Säkerhet för Data Connect

Gäller för: Tableau Cloud

Data Connect fungerar som en modell för delat ansvar. Med den här modellen tillhandahåller du de fysiska eller virtuella beräkningsresurserna, och Tableau är värd för och hanterar Data Connect Kubernetes-klustret på dessa resurser. Tableau minskar den administrativa bördan genom att fjärrstyra, övervaka och underhålla Kubernetes-klustret. Tableau gör det möjligt att utföra korrigerande åtgärder för kontinuerlig tillgänglighet och eliminerar därmed behovet av att övervaka trafiken och anslutningsstatusen. Dessutom kan du med Data Connect välja datacenter, platser i gränsnätverk och miljöer som bäst uppfyller önskade krav för att minska fördröjningen och risken för överbelastning av nätverket. I den här modellen ansvarar Tableau för att driva Data Connect-tjänsten säkert och du ansvarar för att hantera infrastrukturen och nätverkslagren.

Data Connect-komponenterna och var de hanteras: antingen av Tableau eller av kunden.

Säkerhetshänsyn

Data Connect tar följande säkerhetshänsyn:

  • Data Connect-tjänsten är en kontrollplanstjänst och har inte tillgång till dina data. Den underliggande komponenten för Data Connect-tjänsten är Tableau Bridge.

  • För att underlätta säker dataöverföring använder Data Connect Tableau Bridge, som använder säkra webbsocketar för att upprätta beständiga anslutningar till Tableau Cloud.

  • Data Connect-tjänsten interagerar inte med inloggningsuppgifter för databaser eller databasåtkomst. Inloggningsuppgifter för databaser lagras säkert i Tableau Cloud och skickas vidare till den Tableau Bridge-klient som ska utföra uppdateringen. Tableau Bridge-klienter finns på Data Connect-agenten.

  • All kommunikation initieras bakom brandväggen och kräver därför inga ytterligare explicita brandväggsregler för inkommande trafik för att hantera undantag.

Tableau Bridge är den underliggande komponenten i Data Connect-agenten. Bridge ansvarar bland annat för att komma åt data och upprätta säkra webbsocketanslutningar till Tableau Cloud. Läs mer i Bridge-säkerhet i Windows.

Arkitektur

  1. Tableau Cloud → orkestreringstjänst

  2. Kubernetes-kluster → orkestreringstjänst

  3. Kubernetes-kluster → behållare

  4. Tableau-användare → Tableau Cloud

  5. Data Connect-agent (behållare) → Tableau Cloud

  6. Data Connect-agent (behållare) → din databas

Säkerhetslager

Det finns tre lager i Data Connect-lösningen. Det program som installerats i infrastrukturen, det orkestreringslager som används för att driftsätta och hantera program samt supportnätverket och maskinvaruinfrastrukturen.

  • Programlager: Databasautentisering, skicka data till Tableau Cloud och nätverksöverväganden; läs mer i Bridge-säkerhet i Windows.

  • Orkestreringslager: Läs avsnittet Behållarorkestrering nedan.

  • Infrastrukturlager: I Data Connect-modellen för delat ansvar ansvarar du för själva infrastrukturens säkerhet. Säkerhetsinformation om hur Data Connect-orkestreringslagret interagerar med infrastrukturen finns i avsnitten nedan.

Servicekonfiguration

Under konfigurationen av Data Connect ansvarar du för att konfigurera och initiera tjänsten inifrån nätverket. Denna process ger rätt åtkomstnivå och anger vilka dataåtkomstnoder som ska integreras med Tableau Cloud-platsen. Du hittar mer information om servicekonfiguration för Data Connect i Steg 2: Konfigurera klustret.

När Data Connect-lösningen initieras händer följande:

  • Data Connect-nodens hälsa kontrolleras.

  • En säker anslutning upprättas med orkestreringstjänsten via port 443.

  • Kubernetes-program laddas ner och installeras på datorn. Med den här programvaran kan Tableau fjärrdriftsätta och hantera Data Connect.

  • Information om Data Connect-noden skickas över den säkra anslutningen för att upprätthålla en väl fungerande tjänst.

Data överförs aldrig via orkestreringsanslutningen.

Tableau Cloud-kommunikation

All kommunikation från infrastrukturen till Tableau Cloud initieras bakom brandväggen. Du behöver inte hantera ytterligare undantag.

Mer information om Data Connect-kommunikation och infrastrukturkonfigurationer finns i Nätverksspecifikationer.

Tableau Cloud-autentisering

Autentisering och auktorisering av Tableau Bridge-klienter som driftsätts av Data Connect till Tableau Cloud uppnås med Personliga åtkomsttoken (PAT). Innan du driftsätter Data Connect måste du skapa personliga åtkomsttoken på administratörskonsolen för Tableau Cloud. Sedan konfigurerar du Data Connect-tjänsten att använda dessa token för autentisering från Data Connect-agenten till Tableau Cloud.

Databasautentisering

Du hittar mer information om autentisering i Bridge-säkerhet i Windows.

När det gäller databasautentisering är det viktigt att förstå att Data Connect bara har stöd för Bridge-uppdateringsscheman, inte för äldre Bridge-scheman.

Behållarorkestrering

Orkestreringslagret är ett rent kontrollager. Det har inte tillgång till datalagret och interagerar därför inte med kunddata. Den enda delen av Data Connect som interagerar med datalagret är det program som installerats i infrastrukturen. Det programmet är Data Connect-agenten, en tjänst som kör Tableau Bridge-klienten.

Vanliga frågor och svar om säkerhet

Vilken kod provisioneras till behållare?

Förutom den programvara som krävs för Kubernetes (kops) driftsätts Tableau Bridge för Linux för behållare. Du måste provisionera databasdrivrutiner när du skapar basavbildningen.

Hur kan jag hantera identifierade sårbarheter i programvara som driftsätts av Data Connect?

Du tillhandahåller all programvara som driftsätts av Data Connect via basavbildningen. Om du vill ändra den programvara som driftsätts tillhandahåller du en ny basavbildning. Avbildningen driftsätts sedan till alla Data Connect-noder i den poolen.

Vilken nivå av datoråtkomst kräver Data Connect?

Data Connect kräver administrationsåtkomst till infrastrukturen. Med den åtkomsten kan Tableau uppdatera och underhålla tjänsten.

Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!