NoSQL 安全治理：权限、加密、审计与数据最小化

NoSQL 数据库常承载用户画像、会话、订单快照、日志、搜索索引和行为数据。很多泄露事故不是来自复杂攻击，而是默认无认证、测试库暴露公网、权限过大、备份桶公开、日志里保存敏感信息。

数据库安全治理的目标是：只有正确的身份，在正确的网络边界内，以最小权限访问必要数据，并且所有高风险操作可审计、可追溯。

身份认证

生产数据库必须启用认证。不要使用默认账号、弱密码或共享管理员账号。应用应使用独立账号，并按服务和环境隔离。

建议：

• 每个应用使用独立数据库身份。
• 生产和测试账号分离。
• 管理员账号启用 MFA 或通过堡垒机。
• 密码定期轮换。
• 禁止把凭证写入代码仓库。

对于云数据库，优先使用 IAM、KMS、Secret Manager 等托管能力，减少长期静态凭证。

最小权限

应用账号通常不需要管理权限。只授予必要集合、索引、读写动作。报表账号只读，后台任务账号只访问需要的数据范围。

高风险权限包括：

• 删除数据库或集合。
• 创建管理员用户。
• 修改集群配置。
• 读取所有 Secret 或敏感集合。
• 执行任意脚本。

权限应定期审计，尤其是离职人员、临时账号、CI/CD token 和第三方系统账号。

网络边界

数据库不应直接暴露公网。访问应限制在 VPC、私有网络、Kubernetes namespace、服务网格或安全组范围内。

常见安全措施：

• 私网访问。
• IP 白名单。
• 安全组最小开放。
• Kubernetes NetworkPolicy。
• TLS 双向认证。
• 堡垒机或代理审计。

很多 NoSQL 默认端口容易被扫描。公网暴露加弱口令，是最典型的低级高危组合。

加密

加密包括传输加密和静态加密。传输加密防止网络窃听，静态加密保护磁盘、快照和备份。

生产建议：

• 开启 TLS。
• 使用受控证书生命周期。
• 开启磁盘或存储层加密。
• 使用 KMS 管理密钥。
• 对特别敏感字段做应用层加密。

应用层加密会影响查询能力，尤其是范围查询和全文搜索。要在安全与可查询性之间权衡。

审计日志

审计日志用于回答谁访问了什么数据、谁执行了高风险操作、变更从哪里来。生产应开启数据库审计或通过代理层记录关键访问。

重点审计：

• 登录失败。
• 权限变更。
• 删除集合或索引。
• 大规模导出。
• 管理配置变更。
• 异常来源 IP。

审计日志要集中保存，防止攻击者进入数据库后删除本地日志。

数据最小化

安全治理不是把所有数据加密后继续乱存。更根本的原则是少存、短存、分级存。

建议：

• 日志中避免记录密码、token、身份证、银行卡。
• 搜索索引只保存必要字段。
• 缓存中不要保存长期敏感数据。
• 对个人信息设置保留周期。
• 开发测试环境使用脱敏数据。

很多数据泄露的根因是“本来不该在那里出现的数据”被放进了日志或索引。

备份安全

备份常被忽略，但备份里包含完整数据。要对备份做同等级保护：

• 备份加密。
• 独立访问权限。
• 不可变保留策略。
• 跨区域保存。
• 删除权限严格控制。
• 定期恢复验证。

公开对象存储桶里的数据库备份，是非常常见的泄露路径。

总结

NoSQL 安全治理要覆盖身份、权限、网络、加密、审计、脱敏和备份。工具只是基础，关键是把安全要求嵌入日常交付流程：新库创建要有基线，账号申请要有审批，权限扩大要有记录，敏感字段要有生命周期。数据库安全不是事后补丁，而是数据平台的默认姿态。