Sécurité de Data Connect

S’applique à : Tableau Cloud

Data Connect fonctionne comme un modèle de responsabilité partagée. Avec ce modèle, vous fournissez les ressources de calcul physiques ou virtuelles, et Tableau héberge et gère le cluster Data Connect Kubernetes sur ces ressources. Tableau contribue à réduire les frais d’administration en assurant la gestion, la surveillance et l’entretien à distance du cluster Kubernetes. Tableau a la capacité d’effectuer des actions correctives pour garantir une disponibilité continue, éliminant ainsi le besoin de surveiller le trafic et l’état de la connexion. De plus, pour réduire la latence et la congestion du réseau, Data Connect vous permet de déterminer le centre de données ainsi que les emplacements périphériques et environnements qui répondent le mieux à vos exigences de performances. Dans ce modèle, Tableau est responsable de l’exploitation sécurisée du service Data Connect et vous êtes responsable de la gestion des couches d’infrastructure et de réseau.

Composants de Data Connect et leur emplacement de gestion : soit par Tableau, soit par le client.

Principes de sécurité

Data Connect met en œuvre les principes de sécurité suivants :

  • Le service Data Connect est un service de plan de contrôle et n’a pas accès à vos données. Le composant sous-jacent du service Data Connect est Tableau Bridge.

  • Pour faciliter le transfert sécurisé des données, Data Connect utilise Tableau Bridge qui exploite des sockets Web sécurisés pour établir des connexions persistantes avec Tableau Cloud.

  • Le service Data Connect n’interagit pas avec les informations d’identification pour la base de données ni avec les accès à la base de données. Les informations d’identification pour la base de données sont stockées en toute sécurité sur Tableau Cloud et sont transmises au client Tableau Bridge sélectionné pour effectuer l’actualisation. Les clients Tableau Bridge sont hébergés sur l’agent Data Connect.

  • Toutes les communications sont initiées derrière votre pare-feu et ne nécessitent donc aucune règle de pare-feu entrante explicite supplémentaire pour gérer les exceptions.

Tableau Bridge est le composant sous-jacent de l’agent Data Connect. Entre autres opérations, Bridge est responsable de l’accès à vos données et de l’établissement de connexions de socket Web sécurisées avec Tableau Cloud. Voir Sécurité Bridge sous Windows.

Architecture

  1. Tableau Cloud → service d’orchestration

  2. Cluster Kubernetes → service d’orchestration

  3. Cluster Kubernetes → conteneur

  4. Utilisateur Tableau → Tableau Cloud

  5. Agent Data Connect (conteneur) → Tableau Cloud

  6. Agent Data Connect (conteneur) → votre base de données

Couches de sécurité

La solution Data Connect comporte trois niveaux. L’application, qui est installée dans votre infrastructure, la couche orchestration utilisée pour déployer et gérer les applications, et enfin l’infrastructure réseau et matériel.

  • Couche d’application : authentification de la base de données, envoi de données à Tableau Cloud et considérations relatives au réseau, voir Sécurité Bridge sous Windows.

  • Couche d’orchestration : voir la section Orchestration des conteneurs ci-dessous.

  • Couche d’infrastructure : dans le modèle de responsabilité partagée Data Connect, la sécurité de l’infrastructure elle-même relève de votre responsabilité. Les détails de sécurité sur la manière dont la couche d’orchestration Data Connect interagit avec votre infrastructure sont traités dans les sections ci-dessous.

Configuration du service

Lors de la configuration de Data Connect, vous serez responsable de la configuration et du lancement du service depuis votre réseau. Ce processus fournit le niveau d’accès correct et spécifie les nœuds d’accès aux données à intégrer à votre site Tableau Cloud. Pour plus de détails sur la configuration du service Data Connect, voir Étape 2 : Configurer votre cluster.

Lors de l’initialisation de la solution Data Connect, les événements suivants se produisent :

  • L’intégrité du nœud Data Connect est validée.

  • Une connexion sécurisée est établie avec le service du fournisseur d’orchestration via le port 443.

  • Le logiciel d’opérations Kubernetes est téléchargé et installé sur l’ordinateur. Ce logiciel permet à Tableau de déployer et de gérer Data Connect à distance.

  • Les informations du nœud Data Connect sont interrogées via la connexion sécurisée afin de maintenir l’intégrité du service.

Vos données ne sont jamais transférées via la connexion d’orchestration.

Communications Tableau Cloud

Toutes les communications de votre infrastructure vers Tableau Cloud sont initiées derrière votre pare-feu. Vous n’avez pas besoin de gérer d’exceptions supplémentaires.

Pour plus d’informations sur la communication Data Connect et vos configurations d’infrastructure, consultez Spécifications réseau.

Authentification Tableau Cloud

L’authentification et l’autorisation des clients Tableau Bridge déployés par Data Connect sur Tableau Cloud sont réalisées au moyen de Jetons d’accès personnels (PAT). Avant de déployer Data Connect, vous devez créer des PAT dans la console d’administration Tableau Cloud. Vous configurerez ensuite le service Data Connect pour utiliser ces jetons afin d’authentifier votre agent Data Connect auprès de Tableau Cloud.

Authentification de la base de données

Vous pouvez trouver plus de détails sur l’authentification dans la section Sécurité Bridge sous Windows.

Dans le contexte de l’authentification de la base de données, il est important de comprendre que Data Connect prend uniquement en charge les programmations d’actualisation Bridge, et non pas les anciennes programmations Bridge.

Orchestration des conteneurs

La couche d’orchestration est une couche de contrôle exclusivement. Elle n’a pas accès à la couche de données et n’interagit donc pas avec les données client. Le seul aspect de Data Connect qui interagit avec la couche de données est l’application installée sur votre infrastructure. Cette application est l’agent Data Connect, un service qui exécute le client Tableau Bridge.

FAQ sur la sécurité

Quel code est provisionné sur les conteneurs ?

En plus du logiciel requis pour les opérations Kubernetes (kops), Tableau Bridge pour Linux pour conteneurs est déployé. Vous devez activer les pilotes de base de données lorsque vous créez l’image de base.

Comment puis-je gérer les vulnérabilités détectées sur les logiciels déployés par Data Connect ?

Vous fournissez tous les logiciels déployés par Data Connect via l’image de base. Pour modifier le logiciel déployé, vous fournissez une nouvelle image de base. L’image sera ensuite déployée sur tous les nœuds Data Connect de ce pool.

Quel niveau d’accès informatique Data Connect exige-t-il ?

Data Connect nécessite un accès de niveau administratif à votre infrastructure. Cet accès permet à Tableau de mettre à jour et de maintenir le service.

Retour en haut
Merci de vos commentaires !Avis correctement envoyé. Merci