Data Connect-beveiliging

Is van toepassing op: Tableau Cloud

Data Connect werkt als een model met gedeelde verantwoordelijkheid. Bij dit model levert u de fysieke of virtuele computingbronnen en fungeert Tableau als host en beheerder van het Data Connect Kubernetes-cluster op die bronnen. Tableau vermindert de overhead van het beheer door de Kubernetes-cluster op afstand te beheren, monitoren en onderhouden. Met de mogelijkheid om herstelacties uit te voeren om continue beschikbaarheid mogelijk te maken, elimineert Tableau de noodzaak om het verkeer en de verbindingsstatus te monitoren. Om de latentie te verminderen en de netwerkopstopping te verminderen, kunt u met Data Connect bovendien het datacenter en de randlocaties en -omgevingen bepalen die het beste voldoen aan uw prestatievereisten. In dit model is Tableau verantwoordelijk voor het veilig beheren van de Data Connect-service en bent u verantwoordelijk voor het beheer van de infrastructuur- en netwerklagen.

Verschillende componenten van de Data Connect-omgeving en de verantwoordelijkheid voor het beheer van deze componenten.

Beveiligingsontwerpen

In Data Connect worden de volgende beveiligingsontwerpen toegepast:

  • De Data Connect-service is een 'control plane'-service en heeft geen toegang tot uw data. Het onderliggende onderdeel voor de Data Connect-service is Tableau Bridge.

  • Om veilige dataoverdracht te vergemakkelijken, maakt Data Connect gebruik van Tableau Bridge. Dit platform past beveiligde websockets toe om permanente verbindingen met Tableau Cloud tot stand te brengen.

  • De Data Connect-service communiceert niet met databasereferenties of databasetoegang. Databasereferenties worden veilig opgeslagen in Tableau Cloud en doorgegeven aan de Tableau Bridge-client die is geselecteerd om de vernieuwing uit te voeren.

  • Alle communicatie wordt achter uw firewall geïnitieerd en vereist daarom geen extra expliciete inkomende firewallregels om uitzonderingen te beheren.

De Bridge-client is onder andere verantwoordelijk voor de toegang tot uw data en het tot stand brengen van beveiligde websocketverbindingen met Tableau Cloud. Zie Beveiliging in Bridge.

Architectuur

  1. Tableau Cloud communiceert met de Kubernetes-indelingsservice om de Kubernetes-indeling te implementeren, bewaken en beheren.

  2. Wanneer u Data Connect start, wordt een beveiligde verbinding tot stand gebracht met de indelingsproviderservice via poort 443.

  3. Nadat de service is geconfigureerd, implementeert een Kubernetes-cluster een of meer containers met Bridge-clients. Deze Bridge-clients zijn verantwoordelijk voor het uitvoeren van Tableau-workloads.

  4. Tableau Cloud-gebruikers melden zich aan bij Tableau Cloud om te communiceren met de Data Connect-service.

  5. Tijdens de installatie initialiseren Bridge-clients een verbinding met Tableau Cloud via HTTPS. Nadat de verbinding is geslaagd, initiëren Bridge-clients een veilige communicatie in twee richtingen met uw Tableau Cloud-omgeving via een WebSocket (wss://)-verbinding.

  6. Query's die vanuit Tableau Cloud worden gestart, worden op uw database uitgevoerd ter ondersteuning van eindgebruikersanalyses.

Beveiligingslagen

De Data Connect-oplossing bestaat uit drie lagen. De toepassing die in uw infrastructuur is geïnstalleerd, de indelingslaag waarmee toepassingen(s) en het ondersteunende netwerk worden geïmplementeerd en beheerd, en de hardware-infrastructuur.

  • Toepassingslaag: Databaseverificatie, het verzenden van data naar Tableau Cloud en netwerkoverwegingen. Zie ook Beveiliging in Bridge.

  • Indelingslaag: Zie de sectie Containerindeling, hieronder.

  • Infrastructuurlaag: In het Data Connect-model met gedeelde verantwoordelijkheid bent u verantwoordelijk voor de beveiliging van de infrastructuur zelf. In de onderstaande secties vindt u beveiligingsdetails over hoe de Data Connect-indelingslaag samenwerkt met uw infrastructuur.

Serviceconfiguratie

Tijdens de configuratie van Data Connect bent u verantwoordelijk voor het configureren en initiëren van de service vanuit uw netwerk. Dit proces zorgt voor het juiste toegangsniveau en specificeert welke Data Access-knooppunten moeten worden geïntegreerd met uw Tableau Cloud-site. Zie Stap 1: Uw cluster instellen voor meer informatie over de serviceconfiguratie voor Data Connect.

Bij initialisatie van de Data Connect-oplossing gebeurt het volgende:

  • De status van het Data Connect-knooppunt wordt gevalideerd.

  • Er wordt een beveiligde verbinding tot stand gebracht met de indelingsproviderservice via poort 443.

  • Er wordt Kubernetes-software gedownload en op de computer geïnstalleerd. Met deze software kan Data Connect op afstand worden geïmplementeerd en beheerd door Tableau.

  • Data van Data Connect-knooppunten worden via de beveiligde verbinding opgevraagd om de status van de service te behouden.

Uw data worden nooit via de indelingsverbinding overgedragen.

Tableau Cloud-communicatie

Alle communicatie van uw infrastructuur naar Tableau Cloud wordt achter uw firewall geïnitieerd. U hoeft geen extra uitzonderingen te beheren.

Zie Netwerkspecificaties voor meer informatie over Data Connect-communicatie en uw infrastructuurconfiguraties.

Tableau Cloud-verificatie

Data Connect maakt verificatietokens aan die worden gebruikt om de verbinding van Tableau Bridge met Tableau Cloud te beveiligen. Deze tokens zijn sitespecifiek en worden gebruikt door de pool van Bridge-klanten waaraan ze zijn gekoppeld. De tokens worden opgeslagen in Kubernetes-geheimen(Link wordt in een nieuw venster geopend) op het cluster, dat beheerd wordt door Data Connect. De Bridge-clients die op dat cluster zijn geïmplementeerd, hebben toegang tot deze tokens om in te loggen op Tableau Cloud. De tokens worden echter niet op de clients opgeslagen.

Om de Data Connect-service soepel te laten werken, moeten sitebeheerders van alle sites die Data Connect gebruiken, elke 90 dagen het token voor hun pool in Tableau Cloud vernieuwen. Als de tokens niet worden vernieuwd, kunnen Bridge-clients in die pool zich niet verifiëren bij de Tableau Cloud-site en mislukken de taken die gebruikmaken van die pool.

Databaseverificatie

Meer informatie over verificatie vindt u in Beveiliging in Bridge.

In de context van databaseverificatie is het belangrijk om te begrijpen dat Data Connect alleen Bridge-vernieuwingsschema's ondersteunt en geen oudere Bridge-schema's.

Containerindeling

De indelingslaag is uitsluitend een controlelaag. Deze heeft geen toegang tot de datalaag en communiceert daarom niet met klantdata. Het enige aspect van Data Connect dat communiceert met de datalaag, is de toepassing die op uw infrastructuur is geïnstalleerd. Deze toepassing is de Bridge-client.

Veelgestelde vragen over beveiliging

Welke code wordt op containers ingericht?

Naast de software die nodig is voor Kubernetes-bewerkingen (kops), wordt ook Tableau Bridge voor Linux voor containers geïmplementeerd. U moet databasestuurprogramma's inrichten wanneer u de basisimage maakt.

Hoe kan ik gedetecteerde kwetsbaarheden beheren in de software die door Data Connect wordt geïmplementeerd?

U levert alle software die door Data Connect wordt geïmplementeerd via de basisimage. Om de geïmplementeerde software te wijzigen, levert u een nieuw basisimage. De image wordt vervolgens geïmplementeerd op alle Data Connect-knooppunten in die pool.

Welk niveau van computertoegang is vereist voor Data Connect?

Voor Data Connect is beheerderstoegang tot uw infrastructuur vereist. Met deze toegang kan Tableau de service bijwerken en onderhouden.

Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.