Säkra Tableau Server i AWS
Detta är arkiverat innehåll
Driftsättningar i offentliga moln stöds även i fortsättningen, men innehållet för andra leverantörers offentliga molninstallationer uppdateras inte längre.
Det senaste innehållet om Tableau Server-driftsättningar finns i Driftsättningsguiden för Tableau Server för företag(Länken öppnas i ett nytt fönster) och i avsnittet Driftsätta(Länken öppnas i ett nytt fönster) i hjälpen för Tableau Server.
För de kunder som kommer åt det rekommenderar vi Tableau Cloud. Mer information finns i:
- Guide till manuell migrering för Tableau Cloud
- Provversion av Tableau Cloud för administratörer(Länken öppnas i ett nytt fönster)
- Tableau Cloud: Kom igång för administratörer(Länken öppnas i ett nytt fönster)
Introduktion
Oavsett om du distribuerar Tableau Server lokalt eller i molnet så är det viktigt att vidta steg för att göra din driftsättning säker. För information om hur du gör Tableau Server säkrare, se Säkerhet.
Förutom de säkerhetsfunktioner som är inbyggda i Tableau Server tillhandahåller AWS andra funktioner som du kan använda för att skydda din Tableau Server-miljö, till exempel:
Amazon VPC lägger till ytterligare ett lager av nätverkssäkerhet till din miljö genom att skapa privata undernät.
Säkerhetsgrupper avgör vilken inkommande och utgående trafik som kan anslutas till nätverket. Begränsa inkommande till dina IP-adresser i ditt CIDR-block (Classless Inter-Domain Routing). Använd inte 0000\0 vilket är osäkert eftersom det tillåter all trafik att komma åt din server.
AWS Identity and Access Management (IAM) ger specifik kontroll över användaråtkomst till funktioner inom AWS.
AWS Direct Connect tillåter en dedikerad nätverksanslutning från ett företagsnätverk till AWS med hjälp av branschstandard 802.1Q VLAN via en AWS Direct Connect-partner. Mer information finns i Begära korsanslutningar i AWS-direktanslutningsplatser i Användarguiden för AWS-direktanslutning på AWS-webbplatsen.
Amazon EBS Encryption erbjuder ett enkelt och effektivt sätt att kryptera data i vila i diskvolymer och data-i-transit mellan EC2-instanser och EBS lagring.
Du kan implementera företagets applikationssäkerhet i AWS och Tableau Server för att möjliggöra en enda rapport eller instrumentpanel för att på ett säkert sätt tillgodose behoven hos en bred och mångsidig användarbas, inklusive både interna och externa användare. Enterprise applikationssäkerhet har tre huvudkomponenter:
Nätverkssäkerhet för Tableau Server i AWS bygger på användning av Amazon VPC-säkerhetsgrupper med SSL för att säkra intern och extern kommunikation. Mer information finns i Säkerhetsgrupper för din VPC i Amazon Virtual Private Cloud User Guide på AWS-webbplatsen.
Amazon VPC
En Amazon VPC är ett distinkt, isolerat nätverk i molnet. Nätverkstrafik inom varje Amazon VPC är isolerad från alla andra Amazon VPC:ar. Med hjälp av en Amazon VPC kan du skapa dina egna nätverksundernät och dela upp applikationslager i nätverksundernät för en högre nivå av kontroll. Vi rekommenderar att du installerar och kör Tableau Server i ett separat undernät i din Amazon VPC så att du kan konfigurera nätverket för åtkomst till Tableau Server och andra datauppsättningar. Följande figur visar en typisk installation av Tableau Server med en nod i en Amazon VPC.
Säkerhetsgrupper
Med säkerhetsgrupper kan du definiera vilka typer av nätverkstrafik som kan komma åt Tableau Server. Amazon EC2 säkerhetsgrupper fungerar som en brandvägg som styr nätverkstrafik till och från Amazon EC2-instanser. Du kan definiera och tilldela säkerhetsgrupper som är lämpliga för dina Amazon EC2-instanser. Som standard startas Amazon EC2-instanser med säkerhetsgrupper som inte tillåter någon inkommande trafik. Innan du kan komma åt din EC2-instans måste du göra ändringar för att tillåta lämplig inkommande trafik.
Här är minimikraven för anslutningar till Tableau Server på en EC2-instans:
Anslutning via RDP (port 3389) med en Remote Desktop-klient för att komma åt och hantera instans och tjänster.
Standardwebbtrafik via HTTP (port 80) och HTTPS (port 443) för att visa innehåll som finns på, och för att publicera på, Tableau Server.
Kommunikation mellan Tableau Server-komponenter på andra instanser (i förekommande fall) ska tillåtas.
Baserat på dessa krav bör du endast aktivera tre standardportar för inkommande trafik till din EC2-instans: HTTP 80, HTTPS 443 och RDP 3389. Du bör också begränsa fjärråtkomst (port 3389) från några värdar, och även begränsa HTTP- och HTTPS-trafik till värdar inom ditt företagsnätverk eller till en betrodd uppsättning klienter.
Som standard använder Tableau Server HTTP-standardbegäranden och -svar. Tableau Server kan vara konfigurerat för HTTPS (SSL) med säkerhetscertifikat som tillhandahålls av kunden. När Tableau Server konfigurerats för SSL krypteras innehåll och kommunikation mellan klienter och använder sig av HTTPS-protokollet. När du konfigurerar Tableau Server för SSL så förhandlar webbläsaren och SSL-biblioteket på servern en gemensam krypteringsnivå. Tableau Server använder OpenSSL som SSL-bibliotek på serversidan och är förkonfigurerad att använda de för tillfället godkända standarderna. Varje webbläsare som har tillgång till Tableau Server via SSL använder den standardmässiga SSL-implementering som tillhandahålls av den webbläsaren. För mer information om hur Tableau Server använder SSL, se SSL. Tableau Server lyssnar bara efter SSL-trafik på port 443. Du kaninte konfigurera anpassade portar för SSL/TLS.
Om du använder Elastisk belastningsutjämning (ELB) kan ELB också utföra SSL-avslutning för din räkning. Att tillåta ELB att hantera kryptering/dekryptering av webbtrafik är ett enkelt sätt att säkra klientens anslutning till Tableau Server utan att behöva konfigurera SSL manuellt på Tableau Server själv. För mer information, se AWS elastisk belastningsutjämning: support för SSL-avslutning på AWS-webbplatsen.
AWS katalogtjänst
Valfritt. AWS katalogtjänst är en hanterad tjänst som låter dig ansluta dina AWS-resurser till en befintlig lokal katalog som Microsoft Active Directory (med AD Connector), eller för att ställa in en ny, fristående katalog i AWS-molnet (med Simple AD). Det är enkelt att ansluta till en lokal katalog. När denna anslutning har upprättats kan alla användare komma åt AWS-resurser och -applikationer med sina befintliga företagsbehörighetsuppgifter.
Med hjälp av AWS katalogtjänst kan du välja att använda Active Directory-baserad autentisering istället för lokal autentisering, vilket skapar användare och tilldelar lösenord med hjälp av Tableau Servers inbyggda användarhanteringssystem. För att konfigurera Active Directory-baserad autentisering, i konfigurationssteget efter installation av Tableau Server, måste du välja Active Directory. Det går inte att växla mellan Active Directory och lokal autentisering senare.
Tableau Server använder inbyggda drivrutiner (förlitar sig på en generisk ODBC-adapter när inbyggda drivrutiner inte är tillgängliga) för att ansluta till databaser när det är möjligt, bearbeta resultatuppsättningar, uppdatera utdrag och för all annan kommunikation med databasen. Du kan konfigurera drivrutinen till att kommunicera på icke-standardportar eller använda transportkryptering, men denna typ av konfiguration är transparent för Tableau Server. Men eftersom Tableau Server-till-databas-kommunikationen vanligtvis är bakom en brandvägg, kan du välja att inte kryptera denna kommunikation.
Ansluta till datalager i AWS
Du kan starta AWS-resurser, såsom Amazon Relational Database Service (Amazon RDS), Amazon Elastic MapReduce (Amazon EMR) Hadoop Hive eller Amazon Redshift, i en Amazon VPC. Genom att placera Tableau Server i samma Amazon VPC som dina datalagringar, kan du se till att din trafik aldrig lämnar Amazon VPC.
Du kan använda undernät med säkerhetsgrupper för att starta dina resurser i olika lager men låta dem kommunicera säkert inom en Amazon VPC, som illustreras i följande diagram.
Ansluta till datalager utanför AWS
Du kan eventuellt ansluta din Amazon VPC till ditt eget företags datacenter genom att använda en IPsec VPN-anslutning för maskinvara, vilket gör AWS-molnet till en förlängning av ditt datacenter. En VPN-anslutning består av en virtuell privat gateway som är ansluten till din Amazon VPC och en kundgateway som finns i ditt datacenter. Du kan välja att använda AWS Direct Connect, vilken är en nätverkstjänst som ger ett alternativ till att använda Internet för att använda AWS molntjänster. AWS Direct Connect låter dig upprätta en dedikerad nätverksanslutning genom att använda branschstandard 802.1Q VLAN via en AWS Direct Connect-partner. Mer information finns i Begära korsanslutningar i AWS-direktanslutningsplatser i Användarguiden för AWS-direktanslutning på AWS-webbplatsen.
Du kan använda samma anslutning för att få tillgång till offentliga resurser (såsom objekt som lagras i Amazon Simple Storage Service (Amazon S3) med hjälp av offentliga IP-adressutrymmen) och privata resurser (såsom Amazon EC2-instanser som körs i en Amazon VPC med hjälp av ett privat IP-utrymme), samtidigt som nätverksseparationen mellan de offentliga och privata miljöerna upprätthålls.
Kryptering av data i viloläge
Amazon EBS-kryptering erbjuder ett transparent och enkelt sätt att kryptera volymer som kan innehålla personligt identifierbar information (PII). EBS-kryptering krypterar både data i viloläge inuti volymen och data som överförs mellan volymen och instansen med hjälp av AES-256. Denna funktion påverkar knappt Tableau Server-prestandan. Därför rekommenderar vi att du utnyttjar denna tjänst oavsett om dina system lagrar PII.