Tableau Bridge는 다음 보안 설계를 적용합니다.

  • 모든 통신은 사설망 방화벽 뒤에서 시작되므로 추가 예외를 관리할 필요가 없습니다.
  • Bridge의 송수신 데이터는 전송 중에 암호화됩니다.
  • 데이터베이스 자격 증명은 데이터 원본 또는 가상 연결이 Bridge(레거시) 일정을 사용하도록 설정된 경우 Windows 자격 증명 관리자를 사용하여 컴퓨터에 저장됩니다. Online 일정의 경우 새로 고침을 수행하도록 선택된 클라이언트에 자격 증명이 전달됩니다.

아래 섹션에서 Bridge 보안에 대한 자세한 내용을 확인할 수 있습니다.

전송 보안

Bridge 클라이언트의 데이터는 TLS 1.2 연결을 사용하여 전송됩니다.

참고: Tableau Bridge는 포트 443을 사용하여 Tableau Cloud에 대한 아웃바운드 인터넷 요청을 처리하고 포트 80을 사용하여 인증서 유효성 검사를 수행합니다.

인증

Bridge에는 Tableau Cloud 및 사설망 데이터라는 두 가지 기본 인증 지점이 있습니다.

Tableau Cloud

Tableau Cloud에 연결하기 위해 사용자가 Bridge 클라이언트를 통해 Tableau Cloud 자격 증명을 입력합니다.

1) 자격 증명이 입력되면 2) Tableau Cloud이 인증 토큰을 반환합니다. 3) 토큰은 클라이언트가 실행되는 컴퓨터에 Windows 운영 체제의 자격 증명 관리자를 사용하여 저장됩니다. Bridge는 토큰을 사용하여 추출 새로 고침 일정 정보를 다운로드하는 등의 다양한 작업을 수행합니다.

사설망 데이터

사설망 데이터에 액세스하려면 일부 데이터 원본 또는 가상 연결에서 데이터베이스 자격 증명을 사용하여 인증해야 합니다. 콘텐츠의 연결 유형에 따라 클라이언트는 다음 방법 중 하나를 사용하여 데이터베이스 자격 증명을 처리합니다.

  • 라이브 연결 및 Online 일정을 사용하는 추출 연결에서는 데이터베이스 자격 증명이 요청 시간에 전송되며 TLS 1.2 연결이 사용됩니다.

  • Bridge(레거시) 일정을 사용하는 추출 연결에서 데이터 원본에 데이터베이스 자격 증명이 필요한 경우 이러한 자격 증명을 클라이언트에 직접 입력해야 합니다. 데이터베이스 자격 증명은 Windows 운영 체제의 자격 증명 관리자를 사용하여 컴퓨터에 저장됩니다. 클라이언트는 데이터베이스 자격 증명을 예약된 새로 고침 시간에 사설망 방화벽 뒤의 데이터베이스로 보냅니다.

클라이언트는 도메인 기반 보안(Active Directory)을 지원하며 사용자 이름/비밀번호 자격 증명을 사용하여 사설망 데이터에 액세스할 수 있습니다.

사설망 방화벽 변경

Bridge 클라이언트의 경우 사설망 방화벽을 변경할 필요가 없습니다. 클라이언트는 Tableau Cloud에 대한 아웃바운드 연결만 수행하기 때문입니다. 아웃바운드 연결을 허용하기 위해 클라이언트는 콘텐츠에 사용된 연결 유형에 따라 다음 프로토콜을 사용합니다.

  • 라이브 연결 및 Online 일정을 사용하는 추출 연결의 경우 보안 WebSocket(wss://)이 사용됩니다.

  • Bridge(레거시) 일정을 사용하는 추출 연결의 경우 HTTP Secure(https://)가 사용됩니다.

사설망 데이터 액세스

사설망 데이터에 대한 연결은 Tableau Cloud을 대신하여 Bridge 클라이언트에서 시작됩니다. 연결을 시작하는 프로세스는 콘텐츠 유형 및 연결 유형에 따라 다릅니다.

  • 라이브 연결 또는 가상 연결을 사용하는 데이터 원본의 경우 1) 클라이언트가 보안 WebSocket(wss://)을 사용하여 Tableau Cloud에 상주하는 클라이언트의 일부인 Tableau Bridge 서비스에 대한 영구 연결을 설정합니다. 그런 다음 Tableau Cloud의 응답을 기다립니다. 2) 응답이 오면 사설망 데이터에 대한 라이브 쿼리를 시작합니다. 3) 클라이언트가 사설망 데이터에 쿼리를 전달합니다. 4) 클라이언트가 동일한 영구 연결을 사용하여 5) 사설망 데이터를 반환합니다.

  • Online 일정을 사용하는 추출 연결이 포함된 데이터 원본의 경우 1) 클라이언트가 보안 WebSocket(wss://)을 사용하여 Tableau Cloud에 상주하는 클라이언트의 일부인 Tableau Bridge 서비스에 대한 영구 연결을 설정합니다. 그런 다음 클라이언트가 Tableau Cloud에서 새 새로 고침 일정에 대한 요청을 대기합니다. 클라이언트가 요청을 수신하면 2) 클라이언트는 데이터 원본(.tds) 파일에 대한 보안 연결(https://)을 사용하여 Tableau Cloud에 연결합니다. 3/4) 그런 다음 클라이언트는 작업 요청에 포함되는 내장된 자격 증명을 사용하여 사설망 데이터에 연결합니다. 클라이언트는 5) 데이터의 추출을 만든 다음 6) Tableau Bridge 서비스를 사용하여 이 추출을 Tableau Cloud에 다시 게시합니다. 여러 새로 고침 요청이 발생할 수 있도록 2-6단계를 병렬로 수행할 수 있습니다.

  • Bridge(레거시) 일정을 사용하는 추출 연결이 포함된 데이터 원본의 경우 클라이언트가 1) 새 새로 고침 일정 및 데이터 원본(.tds) 파일을 확인하기 위해 보안 연결(https://)을 사용하여 Tableau Cloud에 접속합니다. 2) 이 정보를 사용할 수 있는 경우 3/4) 클라이언트는 예약된 시간에 저장된 자격 증명을 사용하여 사설망 데이터에 연결합니다. 클라이언트는 5) 데이터의 추출을 만든 다음 6) Tableau Bridge 서비스를 사용하여 이 추출을 Tableau Cloud에 다시 게시합니다. Tableau Bridge 서비스는 Tableau Cloud에 상주하는 클라이언트의 일부입니다.

추가 보안 고려 사항

선택적 정방향 프록시 필터링

데이터를 Tableau Cloud에만 전송하려면 Bridge 클라이언트의 아웃바운드 연결에 도메인 기반 필터링(정방향 프록시 필터링)을 구현하면 됩니다.

다음 목록에는 Bridge의 아웃바운드 연결에 필요한 부분적으로 정규화된 도메인 이름이 포함되어 있습니다.

  • *.online.tableau.com
  • *.compute-1.amazonaws.com, Amazon VPC의 공개 DNS 호스트 이름(us-east-1 지역의 예: ec2-<public-ipv4-address>.compute-1.amazonaws.com)
  • *.compute.amazonaws.com, Amazon VPC의 공개 DNS 호스트 이름(us-east-1 이외의 다른 모든 지역의 예: ec2-<public-ipv4-address>.compute.amazonaws.com)
  • *.salesforce.com, 사이트에서 Tableau 인증과 MFA(다단계 인증)을 사용(Tableau에서 MFA 사용)하고 환경에서 클라이언트가 다른 필수 서비스에 액세스하지 못하도록 하는 프록시를 사용 중인 경우에 사용합니다.
  • crash-artifacts-747369.s3.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
  • s3-us-west-2-w.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
  • s3-w-a.us-west-2.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
  • bam.nr-data.net: New Relic의 웹 분석 플랫폼에 사용됩니다.
  • js-agent.newrelic.com: New Relic에 성능 데이터를 보냅니다.
피드백을 제공해 주셔서 감사합니다!