網路安全


Tableau Server 中有三個主要網路介面:

  • 使用者端到 Tableau Server:使用者端可以是 Web 瀏覽器、Tableau Mobile、Tableau Desktop 或 tabcmd 公用程式。

  • Tableau Server 到資料庫:為了重新整理擷取或處理即時資料庫連線,Tableau Server 需要與資料庫進行通訊。

  • 伺服器元件通訊:這僅適用於分散式部署。

在大多數的組織中,Tableau Server 也會設定為與網際網路和 SMTP 伺服器通訊。

使用者端到 Tableau Server

Tableau Server 使用者端可以是 Web 瀏覽器、執行 Tableau Mobile、Tableau Desktop 或 tabcmd 命令的裝置。Tableau Server 與其使用者端之間的通訊使用標準 HTTP 請求和回應。我們建議將 Tableau Server 設定為使用 HTTPS 進行所有通訊。當針對 SSL 設定 Tableau Server 時,將會使用 SSL 加密使用者端之間的所有內容和通訊,並會將 HTTPS 通訊協定用於請求和回應。

預設情況下,將使用 1024 位的公開金鑰/私密金鑰加密將來自瀏覽器和 tabcmd 的密碼傳送到 Tableau Server。此層級的加密被認為是進行安全通訊時不足夠可靠。此外,這種方法以明文形式向收件人傳送公開金鑰並且無網路層驗證,因此易受到中間人攻擊。

若要充分確保從使用者端到 Tableau Server 的網路通訊的安全,就必須使用受信任的憑證授權頒發的憑證來設定 SSL。

請參閱針對與來往 Tableau Server 的外部 HTTP 流量設定 SSL

Internet 使用者端存取

建議使用閘道 Proxy 伺服器以啟用從 Internet 到 Tableau Server 的安全使用者端存取。我們不建議在 DMZ 中或在其他受保護的內部網路之外執行 Tableau Server。

設定反向 Proxy 伺服器並啟用 SSL,以處理來自 Internet 的所有入站通訊。在此情況下,反向 Proxy 是 Tableau Server 將與其通訊的唯一外部 IP 位址(或位址範圍,如果多個反向 Proxy 將要對入站請求進行負載平衡)。反向 Proxy 對發出請求的使用者端透明,從而對 Tableau Server 網路資訊進行模糊處理,簡化了使用者端設定。

有關設定資訊,請參閱為 Tableau Server 設定 Proxy 與負載平衡器

Clickjack 保護

預設情況下,Tableau Server 已啟用 Clickjack 保護。此可幫助防止特定類型的攻擊,在這些攻擊中,攻擊者會將一個透明的頁面覆蓋在一個看起來無害的頁面上,以便誘騙使用者按一下連結或輸入資訊。在啟用 Clickjack 保護的情況下,Tableau Server 會對嵌入檢視進行一些限制。有關詳情,請參閱Clickjack 保護

Tableau Server 到資料庫

Tableau Server 動態連線到資料庫以處理結果集並重新整理擷取。每當可能時,它都會使用本機驅動程式連線到資料庫,並在沒有本機驅動程式時依賴於一個通用 ODBC 適配器。與資料庫的所有通訊都透過這些驅動程式來路由。這樣,本機驅動程式安裝過程將包括設定驅動程式以在非標準埠上通訊或提供傳輸加密。這種設定類型對 Tableau 是透明的。

當使用者在 Tableau Server 上儲存外部資料來源的認證時,這些認證以加密形式儲存在 Tableau Server 的內部資料庫中。如果處理序使用這些認證來查詢外部資料來源,處理序會從此內部資料庫檢索加密的認證,然後在處理序中將它們解密。

Tableau Server 至 Internet

在某些情況下,使用者連線到了外部資料來源,如 Tableau 地圖伺服器,則 Tableau Server 將需要連線到 Internet。建議您在受保護的網路內執行 Tableau 的所有元件。因此,Internet 連線可能要求您將 Tableau Server 設定為使用正向 Proxy 。

Tableau Server 至 SMTP 伺服器

您可以設定 Tableau Server,將事件通知傳送給管理員與使用者。從 2019.4 版本開始,Tableau Server 支援 TLS 用於 SMTP 連線。請參閱設定 SMTP 設定

與存放庫的通訊

可以將 Tableau Server 設定為對在 Postgres 存放庫和其他伺服器元件之間交換的所有流量使用安全通訊端層 (SSL) 進行加密通訊。預設情況下,已為伺服器元件和存放庫之間的通訊停用了 SSL。

有關詳情,請參閱針對內部 Postgres 通訊設定 SSL

有關詳情,請參閱tsm security repository-ssl enable

叢集中的伺服器組件通訊

分散式伺服器安裝中的 Tableau Server 組件間通訊有兩個方面:信任和傳輸。Tableau 叢集中的每個伺服器都使用一個嚴格信任模型來確保其接收來自叢集中其他伺服器的有效請求。叢集中執行閘道處理序的電腦可接受協力廠商(使用者端)的請求,除非它們前面有負載平衡器,在這種情況下負載平衡器將接收請求。未執行閘道處理序的伺服器僅接受來自叢集的其他受信任成員的請求。信任是透過 IP 位址、連接埠和通訊協定的允許清單建立的。如果任何一部分無效,請求就會被忽略。叢集的所有成員都可以互相通訊。

當使用者在 Tableau Server 上儲存外部資料來源的認證時,這些認證以加密形式儲存在 Tableau Server 的內部資料庫中。如果處理序使用這些認證來查詢外部資料來源,處理序會從此內部資料庫檢索加密的認證,然後在處理序中將它們解密。

返回頂端
感謝您的意見反應!已成功提交您的意見回饋。謝謝!