Data Connect 보안

적용 대상: Tableau Cloud

Data Connect는 공동 책임 모델로 작동합니다. 이 모델에서는 물리적 또는 가상 컴퓨팅 리소스를 제공하고 Tableau가 해당 리소스에서 Data Connect Kubernetes 클러스터를 호스팅하고 관리합니다. Tableau는 Kubernetes 클러스터를 원격으로 관리, 모니터링 및 유지 관리하여 관리 부담을 줄입니다. Tableau가 문제 해결 동작을 수행하여 지속적인 가용성을 보장할 수 있으므로 트래픽 및 연결 상태를 모니터링할 필요가 없습니다. 또한 Data Connect를 사용하면 성능 요구 사항을 가장 잘 충족하는 데이터 센터, 에지 위치 및 환경을 결정하여 지연 시간을 낮추고 네트워크 정체를 줄일 수 있습니다. 이 모델에서 Tableau는 Data Connect 서비스를 안전하게 운영할 책임이 있고 사용자는 인프라 및 네트워킹 계층을 관리할 책임이 있습니다.

Data Connect의 구성 요소와 각 구성 요소를 관리하는 주체: Tableau 또는 고객.

보안 설계

Data Connect는 다음 보안 설계를 적용합니다.

  • Data Connect 서비스는 제어부 서비스이므로 사용자의 데이터에 액세스할 수 없습니다. Data Connect 서비스의 기초 구성 요소는 Tableau Bridge입니다.

  • Data Connect는 안전한 데이터 전송을 용이하게 하기 위해 보안 웹 소켓을 활용하는 Tableau Bridge를 사용하여 Tableau Cloud와 영구적인 연결을 설정합니다.

  • Data Connect 서비스는 데이터베이스 자격 증명이나 데이터베이스 액세스와 상호 작용하지 않습니다. 데이터베이스 자격 증명은 Tableau Cloud에 안전하게 저장되며 새로 고침을 수행하도록 선택된 Tableau Bridge 클라이언트로 전달됩니다. Tableau Bridge 클라이언트는 Data Connect 에이전트에 호스팅됩니다.

  • 모든 통신은 방화벽 뒤에서 시작되므로 예외를 관리하기 위한 추가적인 명시적 인바운드 방화벽 규칙이 필요하지 않습니다.

Tableau Bridge는 Data Connect 에이전트의 기초 구성 요소입니다. 여러 작업 중에서도 Bridge는 데이터에 액세스하고 Tableau Cloud와의 보안 웹 소켓 연결을 설정하는 작업을 담당합니다. Bridge Windows 보안을 참조하십시오.

아키텍처

  1. Tableau Cloud → 오케스트레이션 서비스

  2. Kubernetes 클러스터 → 오케스트레이션 서비스

  3. Kubernetes 클러스터 → 컨테이너

  4. Tableau 사용자 → Tableau Cloud

  5. Data Connect 에이전트(컨테이너) → Tableau Cloud

  6. Data Connect 에이전트(컨테이너) → 사용자의 데이터베이스

보안 계층

Data Connect 솔루션에는 세 가지 계층이 있습니다. 인프라에 설치된 응용 프로그램, 응용 프로그램을 배포하고 관리하는 데 사용되는 오케스트레이션 계층, 지원 네트워크 및 하드웨어 인프라를 말합니다.

  • 응용 프로그램 계층: 데이터베이스 인증, Tableau Cloud로 데이터 전송 및 네트워킹 고려 사항은 Bridge Windows 보안을 참조하십시오.

  • 오케스트레이션 계층: 아래의 컨테이너 오케스트레이션 섹션을 참조하십시오.

  • 인프라 계층: Data Connect 공동 책임 모델에서 인프라 자체의 보안은 사용자의 책임입니다. 아래 섹션에서는 Data Connect 오케스트레이션 계층이 인프라와 상호 작용하는 방법에 대한 보안 세부 정보를 다룹니다.

서비스 구성

Data Connect를 구성하는 동안 네트워크 내에서 서비스를 구성하고 시작하는 일은 사용자의 몫입니다. 이 프로세스에서는 올바른 액세스 수준을 제공하고 Tableau Cloud 사이트와 통합할 데이터 액세스 노드를 지정합니다. Data Connect에 대한 서비스 구성을 설명하는 세부 사항은 2단계: 클러스터 설정을 참조하십시오.

Data Connect 솔루션을 초기화하면 다음 작업이 수행됩니다.

  • Data Connect 노드 상태가 검증됩니다.

  • 포트 443을 통해 오케스트레이션 공급자 서비스와 보안 연결이 설정됩니다.

  • Kubernetes 운영 소프트웨어를 컴퓨터에 다운로드하여 설치합니다. 이 소프트웨어를 사용하면 Tableau에서 Data Connect를 원격으로 배포하고 관리할 수 있습니다.

  • Data Connect 노드 정보는 서비스 상태를 유지하기 위해 보안 연결을 통해 쿼리됩니다.

데이터는 오케스트레이션 연결을 통해 전송되지 않습니다.

Tableau Cloud 커뮤니케이션

인프라에서 Tableau Cloud로의 모든 통신은 방화벽 뒤에서 시작됩니다. 추가적인 예외를 관리할 필요는 없습니다.

Data Connect 통신 및 인프라 구성에 대한 자세한 내용은 네트워킹 사양을 참조하십시오.

Tableau Cloud 인증

Data Connect에서 Tableau Cloud에 배포된 Tableau Bridge 클라이언트의 인증 및 권한 부여는 개인용 액세스 토큰를 통해 수행됩니다. Data Connect를 배포하기 전에 Tableau Cloud 관리 콘솔에서 PAT를 만들어야 합니다. 그런 다음 Data Connect 에이전트에서 Tableau Cloud로의 인증에 해당 토큰을 사용하도록 Data Connect 서비스를 구성합니다.

데이터베이스 인증

인증에 대한 자세한 내용은 Bridge Windows 보안에서 확인할 수 있습니다.

데이터베이스 인증의 맥락에서 Data Connect는 Bridge 새로 고침 일정만 지원하고 Bridge 레거시 일정은 지원하지 않는다는 점을 이해해야 합니다.

컨테이너 오케스트레이션

오케스트레이션 계층은 전적으로 제어 계층이며 데이터 계층에 액세스할 수 없으므로 고객 데이터와 상호 작용하지 않습니다. Data Connect의 데이터 계층과 상호 작용하는 유일한 측면은 인프라에 설치된 응용 프로그램입니다. 이 응용 프로그램은 Tableau Bridge 클라이언트를 실행하는 서비스인 Data Connect 에이전트입니다.

보안 관련 FAQ

컨테이너에 어떤 코드가 프로비저닝됩니까?

Kubernetes 운영(kops)에 필요한 소프트웨어 외에도 Linux 컨테이너용 Tableau Bridge가 배포됩니다. 기본 이미지를 생성할 때 데이터베이스 드라이버를 프로비저닝해야 합니다.

Data Connect에서 배포한 소프트웨어에서 감지된 취약점을 어떻게 관리할 수 있습니까?

Data Connect에서 배포한 모든 소프트웨어는 기본 이미지를 통해 제공됩니다. 배포된 소프트웨어를 변경하려면 새로운 기본 이미지를 제공해야 합니다. 그러면 이미지가 해당 풀에 있는 모든 Data Connect 노드에 배포됩니다.

Data Connect에 필요한 컴퓨터 액세스 수준은 어느 정도입니까?

Data Connect를 사용하려면 인프라에 대한 관리자 수준의 액세스 권한이 필요합니다. 이 액세스를 통해 Tableau는 서비스를 업데이트하고 유지할 수 있습니다.

맨 위로 이동
피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!