Buenas prácticas y tutoriales

Couchbase admite cifrado de nodo a nodo

Couchbase soporta encriptación de nodo a nodo o encriptación de Cluster añadiendo encriptación basada en TLS a las conexiones entre los nodos dentro de un cluster de Couchbase.

Cuando los clientes que usan Couchbase requieren que cumplamos con regulaciones de privacidad como HIPAA (clientes financieros o de salud como ejemplo), entonces típicamente necesitamos permitir Autenticación (LDAP), Autorización (RBAC-control de acceso basado en roles), y Encriptación. También es importante soportar auditoría y redacción de información importante, especialmente en registros (Couchbase tiene soporte para redacción de registros usando etiquetas específicas). Cuando se trata de encriptación, Couchbase soporta encriptación de nodo a nodo a múltiples niveles usando la configuración a nivel de cluster. Esto es controlado por el usuario y puede tomar 3 valores:

  1. Control: En este nivel, sólo se cifran las conexiones del clúster y del servidor a los servicios internos. Esto incluye básicamente la información de gestión del clúster y los procesos internos relacionados. Sin embargo, los datos entre nodos del clúster no lo están. Así, por ejemplo, una conexión de servidor a servicio de consulta está encriptada. Este es el comportamiento por defecto.

  2. Todos: En este nivel, tanto las conexiones entre nodos como entre servicios están encriptadas. Esto significa que si hay varios servicios en un mismo nodo, las conexiones entre estos servicios también están encriptadas. Así, junto con la conexión del servidor al nodo de consulta, la comunicación entre nodos de consulta, del nodo de consulta al nodo indexador y al nodo FTS, también están encriptadas.

  3. Estricto: Este es un nuevo nivel añadido en nuestra próxima versión 7.0. Establecer el nivel de cifrado del clúster en "estricto" equivale a establecer el nivel de cifrado del clúster en "todos", además de desactivar todos los puertos no SSL en interfaces que no sean de bucle de retorno.

Activación del cifrado N-N

Por defecto, el cifrado del clúster está desactivado. Cuando se activa, se establece en Control. Es necesario establecerlo explícitamente en Todos si se desea el cifrado de nodo a nodo. Es compatible con el uso de certificados.

  1. Desactivar auto-failover: Antes de activar el cifrado de clústeres mediante el cifrado nodo-nodo, el usuario debe desactivar la conmutación por error automática para evitar que los nodos de la transición se etiqueten como que no responden y se conmuten por error. Esto se puede hacer mediante couchbase-cli o REST API.

./couchbase-cli setting-autofailover -c :8091 -u nombre-usuario -p contraseña 
--enable-auto-failover 0  

O

curl -u nombre_usuario:contraseña http://:8091/settings/autoFailover 
-d enabled=false

  1. Activar el cifrado de nodo a nodo: Una vez que esto regrese con éxito, podemos activar el cifrado de nodo a nodo utilizando el comando:

./couchbase-cli node-to-node-encryption -c :8091 -u username 
-p contraseña -activar

Esto establece el nivel de cifrado del clúster en control y activará el cifrado para todos los nodos del clúster. Podemos verificar que el cifrado se ha activado correctamente utilizando el comando-obteneren lugar de-activar.

  1. Cambiar la configuración de cifrado del clúster: Si el usuario desea cambiar el nivel de cifrado del clúster, puede utilizar el siguiente comando CLI:

    ./couchbase-cli setting-security -c :8091 -u nombre-usuario -p contraseña 
    -set -cluster-encryption-level all

También pueden utilizar el comando REST API:

curl -XPOST -u nombre_usuario:contraseña http://:8091/settings/security 
-d clusterEncryptionLevel=all

  1. Vuelva a activar la recuperación automática: Después de esto, el auto-failover necesita ser habilitado de nuevo.

    Para obtener más información sobre la activación y desactivación de la recuperación automática, consulte:
    https://docs.couchbase.com/server/current/cli/cbcli/couchbase-cli-setting-autofailover.html Para recuperar la configuración de cifrado de todo el clúster, consulte: https://docs.couchbase.com/server/current/rest-api/rest-setting-security.html

Desactivar el cifrado de nodo a nodo

  1. Cambia el nivel de cifrado del clúster a control.

  2. Utilice la configuración de cifrado de nodo a nodo en la CLI para desactivarlo.

Certificados y cifrado de nodo a nodo

Una cosa importante a recordar cuando se asegura el servidor con certificados X509 es deshabilitar el cifrado de nodo a nodo antes de subir o rotar los certificados raíz e intermedio. Así que si asegurar un servidor con los certificados que tenemos que seguir estos pasos:

  1. Desactiva el cifrado de nodo a nodo.

  2. Cree certificados raíz/intermedios y cárguelos o rótelos en el clúster siguiendo los pasos descritos en https://dzone.com/articles/authentication-using-server-side-x509-certificates.

  3. Vuelve a activar el cifrado de nodo a nodo.

Una de las limitaciones de la encriptación de nodo a nodo es el impacto en el rendimiento. Dado que todas las comunicaciones entre nodos están encriptadas, esto añade algo de sobrecarga. Sin embargo, la seguridad adicional de la comunicación es una ventaja añadida.

Conclusión

Con este artículo, podemos ver cómo Couchbase soporta encriptación de nodo a nodo y encripta el tráfico de red entre nodos individuales y múltiples servicios Couchbase desplegados en los nodos para optimizar la seguridad. Esto nos permite dar soporte a aplicaciones que requieren cumplir con regulaciones de privacidad como HIPAA.

Comparte este artículo
Recibe actualizaciones del blog de Couchbase en tu bandeja de entrada
Este campo es obligatorio.

Autor

Publicado por Isha Kandaswamy

Isha Kandaswamy es Ingeniero de Software Senior en Couchbase. Isha es responsable del desarrollo del diseño de las diferentes características y herramientas para el lenguaje de consulta N1QL -SQL para Json. Además, diseña e implementa características y herramientas para el lenguaje de consulta N1QL.

Todos los mensajes

Deja un comentario

¿Listo para empezar con Couchbase Capella?

Empezar a construir

Consulte nuestro portal para desarrolladores para explorar NoSQL, buscar recursos y empezar con tutoriales.

Develop now
Utilizar Capella gratis

Ponte manos a la obra con Couchbase en unos pocos clics. Capella DBaaS es la forma más fácil y rápida de empezar.

Use free
Póngase en contacto

¿Quieres saber más sobre las ofertas de Couchbase? Permítanos ayudarle.

Contact us