Seguridad de Data Connect

Se aplica a: Tableau Cloud

Data Connect opera como un modelo de responsabilidad compartida. Con este modelo, usted proporciona los recursos informáticos físicos o virtuales, y Tableau aloja y administra el clúster Kubernetes de Data Connect en esos recursos. Tableau reduce la sobrecarga administrativa al administrar, supervisar y mantener de forma remota el clúster de Kubernetes. Gracias a la capacidad de realizar acciones correctivas para ofrecer una disponibilidad continua, Tableau elimina la necesidad de supervisar el tráfico y el estado de la conexión. Además, para reducir la latencia y la congestión de la red, Data Connect le permite seleccionar el centro de datos y las ubicaciones y entornos de borde que más se adaptan a sus requisitos de rendimiento. En este modelo, Tableau es responsable de operar el servicio Data Connect de forma segura y usted es responsable de administrar la infraestructura y las capas de red.

Los componentes de Data Connect y dónde se administra cada uno: ya sea por Tableau o por el cliente.

Diseños de seguridad

Data Connect aplica los siguientes diseños de seguridad:

  • El servicio Data Connect es un servicio de plano de control y no tiene acceso a sus datos. El componente subyacente del servicio Data Connect es Tableau Bridge.

  • Para facilitar la transferencia segura de datos, Data Connect utiliza Tableau Bridge, que aprovecha los sockets web seguros para establecer conexiones persistentes con Tableau Cloud.

  • El servicio Data Connect no interactúa con las credenciales de la base de datos ni con el acceso a la base de datos. Las credenciales de la base de datos se almacenan de forma segura en Tableau Cloud y se transmiten al cliente de Tableau Bridge seleccionado para realizar la actualización. Los clientes de Tableau Bridge están alojados en el agente de Data Connect.

  • Toda comunicación se inicia desde detrás de su firewall y, por lo tanto, no requiere reglas de firewall entrantes explícitas adicionales para administrar las excepciones.

Tableau Bridge es el componente subyacente del agente de Data Connect. Entre otras operaciones, Bridge es responsable de acceder a sus datos y establecer conexiones web socket seguras con Tableau Cloud. Consulte Seguridad de Bridge en Windows.

Arquitectura

  1. Tableau Cloud → servicio de organización

  2. Clúster de Kubernetes → servicio de organización

  3. Clúster de Kubernetes → contenedor

  4. Usuario de Tableau → Tableau Cloud

  5. Agente de Data Connect (contenedor) → Tableau Cloud

  6. Agente de Data Connect (contenedor) → su base de datos

Capas de seguridad

La solución Data Connect tiene tres capas. La aplicación instalada en su infraestructura, la orquestación que se utiliza para implementar y administrar aplicaciones y la infraestructura de la red y el hardware de soporte.

  • Capa de aplicación: autenticación de base de datos, envío de datos a Tableau Cloud y consideraciones de red, consulte Seguridad de Bridge en Windows.

  • Capa de orquestación: consulte la sección, Orquestación de contenedores, más abajo.

  • Capa de infraestructura: en el modelo de responsabilidad compartida de Data Connect, la seguridad de la propia infraestructura será su responsabilidad. Los detalles de seguridad sobre cómo la capa de orquestación de Data Connect interactúa con su infraestructura se cubren en las secciones siguientes.

Configuración del servicio

Durante la configuración de Data Connect, usted será responsable de configurar e iniciar el servicio desde dentro de su red. Este proceso proporciona el nivel correcto de acceso y especifica qué nodos de acceso a datos integrar con su sitio de Tableau Cloud. Para obtener detalles que describan la configuración del servicio para Data Connect, consulte Paso 2: configurar su clúster.

Al inicializar la solución Data Connect, ocurre lo siguiente:

  • Se valida el estado del nodo de Data Connect.

  • Se establece una conexión segura con el servicio del proveedor de orquestación a través del puerto 443.

  • El software de operaciones de Kubernetes se descarga e instala en el equipo. Este software permite a Tableau implementar y administrar Data Connect de forma remota.

  • La información del nodo Data Connect se consulta a través de la conexión segura para mantener el estado del servicio.

Sus datos nunca se transfieren a través de la conexión de orquestación.

Comunicaicón de Tableau Cloud

Toda comunicación desde su infraestructura a Tableau Cloud se inicia desde detrás de su firewall. No es necesario gestionar excepciones adicionales.

Para obtener más información sobre la comunicación de Data Connect y las configuraciones de su infraestructura, consulte Especificaciones de red.

Autenticación de Tableau Cloud

La autenticación y autorización de los clientes de Tableau Bridge implementados por Data Connect en Tableau Cloud se logra con Tokens de acceso personal (PAT). Antes de implementar Data Connect, deberá crear PAT en la consola administrativa de Tableau Cloud. Luego, configurará el servicio Data Connect para usar esos tokens para la autenticación de su agente Data Connect a Tableau Cloud.

Autenticación de base de datos

Puede encontrar más detalles sobre la autenticación en Seguridad de Bridge en Windows.

En el contexto de la autenticación de la base de datos, es importante comprender que Data Connect solo admite programas de actualización de Bridge y no admite programas heredados de Bridge.

Orquestación de contenedores

La capa de orquestación es exclusivamente una capa de control y no tiene acceso a la capa de datos y, por lo tanto, no interactúa con los datos del cliente. El único aspecto de Data Connect que interactúa con la capa de datos es la aplicación instalada en su infraestructura. Esta aplicación es el agente Data Connect, un servicio que ejecuta el cliente Tableau Bridge.

Preguntas frecuentes sobre seguridad

¿Qué código se suministra a los contenedores?

Además del software necesario para las operaciones de Kubernetes (kops), se implementa Tableau Bridge para Linux para contenedores. Debe aprovisionar los controladores de base de datos cuando cree la imagen base.

¿Cómo puedo gestionar las vulnerabilidades detectadas en el software implementado por Data Connect?

Usted suministra todo el software implementado por Data Connect a través de la imagen base. Para cambiar el software implementado, debe proporcionar una nueva imagen base. Luego, la imagen se implementará en todos los nodos de Data Connect en ese grupo.

¿Qué nivel de acceso informático requiere Data Connect?

Data Connect requiere acceso de nivel administrativo a su infraestructura. Este acceso permite a Tableau actualizar y mantener el servicio.

Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!