Data Connect のセキュリティ

適用先: Tableau Cloud

Data Connect は共有責任モデルとして機能します。このモデルでは、ユーザーが物理または仮想コンピューティング リソースを提供し、Tableau がそれらのリソース上で Data Connect Kubernetes クラスターをホストおよび管理します。Tableau は、Kubernetes クラスターをリモートで管理、監視、メンテナンスすることで、管理のオーバーヘッドを削減します。Tableau では、継続的な可用性を実現するための修復アクションを実行できるため、トラフィックと接続ステータスを監視する必要がなくなります。さらに、Data Connect を使用すれば、遅延を減らして、ネットワークの混雑を軽減するために、パフォーマンス要件に最適なデータ センター、エッジの場所、環境を決定することができます。このモデルでは、Tableau が Data Connect サービスを安全に運用する責任を負い、ユーザーはインフラストラクチャとネットワーク レイヤーを管理する責任を負います。

Data Connect のコンポーネントと、それぞれの管理場所 (Tableau またはお客様)

セキュリティ設計

Data Connect は以下のセキュリティ設計を適用しています。

  • Data Connect サービスはコントロール プレーン サービスであり、データにはアクセスできません。Data Connect サービスの基盤となるコンポーネントは Tableau Bridge です。

  • データ転送を安全かつ円滑に行うために、Data Connect は Tableau Bridge を使用します。Tableau Bridge は、安全な Web ソケットを活用して Tableau Cloud との永続的な接続を確立します。

  • Data Connect サービスでは、データベースの認証資格情報やデータベース アクセスなどの通信はありません。データベースの認証資格情報は Tableau Cloud に安全に保存され、更新を実行するために選択された Tableau Bridge クライアントに渡されます。Tableau Bridge クライアントは、Data Connect エージェントでホストされます。

  • すべての通信はファイアウォールの内部で開始されるため、例外を管理するための明示的な受信ファイアウォール ルールを追加する必要はありません。

Tableau Bridge は、Data Connect エージェントの基盤となるコンポーネントです。また、Bridge は、データにアクセスして Tableau Cloud との安全な Web ソケット接続を確立する役割も担っています。「Bridge ウィンドウのセキュリティ」を参照してください。

アーキテクチャ

  1. Tableau Cloud → オーケストレーション サービス

  2. Kubernetes クラスター → オーケストレーション サービス

  3. Kubernetes クラスター → コンテナ

  4. Tableau ユーザー → Tableau Cloud

  5. Data Connect エージェント (コンテナ) → Tableau Cloud

  6. Data Connect エージェント (コンテナ) → お客様のデータベース

セキュリティのレイヤー

Data Connect ソリューションには 3 つのレイヤーがあります。インフラストラクチャにインストールされるアプリケーション、アプリケーションの展開と管理に使用されるオーケストレーション レイヤー、および支援ネットワークとハードウェアのインフラストラクチャ

  • アプリケーション レイヤー: データベース認証、Tableau Cloud へのデータ送信、ネットワークの考慮事項については、「Bridge ウィンドウのセキュリティ」を参照してください。

  • オーケストレーション レイヤー: 以下の「コンテナ オーケストレーション」のセクションを参照してください。

  • インフラストラクチャ レイヤー: Data Connect の共有責任モデルでは、インフラストラクチャ自体のセキュリティはお客様の責任となります。Data Connect オーケストレーション レイヤーとインフラストラクチャとの通信に関するセキュリティの詳細は、以下のセクションで説明します。

サービス構成

Data Connect の構成中は、ネットワーク内からサービスを構成し、開始する責任はお客様にあります。このプロセスにより、適切なアクセス レベルが提供され、Tableau Cloud サイトと統合するデータ アクセス ノードが指定されます。Data Connect のサービス構成の詳細については、「ステップ 2: クラスターを設定する」を参照してください。

Data Connect ソリューションの初期化時に、次の処理が行われます。

  • Data Connect ノードの正常性が検証されます。

  • ポート 443 を介してオーケストレーション プロバイダー サービスとの安全な接続が確立されます。

  • Kubernetes 運用ソフトウェアがダウンロードされ、コンピューターにインストールされます。このソフトウェアにより、Tableau が Data Connect をリモートで展開および管理できるようになります。

  • サービスの正常性を維持するため、Data Connect ノードの情報は安全な接続を介してクエリされます。

データがオーケストレーション接続を介して転送されることはありません。

Tableau Cloud に関するコミュニケーション

インフラストラクチャから Tableau Cloud へのすべての通信は、ファイアウォールの内部で開始されます。例外を追加して管理する必要はありません。

Data Connect の通信とインフラストラクチャの構成の詳細については、「ネットワーク仕様」を参照してください。

Tableau Cloud 認証

Data Connect によって Tableau Cloud に展開された Tableau Bridge クライアントの認証と認可は、個人用アクセス トークン (PAT) を使用して実行できます。Data Connect を展開する前に、Tableau Cloud 管理コンソールで PAT を作成する必要があります。次に、Data Connect エージェントから Tableau Cloud への認証にこれらのトークンを使用するように Data Connect サービスを構成します。

データベース認証

認証の詳細については、「Bridge ウィンドウのセキュリティ」を参照してください。

データベース認証のコンテキストでは、Data Connect は Bridge 更新スケジュールのみをサポートし、Bridge レガシー スケジュールはサポートしないことを理解することが重要です。

コンテナ オーケストレーション

オーケストレーション レイヤーは制御レイヤーとしてのみ機能し、データ レイヤーにはアクセスできないため、顧客データとの対話はありません。Data Connect でデータ レイヤーと対話するのは、インフラにインストールされたアプリケーションだけです。このアプリケーションは、Tableau Bridge クライアントを実行するサービスである Data Connect エージェントです。

セキュリティに関するよくある質問

コンテナにはどのようなコードがプロビジョニングされますか?

Kubernetes 運用に必要なソフトウェア (kops) に加えて、コンテナで使用する Tableau Bridge for Linux が導入されています。ベース イメージを作成するときに、データベース ドライバーをプロビジョニングする必要があります。

Data Connect によって展開されたソフトウェアで検出された脆弱性はどのように管理できますか?

Data Connect によって展開されるすべてのソフトウェアをベース イメージを通じて提供します。展開されたソフトウェアを変更するには、新しいベース イメージを提供します。その後、そのイメージはそのプール内のすべての Data Connect ノードに展開されます。

Data Connect にはどのようなレベルのコンピューター アクセスが必要ですか?

Data Connect には、インフラストラクチャへの管理者レベルのアクセスが必要です。このアクセスにより、Tableau はサービスを更新および保守できるようになります。

一番上に戻る
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!