Segurança de rede
Existem três interfaces de rede principais no Tableau Server:
Cliente para o Tableau Server:O cliente pode ser um navegador da Web, o Tableau Mobile, o Tableau Desktop ou o utilitário tabcmd.
Tableau Server para seu(s) banco(s) de dadosPara atualizar extrações de dados ou manipular conexões de banco de dados ativas, o Tableau Server precisa se comunicar com seus bancos de dados.
Comunicação de componente do servidor: Isso se aplica somente a implantações distribuídas.
Na maioria das organizações, o Tableau Server também é configurado para se comunicar com a Internet e com um servidor SMTP.
Cliente para o Tableau Server
Um cliente do Tableau Server pode ser um navegador da Web, um dispositivo com o Tableau Mobile, o Tableau Desktop ou comandos tabcmd. As comunicações entre o Tableau Server e seus clientes usam solicitações e respostas HTTP padrão. Recomendamos configurar o Tableau Server para HTTPS em todas as comunicações. Quando o Tableau Server é configurado para SSL, todo o conteúdo e as comunicações entre clientes são criptografados usando SSL e o protocolo HTTPS é usado para solicitações e respostas.
Por padrão, as senhas são comunicadas dos navegadores e do tabcmd para o Tableau Server usando criptografia de chave pública/privada de 1024 bits. Esse nível de criptografia não é considerado forte o suficiente para comunicações seguras. Além disso, esse método, no qual uma chave pública é enviada para o destinatário claramente e sem autenticação de camada de rede, é suscetível a ataques no meio do caminho.
Para proteger o tráfego de rede de clientes para o Tableau Server de forma adequada, é necessário configurar SSL com um certificado de uma autoridade de certificação confiável.
Consulte Configurar o SSL para tráfego de HTTP externo e do Tableau Server.
Acesso do cliente pela Internet
Recomendamos um servidor de proxy gateway para habilitar o acesso de cliente seguro pela Internet ao seu Tableau Server. Não recomendamos executar o Tableau Server em um DMZ ou fora de sua rede interna protegida.
Configure um servidor de proxy reverso, com SSL habilitado, para lidar com todo o tráfego de entrada da internet. Neste cenário, o proxy reverso é o único endereço IP externo (ou intervalo de endereços se vários proxies reversos estiverem balanceando a carga de solicitações de entrada) com o qual o Tableau Server se comunicará. Proxies reversos são transparentes para a solicitação de clientes, dessa forma ofuscando as informações de rede do Tableau Server e simplificando a configuração do cliente.
Para obter informações sobre configuração, consulte Configurar proxies e balanceadores de carga para o Tableau Server.
Proteção contra roubo de clique
Como padrão, o Tableau Server tem a proteção contra roubo de clique habilitada. Isso ajuda a evitar determinados tipos de ataques em que o invasor sobrepõe uma versão transparente da página no topo de uma página de aparência inofensiva, para fazer com que o usuário clique nos links e insira as informações. Com a proteção contra roubo de clique habilitada, o Tableau Server impõe determinadas restrições em exibições inseridas. Para obter mais informações, consulte Proteção contra roubo de clique
Tableau Server para seu banco de dados
O Tableau Server faz conexões dinâmicas com bancos de dados para processar conjuntos de resultados e atualizar extrações. Ele usa drivers nativos para se conectar a bancos de dados sempre que possível e depende de um adaptador ODBC genérico quando drivers nativos estiverem indisponíveis. Todas as comunicações com o banco de dados são roteadas por meio desses drivers. Assim, configurar o driver para se comunicar em portas não padrão ou fornecer criptografia de transporte faz parte da instalação do driver nativo. Esse tipo de configuração é transparente para o Tableau.
Quando um usuário armazena credenciais para fontes de dados externas no Tableau Server, elas são armazenados criptografadas no banco de dados interno do Tableau Server. Quando um processo usa essas credenciais para consultar a fonte de dados externa, o processo recupera as credenciais criptografadas do banco de dados interno e descriptografa-as no processo.
Tableau Server com a Internet
Em alguns casos, nos quais os usuários se conectam a fontes de dados externas, como os servidores de mapa do Tableau, o Tableau Server precisará se conectar à internet. Recomendamos que você execute todos os componentes do Tableau dentro de sua rede protegida. Portanto, as conexões com a internet podem precisar que você configure o Tableau Server para usar um proxy de encaminhamento.
Tableau Server com um servidor SMTP
Você pode configurar o Tableau Server para enviar notificações evento para administradores e usuários. A partir da versão 2019.4, o Tableau Server é compatível com TLS para a conexão SMTP. Consulte Configurar o SMTP.
Comunicação com o repositório
É possível configurar o Tableau Server para usar Secure Sockets Layer (SSL) para comunicações criptografadas em todo o tráfego que é trocado com o repositório Postgres para e de outros componentes do servidor. Por padrão, o SSL fica desabilitado para comunicações entre componentes de servidor e o repositório.
Para obter mais informações, consulte Como configurar o SSL para comunicação interna com o Postgres.
Para obter mais informações, consulte tsm security repository-ssl enable
Comunicação de componente do servidor em um cluster
Existem dois aspectos para a comunicação entre os componentes do Tableau Server em uma instalação de servidor distribuído: confiança e transmissão. Cada servidor em um cluster do Tableau usa um modelo confiável rígido para garantir que ele receba solicitações válidas de outros servidores no cluster. Computadores no cluster em que um processo de gateway está em execução aceitam solicitações de terceiros (clientes), a menos que sejam antecedidos por um balanceador de carga, que recebe as solicitações. Os servidores que não estejam executando um processo de gateway só aceitam solicitações de outros membros confiáveis do cluster. A confiança é estabelecida por uma lista autorizada de endereço IP, porta e protocolo. Se algum deles for inválido, a solicitação será ignorada. Todos os membros do cluster podem se comunicar entre si.
Quando um usuário armazena credenciais para fontes de dados externas no Tableau Server, elas são armazenados criptografadas no banco de dados interno do Tableau Server. Quando um processo usa essas credenciais para consultar a fonte de dados externa, o processo recupera as credenciais criptografadas do banco de dados interno e descriptografa-as no processo.