AWS での Tableau Server の保護

これはアーカイブされたコンテンツです

パブリック クラウドへの展開は引き続きサポートされますが、サードパーティーのパブリック クラウドへの展開に関するコンテンツは更新されなくなります。

Tableau Server の展開の最新コンテンツについては、「Tableau Server 導入ガイド(新しいウィンドウでリンクが開く)」および Tableau Server ヘルプの「」「展開(新しいウィンドウでリンクが開く)」セクションを参照してください。

アクセスが可能な場合は、Tableau Cloud を使用することをお勧めします。詳細については、以下を参照してください。

概要

Tableau Server をオンプレミスで展開するかクラウドに展開するかに関わらず、展開環境のセキュリティを確保するための作業を行うことが重要です。Tableau Server のセキュリティを高める詳細な方法については、「セキュリティ」を参照してください。

Tableau Server に組み込まれているセキュリティ機能に加えて、AWS が次のような、Tableau Server 環境のセキュリティを確保する上で役立つ各種機能を提供しています。

  • Amazon VPC - プライベート サブネットを作成することで、ネットワークのセキュリティを保護する層がさらに 1 つ加わります。

  • セキュリティ グループ - どのインバウンド トラフィックとアウトバウンド トラフィックがネットワークに接続できるのか指定します。Classless Inter-Domain Routing (CIDR) ブロックで、ご自身の IP アドレスに向かうインバウンド トラフィックを制限してください。サーバーにアクセスするすべてのトラフィックを許可する「0000\0」は安全ではないため、使用しないようにしてください。

  • AWS Identity and Access Management (IAM) - AWS の各種機能が、ユーザーのアクセスに対して特定の制御を行えるようになります。

  • AWS Direct Connect - AWS Direct Connect パートナーを介し、業界標準の 802.1Q VLAN を使って企業ネットワークと AWS 間の接続を専用のネットワークを通じて行えるようになります。詳細については、AWS のウェブサイトにある「AWS Direct Connect ユーザーガイド」の「AWS Direct Connect ロケーションのクロスコネクトのリクエスト」を参照してください。

  • Amazon EBS Encryption - ディスク ボリュームに保存されているデータや、EC2 インスタンスと EBS ストレージ間を流れるデータを、シンプルかつパフォーマンスに優れた方法で暗号化できます。

内外を問わず多岐にわたるユーザーのニーズを単一のレポートおよびダッシュボードが安全に満たせるようにすることで、AWS および Tableau Server 内の企業アプリケーションのセキュリティを確保することができます。企業アプリケーションのセキュリティには、主に 3 つの要素があります。

ネットワーク

内外の通信を保護するために Amazon VPC のセキュリティ グループを使用することで、AWS 内の Tableau Server のネットワーク セキュリティが保たれます。詳細については、AWS のウェブサイトにある「Amazon Virtual Private Cloud ユーザーガイド」の「VPC のセキュリティグループ」を参照してください。

Amazon VPC

Amazon VPC はクラウド内ではっきりと隔離されたネットワークであり、各 Amazon VPC 内のネットワーク トラフィックは、その他すべての Amazon VPC のものと隔離されます。Amazon VPC を使用すれば、独自のネットワーク サブネットを作成してアプリケーション層をネットワーク サブネット毎に分けることができるため、制御の幅が広がります。Amazon VPC 内に別のサブネットを用意してそこに Tableau Server をインストールして実行することで、Tableau Server やその他のデータ セットにアクセスするためのネットワークを構成できるようにすることが推奨されます。次の図は、単一ノードの Tableau Server を 1 つの Amazon VPC にインストールする場合の典型的な例を示しています。

セキュリティ グループ

セキュリティ グループを利用すれば、どのような種類のネットワーク トラフィックが Tableau Server にアクセスできるのか定義できます。Amazon EC2 のセキュリティ グループは、Amazon EC2 インスタンスを出入りするネットワーク トラフィックを制御するファイアウォールとして機能します。利用する Amazon EC2 インスタンスに合わせてセキュリティ グループを定義し、割り当てることができます。既定では、インバウンド トラフィックを一切許可しないセキュリティ グループを持つ Amazon EC2 インスタンスがローンチされます。EC2 インスタンスにアクセスするためには、適切なインバウンド トラフィックを許可するように事前に変更を加えておく必要があります。

EC2 インスタンス上の Tableau Server に接続するための最低条件は次の通りです。

  • Remote Desktop クライアントを使用する RDP (ポート 3389) を介した接続により、インスタンスおよびサービスにアクセスし、それらを管理すること。

  • ホストされているコンテンツを閲覧したり、Tableau Server にパブリッシュしたりするために必要な、HTTP (ポート 80) および HTTPS (ポート 443) を介した標準的なウェブ トラフィック。

  • 複数のインスタンス (存在する場合) に分かれた Tableau Server の各コンポーネント間の通信が許可されていること。[すべて] および [分散型/高可用性] のカテゴリーにリストアップされているポートを参照してください。

これらの条件に基づき、EC2 インスタンスに向かうインバウンド トラフィック用に HTTP 80、HTTPS 443、RDP 3389 という 3 つの標準的なポートだけを有効にする必要があります。また、一部のホストからのリモート アクセス (ポート 3389) を制限し、さらに企業ネットワークや信頼できるクライアントのグループに属するホストへと向かう HTTP および HTTPS トラフィックを制限する必要もあります。

 

クライアント アクセス

既定では、Tableau Server は標準的な HTTP リクエストおよびレスポンスを使用します。Tableau Server は、顧客が提示するセキュリティ証明書を利用する HTTPS (SSL) を使うように設定することもできます。Tableau Server が SSL を使用するように設定した場合、HTTPS プロトコルを使用してクライアント間の通信やコンテンツがすべて暗号化されるようになります。Tableau Server が SSL を使用するように設定する際、ブラウザーおよびサーバー上にある SSL ライブラリが Common Encryption 方式でネゴシエートします。Tableau Server は OpenSSL をサーバー側の SSL ライブラリとして使用し、また受け入れられている現行の規格を使用するように予め設定されています。SSL を介して Tableau Server にアクセスするウェブ ブラウザーは、ブラウザーに実装されている標準的な SSL を使用します。Tableau Server がどのように SSL を扱うのか、詳細については「SSL」を参照してください。Tableau Server はポート 443 でのみ SSL トラフィックをリッスンします。SSL/TLS 用にカスタム ポートを設定する必要はありません。

Elastic Load Balancing (ELB) を使用している場合、ELB に SSL の処理を任せることもできます。ELB がウェブ トラフィックの暗号化と復号化を扱えるようにすることで、Tableau Server 側の SSL を手作業で構成することなく、Tableau Server とのクライアント接続を簡単に保護することができます。詳細については、AWS のウェブサイトの「AWS Elastic Load Balancing: SSL の処理に関するサポート」を参照してください。

AWS Directory Service

任意の項目です。AWS Directory Service は、ユーザーの AWS リソースを Microsoft Active Directory などのオンプレミスに既にあるディレクトリ (AD Connector による)、あるいは AWS Cloud 内に新しくセットアップしたスタンドアロンのディレクトリ (Simple AD による) に接続できるようにするマネージド サービスです。オンプレミスのディレクトリに接続するのは簡単であり、接続を確立した後は、あらゆるユーザーが既存の企業の認証情報を使って AWS リソースにアクセスできるようになります。

AWS Directory Service を使用することで、ローカル認証の代わりに、Tableau Server に組み込まれたユーザー管理システムを使ってユーザーを作成してパスワードを割り当てる Active Directory ベースの認証を選ぶことが可能になります。Active Directory ベースの認証を設定する場合、Tableau Server をインストールした後の設定作業の段階で Active Directory を選択する必要があります。後で Active Directory 認証とローカル認証を切り替えることはできません。

Active Directory 認証モデルは Microsoft Security Support Provider Interface (SSPI) を使用し、Windows のユーザー名およびパスワードに基づいて自動的にユーザーのサインインを行います。これにより、シングル サインオン (SSO) のような操作が実現します。

データ

Tableau Server は結果セットを処理する際、抽出を更新する際、その他のあらゆるデータベース通信を行う際に、可能な限りネイティブのドライバー (ネイティブのドライバーを利用できない場合は汎用 ODBC アダプター) を使用します。標準的でないポートと通信する、あるいは暗号化通信を使用するようにドライバーを設定することは可能ですが、この種の設定は Tableau Server にとって透過的なものに成ります。しかし、Tableau Server がデータベースに対して行う通信は通常ファイアウォールの背後で行われるため、この通信を暗号化しないという選択も可能です。

AWS 内のデータ ストアに接続する

Amazon Relational Database Service (Amazon RDS)、Amazon Elastic MapReduce (Amazon EMR) Hadoop Hive、Amazon Redshift などの AWS リソースを Amazon VPC 内にローンチすることができます。Tableau Server をデータ ストアのものと同じ Amazon VPC 内に配置することで、トラフィックが絶対に Amazon VPC の外に出ないようにすることができます。

次の図のように、セキュリティ グループを持つサブネットを使って異なるレイヤーにリソースをローンチしつつ、それらが Amazon VPC 内で安全に通信を行えるようにすることが可能です。

AWS の外部にあるデータ ストアに接続する

任意で、IPsec ハードウェア VPC 接続を使って Amazon VPC をご自身の企業のデータ センターに接続することで、データ センターを AWS Cloud まで拡張させることができます。この VPN 接続は、Amazon VPC にアタッチしたプライベート ゲートウェイと、データ センターにあるカスタマー ゲートウェイで構成されています。また、AWS Cloud の各サービスを利用する際にインターネットを使う代わりになる、AWS Direct Connect というネットワーク サービスを選択することもできます。AWS Direct Connect を使用すれば、AWS Direct Connect パートナーを介し、業界標準の 802.1Q VLAN を使って専用のネットワーク接続を構築できるようになります。詳細については、AWS のウェブサイトにある「AWS Direct Connect ユーザーガイド」の「AWS Direct Connect ロケーションのクロスコネクトのリクエスト」を参照してください。

パブリックな環境とプライベートな環境のネットワークを分離した状態で、同じ接続を通してパブリックなリソース (Amazon Simple Storage Service (Amazon S3) に保存されているオブジェクトなど。パブリック IP アドレス空間を使用) とプライベートなリソース (Amazon VPC 内で実行されている Amazon EC2 インスタンスなど。プライベート IP アドレス空間を使用) にアクセスできます。

保存データの暗号化

Amazon EBS の暗号化を利用すれば、個人を識別できる情報 (PII) が含まれている可能性があるストレージを透過的かつ簡単に暗号化できます。EBS による暗号化は、ストレージ内に保存されているデータ、およびストレージとインスタンス間で転送されるデータの両方を AES-256 を使って暗号化します。この機能によって Tableau Server のパフォーマンスが影響を受けることはほぼありません。そのため、システムに PII を保存するかどうかに関わらず、このサービスを活用することが推奨されます。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!