Sécurité de Data Connect

S’applique à : Tableau Cloud

Data Connect utilise un modèle de responsabilité partagée. Ce modèle vous permet de fournir des ressources de calcul physiques ou virtuelles, et Tableau héberge le groupement Kubernetes de Data Connect sur ces ressources et en assure la gestion. Tableau réduit les charges administratives en gérant, en surveillant et mettant à jour à distance le groupement Kubernetes. De par sa capacité à entreprendre une réparation pour garantir une disponibilité continue, Tableau élimine la nécessité de surveiller le trafic et l’état de la connexion. De plus, pour réduire la latence et l’encombrement du réseau, Data Connect vous permet de déterminer le centre de données et les sites et environnements périphériques les mieux adaptés aux niveaux de performance requis. Dans ce modèle, Tableau est responsable du fonctionnement sécurisé du service Data Connect, et la gestion des couches d’infrastructure et de réseau vous incombe.

Les différents composants de l’environnement Data Connect et la responsabilité de la gestion de ces composants.

Concepts de sécurité

Data Connect met en œuvre les concepts de sécurité suivants :

  • Data Connect est un service du volet de commandes qui n’a pas accès à vos données. Le composant sous-jacent du service Data Connect est Tableau Bridge.

  • Pour faciliter le transfert sécurisé des données, Data Connect utilise Tableau Bridge qui s’appuie sur des sockets Web sécurisés pour établir des connexions permanentes avec Tableau Cloud.

  • Le service Data Connect n’interagit pas avec les identifiants pour la base de données ni avec l’accès à la base de données. Les identifiants pour la base de données sont stockés en toute sécurité sur Tableau Cloud et sont transmis au client Tableau Bridge sélectionné pour effectuer l’actualisation.

  • Toutes les communications sont initiées derrière le pare-feu et ne nécessitent donc aucune autre règle explicite de pare-feu de trafic entrant pour gérer les exceptions.

Le client Bridge se charge, entre autres, d’accéder à vos données et d’établir des connexions de sockets Web sécurisés avec Tableau Cloud. Consultez Sécurité de Bridge.

Architecture

  1. Tableau Cloud communique avec le service d’orchestration Kubernetes pour déployer, surveiller et gérer l’orchestration Kubernetes.

  2. Lorsque vous initialisez Data Connect, une connexion sécurisée est établie avec le fournisseur du service d’orchestration par l’intermédiaire du port 443.

  3. Une fois le service configuré, un cluster Kubernetes déploie un ou plusieurs conteneurs avec un ou plusieurs clients Bridge. Ces clients Bridge seront responsables de l’exécution des charges de travail de Tableau.

  4. Les utilisateurs de Tableau Cloud se connectent à Tableau Cloud pour interagir avec le service Data Connect.

  5. Lors de la configuration, les clients Bridge initialisent une connexion avec Tableau Cloud en utilisant HTTPS. Une fois la connexion établie, les clients Bridge initient une communication bidirectionnelle sécurisée avec votre environnement Tableau Cloud à l’aide d’une connexion WebSocket (wss://).

  6. Les requêtes initiées depuis Tableau Cloud sont exécutées sur votre base de données pour prendre en charge l.analyse de l’utilisateur final.

Couches de sécurité

La solution Data Connect comporte trois couches. L’application installée dans votre infrastructure, la couche d’orchestration utilisée pour le déploiement et la gestion d’applications, et l’infrastructure réseau et matérielle correspondante.

  • Couche application : Authentification de la base de données, envoi de données à Tableau Cloud et considérations relatives au réseau, consultez Sécurité de Bridge.

  • Couche d’orchestration : Consultez la section Orchestration des conteneurs ci-dessous.

  • Couche infrastructure : Dans le modèle de responsabilité partagée de Data Connect, la sécurité de l’infrastructure elle-même relève de votre responsabilité. Les sections ci-dessous présentent les détails de sécurité relatifs aux interactions entre la couche d’orchestration de Data Connect et votre infrastructure.

Configuration du service

Lors de la configuration de Data Connect, vous devrez configurer et lancer le service à partir de votre réseau. Ce processus permet d’obtenir le niveau d’accès approprié et de spécifier les nœuds d’accès aux données à intégrer à votre site Tableau Cloud. Pour plus de détails sur la configuration de Data Connect, consultez l’Étape 1 : Configurer votre groupement.

Lors de l’initialisation de la solution Data Connect, ce qui suit se produit :

  • L’état du nœud Data Connect est validé.

  • Une connexion sécurisée est établie avec le fournisseur du service d’orchestration par l’intermédiaire du port 443.

  • Le logiciel des opérations Kubernetes est téléchargé et installé sur l’ordinateur. Ce logiciel permet à Tableau de déployer et de gérer Data Connect à distance.

  • Les informations du nœud Data Connect sont demandées par l’intermédiaire de la connexion sécurisée pour maintenir l’intégrité du service.

Vos données ne sont jamais transférées au travers de la connexion d’orchestration.

Communication sur Tableau Cloud

Toutes les communications entre votre infrastructure et Tableau Cloud sont initiées derrière votre pare-feu. Vous n’avez pas à gérer des exceptions supplémentaires.

Pour plus d’informations relatives à la communication sur Data Connect et les configurations de votre infrastructure, consultez la section Caractéristiques de mise en réseau.

Authentification sur Tableau Cloud

Data Connect crée des jetons d’authentification utilisés pour sécuriser la connexion de Tableau Bridge à Tableau Cloud. Ces jetons sont spécifiques au site et sont utilisés par le pool de clients Bridge auquel ils sont associés. Les jetons sont stockés dans le groupement, sous Secrets Kubernetes(Le lien s’ouvre dans une nouvelle fenêtre), qui est géré par Data Connect. Les clients Bridge déployés sur ce groupement accèdent à ces jetons pour se connecter à Tableau Cloud, mais les jetons ne sont pas stockés sur les clients.

Pour assurer le bon fonctionnement du service Data Connect, les administrateurs de site de tous les sites utilisant Data Connect doivent actualiser le jeton de leur pool tous les 90 jours dans Tableau Cloud. Si les jetons ne sont pas actualisés, les clients Bridge de ce pool ne pourront pas s’authentifier sur le site Tableau Cloud et les tâches utilisant ce pool échoueront.

Authentification de la base de données

Vous trouverez plus de détails sur l’authentification dans la section Sécurité de Bridge.

Dans le contexte de l’authentification de la base de données, il faut comprendre que Data Connect ne prend en charge que les programmation d’actualisation Bridge et non les anciennes programmations Bridge.

Orchestration des conteneurs

La couche d’orchestration est exclusivement une couche de contrôle. Elle n’a pas accès à la couche de données et n’interagit donc pas avec les données des clients. Le seul aspect de Data Connect qui interagit avec la couche de données est l’application installée sur votre infrastructure. Cette application est le client Bridge.

FAQ sur la sécurité

Quel code est mis en service sur les conteneurs?

En plus du logiciel nécessaire aux opérations Kubernetes (kops), Tableau Bridge pour Linux pour les conteneurs est déployé. Vous devez mettre en service les pilotes de base de données lorsque vous créez l’image de base.

Comment gérer les vulnérabilités détectées sur les logiciels déployés par Data Connect?

Tous les logiciels déployés par Data Connect sont fournis via l’image de base. Pour modifier le logiciel déployé, vous devez fournir une nouvelle image de base. L’image sera ensuite déployée sur tous les nœuds Data Connect de ce pool.

Quel est le niveau d’accès informatique requis par Data Connect?

Data Connect nécessite un accès de niveau administratif à votre infrastructure. Cet accès permet à Tableau de mettre à jour et de maintenir le service.

Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!