Bridge 보안

Tableau Bridge는 다음 보안 설계를 적용합니다.

  • 모든 통신은 온프레미스 방화벽 뒤에서 시작되므로 추가 예외를 관리할 필요가 없습니다.
  • Bridge의 송수신 데이터는 전송 중에 암호화됩니다.
  • 데이터베이스 자격 증명은 데이터 원본이 Online 새로 고침(이전에는 권장이라고 함) 또는 Bridge(레거시) 일정을 사용하도록 설정된 경우 Windows 자격 증명 관리자를 사용하여 컴퓨터에 저장됩니다. Online 새로 고침 일정의 경우 새로 고침을 수행하도록 선택된 클라이언트에 자격 증명이 전달됩니다.

아래 섹션에서 Bridge 보안에 대한 자세한 내용을 확인할 수 있습니다.

전송 보안

Bridge 클라이언트의 데이터는 TLS 1.2 연결을 사용하여 전송됩니다.

인증

Bridge에는 두 가지 기본 인증 지점이 있습니다.

Tableau Online

Tableau Online에 연결하기 위해 사용자가 Bridge 클라이언트를 통해 Tableau Online 자격 증명을 입력합니다.

1) 자격 증명이 입력되면 2) Tableau Online이 인증 토큰을 반환합니다. 3) 토큰은 클라이언트가 실행되는 컴퓨터에 Windows 운영 체제의 자격 증명 관리자를 사용하여 저장됩니다. Bridge는 토큰을 사용하여 추출 새로 고침 일정 정보를 다운로드하는 등의 다양한 작업을 수행합니다.

온프레미스 데이터

온프레미스 데이터에 액세스하려면 일부 데이터 원본에서 데이터베이스 자격 증명을 사용하여 인증해야 합니다. 데이터 원본의 연결 유형에 따라 클라이언트는 다음 방법 중 하나를 사용하여 데이터베이스 자격 증명을 처리합니다.

  • 라이브 연결 및 Online 새로 고침(이전에는 권장이라고 함) 일정을 사용하는 추출 연결에서는 데이터베이스 자격 증명이 요청 시간에 전송되며 TLS 1.2 연결이 사용됩니다.

  • Bridge(레거시) 일정을 사용하는 추출 연결에서 데이터 원본에 데이터베이스 자격 증명이 필요한 경우 이러한 자격 증명을 클라이언트에 직접 입력해야 합니다. 데이터베이스 자격 증명은 Windows 운영 체제의 자격 증명 관리자를 사용하여 컴퓨터에 저장됩니다. 클라이언트는 데이터베이스 자격 증명을 예약된 새로 고침 시간에 온프레미스 방화벽 뒤의 데이터베이스로 보냅니다.

클라이언트는 도메인 기반 보안(Active Directory)을 지원하며 사용자 이름/비밀번호 자격 증명을 사용하여 온프레미스 데이터에 액세스할 수 있습니다.

온프레미스 방화벽 변경

Bridge 클라이언트의 경우 온프레미스 방화벽을 변경할 필요가 없습니다. 클라이언트는 Tableau Online에 대한 아웃바운드 연결만 수행하기 때문입니다. 아웃바운드 연결을 허용하기 위해 클라이언트는 데이터 원본에 사용된 연결 유형에 따라 다음 프로토콜을 사용합니다.

  • 라이브 연결 및 Online 새로 고침(이전에는 권장이라고 함) 일정을 사용하는 추출 연결의 경우 보안 WebSocket(wss://)이 사용됩니다.

  • Bridge(레거시) 일정을 사용하는 추출 연결의 경우 HTTP Secure(https://)가 사용됩니다.

온프레미스 데이터 액세스

온프레미스 데이터에 대한 연결은 Tableau Online을 대신하여 Bridge 클라이언트에서 시작됩니다. 연결을 시작하는 프로세스는 데이터 원본의 연결 유형에 따라 다릅니다.

  • 라이브 연결의 경우 1) 클라이언트가 보안 WebSocket(wss://)을 사용하여 Tableau Online에 상주하는 클라이언트의 일부인 Tableau Bridge 서비스에 대한 영구 연결을 설정합니다. 그런 다음 Tableau Online의 응답을 기다립니다. 2) 응답이 오면 온프레미스 데이터에 대한 라이브 쿼리를 시작합니다. 3) 클라이언트가 온프레미스 데이터에 쿼리를 전달합니다. 4) 클라이언트가 동일한 영구 연결을 사용하여 5) 온프레미스 데이터를 반환합니다.

  • Online 새로 고침(이전에는 권장이라고 함) 일정을 사용하는 추출 연결의 경우 1) 클라이언트가 보안 WebSocket(wss://)을 사용하여 Tableau Online에 상주하는 클라이언트의 일부인 Tableau Bridge 서비스에 대한 영구 연결을 설정합니다. 그런 다음 클라이언트가 Tableau Online에서 새 새로 고침 일정에 대한 요청을 대기합니다. 클라이언트가 요청을 수신하면 2) 클라이언트는 데이터 원본(.tds) 파일에 대한 보안 연결(https://)을 사용하여 Tableau Online에 연결합니다. 3/4) 그런 다음 클라이언트는 요청에 내장된 자격 증명을 사용하여 온프레미스 데이터에 연결합니다. 클라이언트는 5) 데이터의 추출을 만든 다음 6) Tableau Bridge 서비스를 사용하여 이 추출을 Tableau Online에 다시 게시합니다. 여러 새로 고침 요청이 발생할 수 있도록 2-6단계를 병렬로 수행할 수 있습니다.

  • Bridge(레거시) 일정을 사용하는 추출 연결의 경우 클라이언트가 1) 새 새로 고침 일정 및 데이터 원본(.tds) 파일을 확인하기 위해 보안 연결(https://)을 사용하여 Tableau Online에 접속합니다. 2) 이 정보를 사용할 수 있는 경우 3/4) 클라이언트는 예약된 시간에 저장된 자격 증명을 사용하여 온프레미스 데이터에 연결합니다. 클라이언트는 5) 데이터의 추출을 만든 다음 6) Tableau Bridge 서비스를 사용하여 이 추출을 Tableau Online에 다시 게시합니다. Tableau Bridge 서비스는 Tableau Online에 상주하는 클라이언트의 일부입니다.

추가 보안 고려 사항

선택적 정방향 프록시 필터링

데이터를 Tableau Online에만 전송하려면 Bridge 클라이언트의 아웃바운드 연결에 도메인 기반 필터링(정방향 프록시 필터링)을 구현하면 됩니다.

다음 목록에는 Bridge의 아웃바운드 연결에 필요한 부분적으로 정규화된 도메인 이름이 포함되어 있습니다.

  • *.online.tableau.com
  • *.newrelic.com: 클라이언트 응용 프로그램 성능 모니터링에 사용됨
  • *.nr-data.net: 클라이언트 응용 프로그램 성능 모니터링에 사용됨
  • *.cloudfront.net: 정적 콘텐츠에 사용되는 CDN
  • *.akamai, 일부 Tableau Online 포드용 CDN
  • *.compute-1.amazonaws.com, Amazon VPC의 공개 DNS 호스트 이름(us-east-1 지역의 예: ec2-<public-ipv4-address>.compute-1.amazonaws.com)
  • *.compute.amazonaws.com, Amaon VPC의 공개 DNS 호스트 이름(us-east-1 이외의 다른 모든 지역의 예: ec2-<public-ipv4-address>.compute.amazonaws.com)
  • crash-artifacts-747369.s3.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
  • s3-us-west-2-w.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
  • s3-w-a.us-west-2.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
피드백을 제공해 주셔서 감사합니다!