Sécurisation de Tableau Server sur AWS

Ceci est un contenu archivé

Les déploiements sur des cloud publics continuent d’être pris en charge, mais le contenu des déploiements de cloud public tiers n’est plus mis à jour.

Pour le contenu le plus récent sur le déploiement de Tableau Server, consultez le Guide de déploiement en entreprise(Le lien s’ouvre dans une nouvelle fenêtre) et la section Déployer(Le lien s’ouvre dans une nouvelle fenêtre) de l’aide de Tableau Server.

Pour les clients qui ont accès, nous recommandons Tableau Cloud. Pour plus d’informations, consultez :

Introduction

Que vous choisissiez de déployer Tableau Server localement ou dans le cloud, il est important de prendre des mesures pour sécuriser votre déploiement. Pour des informations sur la sécurisation de Tableau Server, consultez Sécurité.

Outre les fonctionnalités de sécurité intégrées dans Tableau Server, AWS fournit d’autres fonctionnalités que vous pouvez utiliser pour sécuriser votre environnement Tableau Server, à savoir :

  • Amazon VPC ajoute une autre couche de sécurité réseau à votre environnement en créant des sous-réseaux privés.

  • Les Groupes de sécurité déterminent le trafic entrant et sortant qui peut se connecter à votre réseau. Limitez le trafic entrant vers vos adresses IP dans votre bloc Routage interdomaine sans classe (CIDR). N’utilisez pas 0000\0, qui n’est pas sûr parce qu’il autorise tout le trafic à accéder à votre serveur.

  • AWS Identity and Access Management (IAM) autorise un contrôle spécifique sur l’accès utilisateur aux fonctionnalités d’AWS.

  • AWS Direct Connect autorise une connexion réseau dédiée depuis un réseau d’entreprise vers AWS à l’aide de réseaux VLAN 802.1Q aux normes de l’industrie via un partenaire AWS Direct Connect. Pour plus d’informations, consultez Demande de connexions transversales à des emplacements AWS Direct Connect dans le guide de l’utilisateur d’AWS Direct Connect sur le site Web d’AWS.

  • Le Chiffrement Amazon EBS offre une manière simple et performante de chiffrer les données au repos dans vos volumes de disque et les données en transit entre les instances EC2 et le stockage EBS.

Vous pouvez déployer la sécurité des applications d’entreprise dans AWS et Tableau Server pour qu’un simple rapport ou tableau de bord réponde aux besoins d’une base d’utilisateurs large et variée, englobant à la fois des utilisateurs internes et externes. La sécurité des applications d’entreprise s’appuie sur trois composants principaux :

Réseau

La sécurité réseau pour Tableau Server dans AWS est basée sur l’utilisation de groupes de sécurité Amazon VPC avec SSL pour la sécurisation des communications internes et externes. Pour plus d’informations, consultez Groupes de sécurité pour votre VPC dans le guide de l’utilisateur Amazon Virtual Private Cloud dans le site Web d’AWS.

Amazon VPC

Amazon VPC est un réseau distinct isolé sur le cloud. Le trafic réseau au sein de chaque Amazon VPC est isolé de tous les autres Amazon VPC. Vous pouvez utiliser Amazon VPC pour créer vos propres sous-réseaux et diviser les couches d’applications en sous-réseaux pour un plus grand contrôle. Nous vous recommandons d’installer et d’exécuter Tableau Server sur un sous-réseau séparé dans votre Amazon VPC afin de pouvoir configurer le réseau pour accéder à Tableau Server et aux autres ensembles de données. L’illustration suivante présente une installation typique de Tableau Server sur un seul nœud dans un Amazon VPC.

Groupes de sécurité

Les groupes de sécurité vous permettent de définir les types de trafic réseau autorisés à accéder à Tableau Server. Les groupes de sécurité Amazon EC2 font office de pare-feu régissant le trafic réseau vers et depuis les instances Amazon EC2. Vous pouvez définir et attribuer des groupes de sécurité adaptés à vos instances Amazon EC2. Par défaut, les instances Amazon EC2 sont lancées avec des groupes de sécurité qui n’autorisent aucun trafic entrant. Avant de pouvoir accéder à votre instance EC2, vous devez apporter des modifications pour autoriser le trafic entrant approprié.

Voici la configuration minimum requise pour les connexions à Tableau Server sur une instance EC2 :

  • Connexion via RDP (port 3389) en utilisant un client Bureau distant pour accéder aux instances et services, et les gérer.

  • Trafic Web standard via HTTP (port 80) et HTTPS (port 443), pour afficher le contenu hébergé et le publier sur Tableau Server.

  • La communication entre les composants Tableau Server sur différentes instances (le cas échéant) devrait être autorisée. Voir les ports répertoriés sous les catégories Tous et Distribué/Disponibilité élevée.

Sur la base de cette configuration requise, vous ne devriez activer que trois ports standard pour le trafic entrant vers votre instance EC2 : HTTP 80, HTTPS 443 et RDP 3389. Vous devriez également limiter l’accès distant (port 3389) depuis quelques hôtes, et également limiter le trafic HTTP et HTTPS vers les hôtes au sein d’un réseau d’entreprise ou vers un ensemble approuvé de clients.

 

Accès client

Par défaut, Tableau Server utilise des demandes et des réponses HTTP standard. Tableau Server peut être configuré pour HTTPS (SSL) avec des certificats de sécurité fournis par les clients. Lorsque Tableau Server est configuré pour SSL, l’ensemble des contenus et des communications entre les clients est chiffré et utilise le protocole HTTPS. Lorsque vous configurez Tableau Server pour SSL, le navigateur et la bibliothèque SSL sur le serveur négocient un niveau de chiffrement commun. Tableau Server utilise OpenSSL comme bibliothèque SSL côté client et est préconfiguré pour utiliser actuellement les normes couramment acceptées. Chaque navigateur Web accédant à Tableau Server via SSL utilise l’implémentation SSL standard fournie par ce navigateur. Pour plus d’informations sur la manière dont Tableau Server utilise SSL, consultez SSL. Tableau Server écoute le trafic SSL uniquement sur le port 443. Vous ne pouvez pas configurer les ports personnalisés pour SSL/TLS.

Si vous utilisez Elastic Load Balancing (ELB), ELB peut également effectuer la terminaison SSL pour votre compte. Autoriser ELB à traiter le cryptage/décryptage du trafic Web constitue une manière simple de sécuriser la connexion du client avec Tableau Server sans avoir à configurer manuellement SSL sur Tableau Server. Pour plus d’informations, consultez AWS Elastic Load Balancing : Prise en charge de la terminaison SSL sur le site Web d’AWS.

AWS Directory Service

Facultatif. AWS Directory Service est un service géré qui vous permet de connecter vos ressources AWS à un annuaire local existant tel que Microsoft Active Directory (avec AD Connector), ou de configurer un nouvel annuaire autonome sur le cloud AWS (avec Simple AD). Il est facile de se connecter à un annuaire local, et une fois la connexion établie, tous les utilisateurs peuvent accéder aux ressources AWS et aux applications avec leurs informations d’identification d’entreprise existantes.

À l’aide de AWS Directory Service, vous pouvez choisir d’utiliser l’authentification basée sur Active Directory au lieu de l’authentification locale, qui crée des utilisateurs et attribue des mots de passe en utilisant le système de gestion d’utilisateurs intégré à Tableau Server. Pour configurer l’authentification basée sur Active Directory, dans l’étape de configuration suivant l’installation de Tableau Server, vous devez choisir Active Directory. Il n’est pas possible de permuter ultérieurement entre Active Directory et l’authentification locale.

Le modèle d’authentification Active Directory utilise l’interface SSPI (Security Support Provider Interface) de Microsoft pour connecter vos utilisateurs automatiquement, sur la base de leur nom d’utilisateur et de leur mot de passe Windows. Cette expérience s’apparente à celle d’une signature unique (SSO).

Données

Tableau Server utilise des pilotes natifs (en se basant sur un adaptateur ODBC générique dans les cas où les pilotes natifs ne sont pas disponibles) pour se connecter à des bases de données dès que possible, pour traiter les ensembles de résultats, pour actualiser les extraits, et pour toutes les autres communications avec la base de données. Vous pouvez configurer le pilote de manière à ce qu’il communique sur des ports non-standard ou utiliser un chiffrement pour le transport, mais ce type de configuration est transparent pour Tableau Server. Toutefois, étant donné que la communication entre Tableau Server et la base de données a généralement lieu derrière un pare-feu, vous pouvez choisir de ne pas chiffrer cette communication.

Connexion à des banques de données dans AWS

Vous pouvez lancer des ressources AWS telles que Amazon Relational Database Service (Amazon RDS), Amazon Elastic MapReduce (Amazon EMR) Hadoop Hive ou Amazon Redshift, sur Amazon VPC. En plaçant Tableau Server sur le même Amazon VPC que vos banques de données, vous pouvez avoir l’assurance que votre trafic ne quittera jamais Amazon VPC.

Vous pouvez utiliser des sous-réseaux avec des groupes de sécurité pour lancer vos ressources dans différentes couches, mais les autoriser à communiquer dans Amazon VPC, comme montré dans le schéma suivant.

Connexion à des banques de données extérieures à AWS

Vous avez aussi la possibilité de connecter votre Amazon VPC à votre propre centre de données d’entreprise en utilisant une connexion VPN matérielle IPsec, ce qui transforme le cloud AWS en une extension de votre centre de données. Une connexion VPN comprend une passerelle privée virtuelle associée à votre Amazon VPC et une passerelle client située dans votre centre de données. Vous pouvez choisir d’utiliser AWS Direct Connect, qui est un service réseau fournissant une alternative à Internet pour l’utilisation des services du cloud AWS. AWS Direct Connect vous permet d’établir une connexion réseau dédiée à l’aide de réseaux VLAN 802.1Q aux normes de l’industrie via un partenaire AWS Direct Connect. Pour plus d’informations, consultez Demande de connexions transversales à des emplacements AWS Direct Connect dans le guide de l’utilisateur d’AWS Direct Connect sur le site Web d’AWS.

Vous pouvez utiliser la même connexion pour accéder à des ressources publiques (par exemple des objets stockés dans Amazon Simple Storage Service (Amazon S3) utilisant l’espace public d’adresses IP) et des ressources privées (par exemple des instances Amazon EC2 fonctionnant dans un espace IP privé Amazon VPC), tout en conservant la séparation de réseau entre les environnements public et privé.

Chiffrement des données au repos

Le chiffrement Amazon EBS fournit un moyen transparent et simple de chiffrer des volumes pouvant contenir des informations vous identifiant personnellement (PII). Le chiffrement EBS chiffre à la fois les données au repos dans le volume et les données en transit entre le volume et l’instance à l’aide d’AES-256. Cette fonctionnalité n’a un impact que faible ou nul sur les performances de Tableau Server. Nous vous recommandons donc de tirer parti de ce service, que vos systèmes stockent ou non les PII.

Merci de vos commentaires !Avis correctement envoyé. Merci