Tableau Server beveiligen op AWS
Dit is gearchiveerde inhoud
Implementaties op openbare clouds worden nog steeds ondersteund, maar de inhoud voor implementaties in openbare clouds van externe partijen wordt niet langer bijgewerkt.
Zie de Gids voor bedrijfsimplementatie(Link wordt in een nieuw venster geopend) en de secties Implementeren(Link wordt in een nieuw venster geopend) of in het hulpsysteem van Tableau Server.
Voor de klanten die toegang hebben, raden wij Tableau Cloud aan. Zie voor meer details:
- Gids voor handmatige migratie naar Tableau Cloud
- Tableau Cloud-proefversie voor beheerders(Link wordt in een nieuw venster geopend)
- Tableau Cloud: aan de slag voor beheerders(Link wordt in een nieuw venster geopend)
Inleiding
Of u Tableau Server nu on-premises of in de cloud implementeert, het is belangrijk om actie te ondernemen om uw implementatie te beveiligen. Zie Beveiliging voor informatie over het veiliger maken van Tableau Server.
Naast de beveiligingsfuncties die in Tableau Server zijn ingebouwd, biedt AWS nog andere functies waarmee u uw Tableau Server-omgeving kunt beveiligen, zoals:
Amazon VPC voegt een extra laag netwerkbeveiliging toe aan uw omgeving door privé-subnetten te creëren.
Beveiligingsgroepen bepalen welk inkomend en uitgaand verkeer verbinding met uw netwerk kan maken. Beperk de inkomende e-mails tot uw IP-adressen in het blok Classless Inter-Domain Routing (CIDR). Gebruik niet het onveilige 0000\0. Dit geeft namelijk al het verkeer toegang tot uw server.
AWS Identity and Access Management (IAM) biedt specifieke controle over de toegang van gebruikers tot functies binnen AWS.
AWS Direct Connect maakt een speciale netwerkverbinding mogelijk van een bedrijfsnetwerk naar AWS met behulp van 802.1Q VLAN's die aan de industriestandaard voldoen via een AWS Direct Connect-partner. Zie Cross Connects aanvragen op AWS Direct Connect-locaties (in het Engels) in de AWS Direct Connect-gebruikershandleiding op de AWS-website voor meer informatie.
Amazon EBS Encryption biedt een eenvoudige en krachtige manier om data-at-rest op uw schijfvolumes en data-in-transit tussen EC2-instanties en EBS-opslag te versleutelen.
U kunt beveiliging voor bedrijfstoepassingen implementeren in AWS en Tableau Server, zodat u met één enkel rapport of dashboard op veilige wijze kunt voldoen aan de behoeften van een brede en diverse gebruikersgroep, waaronder zowel interne als externe gebruikers. Beveiliging voor bedrijfstoepassingen bestaat uit drie hoofdonderdelen:
Netwerkbeveiliging voor Tableau Server in AWS is afhankelijk van het gebruik van Amazon VPC-beveiligingsgroepen met SSL voor het beveiligen van interne en externe communicatie. Zie Beveiligingsgroepen voor uw VPC (in het Engels) in de Amazon Virtual Private Cloud-gebruikershandleiding op de AWS-website voor meer informatie.
Amazon VPC
Een Amazon VPC is een afzonderlijk, geïsoleerd netwerk in de cloud. Het netwerkverkeer binnen elke Amazon VPC is geïsoleerd van alle andere Amazon VPC's. Met een Amazon VPC kunt u uw eigen subnetten maken en applicatielagen in netwerksubnetten verdelen voor meer controle. Wij raden u aan Tableau Server te installeren en uit te voeren in een afzonderlijk subnet binnen uw Amazon VPC, zodat u het netwerk kunt configureren voor toegang tot Tableau Server en andere datasets. Op de volgende afbeelding wordt een typische installatie van een Tableau Server met één knooppunt in een Amazon VPC weergegeven.
Beveiligingsgroepen
Met beveiligingsgroepen kunt u definiëren welke typen netwerkverkeer toegang hebben tot Tableau Server. Amazon EC2-beveiligingsgroepen fungeren als firewall die het netwerkverkeer van en naar Amazon EC2-instanties leidt. U kunt beveiligingsgroepen definiëren en toewijzen die geschikt zijn voor uw Amazon EC2-instanties. Standaard worden Amazon EC2-instanties gestart met beveiligingsgroepen die geen inkomend verkeer toestaan. Voordat u toegang krijgt tot uw EC2-instantie, moet u wijzigingen aanbrengen om het juiste inkomende verkeer toe te staan.
Dit zijn de minimumeisen voor verbindingen met Tableau Server op een EC2-instantie:
Verbinding via RDP (poort 3389) met behulp van een Remote Desktop-client voor toegang tot en beheer van de instantie en services.
Standaard webverkeer via HTTP (poort 80) en HTTPS (poort 443) om gehoste inhoud op Tableau Server te bekijken en te publiceren.
Communicatie tussen Tableau Server-componenten op verschillende instanties (indien van toepassing) moet worden toegestaan.
Op basis van deze vereisten moet u slechts drie standaardpoorten inschakelen voor inkomend verkeer naar uw EC2-instantie: HTTP 80, HTTPS 443 en RDP 3389. U moet ook de externe toegang (poort 3389) vanaf een paar hosts beperken en daarnaast HTTP- en HTTPS-verkeer tot hosts binnen uw bedrijfsnetwerk of tot een vertrouwde set clients beperken.
Tableau Server gebruikt standaard HTTP-aanvragen en -reacties. Tableau Server kan worden geconfigureerd voor HTTPS (SSL) met door de klant geleverde beveiligingscertificaten. Wanneer Tableau Server voor SSL is geconfigureerd, worden alle inhoud en communicatie tussen clients gecodeerd en wordt het HTTPS-protocol gebruikt. Wanneer u Tableau Server voor SSL configureert, onderhandelen de browser en de SSL-bibliotheek op de server over een gemeenschappelijk versleutelingsniveau. Tableau Server gebruikt OpenSSL als SSL-bibliotheek aan de serverzijde en is vooraf geconfigureerd om de momenteel geaccepteerde standaarden te gebruiken. Elke webbrowser die via SSL toegang heeft tot Tableau Server, gebruikt de standaard de SSL-implementatie van die browser. Zie SSL voor meer informatie over hoe SSL werkt in Tableau Server. Tableau Server luistert alleen naar SSL-verkeer op poort 443. U kunt geen aangepaste poorten voor SSL/TLS configureren.
Als u Elastic Load Balancing (ELB) gebruikt, kan ELB ook de SSL-verbinding namens u beëindigen. Door ELB de versleuteling/ontsleuteling van webverkeer te laten doen, kunt u op een eenvoudige manier de verbinding van de client met Tableau Server beveiligen zonder dat u SSL handmatig op Tableau Server hoeft te configureren. Zie AWS Elastic Load Balancing: Ondersteuning voor beëindigen SSL-verbinding (in het Engels) op de AWS-website.
AWS-directoryservice
Optioneel. De AWS-directoryservice is een beheerde service waarmee u uw AWS-bronnen kunt verbinden met een bestaande on-premises directory, zoals Microsoft Active Directory (met AD Connector), of waarmee u een nieuwe, zelfstandige directory in de AWS-cloud kunt instellen (met Simple AD). Het is eenvoudig om verbinding te maken met een on-premises directory. Zodra de verbinding tot stand is gebracht, hebben alle gebruikers toegang tot AWS-resources en -toepassingen met hun bestaande bedrijfsreferenties.
Met de AWS Directory Service kunt u ervoor kiezen om Active Directory-gebaseerde verificatie te gebruiken in plaats van lokale verificatie. Hierbij worden gebruikers aangemaakt en wachtwoorden toegewezen met gebruik van het ingebouwde gebruikersbeheersysteem van Tableau Server. Om verificatie op basis van Active Directory in te stellen, moet u in de configuratiestap na de installatie van Tableau Server Active Directory selecteren. Het is niet mogelijk om later tussen Active Directory en lokale verificatie te wisselen.
Tableau Server maakt gebruik van native drivers (en vertrouwt op een algemene ODBC-adapter wanneer er geen native stuurprogramma's beschikbaar zijn) om waar mogelijk verbinding te maken met databases, voor het verwerken van resultaatsets, voor het vernieuwen van extracten en voor alle andere communicatie met de database. U kunt het stuurprogramma configureren om te communiceren via niet-standaardpoorten of om transportversleuteling te gebruiken, maar dit type configuratie is transparant voor Tableau Server. Omdat de communicatie tussen Tableau Server en de database doorgaans achter een firewall plaatsvindt, kunt u ervoor kiezen deze communicatie niet te versleutelen.
Verbinding maken met data-opslag in AWS
U kunt AWS-resources, zoals Amazon Relational Database Service (Amazon RDS), Amazon Elastic MapReduce (Amazon EMR) Hadoop Hive of Amazon Redshift, starten in een Amazon VPC. Door Tableau Server in dezelfde Amazon VPC te plaatsen als uw data-opslag, kunt u ervoor zorgen dat uw verkeer de Amazon VPC nooit verlaat.
U kunt subnetten met beveiligingsgroepen gebruiken om uw resources in verschillende lagen te brengen, maar ze veilig met elkaar te laten communiceren binnen een Amazon VPC, zoals in het volgende diagram wordt geschetst.
Verbinding maken met data-opslag buiten AWS
U kunt uw Amazon VPC eventueel verbinden met uw eigen bedrijfsdatacenter via een VPN-verbinding voor IPsec-hardware. Zo wordt de AWS-cloud een verlengstuk van uw datacenter. Een VPN-verbinding bestaat uit een virtuele privégateway die aan uw Amazon VPC en een klantgateway in uw datacenter is gekoppeld. U kunt ervoor kiezen om AWS Direct Connect te gebruiken. Dit is een netwerkservice die een alternatief biedt voor het gebruik van internet om AWS-cloudservices te gebruiken. Met AWS Direct Connect kunt u een speciale netwerkverbinding tot stand brengen met behulp van 802.1Q VLAN's volgens de industriestandaard via een AWS Direct Connect-partner. Zie Cross Connects aanvragen op AWS Direct Connect-locaties (in het Engels) in de AWS Direct Connect-gebruikershandleiding op de AWS-website voor meer informatie.
U kunt dezelfde verbinding gebruiken om toegang te krijgen tot openbare resources (zoals objecten die zijn opgeslagen in Amazon Simple Storage Service (Amazon S3) met behulp van openbare IP-adresruimte) en privacyresources (zoals Amazon EC2-instanties die worden uitgevoerd binnen een Amazon VPC met behulp van een privé IP-ruimte), terwijl u de netwerkscheiding tussen de openbare en privéomgevingen behoudt.
Data at rest versleutelen
Amazon EBS-versleuteling biedt een transparante en eenvoudige manier om volumes te versleutelen die mogelijk PII (Personally Identifiable Information) bevat. De EBS-versleuteling codeert zowel 'data at rest' in het volume als 'data in transit' tussen het volume en de instantie met behulp van AES-256. Deze functie heeft weinig tot geen invloed op de prestaties van Tableau Server. Daarom raden wij u aan om gebruik te maken van deze service, ongeacht of uw systemen PII opslaan.