Proteggere Tableau Server su AWS
Questo è un contenuto archiviato
Le distribuzioni cloud pubbliche continuano a essere supportate, ma il contenuto per le distribuzioni cloud pubbliche di terze parti non viene più aggiornato.
Per i contenuti più recenti sulla distribuzione di Tableau Server, consulta la Guida alla distribuzione per le organizzazioni di grandi dimensioni(Il collegamento viene aperto in una nuova finestra) e la sezione Implementare(Il collegamento viene aperto in una nuova finestra) della Guida di Tableau Server.
Per i clienti che vi hanno accesso, è consigliabile Tableau Cloud. Per ulteriori dettagli, consulta:
- Guida alla migrazione manuale a Tableau Cloud
- Versione di prova di Tableau Cloud per l’amministratore(Il collegamento viene aperto in una nuova finestra)
- Tableau Cloud: Introduzione per l’amministratore(Il collegamento viene aperto in una nuova finestra)
Introduzione
Sia che utilizzi Tableau Server in sede o nel cloud, è importante adottare misure per rendere sicura la distribuzione. Per maggiori informazioni su come aumentare la sicurezza di Tableau Server, consulta Sicurezza.
Oltre alle funzionalità di sicurezza incorporate in Tableau Server, AWS offre altre funzionalità che puoi utilizzare per proteggere il tuo ambiente Tableau Server, ad esempio:
Amazon VPC aggiunge un altro livello di sicurezza di rete al tuo ambiente creando sottoreti private.
I gruppi di sicurezza determinano il traffico in ingresso e in uscita che può connettersi alla rete. Limita il traffico in ingresso ai tuoi indirizzi IP nel blocco CIDR (Classless Inter-Domain Routing). Non utilizzare il formato 0000\0, non è sicuro perché consente a tutto il traffico di accedere al server.
AWS Identity e Access Management (IAM) consente di controllare in modo specifico l’accesso alle funzioni di AWS da parte degli utenti.
AWS Direct Connect consente di creare connessioni di rete dedicate da una rete aziendale a AWS usando VLAN 802.1Q standard di settore tramite un partner AWS Direct Connect. Per maggiori informazioni, consulta Requesting Cross Connects at AWS Direct Connect Locations nella Guida per l’utente AWS Direct Connect sul sito Web AWS.
La crittografia di Amazon EBS è un modo semplice ed efficace per crittografare i dati nei volumi del disco e i dati in transito tra le istanze di EC2 e l’archiviazione EBS.
Puoi implementare la sicurezza delle applicazioni aziendali in AWS e Tableau Server in modo da usare un singolo report o una singola dashboard per soddisfare le esigenze di una larga ed eterogenea base di utenti, sia interni che esterni. La sicurezza delle applicazioni aziendali si basa su tre componenti principali:
La sicurezza di rete per Tableau Server in AWS si basa sull’utilizzo di gruppi di sicurezza Amazon VPC con SSL per proteggere le comunicazioni interne ed esterne. Per maggiori informazioni, consulta Gruppi di sicurezza per il VPC nella Guida per l’utente di Amazon Virtual Private Cloud sul sito Web AWS.
Amazon VPC
Un Amazon VPC è una rete distinta e isolata all’interno del cloud; il traffico di rete all’interno di ciascun Amazon VPC è isolato da tutti gli altri Amazon VPC. Con un Amazon VPC puoi creare sottoreti della tua rete e suddividere livelli di applicazione in sottoreti per un maggior livello di controllo. Ti consigliamo di installare ed eseguire Tableau Server in una sottorete separata all’interno dell’Amazon VPC per poter configurare la rete per l’accesso a Tableau Server e ad altri set di dati. Nella figura seguente viene illustrata un’installazione tipica di un’istanza a un solo nodo di Tableau Server in un Amazon VPC.
Gruppi di sicurezza
I gruppi di sicurezza consentono di definire quali tipi di traffico di rete possono accedere a Tableau Server. I gruppi di sicurezza Amazon EC2 si comportano come un firewall che regola il traffico di rete in entrata e in uscita dalle istanze di Amazon EC2. Puoi definire e assegnare gruppi di sicurezza appropriati per le tue istanze di Amazon EC2. Per impostazione predefinita, le istanze di Amazon EC2 vengono avviate con gruppi di sicurezza che non consentono traffico in entrata. Prima di poter accedere all’istanza di EC2, devi apportare modifiche per consentire il traffico in entrata appropriato.
Di seguito sono indicati i requisiti minimi per le connessioni a Tableau Server in un’istanza di EC2:
Connessione tramite RDP (porta 3389) tramite un client Remote Desktop per accedere e gestire l’istanza e i servizi.
Traffico Web standard tramite HTTP (porta 80) e HTTPS (porta 443) per visualizzare il contenuto ospitato e per pubblicare su Tableau Server.
La comunicazione tra i componenti di Tableau Server su istanze diverse (se presenti) deve essere consentita. Vedi le porte elencate nelle categorie Tutte e Distribuite/Alta disponibilità.
In base a questi requisiti, abilita solo tre porte standard per il traffico in entrata verso l’istanza di EC2: HTTP 80, HTTPS 443 e RDP 3389. Ti consigliamo anche di limitare l’accesso remoto (porta 3389) da alcuni host e limitare anche il traffico HTTP e HTTPS agli host della rete aziendale o a un insieme di client attendibili.
Per impostazione predefinita, Tableau Server utilizza richieste e risposte HTTP standard. Tableau Server può essere configurato per HTTPS (SSL) con certificati di sicurezza forniti dal cliente. Se Tableau Server è configurato per SSL, tutti i contenuti e le comunicazioni tra i client sono criptati e utilizzano il protocollo HTTPS. Se configuri Tableau Server per SSL, il browser e la libreria SSL sul server negoziano un livello di crittografia comune. Tableau Server utilizza OpenSSL come libreria SSL lato server ed è preconfigurato per utilizzare gli standard attualmente accettati. Ogni browser Web che accede a Tableau Server tramite SSL utilizza l’implementazione SSL standard fornita da tale browser. Per maggiori informazioni sul modo in cui Tableau Server usa SSL, consulta SSL. Tableau Server accetterà il traffico SSL solo sulla porta 443. Non puoi configurare porte personalizzate per SSL/TLS.
Puoi usare ELB (Elastic Load Balancing) per eseguire la terminazione SSL. Consentire a ELB di gestire la crittografia/decrittografia del traffico Web è un modo semplice per proteggere la connessione tra il client e Tableau Server senza dover configurare manualmente SSL su Tableau Server. Per maggiori informazioni, consulta AWS Elastic Load Balancing: Support for SSL Termination sul sito Web di AWS.
AWS Directory Service
Facoltativo. AWS Directory Service è un servizio gestito che ti consente di collegare le tue risorse AWS a una directory locale esistente, ad esempio Microsoft Active Directory (con AD Connector), o di impostare una nuova directory autonoma nel cloud AWS (con Simple AD). La connessione a una directory locale è semplice e, una volta stabilita, tutti gli utenti possono accedere alle risorse e alle applicazioni di AWS con le loro credenziali aziendali.
Se utilizzi AWS Directory Service puoi scegliere di autenticarti con Active Directory invece che in locale per creare utenti e assegnare password con il sistema di gestione degli utenti integrato in Tableau Server. Per configurare l’autenticazione basata su Active Directory, dopo l’installazione di Tableau Server, scegli Active Directory. Non è possibile impostare in un secondo l’autenticazione locale dall’autenticazione con Active Directory.
Il modello di autenticazione di Active Directory utilizza Microsoft SSPI (Security Support Provider Interface) per far accedere automaticamente gli utenti in base al loro nome utente e password di Windows. In questo modo viene creata un’esperienza simile a quella dell’accesso Single Sign-On (SSO).
Tableau Server utilizza i driver nativi (se i driver nativi non sono disponibili, utilizza un adattatore ODBC generico) per connettersi quando possibile ai database per elaborare set di risultati, aggiornare le estrazioni e per tutte le altre comunicazioni con i database. Puoi configurare il driver per la comunicazione tramite porte non standard o usare la crittografia di trasporto, ma questo tipo di configurazione è trasparente per Tableau Server. Tuttavia, poiché la comunicazione tra Tableau Server e i database di solito viene filtrata da un firewall, puoi decidere di non crittografarla.
Connessione ad archivi dati in AWS
Puoi avviare le risorse di AWS, ad esempio Amazon RDS (Relational Database Service), Amazon EMR (Elastic MapReduce) Hadoop Hive o Amazon Redshift, in un Amazon VPC. Inserendo Tableau Server nello stesso Amazon VPC degli archivi dati, puoi assicurarti che il traffico non fuoriesca mai dall’Amazon VPC.
Puoi utilizzare le sottoreti con gruppi di sicurezza per avviare le tue risorse in livelli diversi, ma consentire loro di comunicare in modo sicuro all’interno di un Amazon VPC, come illustrato nel diagramma seguente.
Connessione ad archivi dati esterni a AWS
Puoi scegliere di connettere l’Amazon VPC al data center aziendale tramite una connessione VPN hardware IPsec, rendendo pertanto il cloud AWS un’estensione del data center. Una connessione VPN è costituita da un gateway privato virtuale collegato all’Amazon VPC e da un gateway del cliente situato nel data center. Puoi scegliere di utilizzare AWS Direct Connect, un servizio di rete che fornisce un’alternativa all’utilizzo di Internet per utilizzare i servizi cloud di AWS. AWS Direct Connect ti consente di stabilire una connessione di rete dedicata utilizzando VLAN 802.1Q standard di settore tramite un partner AWS Direct Connect. Per maggiori informazioni, consulta Requesting Cross Connects at AWS Direct Connect Locations nella Guida per l’utente AWS Direct Connect sul sito Web AWS.
Puoi utilizzare la stessa connessione per accedere a risorse pubbliche, ad esempio oggetti archiviati in Amazon S3 (Amazon Simple Storage Service) utilizzando lo spazio dell’indirizzo IP pubblico, e a risorse private, come le istanze di Amazon EC2 in esecuzione in un Amazon VPC con uno spazio IP privato, mantenendo la separazione tra gli ambienti pubblici e quelli privati della rete.
Crittografia dei dati a riposo
La crittografia Amazon EBS è un modo trasparente e semplice per crittografare volumi che possono contenere informazioni di identificazione personale (PII). EBS crittografa sia i dati a riposo all’interno del volume sia quelli in transito tra il volume e l’istanza utilizzando AES-256. Questa operazione ha un impatto praticamente nullo sulle prestazioni di Tableau Server. Ti consigliamo pertanto di utilizzare questo servizio, anche se nei tuoi sistemi non sono archiviate informazioni di identificazione personale.