Data Connect-beveiliging

Data Connect werkt als een gedeelde-verantwoordelijkheidsmodel. Bij dit model levert u de fysieke of virtuele computingbronnen en fungeert Tableau als host en beheerder van het Data Connect Kubernetes-cluster op die bronnen. Tableau vermindert de overhead van het beheer door de Kubernetes-cluster op afstand te beheren, monitoren en onderhouden. Met de mogelijkheid om herstelacties uit te voeren om continue beschikbaarheid mogelijk te maken, elimineert Tableau de noodzaak om het verkeer en de verbindingsstatus te monitoren. Om de latentie te verminderen en de netwerkopstopping te verminderen, kunt u met Data Connect bovendien het datacenter en de randlocaties en -omgevingen bepalen die het beste voldoen aan uw prestatievereisten. In dit model is Tableau verantwoordelijk voor het veilig beheren van de Data Connect-service en bent u verantwoordelijk voor het beheer van de infrastructuur- en netwerklagen.

De componenten van Data Connect en waar elk onderdeel wordt beheerd: ofwel door Tableau of door de klant.

Beveiligingsontwerpen

In Data Connect worden de volgende beveiligingsontwerpen toegepast:

  • De Data Connect-service is een 'control plane'-service en heeft geen toegang tot uw data. Het onderliggende onderdeel voor de Data Connect-service is Tableau Bridge.

  • Om veilige dataoverdracht te vergemakkelijken, maakt Data Connect gebruik van Tableau Bridge. Dit platform past beveiligde websockets toe om permanente verbindingen met Tableau Cloud tot stand te brengen.

  • De Data Connect-service communiceert niet met databasereferenties of databasetoegang. Databasereferenties worden veilig opgeslagen in Tableau Cloud en doorgegeven aan de Tableau Bridge-client die is geselecteerd om de vernieuwing uit te voeren. Tableau Bridge-clients worden gehost op de Data Connect-agent.

  • Alle communicatie wordt achter uw firewall geïnitieerd en vereist daarom geen extra expliciete inkomende firewallregels om uitzonderingen te beheren.

Tableau Bridge is het onderliggende onderdeel van de Data Connect-agent. Bridge is onder andere verantwoordelijk voor de toegang tot uw data en het tot stand brengen van beveiligde websocketverbindingen met Tableau Cloud. Zie Windows-beveiliging van Bridge.

Architectuur

  1. Tableau Cloud → indelingsservice

  2. Kubernetes-cluster → indelingsservice

  3. Kubernetes-cluster → container

  4. Tableau-gebruiker → Tableau Cloud

  5. Data Connect-agent (container) → Tableau Cloud

  6. Data Connect-agent (container) → uw database

Beveiligingslagen

De Data Connect-oplossing bestaat uit drie lagen. De toepassing die in uw infrastructuur is geïnstalleerd, de indelingslaag waarmee toepassingen(s) en het ondersteunende netwerk worden geïmplementeerd en beheerd, en de hardware-infrastructuur.

  • Toepassingslaag: Databaseverificatie, het verzenden van data naar Tableau Cloud en netwerkoverwegingen. Zie ook Windows-beveiliging van Bridge.

  • Indelingslaag: Zie de sectie Containerindeling, hieronder.

  • Infrastructuurlaag: In het Data Connect-model met gedeelde verantwoordelijkheid bent u verantwoordelijk voor de beveiliging van de infrastructuur zelf. In de onderstaande secties vindt u beveiligingsdetails over hoe de Data Connect-indelingslaag samenwerkt met uw infrastructuur.

Serviceconfiguratie

Tijdens de configuratie van Data Connect bent u verantwoordelijk voor het configureren en initiëren van de service vanuit uw netwerk. Dit proces zorgt voor het juiste toegangsniveau en specificeert welke Data Access-knooppunten moeten worden geïntegreerd met uw Tableau Cloud-site. Zie Stap 2: Uw cluster instellen voor meer informatie over de serviceconfiguratie voor Data Connect.

Bij initialisatie van de Data Connect-oplossing gebeurt het volgende:

  • De status van het Data Connect-knooppunt wordt gevalideerd.

  • Er wordt een beveiligde verbinding tot stand gebracht met de indelingsproviderservice via poort 443.

  • Er wordt Kubernetes-software gedownload en op de computer geïnstalleerd. Met deze software kan Data Connect op afstand worden geïmplementeerd en beheerd door Tableau.

  • Data van Data Connect-knooppunten worden via de beveiligde verbinding opgevraagd om de status van de service te behouden.

Uw data worden nooit via de indelingsverbinding overgedragen.

Tableau Cloud-communicatie

Alle communicatie van uw infrastructuur naar Tableau Cloud wordt achter uw firewall geïnitieerd. U hoeft geen extra uitzonderingen te beheren.

Zie Netwerkspecificaties voor meer informatie over Data Connect-communicatie en uw infrastructuurconfiguraties.

Tableau Cloud-verificatie

Voor de verificatie en autorisatie van Tableau Bridge-clients die door Data Connect naar Tableau Cloud worden geïmplementeerd, worden Persoonlijke toegangstokens (PAT's) toegepast. Voordat u Data Connect implementeert, moet u PAT's maken in de beheerconsole van Tableau Cloud. Vervolgens configureert u de Data Connect-service om deze tokens te gebruiken voor de verificatie van uw Data Connect-agent bij Tableau Cloud.

Databaseverificatie

Meer informatie over verificatie vindt u in Windows-beveiliging van Bridge.

In de context van databaseverificatie is het belangrijk om te begrijpen dat Data Connect alleen Bridge-vernieuwingsschema's ondersteunt en geen oudere Bridge-schema's.

Containerindeling

De indelingslaag is uitsluitend een controlelaag. Deze heeft geen toegang tot de datalaag en communiceert daarom niet met klantdata. Het enige aspect van Data Connect dat communiceert met de datalaag, is de toepassing die op uw infrastructuur is geïnstalleerd. Deze toepassing is de Data Connect-agent, een service die de Tableau Bridge-client uitvoert.

Veelgestelde vragen over beveiliging

Welke code wordt op containers ingericht?

Naast de software die nodig is voor Kubernetes-bewerkingen (kops), wordt ook Tableau Bridge voor Linux voor containers geïmplementeerd. U moet databasestuurprogramma's inrichten wanneer u de basisimage maakt.

Hoe kan ik gedetecteerde kwetsbaarheden beheren in de software die door Data Connect wordt geïmplementeerd?

U levert alle software die door Data Connect wordt geïmplementeerd via de basisimage. Om de geïmplementeerde software te wijzigen, levert u een nieuw basisimage. De image wordt vervolgens geïmplementeerd op alle Data Connect-knooppunten in die pool.

Welk niveau van computertoegang is vereist voor Data Connect?

Voor Data Connect is beheerderstoegang tot uw infrastructuur vereist. Met deze toegang kan Tableau de service bijwerken en onderhouden.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.