在 AWS 上保护 Tableau Server

  • 版本 :2022.1 及更高版本

无论您是在本地还是在云中部署 Tableau Server,请务必采取措施使您的部署安全。有关使 Tableau Server 更安全的信息,请参见安全性。

除了 Tableau Server 内置的安全功能外,AWS 还提供了其他可用于帮助保护 Tableau Server 环境的功能,例如:

  • Amazon VPC 通过创建私有子网为您的环境额外增加了一个网络安全层。

  • 安全组确定哪些入站和出站流量可以连接到您的网络。在您的无类别域间路由 (CIDR) 块中限制到您的 IP 地址的入站流量。不要使用 0000\0,这不安全,因为它允许所有流量访问您的服务器。

  • AWS 身份和访问管理 (IAM) 功能允许具体控制用户对 AWS 内的功能的访问。

  • AWS Direct Connect 允许通过 AWS Direct Connect 合作伙伴使用行业标准 802.1Q VLAN 进行从企业网络到 AWS 的专用网络连接。有关详细信息,请参见 AWS 网站上《AWS Direct Connect 用户指南》中的在 AWS Direct Connect 位置请求交叉连接

  • Amazon EBS 加密提供了一种简单而有效的方法,来加密磁盘卷中的静态数据,以及 EC2 实例与 EBS 存储之间的传输数据。

您可以在 AWS 和 Tableau Server 中实现企业应用程序安全性,以使单个报告或仪表板能够安全地满足广泛和多样化用户群体(包括内部和外部用户)的需求。企业应用程序安全有三个主要组成部分:

网络

AWS 中 Tableau Server 的网络安全性依赖于 Amazon VPC 安全组与 SSL 的配合使用(用于保护内部和外部通信)。有关详细信息,请参见 AWS 网站上的《Amazon 虚拟专用云用户指南》中的 VPC 安全组

Amazon VPC

Amazon VPC 是云中独特的隔离网络;每个 Amazon VPC 内的网络流量与所有其他 Amazon VPC 隔离。使用 Amazon VPC,您可以创建自己的网络子网,并将应用层划分为网络子网以实现更高级别的控制。我们建议您在 Amazon VPC 内的单独子网中安装并运行 Tableau Server,以便您可以配置网络以访问 Tableau Server 和其他数据集。下图显示了 Amazon VPC 中单节点 Tableau Server 的典型安装。

安全组

通过安全组,您可以定义哪些类型的网络流量可以访问 Tableau Server。Amazon EC2 安全组将充当一个管控进入和出自 Amazon EC2 实例的网络流量的防火墙。您可以定义和分配适用于您的 Amazon EC2 实例的安全组。默认情况下,使用不允许入站流量的安全组启动了 Amazon EC2 实例。在可以访问 EC2 实例之前,您需要进行更改以允许适当的入站流量。

以下是 EC2 实例上与 Tableau Server 的连接的最低要求:

  • 通过 RDP(端口 3389)连接,并使用远程桌面客户端访问和管理实例和服务。

  • 通过 HTTP(端口 80)和 HTTPS(端口 443)传输标准 Web 流量,用于查看托管在 Tableau Server 上以及发布到 Tableau Server 的内容。

  • 应允许不同实例(如果有)上的 Tableau Server 组件之间进行通信。

根据这些要求,您应该为进入到 EC2 实例的入站流量仅启用以下三个标准端口:HTTP 80、HTTPS 443 和 RDP 3389。您还应该限制一些主机的远程访问(端口 3389),还应该将 HTTP 和 HTTPS 流量限制在公司网络内的主机或受信任的一组客户端上。

客户端访问

默认情况下,Tableau Server 使用标准 HTTP 请求和响应。可以使用客户提供的安全证书针对 HTTPS (SSL) 配置 Tableau Server。针对 SSL 配置 Tableau Server 后,客户端之间的所有内容和通信都会被加密,并使用 HTTPS 协议。针对 SSL 配置 Tableau Server 时,服务器上的浏览器和 SSL 库会协商一个通用加密级别。Tableau Server 使用 OpenSSL 作为服务器端 SSL 库,并且预先配置为使用当前接受的标准。通过 SSL 访问 Tableau Server 的每个 Web 浏览器都使用该浏览器提供的标准 SSL 实现。有关 Tableau Server 如何使用 SSL 的详细信息,请参见 SSL。Tableau Server 将只在端口 443 上侦听 SSL 流量。您不能为 SSL/TLS 配置自定义端口。

如果您使用弹性负载平衡 (ELB),ELB 也可以为您执行 SSL 终止。允许 ELB 处理 Web 流量的加密/解密是保护客户端与 Tableau Server 的连接的简单方法,无需在 Tableau Server 本身上手动配置 SSL。有关详细信息,请参见 AWS 网站上的 AWS 弹性负载平衡:SSL 支持终止

AWS 目录服务

可选。AWS 目录服务是一种托管服务,允许您将 AWS 资源连接到现有本地目录,如 Microsoft Active Directory(带 AD 连接器),也允许您在 AWS 云中设置新的独立目录(带简单 AD)。连接到本地目录很容易,建立此连接后,所有用户都可以使用现有公司凭据访问 AWS 资源和应用程序。

使用 AWS 目录服务,您可以选择使用基于 Active Directory 的身份验证而不是本地身份验证,这将创建用户并使用 Tableau Server 的内置用户管理系统分配密码。要设置基于 Active Directory 的身份验证,在安装 Tableau Server 后的配置步骤中,必须选择 Active Directory。随后无法在 Active Directory 和本地身份认证之间进行切换。

数据

Tableau Server 会尽可能使用本机驱动程序(当本机驱动程序不可用时,依赖于通用 ODBC 适配器)连接到数据库,以处理结果集、刷新数据提取以及与数据库进行所有其他通信。您可以将驱动程序配置为在非标准端口上进行通信或使用传输加密,但此类型的配置对 Tableau Server 是透明的。但是,由于 Tableau Server 与数据库的通信通常在防火墙后面,因此您可以选择不加密此通信。

在 AWS 中连接到数据存储

您可以将 Amazon 关系数据库服务 (Amazon RDS)、Amazon Elastic MapReduce (Amazon EMR) 或 Amazon Redshift 等 AWS 资源启动到 Amazon VPC 中。通过将 Tableau Server 与数据存储放在相同的 Amazon VPC 中,您可以确保流量绝不会离开 Amazon VPC。

您可以使用带有安全组的子网将资源启动到不同的层中,但允许他们在 Amazon VPC 内安全通信,如下图所示。

在 AWS 外连接到数据存储

(可选)您可以使用 IPsec 硬件 VPN 连接将 Amazon VPC 连接到您自己的公司数据中心,从而使 AWS 云成为扩展的数据中心。VPN 连接由连接到 Amazon VPC 的虚拟专用网关和位于数据中心的客户网关组成。您可以选择使用 AWS Direct Connect,这是一种网络服务,它提供了使用 Internet 来利用 AWS 云服务的替代方法。AWS Direct Connect 允许通过 AWS Direct Connect 合作伙伴使用行业标准 802.1Q VLAN 建立专用网络连接。有关详细信息,请参见 AWS 网站上《AWS Direct Connect 用户指南》中的在 AWS Direct Connect 位置请求交叉连接

您可以使用相同的连接访问公共资源(例如使用公共 IP 地址空间存储在 Amazon 简单存储服务 (Amazon S3) 中的对象)和私有资源(例如使用私有 IP 空间在 Amazon VPC 中运行的 Amazon EC2 实例),同时保持公共和私有环境之间的网络分离。

加密静态数据

Amazon EBS 加密提供了一种透明而简单的方法来加密可能包含个人身份信息 (PII) 的卷。EBS 加密使用 AES-256 对卷内的静态数据以及卷与实例之间的传输数据进行加密。此功能对 Tableau Server 的性能几乎没有影响。因此,无论您的系统是否存储 PII,我们都建议您利用此服务。