Essa página foi útil?
Sim Não

Lista de verificação do reforço de segurança

A lista a seguir oferece recomendações para melhorar a segurança ("endurecimento") da instalação de seu Tableau Server.

1. Atualizar para a versão atual

Recomendamos que você sempre execute a versão mais recente do Tableau Server. Além disso, o Tableau publica periodicamente versões de manutenção do Tableau Server que inclui correções para vulnerabilidades de segurança conhecidas. (As informações relacionadas a vulnerabilidades de segurança conhecidas podem ser encontradas na página Boletins de segurança). Recomendamos que seja feita uma análise das notificações de versão de manutenção para determinar se devem ser instaladas.

Para obter a versão mais recente ou a versão de manutenção do Tableau Server, visite a página Portal do cliente.

2. Configurar SSL/TLS com um certificado válido e confiável

Secure Sockets Layer (SSL/TLS) é essencial para ajudar a proteger a segurança das comunicações com o Tableau Server. Configure o Tableau Server com um certificado válido e confiável (não um certificado autoassinado) para que o Tableau Desktop, os dispositivos móveis e os clientes Web possam se conectar ao servidor por uma conexão segura. Para obter mais informações, consulte SSL.

3. Desabilitar versões anteriores do TLS

O Tableau Server usa o TLS para autenticar e criptografar diversas conexões entre componentes e com clientes externos. Os clientes externos, como navegadores, o Tableau Desktop e o Tableau Mobile se conectem ao Tableau usando TLS sobre HTTPS. Transport layer security (TLS) é uma versão melhorada de SSL. Na verdade, as versões anteriores de SSL (SSL v2 e SSL v3) não são mais consideradas padrões de comunicação segura adequados. Como resultado, o Tableau Server não permite que clientes externos usem protocolos SSL v2 ou SSL v3 para conexão. Recomendamos que você permita que apenas clientes externos se conectem ao Tableau Server com TLS v1.2.

Especificamente, recomendamos que desabilite TLS v1 e TLS v1.1 no Tableau Server. No entanto, antes que seja possível desabilitar uma versão específica do TLS, verifique se os navegadores com que seus usuários se conectam ao Tableau Server com suporte a TLS v1.2. Em alguns casos, poderá ser necessário preservar o suporte a TLSv1.1.

O seguinte comando tsm habilita TLS v1.2 (usando o parâmetro "all" ) e desabilita SSL v2, SSL v3, TLS v1 e TLS v1.1 (ao colocar o caractere de menos [-] antes de um determinado protocolo).

tsm configuration set -k ssl.protocols -v 'all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1'

tsm pending-changes apply

O comando pending-changes apply exibe um prompt para informar que reiniciará o Tableau Server se o servidor estiver em execução. O prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Para obter mais informações, consulte tsm pending-changes apply.

4. Desabilitar o pacote de criptografia Triple-DES

O pacote de criptografia Triple-DES não é mais considerado adequado para criptografar as sessões na Internet. Especificamente, executar a criptografia do Triple-DES deixa o Tableau Server vulnerável à divulgação de informações e aos ataques de negação de serviço. Você pode aprender mais na página Banco de dados de vulnerabilidade nacional para CVE-2016-2183.

O Triple-DES é habilitado como padrão na versão do OpenSSL executando no Tableau Server. No entanto, outros pacotes de criptografia obsoletos (MD5 e RC4) estão desabilitados. Para adicionar o Triple-DES à sua lista de criptografias, execute os comandos a seguir. (O parâmetro !aNULL força os clientes a usarem uma criptografia legítima.)

tsm configuration set -k ssl.ciphersuite -v 'HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES'

tsm pending-changes apply

5. Configurar criptografia SSL para tráfego interno

Configure o Tableau Server para usar SSL para criptografar todo o tráfego entre o repositório Postgres e outros componentes de servidor. Por padrão, o SSL fica desabilitado para comunicações entre componentes de servidor e o repositório. Recomendamos habilitar o SSL interno para todas as instâncias do Tableau Server, mesmo nas instalações de um servidor. A habilitação de SSL interno é especialmente importante para implantações de vários nós. Consulte Como configurar o SSL para comunicação interna com o Postgres.

6. Habilitar a proteção com firewall

O Tableau Server foi projetado para operar dentro de uma rede interna protegida.

Importante: não execute o Tableau Server ou nenhum de seus componentes na Internet ou em um DMZ. O Tableau Server deve ser executado dentro da rede corporativa protegida por um firewall de Internet. Recomendamos a configuração de uma solução de proxy reverso para clientes da Internet que precisam se conectar ao Tableau Server. Consulte Configuração de proxies no Tableau Server.

Um firewall local deve estar ativado no sistema operacional para proteger o Tableau Server em implantações de um ou vários nós. Em uma instalação distribuída (de vários nós) do Tableau Server, a comunicação entre os nós não usa comunicação segura. Portanto, os firewalls precisam estar habilitados nos computadores que hospedam o Tableau Server. Consulte Configurar o firewall local

Para evitar que um invasor passivo observe a comunicação entre os nós, configure uma LAN virtual segregada ou outra solução de segurança de camada da rede.

Consulte Portas do Tableau Services Manager para entender quais portas e serviços são exigidos pelo Tableau Server.

7. Restringir acesso ao computador servidor e a diretórios importantes

Os arquivos de configuração e os arquivos de registro do Tableau Server podem conter informações que sejam valiosas para um invasor. Portanto, restrinja o acesso físico à máquina com o Tableau Server em execução. Além disso, certifique-se de que apenas usuários confiáveis e autorizados tenham acesso aos arquivos do Tableau Server no diretório /var/opt/tableau/tableau_server/.

8. Gerar segredos e tokens atualizados

Qualquer serviço do Tableau Server que se comunique com o repositório ou o servidor de cache deve primeiro se autenticar com um token secreto. O token secreto é gerado durante a instalação do Tableau Server. A chave de criptografia usada pelo SSL interno para criptografar o tráfego para o repositório Postgres também é gerada durante a instalação.

Recomendamos que, depois de instalar o Tableau Server, novas chaves de criptografia sejam geradas para sua implantação.

Esses ativos de segurança podem ser recuperados com o comando tsm security regenerate-internal-tokens.

Execute os seguintes comandos:

tsm security regenerate-internal-tokens

tsm pending-changes apply

9. Desabilitar os serviços que você não está usando

Para minimizar a superfície de ataque do Tableau Server, desabilite quaisquer pontos de conexão que não sejam necessários.

REST API

A interface da API REST fica habilitada por padrão. Caso nenhum aplicativo faça chamadas da API REST para sua instalação do Tableau Server 9.3 (ou posterior), desabilite-a com a seguinte sequência de comandos:

tsm configuration set -k api.server.enabled -v false

tsm pending-changes apply

Importante: o Tableau Prep usa a API REST para acessar o Tableau Server. Se sua organização usar o Tableau Prep, não desabilite a API REST.

Serviço JMX

O JMX fica desabilitado por padrão. Caso esteja ativado mas não esteja em uso, deverá ser desativado usando a sequência a seguir:

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10. Verificar a configuração de tempo da sessão

Por padrão, o Tableau Server não precisa ter um tempo limite absoluto de sessão. Isso significa que as sessões de cliente podem permanecer abertas indefinidamente, caso o tempo limite de inatividade do Tableau Server não seja excedido. (O tempo limite de inatividade padrão é de 240 minutos).

Caso sua política de segurança precise, é possível definir um tempo limite absoluto de sessão. Certifique-se de definir um tempo limite absoluto de sessão em um intervalo que permita as operações de execução longa de extração e publicação em sua empresa. Definir um tempo limite de sessão muito baixo pode resultar em falhas de extração e publicação em operações de execução longa.

Para definir o tempo limite de sessão, execute os comandos a seguir:

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, onde value é o número de minutos. O padrão é 1440, que são 24 horas.

tsm configuration set -k wgserver.session.idle_limit -v value, onde value é o número de minutos. O padrão é 240.

tsm pending-changes apply

11. Configurar uma lista segura de fontes de dados baseadas em arquivo

Por padrão, o Tableau Server permite que usuários autorizados do Tableau Server criem pastas de trabalho que usam arquivos no servidor como fontes de dados baseadas em arquivos (como planilhas). Neste cenário, os arquivos são acessados pela conta do sistema do tableau.

Para evitar acesso não autorizado aos arquivos, recomendamos configurar a funcionalidade lista segura (às vezes chamada de "lista de exclusões"). Isso permite que o acesso da conta tableau seja limitado a apenas os caminhos de diretório nos quais os arquivos de dados são hospedados.

  1. No computador com o Tableau Server em execução, identifique os diretórios nos quais os arquivos de fontes de dados serão hospedados.

    Importante Certifique-se de que os caminhos de arquivo especificados neste procedimento existam no servidor. Se os caminhos não existirem quando o computador for iniciado, o Tableau Server não será iniciado.

  2. Execute os seguintes comandos:

    tsm configuration set -k native_api.allowed_paths -v "path" , onde path é o diretório a ser adicionado à lista segura. Todos os subdiretórios do caminho especificado serão adicionados à lista segura. Caso deseje especificar vários caminhos, separe-os com ponto e vírgula, como neste exemplo:

    tsm configuration set -k native_api.allowed_paths -v "/datasources;/HR/data"

    tsm pending-changes apply

12. Habilitar o HTTP Strict Transport Security para clientes do navegador da Web

O HTTP Strict Transport Security (HSTS) é uma política configurada nos serviços de aplicativos da Web, como o Tableau Server. Quando um navegador compatível encontra um aplicativo da Web que executa o HSTS, todas as comunicações com o serviço devem estar em uma conexão (HTTPS) segura. O HSTS é compatível com a maioria dos navegadores.

Para obter mais informações sobre como o HSTS funciona e os navegadores compatíveis, consulte a página da Web Planilha de consultas do HTTP Strict Transport Security, do Projeto de segurança de aplicativos da Web aberto.

Para habilitar o HSTS, execute os seguintes comandos no Tableau Server:

tsm configuration set -k gateway.http.hsts -v true

Por padrão, a política do HSTS está definida para um ano (31536000 segundos). Este período especifica o tempo em que o navegador acessará o servidor por meio do HTTPS. Você deve considerar a definição de um tempo máximo breve durante o lançamento inicial do HSTS. Para alterar esse período, execute tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Por exemplo, para definir o período da política de HSTS para 30 dias, insira tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.

tsm pending-changes apply

13. Desabilitar o acesso de Convidado

As licenças baseadas em núcleo do Tableau Server incluem a opção de usuário Convidado, que permite que qualquer usuário na organização visualize e interaja com as exibições do Tableau inseridas nas páginas da Web.

O acesso de usuário Convidado é habilitado por padrão no Tableau Servers, implantado com o licenciamento baseado em núcleo.

O acesso de Convidado permite que os usuários visualizem as exibições inseridas. O usuário convidado não pode navegar pela interface do Tableau Server e não verá comandos da interface do servidor na exibição, como nome do usuário, configurações da conta, comentários e assim por diante.

Se a sua organização implantou o Tableau Server com o licenciamento em núcleo e o acesso de Convidado não é exigido, então, desabilite-o.

Você pode desabilitar o acesso de Convidado a nível de servidor ou site.

Você deve ser um administrador de servidor para desabilitar a conta de Convidado a nível de servidor ou site.

Para desabilitar o acesso de Convidado a nível de servidor:

  1. no menu do site, clique em Gerenciar todos os sites e, em seguida, em Configurações > Geral.

  2. Para Acesso de Convidado, desmarque a caixa de seleção Habilitar conta de Convidado.

  3. Clique em Salvar.

Para desabilitar o acesso de Convidado para um site:

  1. No menu do site, selecione um site.

  2. Clique em Configurações e, na página Configurações, desmarque a caixa de seleção Habilitar conta de convidado.

Para obter mais informações, consulte Usuário Convidado.

Lista de alterações

Date Change
September 2017 Ported and updated for Tableau Services Manager and Linux platform.
May 2018 Added clarification: Do not disable REST API in organizations that are running Tableau Prep.