Data Connect-Sicherheit

Anwendungsbereich: Tableau Cloud

Data Connect funktioniert nach dem Modell der geteilten Verantwortung. Bei diesem Modell stellen Sie die physischen oder virtuellen Rechenressourcen bereit und Tableau hostet und verwaltet den Data Connect Kubernetes-Cluster auf diesen Ressourcen. Tableau reduziert den Verwaltungsaufwand durch die Remoteverwaltung, -überwachung und -wartung des Kubernetes-Clusters. Durch die Möglichkeit, Abhilfemaßnahmen durchzuführen, um eine kontinuierliche Verfügbarkeit zu gewährleisten, macht Tableau die Überwachung des Datenverkehrs und des Verbindungsstatus überflüssig. Außerdem, um Latenzen zu reduzieren und Netzwerküberlastungen zu verringern, können Sie mit Data Connect das Rechenzentrum, Edge-Standorte und -Umgebungen bestimmen, die Ihren Leistungsanforderungen am besten entsprechen. In diesem Modell ist Tableau für den sicheren Betrieb des Data Connect-Dienstes und Sie für die Verwaltung der Infrastruktur und Netzwerkebenen verantwortlich.

Die Komponenten von Data Connect und wo sie jeweils verwaltet werden: entweder von Tableau oder vom Kunden.

Sicherheitsdesigns

Data Connect wendet die folgenden Sicherheitsdesigns an:

  • Der Data Connect-Dienst ist ein Steuerungsbereichsdienst und hat keinen Zugriff auf Ihre Daten. Der Data Connect-Dienst baut auf Tableau Bridge auf.

  • Um eine sichere Datenübertragung zu ermöglichen, verwendet Data Connect Tableau Bridge, das sichere WebSockets nutzt, um dauerhafte Verbindungen mit Tableau Cloud herzustellen.

  • Der Data Connect-Dienst interagiert nicht mit Datenbankanmeldeinformationen oder Datenbankzugriffen. Datenbankanmeldeinformationen werden sicher in Tableau Cloud gespeichert und an den Tableau Bridge-Client weitergegeben, der zum Durchführen der Aktualisierung ausgewählt wird. Tableau Bridge-Clients werden auf dem Data Connect-Agenten gehostet.

  • Die gesamte Kommunikation wird hinter Ihrer Firewall initiiert und erfordert daher keine zusätzlichen expliziten Firewall-Regeln für eingehenden Datenverkehr zur Verwaltung von Ausnahmen.

Tableau Bridge ist die zugrunde liegende Komponente im Data Connect-Agenten. Bridge ist neben anderen Vorgängen für den Zugriff auf Ihre Daten und die Herstellung sicherer WebSocket-Verbindungen mit Tableau Cloud verantwortlich. Siehe dazu Windows-Sicherheit von Bridge.

Architektur

  1. Tableau Cloud → Orchestrierungsdienst

  2. Kubernetes-Cluster → Orchestrierungsdienst

  3. Kubernetes-Cluster → Container

  4. Tableau-Benutzer → Tableau Cloud

  5. Data Connect-Agent (Container) → Tableau Cloud

  6. Data Connect-Agent (Container) → Ihre Datenbank

Sicherheitsebenen

Die Data Connect-Lösung besteht aus drei Ebenen. Die Anwendung die in Ihrer Infrastruktur installiert ist, die Orchestrierungsebene, die zum Bereitstellen und Verwalten von Anwendungen verwendet wird, und die unterstützende Netzwerk- und Hardware-Infrastruktur.

  • Anwendungsebene: Informationen über Datenbankauthentifizierung, Senden von Daten an Tableau Cloud und Netzwerküberlegungen finden Sie unter Windows-Sicherheit von Bridge.

  • Orchestrierungsebene: Informationen dazu finden Sie weiter unten im Abschnitt Container-Orchestrierung.

  • Infrastrukturebene: Im Data Connect-Modell der geteilten Verantwortung sind Sie für die Sicherheit der Infrastruktur selbst verantwortlich. Sicherheitsdetails darüber, wie die Data Connect-Orchestrierungsschicht mit Ihrer Infrastruktur interagiert, werden in den Abschnitten weiter unten behandelt.

Dienstkonfiguration

Während der Konfiguration von Data Connect sind Sie für die Konfiguration und Initialisierung des Dienstes innerhalb Ihres Netzwerks verantwortlich. Dieser Prozess stellt die richtige Ebene von Zugriff bereit und gibt an, welche Datenzugriffsknoten mit Ihre Tableau Cloud-Site integriert werden sollen. Ausführliche Informationen zur Dienstkonfiguration für Data Connect finden Sie in Schritt 2: Einrichten Ihres Clusters.

Bei der Initialisierung der Data Connect-Lösung geschieht Folgendes:

  • Die Integrität des Data Connect-Knotens wird validiert.

  • Eine sichere Verbindung mit dem Orchestrierungsanbieterdienst wird über Port 443 hergestellt.

  • Die Kubernetes-Betriebssoftware wird heruntergeladen und auf dem Computer installiert. Diese Software ermöglicht es Tableau, Data Connect remote bereitzustellen und zu verwalten.

  • Data Connect-Knoteninformationen werden über die sichere Verbindung abgefragt, um die Funktionsfähigkeit des Dienstes aufrechtzuerhalten.

Ihre Daten werden niemals über die Orchestrierungsverbindung übertragen.

Tableau Cloud-Kommunikation

Die gesamte Kommunikation aus Ihrer Infrastruktur zu Tableau Cloud wird hinter Ihrer Firewall initiiert. Sie müssen keine zusätzlichen Ausnahmen verwalten.

Weitere Informationen über die Data Connect-Kommunikation und Ihre Infrastrukturkonfigurationen finden Sie unter Netzwerkspezifikationen.

Tableau Cloud-Authentifizierung

Die Authentifizierung und Autorisierung der von Data Connect bereitgestellten Tableau Bridge-Clients für Tableau Cloud erfolgt mit Persönliche Zugangstoken (Persönliche Zugriffstoken). Bevor Sie Data Connect bereitstellen, müssen Sie PATs in der Tableau Cloud-Verwaltungskonsole erstellen. Anschließend konfigurieren Sie den Data Connect-Dienst so, dass diese Token für die Authentifizierung von Ihrem Data Connect-Agenten bei Tableau Cloud verwendet werden.

Datenbankauthentifizierung

Weitere Einzelheiten zur Authentifizierung finden Sie in Windows-Sicherheit von Bridge.

Im Kontext von Datenbankauthentifizierung ist es wichtig zu verstehen, dass Data Connect nur Bridge-Aktualisierungszeitpläne unterstützt, aber keine Bridge (Legacy)-Zeitpläne.

Container-Orchestrierung

Die Orchestrierungsebene ist ausschließlich eine Steuerungsebene und hat keinen Zugriff auf die Datenschicht – daher interagiert sie auch nicht mit Kundendaten. Der einzige Aspekt von Data Connect, der mit der Datenebene interagiert, ist die Anwendung, die auf Ihrer Infrastruktur installiert wird. Diese Anwendung ist der Data Connect-Agent, ein Dienst, der den Tableau Bridge-Client ausführt.

Häufig gestellte Fragen zur Sicherheit

Was für Code wird in Containern bereitgestellt?

Zusätzlich zu Software, die für Kubernetes-Vorgänge (KOPS) erforderlich ist, wird Tableau Bridge für Linux für Container bereitgestellt. Sie müssen Datenbanktreiber bereitstellen, wenn Sie das Basisimage erstellen.

Wie gehe ich mit erkannten Schwachstellen in Software um, die von Data Connect bereitgestellt wird?

Sämtliche Software, die von Data Connect bereitgestellt wird, stellen Sie über das Basisimage bereit. Um die bereitgestellte Software zu ändern, stellen Sie ein neues Basis-Image bereit. Das Image wird dann auf allen Data Connect-Knoten in diesem Pool bereitgestellt.

Welche Ebene von Computerzugriff erfordert Data Connect?

Data Connect erfordert Zugriff auf Administratorebene auf Ihre Infrastruktur. Dieser Zugriff erlaubt es Tableau, den Dienst zu aktualisieren und zu warten.

Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.