Hace unos días hice la siguiente búsqueda: "bases de datos desprotegidas". Es realmente increíble el número de bases de datos desplegadas sin autenticación. La mayoría de ellas no son más que bases de datos de prueba publicadas en Internet, pero otras están exponiendo datos sensibles.
(Imagen con licencia Create Commons vía David Goehring)
Como usuario de Couchbase, tienes que seguir algunas buenas prácticas básicas para asegurar tu despliegue. Lo tienes documentado aquí. Algunas de ellas son:
- Nunca publiques tu base de datos en la Internet pública. Sitúe su base de datos en una zona segura, utilice un cortafuegos y configure sus reglas a partir de sitios de confianza.
- Acceso administrativo seguro
- Utiliza contraseñas con tus cubos
- No despliegue cubos de muestra en su entorno de producción
- No despliegue el bucket por defecto en su entorno de producción
Eche un vistazo al documentación para ver las características de seguridad de Couchbase en detalle.
En esta entrada me centraré en el cubo por defecto.
El bucket por defecto es una base de datos que se configura la primera vez que se accede a la consola de administración. Como cualquier otro bucket, puedes configurar parámetros como la memoria, el número de réplicas, etc. Su propósito principal es proporcionar una base de datos en funcionamiento desde el principio.
Esto está bien para pruebas o desarrollo. Sin embargo, los despliegues de producción no lo utilizan. En producción, normalmente defines tu propio bucket con un nombre relacionado con tu caso de uso, como 'clientes', 'perfiles', 'catálogo', etc.
También es una buena práctica desde el punto de vista de la seguridad: utilizar la base de datos por defecto es una invitación a que agentes maliciosos la exploten. Nunca despliegue el cubo por defecto en producción.
Si utiliza la interfaz de línea de comandos (CLI) para configurar su clúster, a partir de la versión 4.1 puede omitir la creación de cubos por defecto.
En el pasado (antes de la versión 4.5), si utilizabas la interfaz web para configurar tu cluster, tenías que crear un bucket por defecto. Así que había un paso adicional para eliminar el bucket por defecto en entornos de producción.
Eso fue antes de que llegara la versión 4.5. Ahora podemos saltarnos la creación de la base de datos por defecto. Basta con pulsar el botón "Saltar" en el paso "CREAR BASE DE DATOS POR DEFECTO":
En este punto, asumiendo que también te saltas el despliegue de bases de datos de ejemplo, empezarás con una instalación de Couchbase sin ningún bucket. Después podrás crear tus buckets personalizados para producción.
Así que, recuerda, no implantar el bucket por defecto en producción. ¿Te lo he dicho?
