AWS 기반 Tableau Server 보안

아카이브된 콘텐츠

공용 클라우드에서의 배포는 계속 지원되지만 타사 공용 클라우드 배포에 대한 콘텐츠는 더 이상 업데이트되지 않습니다.

최신 Tableau Server 배포 콘텐츠는 엔터프라이즈 배포 가이드(링크가 새 창에서 열림) 및 Tableau Server 도움말의 배포(링크가 새 창에서 열림) 섹션을 참조하십시오.

액세스 권한이 있는 고객에게는 Tableau Cloud이 권장됩니다. 자세한 내용은 다음을 참조하십시오.

소개

Tableau Server를 온프레미스에 배포하든 클라우드에 배포하든 배포를 안전하게 하는 단계를 수행하는 것이 중요합니다. Tableau Server의 보안을 개선하는 방법에 대한 자세한 내용은 보안을 참조하십시오.

Tableau Server에 기본 제공되는 보안 기능에 더해 AWS의 다른 기능을 사용하여 Tableau Server 환경을 보호할 수 있습니다. 여기에는 다음이 포함됩니다.

  • Amazon VPC는 사설 서브넷을 만들어 환경의 네트워크 보안을 위한 추가 계층을 제공합니다.

  • 보안 그룹은 네트워크에 연결할 수 있는 인바운드 및 아웃바운드 트래픽을 결정합니다. CIDR(Classless Inter-Domain Routing) 블록의 IP 주소로 인바운드 트래픽을 제한하십시오. 0000\0은 모든 트래픽이 서버에 액세스할 수 있도록 하므로 안전하지 않습니다. 사용하지 마십시오.

  • AWS IAM(Identity and Access Management)은 AWS 내의 기능에 대한 사용자 액세스를 제어하는 특정 기능을 제공합니다.

  • AWS Direct Connect는 기업 네트워크에서 업계 표준 802.1Q VLAN을 사용하여 AWS Direct Connect 파트너를 통해 AWS에 연결하는 전용 네트워크 연결을 허용합니다. 자세한 내용은 AWS 웹 사이트의 AWS Direct Connect 사용 설명서에서 AWS Direct Connect 위치에서 교차 연결 요청을 참조하십시오.

  • Amazon EBS 암호화는 디스크 볼륨 내의 저장된 데이터와 EC2 인스턴스와 EBS 저장소를 이동하는 데이터를 암호화하는 단순하면서도 강력한 방법을 제공합니다.

AWS와 Tableau Server에서 엔터프라이즈 응용 프로그램 보안을 구현하여 단일 보고서 또는 대시보드로 내부 사용자와 외부 사용자를 모두 포함하는 다양한 사용자 기반의 요구 사항을 안전하게 충족할 수 있습니다. 엔터프라이즈 응용 프로그램 보안에는 세 가지 주요 구성 요소가 있습니다.

네트워크

AWS에서 Tableau Server의 네트워크 보안에는 Amazon VPC 보안 그룹이 사용됩니다. 이 보안 그룹은 SSL을 통해 내부 및 외부 통신을 보호합니다. 자세한 내용은 AWS 웹 사이트의 Amazon Virtual Private Cloud 사용 설명서에서 VPC의 보안 그룹을 참조하십시오.

Amazon VPC

Amazon VPC는 클라우드 내에서 분리되어 있는 고유한 네트워크입니다.각 Amazon VPC 내의 네트워크 트래픽은 다른 Amazon VPC와 분리됩니다. Amazon VPC를 사용하면 고유한 네트워크 서브넷을 만들고 응용 프로그램 계층을 네트워크 서브넷으로 분할하여 제어 수준을 높일 수 있습니다. Amazon VPC 내의 개별 서브넷에서 Tableau Server를 설치하고 실행하는 것이 좋습니다. 이렇게 하면 Tableau Server와 다른 데이터 집합에 대한 액세스에 사용할 네트워크를 구성할 수 있기 때문입니다. 다음 그림은 Amazon VPC에서의 일반적인 단일 노드 Tableau Server 설치를 보여 줍니다.

보안 그룹

보안 그룹을 사용하면 Tableau Server에 액세스할 수 있는 네트워크 트래픽의 유형을 정의할 수 있습니다. Amazon EC2 보안 그룹은 Amazon EC2 인스턴스의 수신 및 발신 네트워크 트래픽을 제어하는 방화벽 역할을 합니다. Amazon EC2 인스턴스에 적절한 보안 그룹을 정의하고 할당할 수 있습니다. 기본적으로 Amazon EC2 인스턴스는 인바운드 트래픽을 허용하지 않는 보안 그룹으로 시작됩니다. EC2 인스턴스에 액세스하려면 먼저 해당하는 인바운드 트래픽을 허용하도록 변경해야 합니다.

다음은 EC2 인스턴스의 Tableau Server에 연결하는 데 필요한 최소 요구 사항입니다.

  • 인스턴스 및 서비스에 액세스하고 관리하려면 원격 데스크톱 클라이언트를 사용하여 RDP(포트 3389)를 통해 연결합니다.

  • Tableau Server에서 호스팅되고 게시되는 콘텐츠를 보려면 HTTP(포트 80) 및 HTTPS(포트 443)를 통한 표준 웹 트래픽을 허용해야 합니다.

  • 여러 인스턴스에 Tableau Server 구성 요소가 있는 경우 해당 구성 요소 간의 통신을 허용해야 합니다.

이러한 요구 사항에 따라 EC2 인스턴스에 대한 인바운드 트래픽에 세 가지 표준 포트(HTTP 80, HTTPS 443 및 RDP 3389)만 사용하도록 설정해야 합니다. 또한 일부 호스트의 원격 액세스(포트 3389)를 제한하고 HTTP 및 HTTPS 트래픽을 회사 네트워크 내의 호스트 또는 신뢰할 수 있는 클라이언트 집합으로 제한해야 합니다.

 

클라이언트 액세스

기본적으로 Tableau Server는 표준 HTTP 요청 및 응답을 사용합니다. 고객이 제공한 보안 인증서를 통해 HTTPS(SSL)를 사용하도록 Tableau Server를 구성할 수 있습니다. SSL을 사용하도록 Tableau Server를 구성하면 모든 콘텐츠와 클라이언트 간 통신이 암호화되며 HTTPS 프로토콜이 사용됩니다. SSL을 사용하도록 Tableau Server를 구성하면 브라우저와 서버의 SSL 라이브러리가 공통 암호화 수준을 협상합니다. Tableau Server는 OpenSSL을 서버 측 SSL 라이브러리로 사용하며 현재 허용되는 표준을 사용하도록 미리 구성됩니다. SSL을 통해 Tableau Server에 액세스하는 각 웹 브라우저는 브라우저에서 제공하는 표준 SSL 구현을 사용합니다. Tableau Server에서 SSL을 사용하는 방법에 대한 자세한 내용은 SSL을 참조하십시오. Tableau Server는 포트 443에서만 SSL 트래픽을 수신합니다. SSL/TLS에 대해 사용자 지정 포트를 구성할 수 없습니다.

ELB(Elastic Load Balancing)를 사용하는 경우 ELB에서 SSL 종료를 수행할 수도 있습니다. ELB에서 웹 트래픽의 암호화/암호화 해제를 처리하도록 허용하면 Tableau Server에서 SSL을 수동으로 구성할 필요 없이 간편하게 Tableau Server에 대한 클라이언트 연결을 보호할 수 있습니다. 자세한 내용은 AWS 웹 사이트에서 AWS Elastic Load Balancing: Support for SSL Termination(AWS Elastic Load Balancing: SSL 종료 지원)을 참조하십시오.

AWS Directory Service

선택 사항입니다. AWS Directory Service는 AWS 리소스를 Microsoft Active Directory(AD Connector 사용) 같은 기존의 온프레미스 디렉터리에 연결하거나 AWS Cloud(Simple AD 사용)에서 새로운 독립 실행형 디렉터리를 설정하는 데 사용되는 관리되는 서비스입니다. 온프레미스 디렉터리에 간편하게 연결할 수 있으며 이 연결이 설정된 후에는 모든 사용자가 기존의 회사 자격 증명을 사용하여 AWS 리소스 및 응용 프로그램에 액세스할 수 있습니다.

AWS Directory Service를 사용하면 Tableau Server의 기본 사용자 관리 시스템을 사용하여 사용자를 만들고 암호를 할당하는 로컬 인증 대신 Active Directory 기반 인증을 사용하도록 선택할 수 있습니다. Active Directory 기반 인증을 설정하려면 Tableau Server를 설치한 후 구성 단계에서 Active Directory를 선택해야 합니다. 나중에 Active Directory와 로컬 인증 사이를 전환할 수 없습니다.

데이터

Tableau Server는 가능한 경우 원시 드라이버(원시 드라이버를 사용할 수 없는 경우 일반 ODBC 어댑터 사용)를 통해 데이터베이스에 연결하여 결과 집합을 처리하고, 추출을 새로 고치고, 다른 모든 데이터베이스 통신을 수행합니다. 비표준 포트로 통신하거나 전송 암호화를 사용하도록 드라이버를 구성할 수 있지만 이 유형의 구성은 Tableau Server에 영향을 주지 않습니다. 그러나 Tableau Server와 데이터베이스의 통신은 일반적으로 방화벽 뒤에서 수행되므로 이 통신을 암호화하지 않도록 선택할 수 있습니다.

AWS의 데이터 저장소에 연결

Amazon RDS(Amazon Relational Database Service), Amazon EMR(Amazon Elastic MapReduce), Hadoop Hive 또는 Amazon Redshift 같은 AWS 리소스를 Amazon VPC에서 시작할 수 있습니다. Tableau Server를 데이터 저장소와 동일한 Amazon VPC에 배치하면 트래픽을 Amazon VPC 내에 유지할 수 있습니다.

다음 다이어그램에 표시된 것과 같이 서브넷을 보안 그룹과 함께 사용하여 리소스를 다른 계층에서 시작하고 Amazon VPC 내에서 리소스가 안전하게 통신하도록 할 수 있습니다.

AWS 외부의 데이터 저장소에 연결

필요한 경우 IPsec 하드웨어 VPN 연결을 사용하여 Amazon VPC를 회사 데이터 센터에 연결하고 AWS Cloud를 데이터 센터의 확장으로 사용할 수 있습니다. VPN 연결은 Amazon VPC에 연결된 가상 사설 게이트웨이와 회사 데이터 센터에 위치한 고객 게이트웨이로 구성됩니다. AWS Cloud 서비스를 활용할 때 인터넷 대신 사용할 수 있는 네트워크 서비스인 AWS Direct Connect를 사용하도록 선택할 수 있습니다. AWS Direct Connect를 사용하면 AWS Direct Connect 파트너를 통해 업계 표준 802.1Q VLAN을 사용하는 전용 네트워크 연결을 설정할 수 있습니다. 자세한 내용은 AWS 웹 사이트의 AWS Direct Connect 사용 설명서에서 AWS Direct Connect 위치에서 교차 연결 요청을 참조하십시오.

동일한 연결을 사용하여 공개 리소스(예: 공개 IP 주소를 사용하여 Amazon S3(Amazon Simple Storage Service)에 저장된 개체)와 비공개 리소스(예: Amazon VPC 내에서 비공개 IP 공간을 사용하여 실행되는 Amazon EC2 인스턴스)에 연결하면서 공개 환경과 비공개 환경의 네트워크를 분리할 수 있습니다.

저장된 데이터 암호화

Amazon EBS 암호화는 PII(개인 식별 정보)를 포함할 수 있는 볼륨을 투명하고 간편하게 암호화할 수 있는 방법을 제공합니다. EBS 암호화는 볼륨 내에 저장된 데이터오 볼륨과 인스턴스 사이를 이동하는 데이터를 AES-256을 사용하여 암호화합니다. 이 기능은 Tableau Server 성능에 거의 또는 전혀 영향을 미치지 않습니다. 그러므로 시스템에 PII가 저장되는지 여부와 관계없이 이 서비스를 사용하는 것이 좋습니다.