保護 AWS 上的 Tableau Server
這是封存內容
我們會繼續支援共用雲端部署,但不再更新協力廠商共用雲端部署的內容。
有關最新的 Tableau Server 部署內容,請參閱企業部署指南(連結在新視窗開啟)和 Tableau Server 說明的部署(連結在新視窗開啟)部分。
對於有存取權的客戶,我們建議使用 Tableau Cloud。有關更多詳細資訊,請參閱:
簡介
無論您是內部部署還是在雲端中部署 Tableau Server,請務必採取措施使您的部署安全。有關使 Tableau Server 更安全的資訊,請參閱安全性。
除了 Tableau Server 內置的安全功能外,AWS 還提供了其他可用於幫助保護 Tableau Server 環境的功能,例如:
Amazon VPC 透過建立私有子網為您的環境額外增加了一個網路安全層。
安全性群組確定哪些輸入和輸出流量可以連接到您的網路。在您的無類別網域間路由 (CIDR) 塊中限制到您的 IP 位址的輸入流量。不要使用 0000\0,這不安全,因為它允許所有流量存取您的伺服器。
AWS 身分識別與存取管理 (IAM) 功能允許具體控制使用者對 AWS 內的功能的存取。
AWS Direct Connect 允許透過 AWS Direct Connect 合作夥伴使用行業標準 802.1Q VLAN 進行從企業網路到 AWS 的私人網路絡連接。有關詳情,請參閱 AWS 網站上《AWS Direct Connect 使用者指南》中的在 AWS Direct Connect 位置請求交叉連線。
Amazon EBS 加密提供了一種簡單而有效的方法,來加密磁碟卷中的靜態資料,以及 EC2 執行個體與 EBS 儲存體之間的傳輸資料。
您可以在 AWS 和 Tableau Server 中實現企業應用程式安全性,以使單一報告或儀表板能夠安全地滿足廣泛和多樣化使用者群體(包括內部和外部使用者)的需求。企業應用程式安全有三個主要組成章節:
AWS 中 Tableau Server 的網路安全性依賴於 Amazon VPC 安全性群組與 SSL 的配合使用(用於保護內部和外部通訊)。有關詳情,請參閱 AWS 網站上的《Amazon 虛擬專用雲端使用者指南》中的 VPC 安全性群組。
Amazon VPC
Amazon VPC 是雲端中獨特的隔離網路;每個 Amazon VPC 內的網路流量與所有其他 Amazon VPC 隔離。使用 Amazon VPC,您可以建立自己的網路子網,並將應用層劃分為網路子網以實現更高層級的控制。我們建議您在 Amazon VPC 內的單獨子網中安裝並執行 Tableau Server,以便您可以設定網路以存取 Tableau Server 和其他資料集。下圖顯示了 Amazon VPC 中單節點 Tableau Server 的典型安裝。
安全性群組
透過安全性群組,您可以定義哪些類型的網路流量可以存取 Tableau Server。Amazon EC2 安全性群組將充當一個管控進入和出自 Amazon EC2 執行個體的網路流量的防火牆。您可以定義和指派適用於您的 Amazon EC2 執行個體的安全性群組。預設情況下,使用不允許輸入流量的安全性群組啟動了 Amazon EC2 執行個體。在可以存取 EC2 執行個體之前,您需要進行更改以允許適當的輸入流量。
以下是 EC2 執行個體上與 Tableau Server 的連接的最低要求:
透過 RDP(埠 3389)連接,並使用遠端桌面用戶端存取和管理執行個體和服務。
透過 HTTP(埠 80)和 HTTPS(埠 443)傳輸標準 Web 流量,用於檢視託管在 Tableau Server 上以及發佈到 Tableau Server 的內容。
應允許不同執行個體(如果有)上的 Tableau Server 元件之間進行通訊。請參閱 [全部] 和 [分散式/高可用性] 類別下面列出的埠。
根據這些要求,您應該為進入到 EC2 執行個體的輸入流量僅啟用以下三個標準埠:HTTP 80、HTTPS 443 和 RDP 3389。您還應該限制一些主機的遠端存取(埠 3389),還應該將 HTTP 和 HTTPS 流量限制在公司網路內的主機或受信任的一組用戶端上。
預設情況下,Tableau Server 使用標準 HTTP 請求和回應。可以使用客戶提供的安全性憑證針對 HTTPS (SSL) 設定 Tableau Server。針對 SSL 組態 Tableau Server 後,用戶端之間的所有內容和通訊都會被加密,並使用 HTTPS 通訊協定。針對 SSL 組態 Tableau Server 時,伺服器上的瀏覽器和 SSL 庫會協商一個通用加密層級。Tableau Server 使用 OpenSSL 作為伺服器端 SSL 庫,並且預先設定為使用目前接受的標準。透過 SSL 存取 Tableau Server 的每個 Web 瀏覽器都使用該瀏覽器提供的標準 SSL 實現。有關 Tableau Server 如何使用 SSL 的詳情,請參閱 SSL。Tableau Server 將只在埠 443 上偵聽 SSL 流量。您不能為 SSL/TLS 設定自訂埠。
如果您使用彈性負載平衡 (ELB),ELB 也可以為您執行 SSL 終止。允許 ELB 處理 Web 流量的加密/解密是保護用戶端與 Tableau Server 的連接的簡單方法,無需在 Tableau Server 本身上手動設定 SSL。有關詳情,請參閱 AWS 網站上的 AWS 彈性負載平衡:SSL 支持終止。
AWS 目錄服務
可選。AWS 目錄服務是一種託管服務,允許您將 AWS 資源連接到現有本機目錄,如 Microsoft Active Directory(帶 AD 連接器),也允許您在 AWS 雲端中設定新的獨立目錄(帶簡單 AD)。連接到本機目錄很容易,建立此連接後,所有使用者都可以使用現有公司憑據存取 AWS 資源和應用程式。
使用 AWS 目錄服務,您可以選取使用 Active Directory 型驗證而不是本機驗證,這將建立使用者並使用 Tableau Server 的內建使用者管理系統指派密碼。要設定 Active Directory 型驗證,在安裝 Tableau Server 後的設定步驟中,必須選取 Active Directory。隨後無法在 Active Directory 和本機認證之間進行切換。
Active Directory 驗證模型使用 Microsoft 安全支援提供者介面 (SSPI),根據使用者的 Windows 使用者名和密碼自動使您的使用者登入。這將建立類似於單一登入 (SSO) 的體驗。
Tableau Server 會盡可能使用本機驅動程式(當本機驅動程式不可用時,依賴於通用 ODBC 適配器)連接到資料庫,以處理結果集、重新整理擷取以及與資料庫進行所有其他通訊。您可以將驅動程式設定為在非標準埠上進行通訊或使用傳輸加密,但此類型的設定對 Tableau Server 是透明的。但是,由於 Tableau Server 與資料庫的通訊通常在防火牆後面,因此您可以選取不加密此通訊。
在 AWS 中連接到資料存放區
您可以將 Amazon 關聯式資料庫服務 (Amazon RDS)、Amazon Elastic MapReduce (Amazon EMR) 或 Amazon Redshift 等 AWS 資源啟動到 Amazon VPC 中。透過將 Tableau Server 與資料存放區放在相同的 Amazon VPC 中,您可以確保流量絕不會離開 Amazon VPC。
您可以使用帶有安全性群組的子網將資源啟動到不同的層中,但允許他們在 Amazon VPC 內安全通訊,如下圖所示。
在 AWS 外連接到資料存放區
(可選)您可以使用 IPsec 硬體 VPN 連接將 Amazon VPC 連接到您自己的公司資料中心,從而使 AWS 雲端成為擴展的資料中心。VPN 連接由連接到 Amazon VPC 的虛擬私人網路關和位於資料中心的客戶閘道組成。您可以選取使用 AWS Direct Connect,這是一種網路服務,它提供了使用 Internet 來利用 AWS 雲端服務的替代方法。AWS Direct Connect 允許透過 AWS Direct Connect 合作夥伴使用行業標準 802.1Q VLAN 建立私人網路絡連接。有關詳情,請參閱 AWS 網站上《AWS Direct Connect 使用者指南》中的在 AWS Direct Connect 位置請求交叉連線。
您可以使用相同的連接存取公共資源(例如使用公共 IP 位址空間存放在 Amazon 簡單存放服務 (Amazon S3) 中的對象)和私有資源(例如使用私有 IP 空間在 Amazon VPC 中執行的 Amazon EC2 執行個體),同時保持公共和私有環境之間的網路分離。
加密靜態資料
Amazon EBS 加密提供了一種透明而簡單的方法來加密可能包含個人身分資訊 (PII) 的卷。EBS 加密使用 AES-256 對卷內的靜態資料以及卷與執行個體之間的傳輸資料進行加密。此功能對 Tableau Server 的效能幾乎沒有影響。因此,無論您的系統是否存放 PII,我們都建議您利用此服務。