Seguridad de Bridge

Tableau Bridge aplica los siguientes diseños de seguridad:

  • Toda la comunicación se inicia en segundo plano del firewall local y, por tanto, no requiere que administre otras excepciones.
  • Los datos en tránsito, hacia y desde Bridge, están cifrados.
  • Las credenciales de base de datos se almacenan en el equipo mediante el administrador de credenciales de Windows si la fuente de datos está configurada para usar programas de actualización en línea (antes conocidos como recomendados) o de Bridge (heredados). En los programas de actualización en línea, las credenciales se pasan al cliente seleccionado para realizar la actualización.

Se pueden encontrar más detalles sobre la seguridad de Bridge en las siguientes secciones.

Seguridad de transmisión

Los datos, hacia y desde el cliente de Bridge, se transmiten mediante una conexión TLS 1.2.

Autenticación

Hay dos puntos de autenticación principales para Bridge.

Tableau Online

Para conectarse a Tableau Online, las credenciales de usuario de Tableau Online se integran a través del cliente de Bridge.

Después de 1) introducir las credenciales, 2) Tableau Online devuelve un token de autorización. El 3) token se almacena en el equipo donde se ejecuta el cliente mediante el administrador de credenciales del sistema operativo de Windows. Bridge utiliza el token para realizar varias tareas como descargar el programa actualizado para una extracción.

Datos locales

Para acceder a datos locales, algunas fuentes de datos requieren autenticación mediante credenciales de base de datos. En función del tipo de conexión de la fuente de datos, el cliente manipula credenciales de base de datos de una de las siguientes formas:

  • Para conexiones en tiempo real y conexiones de extracción que usen programas de actualización en línea (antes conocidos como recomendados), las credenciales de bases de datos se envían al mismo tiempo de la solicitación y usan una conexión TLS 1.2.

  • Para conexiones de extracción que usen los programas de Bridge (heredados), si las fuentes de datos requieren credenciales de base de datos, dichas credenciales deben introducirse directamente en el cliente. Las credenciales de base de datos se almacenan en el equipo mediante el administrador de credenciales del sistema operativo de Windows. El cliente envía las credenciales de la base de datos a la base de datos, que también está en segundo plano del firewall local, en el momento de la actualización programada.

El cliente admite seguridad basada en dominios (Active Directory) y credenciales de nombre de usuario y contraseña para acceder a los datos locales.

Cambios en el firewall local

El cliente de Bridge no necesita que se realicen cambios en el firewall local. El cliente logra esto solo a través de conexiones de salida a Tableau Online. Para permitir conexiones de salida, el cliente usa los siguientes protocolos, en función del tipo de conexión que utiliza la fuente de datos:

  • Para conexiones en tiempo real y conexiones de extracción que utilizan programas de actualización en línea (antes conocidos como recomendados), WebSockets seguros (wss://).

  • Para conexiones de extracción que utilizan programas de Bridge (heredados), HTTP seguro (https://).

Acceso a datos locales

El cliente de Bridge inicia las conexiones a datos locales en lugar de Tableau Online. El proceso por el cual la conexión se inicia depende del tipo de conexión de la fuente de datos.

  • Para conexiones en tiempo real, el cliente 1) establece una conexión persistente con el servicio de Tableau Bridge, que forma parte del cliente que reside en Tableau Online, mediante WebSockets seguros (wss://). A continuación, el cliente espera una respuesta de Tableau Online antes de 2) iniciar una consulta en tiempo real de los datos locales. El cliente 3) pasa la consulta a los datos locales y posteriormente 4) regresa a los datos locales mediante 5) la misma conexión persistente.

  • Para conexiones de extracción que usan programas de actualización en línea (antes conocidos como recomendados), el cliente 1) establece una conexión persistente con un servicio de Tableau Bridge, que forma parte del cliente ubicado en Tableau Online, mediante WebSockets seguros (wss://). A continuación, el cliente espera una petición de Tableau Online para ver los nuevos programas de actualización. Cuando el cliente recibe las solicitudes, 2) el cliente se pone en contacto con Tableau Online mediante una conexión segura (https://) de los archivos de la fuente de datos (.tds). 3/4) A continuación, el cliente se conecta a los datos locales mediante las credenciales insertadas en la solicitud. El cliente 5) crea una extracción de los datos y posteriormente 6) publica de nuevo la extracción en Tableau Online mediante el servicio de Tableau Bridge. Los pasos 2-6 pueden realizarse al mismo tiempo para permitir que se produzcan varias solicitudes de actualización.

  • Para conexiones de extracción que usan los programas de Bridge (heredados), el cliente 1) contacta con Tableau Online mediante una conexión segura (https://) para ver los nuevos programas de actualización y archivos de fuente de datos (.tds). Si 2) esta información está disponible, en la hora programada, 3/4) el cliente se conecta a los datos locales mediante las credenciales almacenadas. El cliente 5) crea una extracción de los datos y posteriormente 6) publica de nuevo la extracción en Tableau Online mediante el servicio de Tableau Bridge. El servicio de Tableau Bridge forma parte del cliente que reside en Tableau Online.

Consideraciones de seguridad adicionales

Filtrado de proxy de reenvío opcional

Para garantizar que los datos se transmiten solo a Tableau Online, puede implementar un filtrado basado en dominios en las conexiones de salida (filtrado de proxy de reenvío) desde el cliente de Bridge.

La siguiente lista contiene los nombres de dominio parcialmente calificados que Bridge necesita para las conexiones de salida:

  • *.online.tableau.com
  • *.newrelic.com, se utiliza para supervisar el rendimiento de la aplicación
  • *.nr-data.net, se utiliza para supervisar el rendimiento de la aplicación
  • *.cloudfront.net, un CDN que se utiliza para contenido estadístico
  • *.akamai, un CDN para algunos pods de Tableau Online
  • *.compute-1.amazonaws.com, nombre de host DNS público de Amazon VPC, que toma la forma ec2-<public-ipv4-address>.compute-1.amazonaws.com, para la región us-east-1 (este de los Estados Unidos, 1).
  • *.compute.amazonaws.com, nombre de host DNS público de Amazon VPC, que toma la forma ec2-<public-ipv4-address>.compute.amazonaws.com, para todas las demás regiones (fuera de us-east-1).
  • crash-artifacts-747369.s3.amazonaws.com, se utiliza para recibir informes de volcado de memoria
  • s3-us-west-2-w.amazonaws.com, se utiliza para recibir informes de volcado de memoria
  • s3-w-a.us-west-2.amazonaws.com, se utiliza para recibir informes de volcado de memoria
¡Gracias por sus comentarios!