Đối với cộng đồng developer, MongoDB từ lâu được ưa chuộng nhờ tính linh hoạt. Nhưng đối với nhiều team bảo mật, nó từng để lại ấn tượng xấu vì những hạn chế trước đây: cơ chế unauthenticated access, khả năng hỗ trợ encryption còn hạn chế, và hàng loạt cluster cấu hình sai dẫn đến rò rỉ dữ liệu nhạy cảm.

Trong môi trường enterprise, tiếng xấu đó vẫn tồn tại, mặc dù mongo đã có những bước tiến vượt bậc.

Tuy nhiên, bối cảnh đó giờ đây đã thuộc về quá khứ.

Với sự ra mắt của MongoDB 7.0 và 8.0, hai thay đổi quan trọng đã định hình lại hoàn toàn khả năng của nền tảng này, đặc biệt là trong các lĩnh vực bảo mật và hiệu năng:

1. Queryable Encryption: Cho phép truy vấn trực tiếp trên các trường dữ liệu đã được mã hóa mà không cần giải mã phía server.
2. Compound Wildcard Indexes: Cung cấp khả năng đánh index linh hoạt và hiệu suất cao cho các dynamic schema.

Bài viết này sẽ phân tích sâu về hai tính năng trên và lý do tại sao chúng lại là yếu tố thay đổi cuộc chơi đối với các doanh nghiệp.

Queryable Encryption

Queryable Encryption là gì?

Queryable Encryption là một tính năng cho phép thực hiện các truy vấn phức tạp, bao gồm cả các truy vấn theo khoảng (range query), trên các trường dữ liệu đã được mã hóa mà không làm lộ dữ liệu gốc cho server.

Điều này có nghĩa là các trường nhạy cảm của người dùng sẽ luôn tồn tại ở trạng thái được mã hóa trên server, nhưng vẫn có thể truy vấn chúng một cách hiệu quả như thể chúng không được mã hóa.

MongoDB xử lý toàn bộ việc encryption/decryption ở phía client-side và sử dụng các index và token được mã hóa đặc biệt để khớp với các tiêu chí tìm kiếm.

Ví dụ sử dụng:

db.createCollection("users", {
  encryptedFields: {
    fields: [
      {
        path: "email",
        bsonType: "string",
        keyId: UUID("aaaa-bbbb-cccc"),
        queries: { queryType: "equality" }
      },
      {
        path: "birthDate",
        bsonType: "date",
        keyId: UUID("aaaa-bbbb-dddd"),
        queries: { queryType: "range" }
      }
    ]
  }
});

Sau đó, thực hiện truy vấn như sau :

db.users.find({ email: "alice@example.com" });
db.users.find({ birthDate: { $gte: ISODate("1990-01-01") } });

Trong suốt quá trình này, không có bất kỳ giải mã dữ liệu trên phía server-side.

Cơ chế hoạt động:

• MongoDB sử dụng structured encryption (mã hóa có cấu trúc), bao gồm cả order-preserving (order-preserving) và deterministic (mã hóa tất định).
• Toàn bộ logic mã hóa được xử lý bởi thư viện MongoDB client chứ không phải server.
• Cả MongoDB Atlas và các phiên bản tự quản lý (self-managed) đều hỗ trợ tích hợp với các nhà cung cấp KMS như:
  • AWS KMS
  • Azure Key Vault
  • GCP KMS
  • Các dịch vụ tương thích với KMIP

Tổng quan kiến trúc:

+---------------------+
|         App         |
+---------------------+
          |
  [MongoDB Driver với Client-Side Encryption]
          |
+---------------------+
| Encrypted Query Blob|
+---------------------+
          |
+----------------------------------+
|           MongoDB Server         |
|   (Sử dụng Index đã Mã hóa)      |
+----------------------------------+
          |
    [Tích hợp KMS]

Lợi ích mang lại:

• Loại bỏ sự phức tạp của việc tự phát triển logic mã hóa.
• Dữ liệu không bao giờ bị lộ cho máy chủ CSDL, ngay cả với quyền quản trị cao nhất.
• Giúp đáp ứng các tiêu chuẩn bảo mật khắt khe như GDPR, HIPAA, PCI-DSS ngay từ khâu thiết kế.

Hỗ trợ cả truy vấn bằng nhau (equality) và truy vấn theo khoảng (range).

Compound Wildcard Indexes

Bản nâng cấp lớn thứ hai của MongoDB cũng mang lại giá trị to lớn, đặc biệt cho các hệ thống làm việc với schema động hoặc có cấu trúc dữ liệu lồng nhau phức tạp.

Hạn chế trước đây:

Trước đây, Wildcard Index đã tồn tại nhưng còn nhiều giới hạn, không cho phép:

• Kết hợp với các compound keys.
• Đánh index hiệu quả cho các nested dynamic fields.
• Giải quyết triệt để các vấn đề về hiệu năng khi schema linh hoạt.

Giải pháp của MongoDB 7.0+:

Với Compound Wildcard Indexes, có thể làm những việc như sau:

db.inventory.createIndex({
  "attributes.$**": 1, // Index tất cả các nested field trong attributes
  category: 1         // Kết hợp với field category
});

Với index này, các câu truy vấn phức tạp sẽ có tốc độ thực thi cực nhanh:

db.inventory.find({
  "attributes.color": "blue",
  category: "shoes"
});

Benchmark: Hiệu năng Wildcard Index

Chạy thực nghiệm trên 1 triệu dynamic document bằng MongoDB Atlas M40 (4-core) trên phiên bản MongoDB 8.0.

Lưu ý: Kết quả benchmark chỉ mang tính tham khảo, hiệu suất thực tế có thể thay đổi tùy thuộc vào dữ liệu và cấu hình cụ thể.

Bức tranh lớn hơn: MongoDB vào năm 2025

MongoDB từng được xem là sân chơi của nhà phát triển, nhưng bây giờ thì sao?

Nó đã tập trung vào bảo mật, tuân thủ quy định, và được thiết kế cho các hệ thống quy mô lớn đòi hỏi linh hoạt và security.

Các bước cần triển khai

1. Nâng cấp Server MongoDB: Sử dụng phiên bản 7.0+ cho Queryable Encryption. Nâng cấp lên 8.0 để tối ưu hiệu năng và sử dụng Vector Search..
2. Nâng cấp Driver của bạn:
   • Node.js: mongodb@5.x
   • Python: pymongo>=4.3
   • Java: Spring Data MongoDB 4.5+ (tính đến tháng 6/2025)
   • .NET: MongoDB.Driver 2.20+
3. Cấu hình KMS & Key Vault: Kết nối ứng dụng của bạn đến dịch vụ quản lý key.
4. Định nghĩa các field mã hóa: Sử dụng encryptedFields trong schema của collection để bảo mật các trường nhạy cảm.

Kết luận

MongoDB đã có một bước chuyển mình mạnh mẽ và thầm lặng. Nền tảng này giờ đây cung cấp:

• Mô hình bảo mật theo mặc định (Secure-by-default).
• Khả năng mã hóa có thể truy vấn ở quy mô lớn.
• Cơ chế đánh index hiệu năng cao cho dynamic schema.
• Tối ưu trải nghiệm lập trình viên, đáp ứng tiêu chuẩn doanh nghiệp

MongoDB đã trở thành một trong những cơ sở dữ liệu đa dụng tiên tiến nhất hiện nay, nhưng nhận thức của ngành công nghiệp dường như vẫn còn dừng lại ở phiên bản của năm 2015.

Đối với bất kỳ ai đang xây dựng một hệ thống đòi hỏi bảo mật cao, tuân thủ quy định nghiêm ngặt, hoặc đơn giản là vận hành ở quy mô lớn, MongoDB xứng đáng được đánh giá lại một cách nghiêm túc.