Sécurité de Data Connect

S’applique à : Tableau Cloud

Data Connect utilise un modèle de responsabilité partagée. Ce modèle vous permet de fournir des ressources de calcul physiques ou virtuelles, et Tableau héberge le groupement Kubernetes de Data Connect sur ces ressources et en assure la gestion. Tableau réduit les charges administratives en gérant, en surveillant et mettant à jour à distance le groupement Kubernetes. De par sa capacité à entreprendre une réparation pour garantir une disponibilité continue, Tableau élimine la nécessité de surveiller le trafic et l’état de la connexion. De plus, pour réduire la latence et l’encombrement du réseau, Data Connect vous permet de déterminer le centre de données et les sites et environnements périphériques les mieux adaptés aux niveaux de performance requis. Dans ce modèle, Tableau est responsable du fonctionnement sécurisé du service Data Connect, et la gestion des couches d’infrastructure et de réseau vous incombe.

Les composants de Data Connect et l’emplacement de gestion des différents composants : soit par Tableau, soit par le client.

Concepts de sécurité

Data Connect met en œuvre les concepts de sécurité suivants :

  • Data Connect est un service du volet de commandes qui n’a pas accès à vos données. Le composant sous-jacent du service Data Connect est Tableau Bridge.

  • Pour faciliter le transfert sécurisé des données, Data Connect utilise Tableau Bridge qui s’appuie sur des sockets Web sécurisés pour établir des connexions permanentes avec Tableau Cloud.

  • Le service Data Connect n’interagit pas avec les identifiants pour la base de données ni avec l’accès à la base de données. Les identifiants pour la base de données sont stockés en toute sécurité sur Tableau Cloud et sont transmis au client Tableau Bridge sélectionné pour effectuer l’actualisation. Les clients Tableau Bridge sont hébergés sur l’agent Data Connect.

  • Toutes les communications sont initiées derrière le pare-feu et ne nécessitent donc aucune autre règle explicite de pare-feu de trafic entrant pour gérer les exceptions.

Tableau Bridge est le composant sous-jacent de l’agent Data Connect. Bridge se charge, entre autres, d’accéder à vos données et d’établir des connexions de sockets Web sécurisés avec Tableau Cloud. Consultez Sécurité Windows de Bridge.

Architecture

  1. Tableau Cloud → service d’orchestration

  2. Groupement Kubernetes → service d’orchestration

  3. Groupement Kubernetes → conteneur

  4. Utilisateur Tableau → Tableau Cloud

  5. Agent Data Connect (conteneur) → Tableau Cloud

  6. Agent Data Connect (conteneur) → votre base de données

Couches de sécurité

La solution Data Connect comporte trois couches. L’application installée dans votre infrastructure, la couche d’orchestration utilisée pour le déploiement et la gestion d’applications, et l’infrastructure réseau et matérielle correspondante.

  • Couche application : Authentification de la base de données, envoi de données à Tableau Cloud et considérations relatives au réseau, consultez Sécurité Windows de Bridge.

  • Couche d’orchestration : Consultez la section Orchestration des conteneurs ci-dessous.

  • Couche infrastructure : Dans le modèle de responsabilité partagée de Data Connect, la sécurité de l’infrastructure elle-même relève de votre responsabilité. Les sections ci-dessous présentent les détails de sécurité relatifs aux interactions entre la couche d’orchestration de Data Connect et votre infrastructure.

Configuration du service

Lors de la configuration de Data Connect, vous devrez configurer et lancer le service à partir de votre réseau. Ce processus permet d’obtenir le niveau d’accès approprié et de spécifier les nœuds d’accès aux données à intégrer à votre site Tableau Cloud. Pour plus de détails sur la configuration du service Data Connect, consultez l’Étape 2 : Configurer votre groupement.

Lors de l’initialisation de la solution Data Connect, ce qui suit se produit :

  • L’état du nœud Data Connect est validé.

  • Une connexion sécurisée est établie avec le fournisseur du service d’orchestration par l’intermédiaire du port 443.

  • Le logiciel des opérations Kubernetes est téléchargé et installé sur l’ordinateur. Ce logiciel permet à Tableau de déployer et de gérer Data Connect à distance.

  • Les informations du nœud Data Connect sont demandées par l’intermédiaire de la connexion sécurisée pour maintenir l’intégrité du service.

Vos données ne sont jamais transférées au travers de la connexion d’orchestration.

Communication sur Tableau Cloud

Toutes les communications entre votre infrastructure et Tableau Cloud sont initiées derrière votre pare-feu. Vous n’avez pas à gérer des exceptions supplémentaires.

Pour plus d’informations relatives à la communication sur Data Connect et les configurations de votre infrastructure, consultez la section Caractéristiques de mise en réseau.

Authentification sur Tableau Cloud

L’authentification et l’autorisation des clients Tableau Bridge déployés par Data Connect sur Tableau Cloud s’obtiennent à l’aide de Jetons d’accès personnels (PAT). Avant de déployer Data Connect, vous devez créer des PAT dans la console d’administration de Tableau Cloud. Vous devez ensuite configurer le service Data Connect de manière à utiliser ces jetons pour l’authentification de votre agent Data Connect sur Tableau Cloud.

Authentification de la base de données

Vous trouverez plus de détails sur l’authentification dans la section Sécurité Windows de Bridge.

Dans le contexte de l’authentification de la base de données, il faut comprendre que Data Connect ne prend en charge que les programmation d’actualisation Bridge et non les anciennes programmations Bridge.

Orchestration des conteneurs

La couche d’orchestration est exclusivement une couche de contrôle. Elle n’a pas accès à la couche de données et n’interagit donc pas avec les données des clients. Le seul aspect de Data Connect qui interagit avec la couche de données est l’application installée sur votre infrastructure. Cette application est l’agent Data Connect, un service qui exécute le client Tableau Bridge.

FAQ sur la sécurité

Quel code est mis en service sur les conteneurs?

En plus du logiciel nécessaire aux opérations Kubernetes (kops), Tableau Bridge pour Linux pour les conteneurs est déployé. Vous devez mettre en service les pilotes de base de données lorsque vous créez l’image de base.

Comment gérer les vulnérabilités détectées sur les logiciels déployés par Data Connect?

Tous les logiciels déployés par Data Connect sont fournis via l’image de base. Pour modifier le logiciel déployé, vous devez fournir une nouvelle image de base. L’image sera ensuite déployée sur tous les nœuds Data Connect de ce pool.

Quel est le niveau d’accès informatique requis par Data Connect?

Data Connect nécessite un accès de niveau administratif à votre infrastructure. Cet accès permet à Tableau de mettre à jour et de maintenir le service.

Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!