Säkerhet för Data Connect
Data Connect fungerar som en modell för delat ansvar. Med den här modellen tillhandahåller du de fysiska eller virtuella beräkningsresurserna, och Tableau är värd för och hanterar Data Connect Kubernetes-klustret på dessa resurser. Tableau minskar den administrativa bördan genom att fjärrstyra, övervaka och underhålla Kubernetes-klustret. Tableau gör det möjligt att utföra korrigerande åtgärder för kontinuerlig tillgänglighet och eliminerar därmed behovet av att övervaka trafiken och anslutningsstatusen. Dessutom kan du med Data Connect välja datacenter, platser i gränsnätverk och miljöer som bäst uppfyller önskade krav för att minska fördröjningen och risken för överbelastning av nätverket. I den här modellen ansvarar Tableau för att driva Data Connect-tjänsten säkert och du ansvarar för att hantera infrastrukturen och nätverkslagren.
Säkerhetshänsyn
Data Connect tar följande säkerhetshänsyn:
Data Connect-tjänsten är en kontrollplanstjänst och har inte tillgång till dina data. Den underliggande komponenten för Data Connect-tjänsten är Tableau Bridge.
För att underlätta säker dataöverföring använder Data Connect Tableau Bridge, som använder säkra webbsocketar för att upprätta beständiga anslutningar till Tableau Cloud.
Data Connect-tjänsten interagerar inte med inloggningsuppgifter för databaser eller databasåtkomst. Inloggningsuppgifter för databaser lagras säkert i Tableau Cloud och skickas vidare till den Tableau Bridge-klient som ska utföra uppdateringen.
All kommunikation initieras bakom brandväggen och kräver därför inga ytterligare explicita brandväggsregler för inkommande trafik för att hantera undantag.
Bridge-klienten ansvarar bland annat för att komma åt data och upprätta säkra webbsocketanslutningar till Tableau Cloud. Läs mer i Bridge-säkerhet.
Arkitektur
Tableau Cloud kommunicerar med Kubernetes samordningstjänst för att driftsätta, övervaka och hantera Kubernetes-samordningen.
När du initierar Data Connect upprättas en säker anslutning till samordningstjänsten via port 443.
Efter att tjänsten har konfigurerats driftsätter ett Kubernetes-kluster en behållare med en Bridge-klient. Dessa Bridge-klienter ansvarar för att köra Tableau-arbetsbelastningar.
Tableau Cloud-användare loggar in på Tableau Cloud för att interagera med Data Connect-tjänsten.
Vid konfigurationen initierar Bridge-klienterna en anslutning till Tableau Cloud via HTTPS. När en anslutning har upprättats initierar Bridge-klienterna en säker, dubbelriktad kommunikation med Tableau Cloud-miljön via en WebSocket-anslutning (wss://).
Frågor som initieras från Tableau Cloud körs mot databasen som stöd för slutanvändaranalys.
Säkerhetslager
Det finns tre lager i Data Connect-lösningen. Det program som installerats i infrastrukturen, det orkestreringslager som används för att driftsätta och hantera program samt supportnätverket och maskinvaruinfrastrukturen.
Programlager: Databasautentisering, skicka data till Tableau Cloud och nätverksöverväganden; läs mer i Bridge-säkerhet.
Orkestreringslager: Läs avsnittet Behållarorkestrering nedan.
Infrastrukturlager: I Data Connect-modellen för delat ansvar ansvarar du för själva infrastrukturens säkerhet. Säkerhetsinformation om hur Data Connect-orkestreringslagret interagerar med infrastrukturen finns i avsnitten nedan.
Servicekonfiguration
Under konfigurationen av Data Connect ansvarar du för att konfigurera och initiera tjänsten inifrån nätverket. Denna process ger rätt åtkomstnivå och anger vilka dataåtkomstnoder som ska integreras med Tableau Cloud-platsen. Mer information om servicekonfiguration för Data Connect finns i Steg 1: Konfigurera klustret.
När Data Connect-lösningen initieras händer följande:
Data Connect-nodens hälsa kontrolleras.
En säker anslutning upprättas med orkestreringstjänsten via port 443.
Kubernetes-program laddas ner och installeras på datorn. Med den här programvaran kan Tableau fjärrdriftsätta och hantera Data Connect.
Information om Data Connect-noden skickas över den säkra anslutningen för att upprätthålla en väl fungerande tjänst.
Data överförs aldrig via orkestreringsanslutningen.
Tableau Cloud-kommunikation
All kommunikation från infrastrukturen till Tableau Cloud initieras bakom brandväggen. Du behöver inte hantera ytterligare undantag.
Mer information om Data Connect-kommunikation och infrastrukturkonfigurationer finns i Nätverksspecifikationer.
Tableau Cloud-autentisering
Data Connect skapar autentiseringstoken som används för att säkra Tableau Bridge-anslutningen till Tableau Cloud. Dessa token är platsspecifika och används av den pool med Bridge-klienter som de är associerade med. Token lagras i Kubernetes-hemligheter(Länken öppnas i ett nytt fönster) i klustret, som hanteras av Data Connect. Bridge-klienterna som är driftsatta i det klustret har åtkomst till dessa token för att logga in på Tableau Cloud, men token lagras inte på klienterna.
Platsadministratörer för alla platser som använder Data Connect måste uppdatera token för sin pool var 90:e dag i Tableau Cloud för att Data Connect-tjänsten ska fungera som den ska. Om token inte uppdateras kan Bridge-klienter i den poolen inte autentisera till Tableau Cloud-platsen och jobben som använder den poolen kommer att misslyckas.
Databasautentisering
Du hittar mer information om autentisering i Bridge-säkerhet.
När det gäller databasautentisering är det viktigt att förstå att Data Connect bara har stöd för Bridge-uppdateringsscheman, inte för äldre Bridge-scheman.
Orkestreringslagret är ett rent kontrollager. Det har inte tillgång till datalagret och interagerar därför inte med kunddata. Den enda delen av Data Connect som interagerar med datalagret är det program som installerats i infrastrukturen. Det här programmet är Bridge-klienten.
Vanliga frågor och svar om säkerhet
Vilken kod provisioneras till behållare?
Förutom den programvara som krävs för Kubernetes (kops) driftsätts Tableau Bridge för Linux för behållare. Du måste provisionera databasdrivrutiner när du skapar basavbildningen.
Hur kan jag hantera identifierade sårbarheter i programvara som driftsätts av Data Connect?
Du tillhandahåller all programvara som driftsätts av Data Connect via basavbildningen. Om du vill ändra den programvara som driftsätts tillhandahåller du en ny basavbildning. Avbildningen driftsätts sedan till alla Data Connect-noder i den poolen.
Vilken nivå av datoråtkomst kräver Data Connect?
Data Connect kräver administrationsåtkomst till infrastrukturen. Med den åtkomsten kan Tableau uppdatera och underhålla tjänsten.