据。

请参阅身份验证和 启用访问控制。

首先创建一个用户管理员，然后创建更多的用户。为访问系统的每个使用者/应用程序创建一个唯一的MongoDB用户。

遵循最小权限原则。创建角色，以定义一组用户所需的准确访问权限。创建用户，并仅为其分配执行操作所需的角色。用户可以是个人或客户应用程序。

请参阅基于角色的访问控制（Role-Based Access Control）和 管理用户和角色。

将MongoDB配置为对所有传入和传出连接使用TLS/SSL。使用TLS/SSL加密MongoDB部署的mongod和mongos组件之间以及所有应用程序和MongoDB之间的通信。

从版本4.0开始，MongoDB使用本机TLS/SSL OS库：

请参阅为TLS / SSL配置mongod和mongos。

将日志收集到日志存储区。这些日志包含DB身份验证尝试，包括源IP地址。

确保MongoDB在受信任的网络环境中运行，并配置防火墙或安全组来控制MongoDB实例的入站和出站流量。

只允许受信任的客户端访问MongoDB实例所在的网络接口和端口。例如，使用IP白名单允许从受信任的IP地址进行访问（请参阅）

扩展：

• Network and Configuration Hardening
• net.bindIp configuration setting
• security.clusterIpSourceWhitelist configuration setting
• authenticationRestrictions to specify per-user IP whitelist.

跟踪对数据库配置和数据的访问和更改。 MongoDB Enterprise 包含系统审核工具，该工具可以记录MongoDB实例上的系统事件（例如，用户操作，连接事件）。这些审核记录可以进行检测分析，并允许管理员验证适当的控制措施。可设置过滤器以记录特定事件，例如身份验证。

请参阅 Auditing 和 Configure Auditing。

使用专用的操作系统用户帐户运行MongoDB进程。确保该帐户具有访问数据的权限，但没有不必要的权限。

有关运行MongoDB的更多信息，请参阅Install MongoDB 。