Data Connect

Applicabile a: Tableau Cloud

Data Connect funge da modello di responsabilità condivisa. Con questo modello, tu fornisci le risorse di elaborazione fisiche o virtuali e Tableau ospita e gestisce il cluster Kubernetes Data Connect su tali risorse. Tableau riduce il sovraccarico amministrativo gestendo, monitorando e manutenendo da remoto il cluster Kubernetes. Grazie alla possibilità di eseguire azioni correttive per garantire la disponibilità continua, Tableau elimina la necessità di monitorare il traffico e lo stato della connessione. Inoltre, per ridurre la latenza e la congestione della rete, Data Connect consente di determinare il data center, le posizioni e gli ambienti perimetrali che meglio soddisfano i tuoi requisiti in termini di prestazioni. In questo modello, Tableau è responsabile del funzionamento sicuro del servizio Data Connect e tu sei responsabile della gestione dei livelli dell'infrastruttura e della rete.

Vari componenti dell’ambiente Data Connect e responsabilità della gestione di tali componenti.

Strutture di sicurezza

Data Connect applica le seguenti strutture di sicurezza:

  • Il servizio Data Connect è un servizio del piano di controllo e non può accedere ai tuoi dati. Il componente sottostante del servizio Data Connect è Tableau Bridge.

  • Per facilitare il trasferimento sicuro dei dati, Data Connect utilizza Tableau Bridge, che sfrutta i Web socket sicuri per stabilire connessioni persistenti con Tableau Cloud.

  • Il servizio Data Connect non interagisce con le credenziali del database o con l'accesso al database. Le credenziali del database vengono archiviate in modo sicuro su Tableau Cloud e trasmesse al client Tableau Bridge selezionato per eseguire l'aggiornamento.

  • Tutte le comunicazioni vengono avviate dal firewall e pertanto non richiedono ulteriori regole esplicite del firewall in entrata per gestire le eccezioni.

Tra le altre operazioni, il client Bridge è responsabile dell’accesso ai tuoi dati e della creazione di connessioni Web socket sicure con Tableau Cloud. Consulta Sicurezza di Bridge.

Architettura

  1. Tableau Cloud comunica con il servizio di orchestrazione Kubernetes per distribuire, monitorare e gestire l'orchestrazione Kubernetes.

  2. Quando inizializzi Data Connect, viene stabilita una connessione sicura con il servizio del provider di orchestrazione tramite la porta 443.

  3. Dopo aver configurato il servizio, un cluster Kubernetes distribuisce uno o più contenitori con uno o più client Bridge. Questi client Bridge saranno responsabili dell'esecuzione dei carichi di lavoro di Tableau.

  4. Gli utenti di Tableau Cloud accedono a Tableau Cloud per interagire con il servizio Data Connect.

  5. Durante la configurazione, i client Bridge inizializzano una connessione con Tableau Cloud tramite HTTPS. Dopo l’avvenuta connessione, il client Bridge avvia una comunicazione bidirezionale sicura con l’ambiente Tableau Cloud utilizzando una connessione WebSocket (wss://).

  6. Le query avviate da Tableau Cloud vengono eseguite sul tuo database per supportare l'analisi dell'utente finale.

Livelli di sicurezza

La soluzione Data Connect presenta tre livelli. L'applicazione installata nella tua infrastruttura, il livello orchestrazione utilizzato per distribuire e gestire le applicazioni e la rete e l'infrastruttura hardware e della rete di supporto.

  • Livello dell'applicazione: autenticazione del database, invio di dati a Tableau Cloud e considerazioni sulla rete, consulta Sicurezza di Bridge.

  • Livello di orchestrazione: consulta la sezione, Orchestrazione dei contenitori di seguito.

  • Livello dell'infrastruttura: nel modello di responsabilità condivisa di Data Connect, la sicurezza dell'infrastruttura stessa sarà di tua responsabilità. I dettagli sulla sicurezza relativi al modo in cui il livello di orchestrazione di Data Connect interagisce con la tua infrastruttura sono trattati nelle sezioni seguenti.

Configurazione del servizio

Durante la configurazione di Data Connect, sarà tua responsabilità configurare e avviare il servizio dall’interno della tua rete. Questo processo fornisce il corretto livello di accesso e specifica quali nodi di accesso ai dati devono essere integrati con il sito Tableau Cloud. Per maggiori dettagli relativi alla descrizione della configurazione del servizio di Data Connect, consulta Fase 1: impostare il cluster.

Durante l'inizializzazione della soluzione Data Connect avviene quanto segue:

  • Viene convalidato lo stato di integrità del nodo di Data Connect.

  • Viene stabilita una connessione sicura con il servizio del provider di orchestrazione tramite la porta 443.

  • Viene scaricato il software operativo Kubernetes e installato sul computer. Questo software consente a Tableau di distribuire e gestire Data Connect da remoto.

  • Le informazioni sul nodo di Data Connect vengono interrogate tramite connessione protetta per preservare l'integrità del servizio.

I dati non vengono mai trasferiti tramite la connessione di orchestrazione.

Comunicazioni con Tableau Cloud

Tutte le comunicazioni tra la tua infrastruttura e Tableau Cloud vengono avviate dal tuo firewall. Non è necessario gestire eccezioni aggiuntive.

Per ulteriori informazioni sulle comunicazioni di Data Connect e sulle configurazioni dell'infrastruttura, consulta Specifiche di rete.

Autenticazione di Tableau Cloud

Data Connect crea token di autenticazione che vengono utilizzati per proteggere la connessione di Tableau Bridge a Tableau Cloud. Questi token sono specifici del sito e vengono utilizzati dal pool di client Bridge a cui sono associati. I token vengono archiviati in segreti di Kubernetes(Il collegamento viene aperto in una nuova finestra) nel cluster, che è gestito da Data Connect. I client Bridge distribuiti in tale cluster accedono a questi token per accedere a Tableau Cloud, ma i token non vengono archiviati nei client.

Per garantire il corretto funzionamento del servizio Data Connect, gli amministratori di tutti i siti che utilizzano Data Connect devono aggiornare ogni 90 giorni il token per il pool in Tableau Cloud. Se i token non vengono aggiornati, i client Bridge in tale pool non riusciranno a eseguire l’autenticazione nel sito Tableau Cloud e i processi che utilizzano quel pool avranno esito negativo.

Autenticazione dei database

Puoi trovare maggiori dettagli sull'autenticazione in Sicurezza di Bridge.

Nel contesto dell’autenticazione dei database, è importante comprendere che Data Connect supporta solo le pianificazioni di aggiornamento di Bridge e non supporta le pianificazioni Bridge legacy.

Orchestrazione dei contenitori

Il livello di orchestrazione è esclusivamente un livello di controllo e non ha accesso al livello dati e pertanto non interagisce con i dati dei clienti. L'unico aspetto di Data Connect che interagisce con il livello dati è l'applicazione installata sulla tua infrastruttura. Questa applicazione è il client Bridge.

Domande frequenti sulla sicurezza

Quale codice viene fornito nei contenitori?

Oltre al software necessario per le operazioni di Kubernetes (kops), viene distribuito Tableau Bridge per Linux per contenitori. Quando si crea l'immagine di base, è necessario eseguire il provisioning dei driver del database.

In che modo è possibile gestire le vulnerabilità rilevate nel software distribuito da Data Connect?

Fornisci tutto il software distribuito da Data Connect tramite l'immagine di base. Per modificare il software distribuito, è necessario fornire una nuova immagine di base. L'immagine verrà quindi distribuita a tutti i nodi di Data Connect nel pool.

Quale livello di accesso al computer richiede Data Connect?

Data Connect richiede l'accesso di livello amministrativo alla tua infrastruttura. Questo accesso consente a Tableau di aggiornare e gestire il servizio.

Torna in alto
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!