Sichern von Tableau Server auf AWS
Das ist archivierter Inhalt
Bereitstellungen in öffentlichen Clouds werden weiterhin unterstützt, der Inhalt für Bereitstellungen in öffentlichen Clouds von Drittanbietern wird jedoch nicht mehr aktualisiert.
Den neuesten Inhalt zur Tableau Server-Bereitstellung finden Sie im Bereitstellungshandbuch zu Tableau Server Enterprise(Link wird in neuem Fenster geöffnet) und im Abschnitt Bereitstellen(Link wird in neuem Fenster geöffnet) der Tableau Server-Hilfe.
Für Kunden, die über Zugriff verfügen, empfehlen wir Tableau Cloud. Weitere Informationen dazu finden Sie hier:
- Handbuch für die manuelle Migration nach Tableau Cloud
- Testversion von Tableau Cloud für Administratoren(Link wird in neuem Fenster geöffnet)
- Tableau Cloud: Erste Schritte für Administratoren(Link wird in neuem Fenster geöffnet)
Einführung
Sowohl bei der Bereitstellung von Tableau Server vor Ort als auch in der Cloud ist es wichtig, die notwendigen Maßnahmen für eine sichere Bereitstellung zu ergreifen. Weitere Informationen dazu, wie Sie Tableau Server sicherer machen können, finden Sie unter Sicherheit.
Zusätzliche zu den in Tableau Server integrierten Sicherheitsfunktionen bietet AWS weitere Funktionen, mit denen Sie Ihre Tableau Server-Umgebung sicherer machen können. Hierzu zählen unter anderem folgende Funktionen:
Die Amazon VPC ergänzt Ihre Umgebung um eine weitere Netzwerksicherheitsebene, indem private Subnetze erstellt werden.
Sicherheitsgruppen legen fest, welcher eingehende und ausgehende Datenverkehr eine Verbindung zu Ihrem Netzwerk herstellen kann. Beschränken Sie den eingehenden Datenverkehr auf die IP-Adressen in dem von Classless Inter-Domain Routing (CIDR) zugewiesenen Block. Verzichten Sie auf die Verwendung von 0000\0. Das wäre unsicher, da damit jeder Datenverkehr auf Ihren Server zugreifen könnte.
AWS Identity and Access Management (IAM) ermöglicht die gezielte Kontrolle des Benutzerzugriffs auf Funktionen von AWS.
AWS Direct Connect ermöglicht unter Verwendung von VLANs, die dem Branchenstandard 802.1Q entsprechen, über einen AWS Direct Connect-Partner eine dedizierte Netzwerkverbindung von einem Unternehmensnetzwerk zu AWS. Weitere Informationen finden Sie unter Requesting Cross Connects at AWS Direct Connect Locations im AWS Direct Connect-Benutzerhandbuch auf der AWS-Website.
Amazon EBS Encryption bietet eine einfache und leistungsstarke Verschlüsselung für ruhende Daten auf Ihren Festplatten-Volumes sowie für Daten auf dem Übertragungsweg zwischen EC2-Instanzen und dem EBS-Speicher.
Sie können AWS und Tableau Server mit Anwendungssicherheit auf Unternehmensebene versehen, damit einzelne Berichte oder Dashboards den Anforderungen einer breit gefächerten und vielseitigen Benutzerbasis gerecht werden, die sowohl interne als auch externe Benutzer umfasst. Die Anwendungssicherheit auf Unternehmensebene umfasst drei Hauptbereiche:
Die Netzwerksicherheit für Tableau Server in AWS setzt auf die Verwendung von Amazon VPC-Sicherheitsgruppen mit SSL zur Absicherung der internen und externen Kommunikation. Weitere Informationen finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon Virtual Private Cloud-Benutzerhandbuch auf der AWS-Website.
Amazon VPC
Ein Amazon VPC ist ein eindeutiges, isoliertes Netzwerk innerhalb der Cloud. Der Netzwerkverkehr innerhalb jeder Amazon VPC ist von allen anderen Amazon VPCs isoliert. Mit einer Amazon VPC können Sie eigene Subnetze für Ihr Netzwerk erstellen und Anwendungsebenen für mehr Kontrolle auf diese Subnetze aufteilen. Wir empfehlen die Installation und Ausführung von Tableau Server in einem separaten Subnetz innerhalb Ihrer Amazon VPC, damit Sie das Netzwerk für den Zugriff auf Tableau Server und andere Datensätze konfigurieren können. Die folgende Abbildung zeigt eine typische Einzelknoteninstallation von Tableau Server in einer Amazon VPC.
Sicherheitsgruppen
Über Sicherheitsgruppen können Sie definieren, welche Art von Netzwerkverkehr auf Tableau Server zugreifen kann. Amazon EC2-Sicherheitsgruppen fungieren als Firewall, die den ein- und ausgehenden Netzwerkverkehr für Amazon EC2-Instanzen regelt. Sie können Sicherheitsgruppen definieren und zuweisen, die für Ihre Amazon EC2-Instanzen geeignet sind. Amazon EC2-Instanzen werden standardmäßig mit Sicherheitsgruppen gestartet, die keinen eingehenden Datenverkehr zulassen. Bevor Sie auf Ihre EC2-Instanz zugreifen können, müssen Sie Änderungen vornehmen, um den angemessenen eingehenden Datenverkehr zuzulassen.
Im Folgenden sind die Mindestanforderungen für Verbindungen zu Tableau Server auf einer EC2-Instanz aufgeführt:
Verbindung über RDP (Port 3389) mit einem Remote Desktop-Client für den Zugriff auf Instanz und Dienste und deren Verwaltung.
Standardmäßiger Webdatenverkehr über HTTP (Port 80) und HTTPS (Port 443) zur Anzeige von gehosteten Inhalten und für das Veröffentlichen in Tableau Server.
Die Kommunikation zwischen Tableau Server-Komponenten auf verschiedenen Instanzen (sofern vorhanden) sollte zugelassen werden.
Basierend auf diesen Anforderungen sollten Sie für Ihre EC2-Instanz lediglich drei Standardports für den eingehenden Datenverkehr aktivieren: HTTP 80, HTTPS 443 und RDP 3389. Des Weiteren sollten Sie den Fernzugriff (Port 3389) auf wenige Hosts beschränken, und auch der HTTP- und HTTPS-Datenverkehr sollte auf Hosts innerhalb Ihres Unternehmensnetzwerks oder auf eine Gruppe vertrauenswürdiger Clients beschränkt werden.
Standardmäßig verwendet Tableau Server Standard-HTTP-Anforderungen und -Antworten. Tableau Server kann mit vom Kunden bereitgestellten Sicherheitszertifikaten für HTTPS (SSL) konfiguriert werden. Wird Tableau Server für SSL konfiguriert, wird der gesamte Datenverkehr zwischen den Clients verschlüsselt, und das HTTPS-Protokoll wird verwendet. Wenn Sie Tableau Server für SSL konfigurieren, vereinbaren Browser und SSL-Bibliothek auf dem Server eine gemeinsame Verschlüsselungsstufe. Tableau Server verwendet auf Serverseite OpenSSL als SSL-Bibliothek und ist so konfiguriert, dass momentan anerkannte Standards verwendet werden. Jeder Webbrowser, der über SSL auf Tableau Server zugreift, verwendet die Standard-SSL-Implementierung dieses Browsers. Weitere Informationen zur Verwendung von SSL durch Tableau Server finden Sie unter SSL. Tableau Server hört nur den Port 443 auf SSL-Datenverkehr ab. Sie können für SSL/TLS keine Standardports konfigurieren.
Wenn Sie Elastic Load Balancing (ELB) verwenden, kann auch ELB die SSL-Terminierung in Ihrem Namen durchführen. Die Ver-/Entschlüsselung des Datenverkehrs durch ELB stellt eine einfache Möglichkeit dar, die Client-Verbindung mit Tableau Server abzusichern, ohne manuell SSL auf Tableau Server selbst konfigurieren zu müssen. Weitere Informationen finden Sie unter AWS Elastic Load Balancing: Support for SSL Termination auf der AWS-Website.
AWS Directory Service
Optional. Bei AWS Directory Service handelt es sich um einen verwalteten Dienst, der es Ihnen ermöglicht, Ihre AWS-Ressourcen mit einem vorhandenen lokalen Verzeichnis wie Microsoft Active Directory (mit AD-Connector) zu verbinden oder ein neues Einzelverzeichnis in der AWS-Cloud zu erstellen (mit Simple AD). Das Herstellen einer Verbindung zu einem lokalen Verzeichnis ist einfach. Nach dem Herstellen dieser Verbindung können alle Benutzer über ihre bestehenden Anmeldeinformationen für das Unternehmen auf AWS-Ressourcen und -Anwendungen zugreifen.
Mit AWS Directory Service können Sie statt einer lokalen Authentifizierung eine Active Directory-basierte Authentifizierung verwenden, die das integrierte Benutzermanagementsystem von Tableau Server verwendet, um Benutzer zu erstellen und Kennwörter zuzuweisen. Wählen Sie im Konfigurationsschritt nach der Installation von Tableau Server "Active Directory" aus, um die Active Directory-basierte Authentifizierung einzurichten. Sie können später nicht zwischen Active Directory-basierter und lokaler Authentifizierung hin- und herwechseln.
Tableau Server verwendet systemeigene Treiber (oder einen generischen ODBC-Adapter, wenn keine systemeigenen Treiber verfügbar sind), um eine Verbindung zu Datenbanken herzustellen, zur Verarbeitung von Ergebnissätzen, zur Aktualisierung von Extrakten sowie für jedwede sonstige Kommunikation mit der Datenbank. Sie können den Treiber für die Kommunikation über andere Ports als die Standardports oder die Transportverschlüsselung konfigurieren. Diese Art der Konfiguration ist für Tableau Server jedoch transparent. Da die Kommunikation zwischen Tableau Server und Datenbank üblicherweise jedoch hinter einer Firewall stattfindet, können Sie sich auch dafür entscheiden, diese Kommunikation nicht zu verschlüsseln.
Herstellen einer Verbindung zu Datenspeichern in AWS
Sie können AWS-Ressourcen wie Amazon Relational Database Service (Amazon RDS), Amazon Elastic MapReduce (Amazon EMR) Hadoop Hive oder Amazon Redshift in einer Amazon VPC starten. Indem Sie Tableau Server in derselben Amazon VPC wie Ihre Datenspeicher platzieren, stellen Sie sicher, dass Ihr Datenverkehr die Amazon VPC niemals verlässt.
Sie können Subnetze mit Sicherheitsgruppen verwenden, um Ihre Ressourcen zwar in unterschiedlichen Ebenen zu starten, sie jedoch sicher innerhalb einer Amazon VPC miteinander kommunizieren zu lassen (siehe folgendes Diagramm).
Herstellen einer Verbindung zu Datenspeichern außerhalb von AWS
Optional können Sie Ihre Amazon VPC mit dem Rechenzentrum Ihres Unternehmens verbinden, indem Sie eine hardwarebasierte IPsec-VPN-Verbindung verwenden und die AWS-Cloud dadurch zu einer Erweiterung Ihres Rechenzentrums machen. Eine VPN-Verbindung umfasst ein Ihrer Amazon VPC zugeordnetes virtuelles privates Gateway und ein Kunden-Gateway in Ihrem Rechenzentrum. Sie können sich auch für die Verwendung von AWS Direct Connect entscheiden. Dieser Netzwerkdienst stellt eine Alternative zur Nutzung des Internets für die Verwendung der Clouddienste von AWS dar. AWS Direct Connect ermöglicht unter Verwendung von VLANs, die dem Branchenstandard 802.1Q entsprechen, über einen AWS Direct Connect-Partner die Herstellung einer dedizierten Netzwerkverbindung. Weitere Informationen finden Sie unter Requesting Cross Connects at AWS Direct Connect Locations im AWS Direct Connect-Benutzerhandbuch auf der AWS-Website.
Sie können über dieselbe Verbindung auf öffentliche Ressourcen (z. B. in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte unter Verwendung öffentlicher IP-Adressräume) und auf private Ressourcen (z. B. innerhalb einer Amazon VPC ausgeführte Amazon EC2-Instanzen unter Verwendung eines privaten IP-Adressraums) zugreifen, ohne dabei die Trennung der Netzwerke zwischen den öffentlichen und privaten Umgebungen zu beeinträchtigen.
Verschlüsseln ruhender Daten
Amazon EBS Encryption bietet eine transparente und einfache Möglichkeit zur Verschlüsselung von Volumes, auf denen personenbezogene Daten gespeichert sein können. EBS Encryption verschlüsselt sowohl auf dem Volume gespeicherte Daten als auch Daten auf dem Übertragungsweg zwischen Volume und Instanz mit AES-256. Diese Funktion hat lediglich geringe bis gar keine Auswirkungen auf die Leistung von Tableau Server. Aus diesem Grund raten wir unabhängig davon, ob in Ihrem System personenbezogene Daten gespeichert werden, zur Nutzung dieses Dienstes.