Sichern des Datenverkehrs zwischen Clients und Ihrem Server

In diesem Kapitel wird beschrieben, wie Tableau Server mit anderen Computern kommuniziert und wie Sie diesen Datenverkehr sicherer machen können.

 

Ein paar Kurven voraus

Während die vorherigen Kapitel von Tableau Server: Allgemeines Installationshandbuch möglicherweise recht angenehm waren, wird dieses hier komplizierter. Es wird zwar nicht allzu schwierig, erfordert jedoch ein wenig mehr Konzentration.

Es ist hilfreich zu wissen, dass einige dieser Informationen selbst für IT-Experten schwierig sind. Wenn es um Ihre vertraulichen Daten geht, würden Sie dann einem zu einfachen Ansatz vertrauen?

Wenn Sie das Ganze bisher allein mit dieser Anleitung umgesetzt haben, sollten Sie sich nun an einen lokalen IT-Experten wenden. Wenn Sie intern über keinen IT-Experten verfügen, sollten Sie die Unterstützung von Tableau Professional Services in Erwägung ziehen.

Selbst mit der IT-Hilfe ist es wichtig, dass jeder, der Tableau Server verwaltet, die Prinzipien und Prozeduren versteht, die über das Sichern der Umgebung hinausgehen. Zudem liegt es an Ihnen, was Sie erfahren oder ob Sie sogar möglicherweise zu einem Experten avancieren möchten. Daher versuchen wir hier unser Möglichstes, um Ihnen zu vermitteln, was Sie benötigen, um im Bilde zu sein. Darüber hinaus finden Sie online jede Menge Informationen, einschließlich in den eigenen Hilfe- und KnowledgeBase-Artikeln von Tableau.

Eine Übersicht der HTTP- und Client-Server-Kommunikation

Standardmäßig kommuniziert Tableau Server wie viele Serveranwendungen mithilfe des Standardwebprotokolls HTTP mit Clients. Wenn in HTTP ein Browser eine Anforderung an den Server sendet und der Server antwortet, werden die Informationen in Klartext hin- und hergesendet. Der Inhalt kann von jedem gelesen werden, der an der Kommunikation schnüffelt.

Einige Informationen, die Ihre Benutzer und der Server austauschen, sind möglicherweise vertraulich. Zum Beispiel kann ein Benutzer über einen Webbrowser auf Tableau Server zugreifen und einen Benutzernamen und ein Kennwort für die Anmeldung am Server senden. Oder ein Benutzer fordert eine mithilfe von vertraulichen Daten erstellte Tableau-Ansicht an. Wenn dieser Datenverkehr von jemandem angezeigt werden kann (das Snooping auf HTTP ist für eine erfahrene IT-Person nicht schwierig), sieht diese Person möglicherweise Informationen, die sie nicht sehen sollte.

Ihre Sicherheitsziele: Datenschutz und Vertrauensstellung

Bei der Kommunikation zwischen Tableau Server und den zugehörigen Clients sind Ihnen Datenschutz und Vertrauenswürdigkeit wichtig. Zum Gewährleisten des Datenschutzes machen Sie HTTP-Inhalte für jeden Schnüffler unlesbar. Dies geschieht durch das Verschlüsseln des Datenverkehrs.

Sie benötigen jedoch auch eine vertrauenswürdige Beziehung zwischen dem Server und dem Client. Wenn der Server Informationen sendet, kann der Client demnach darauf vertrauen, dass die Informationen vom Server stammen, mit dem der Client seines Erachtens kommuniziert. Die Vertauensstellung wird über eine Authentifizierung hergestellt, und zwar auf ähnliche Weise, wie Sie als Benutzer authentifiziert werden, wenn Sie einen Benutzernamen und ein Kennwort für die Anmeldung an Ihrem Computer angeben. Die Authentifizierung hilft dabei zu verhindern, dass ein Client getäuscht wird und folglich mit einer bösartigen Site kommuniziert.

Verwenden von SSL zum Verschlüsseln der Tableau Server-Kommunikation

SSL (Secure Sockets Layer) ist ein Protokoll, das HTTP ähnelt. Es ermöglicht jedoch Computern, verschlüsselte Informationen in einem gesamten Netzwerk wie im Web zu senden. (Der Begriff SSL wird als der generische Name für dieses Protokoll verwendet. Möglicherweise wird es auch als TLS bezeichnet.) SSL zielt auf die zwei zuvor erwähnten Ziele (Datenschutz und Vertrauensstellung) über die soeben erwähnte Verschlüsselung und Authentifizierung ab. Wenn SSL für Tableau Server aktiviert ist, können Benutzer https:// anstelle von http:// verwenden, um Inhalt vom Server anzufordern.

Das Aktivieren von SSL erhöht die Sicherheit des Client-Server-Datenverkehrs erheblich. Wenn auf Ihre Tableau Server-Instanz über das Internet zugegriffen werden kann (nicht nur über Ihr internes Netzwerk), ist das Konfigurieren von SSL für den Server von entscheidender Bedeutung. Wenn ein Server in einem öffentlichen Netzwerk ohne SSL zur Verfügung gestellt wird, ist dies ein erhebliches Sicherheitsproblem. Auch wenn der öffentliche Zugriff auf Ihren Server nicht möglich ist, empfiehlt es sich, SSL für die Client-Server-Kommunikation auf Ihrem lokalen Netzwerk zu aktivieren.

In den folgenden Abschnitten erhalten Sie einige Hintergrundinformationen über die Funktionsweise von SSL. Zudem werden Anforderungen für die Verwendung von SSL mit Tableau Server beschrieben, unabhängig davon, ob Sie den sicheren Datenverkehr über das Internet oder auf Ihrem lokalen Netzwerk unterstützen möchten. Es wird darin das Aktivieren von SSL beschrieben, und Sie werden auf externe Ressourcen verwiesen, um zusätzliche Informationen zu erhalten. Wie Sie SSL in Ihrem lokalen Netzwerk aktivieren, hängt von vielen Faktoren in Ihrer Umgebung ab. Ihr IT-Ansprechpartner weiß am besten, wie dies für Ihre jeweilige Serverinstallation am besten behandelt wird.

SSL und VPN

Einige Ihrer Tableau Server-Benutzer greifen möglicherweise remote per VPN-Verbindung (virtuelles privates Netzwerk) auf Ihren Server zu. In diesem Fall bietet die VPN-Verbindung in sich, auch wenn die Benutzer nicht vor Ort sind, Datenschutz und Vertrauensstellung. Es empfiehlt sich weiterhin, SSL zu aktivieren. Es ist jedoch nicht wesentlich, wenn für Ihre Benutzer der Zugriff auf Tableau Server per VPN-Verbindung erfolgt.

SSL-Zertifikate

Zum Unterstützen von SSL benötigt der Server ein digitales Zertifikat. Sie können ein digitales Zertifikat von einer öffentlichen vertrauenswürdigen Drittanbieterentität abrufen, die als Zertifizierungsstelle (Certificate Authority, CA) bezeichnet wird. Eine vertrauenswürdige CA bestätigt die Identität Ihrer Organisation und stellt dann ein für Ihre Organisation eindeutiges signiertes Zertifikat aus. Vertrauenswürdige CAs sind u. a. Symantec (VeriSign), thawte und GlobalSign. Es gibt viele weitere.

"Öffentlich vertrauenswürdig" bedeutet, dass alle Betriebssysteme, von Tableau unterstützten Browser und anderen Clients den Stammzertifikaten dieser CAs grundsätzlich vertrauen. Sie erfüllen Webbranchenstandards hinsichtlich der empfohlenen Verschlüsselung, und sie bedeuten weniger Arbeit für Sie, wenn es darum geht, die Client-Server-Vertrauensstellung zu konfigurieren.

Nachdem Sie die Schritte zum Abrufen eines Zertifikats durchlaufen haben, sendet Ihnen die CA Ihre Zertifikate als einen Satz an Dateien. Installieren Sie die Zertifikatsdateien auf Ihrem Server, nachdem Sie sie empfangen haben. Wenn ein Client dann versucht, auf den Server zuzugreifen, ermöglichen die Informationen, die der Client vom Zertifikat des Servers abruft, dem Client, den Server zu authentifizieren. Hiermit wird das Ziel der Vertrauensstellung abgedeckt. Das Zertifikat enthält zudem einen öffentlichen Schlüssel. Dieser ermöglicht dem Client, verschlüsselte Kommunikationen mit dem Server herzustellen. Hiermit wird das Ziel des Datenschutzes abgedeckt.

Allgemein gesagt, wenn ein Client eine verschlüsselte Sitzung mit dem Server beginnen möchte, fordert der Client das Zertifikat des Servers an. (Dies erfolgt komplett automatisch, wenn ein Benutzer https:// am Anfang einer URL eingibt.) Der Server antwortet mit seinem Zertifikat. Das Serverzertifikat zeigt für gewöhnlich auf das Zertifikat des Ausstellers, was wiederum auf ein Zertifikat eines anderen Ausstellers zeigt, bis die Zertifizierungsstelle erreicht ist. Tatsächlich liegt für gewöhnlich eine komplette Zertifikatskette vor. Der Client prüft das Zertifikat oder alle Zertifikate in der Kette und vergleicht die CA-Informationen im Zertifikat mit den bereits auf dem Client vorhandenen CA-Informationen. (Browser und andere Clients verfügen über einen Speicher von bekannten CAs.) Wenn der Client ermittelt, dass die Zertifikate gültig und vertrauenswürdig sind, können der Client und Server eine verschlüsselte Sitzung beginnen und Informationen austauschen.

Gegenseitiges SSL (Zwei-Wege-SSL)

Hier soll nur erwähnt werden, dass es möglich ist, gegenseitiges SSL zu konfigurieren (wird auch als bidirektionales SSL bezeichnet), wo der Server und der Client über Zertifikate verfügen. Gegenseitiges SSL ist insbesondere für Benutzer hilfreich, die an öffentlichen Orten auf den Server zugreifen, insbesondere über öffentliches WLAN, da es sicherstellt, dass nur vorkonfigurierte Clients auf den Server zugreifen können.

Das Clientzertifikat für gegenseitiges SSL wird für gewöhnlich vom IT-Personal in Ihrer Organisation erstellt. Das Clientzertifikat enthält einen Benutzernamen und Informationen, um sicherzustellen, dass das Zertifikat nicht gefälscht sein kann. Mit dem gegenseitigen SSL fordert der Client, wenn der Client eine Sitzung mit dem Server beginnt, wie gewöhnlich das Serverzertifikat an und überprüft es. Anschließend fordert der Server das Clientzertifikat an und überprüft es, um seine Gültigkeit zu bestimmen.

Gegenseitiges SSL wird in dieser Anleitung nicht weitergehend beschrieben. Weiter unten in diesem Kapitel finden Sie jedoch Links zu weiteren Informationen, falls Sie daran interessiert sind, diese Funktion für Ihre Tableau Server-Installation zu aktivieren.

Selbstsignierte Zertifikate

Ihre Organisation kann ihre eigenen Zertifikate generieren, ohne den Überprüfungsprozess der CA durchlaufen zu müssen. Dadurch wird ein selbst signiertes Zertifikat erstellt. Mit einem selbst signierten Zertifikat können der Client und Server verschlüsselte Sitzungen herstellen. Der Client kann jedoch nicht die Identität des Servers (Authentifizierung des Servers) bestätigen. Wenn Benutzer eine Verbindung mit dem Server herstellen, wird eine Meldung wie die folgende angezeigt: "Dieses Zertifikat ist nicht vertrauenswürdig." Der genaue Text hängt vom Browser oder anderen Client ab.

Standardmäßig sind viele Tableau-Clients, einschließlich Tableau Mobile, nicht mit einem selbst signierten Zertifikat auf Tableau Server kompatibel. Bei einigen Clients (wie iOS-Geräten) können Sie konfigurieren, dass das Gerät einem selbst signierten Zertifikat vertraut. Wenn Sie sich dafür interessieren, lesen Sie einfach den KnowledgeBase-Artikel über das Verwenden von Tableau Mobile mit einem SSL-Server, der im Abschnitt mit den zusätzlichen Ressourcen am Ende dieses Kapitels aufgeführt wird.

Sie sollten, anstelle mit der Browserwarnung "Zertifikat ist nicht vertrauenswürdig" zu arbeiten oder Geräte für die Arbeit mit selbst signierten Zertifikaten zu konfigurieren (mit potenziell unzuverlässigen Ergebnissen), ein öffentlich vertrauenswürdiges Zertifikat von einer bekannten CA abrufen.

SSL für den Client-Server-Datenverkehr in Ihrer Organisation

Das von Ihnen von der vertrauenswürdigen CA abgerufene Zertifikat hilft beim Sichern des Datenverkehrs zwischen Ihrem Server und den Benutzern, die auf Computern arbeiten, die sich außerhalb Ihrer Organisation befinden, also für den Datenverkehr aus dem Internet. Für dieses Szenario verwenden Clients den vollqualifizierten (öffentlichen) Domänennamen Ihres Servers, beispielsweise https://www.example.com/. (Beachten Sie das s am Ende von https://)

Sie können die SSL-Verschlüsselung auch für Inhalt in Ihrem lokalen Netzwerk aktivieren. Dadurch wird der Datenverkehr geschützt, wenn Ihre Kollegen mithilfe eines internen Hostnamens wie https://tableauserver auf den Server zugreifen.

In den folgenden Abschnitten werden einige Optionen für das Aktivieren von SSL für den internen Datenverkehr beschrieben. Unsere Empfehlungen folgen diesen Beschreibungen. Sprechen Sie mit Ihrem IT-Partner, um zu bestimmen, welche sich am besten für Ihre Umgebung eignet, und um Unterstützung für die Konfiguration zu erhalten.

Verwenden der vorhandenen internen CA Ihrer Organisation und des selbst signierten Stammzertifikats

Wenn Ihre Organisation über ein IT-Team verfügt, sollten Sie nachfragen, ob es über eine eigene interne Zertifizierungsstelle verfügt. Wenn dies der Fall ist, bitten Sie sie, ein Zertifikat für Sie zu erstellen. Diesen Zertifikaten wird oftmals durch die Computer Ihrer Tableau-Benutzer automatisch vertraut. Daher müssen Sie nicht jeden Client konfigurieren, sodass er den Zertifikaten vertraut.

Wenn Sie nicht über eine interne CA verfügen, können Sie zum Erstellen einer internen CA alternativ OpenSSL verwenden. Hierbei handelt es sich um ein in Tableau Server integriertes Open-Source-Tool. Anschließend legen Sie jeden Client so fest, dass er der internen CA vertraut. Wenn Sie das Zertifikat aktualisieren müssen, können Sie es über das von Ihnen verwendete Systemverwaltungstool wie "Gruppenrichtlinie" an die Clients verteilen.

Obwohl die hierfür erforderlichen Schritte in der Tableau Server-Hilfe dokumentiert und im Web dokumentiert sind, müssen dafür viele bewegliche Teile auf der Systemebene Ihres Computers koordiniert werden. Sie sollten dies nicht ohne einen erfahrenen IT-Partner vornehmen.

Erstellen eines selbst signierten Zertifikats für Ihren Server und Konfigurieren von Clients für dessen Unterstützung

In der Tat wird hier das genaue Gegenteil von dem beschrieben, was im Abschnitt über das Verwenden von selbst signierten Zertifikaten für den öffentlichen Datenverkehr beschrieben wurde. Der Grund hierfür ist, dass Sie für den Client-Server-Datenverkehr, der im privaten Netzwerk Ihrer Organisation isoliert ist, keine Vertrauensstellung auf öffentlicher Ebene benötigen, die Sie mit einem von einer CA ausgestellten Zertifikat erhalten.

Selbst für Ihren internen Datenverkehr müssen Sie die Browser auf dem Computer des jeweiligen Benutzers, auf den iOS-Geräten und anderen Clients konfigurieren, um das selbst signierte Zertifikat zu unterstützen. Andernfalls müssen Sie den Benutzern mitteilen, wie sie mit der Warnung "Nicht vertrauenswürdige Site"umgehen müssen, die im Browser angezeigt wird, wenn sie versuchen, eine Verbindung herzustellen. Ein weiterer Widerspruch besteht darin, dass Sie es, selbst wenn Sie Clients konfigurieren, erneut vornehmen müssen, wenn das Zertifikat abläuft, und es erneut ausstellen müssen.

Auswählen der zu verwendenden Option

Im Folgenden finden Sie die empfohlene Einstellungsreihenfolge für das Aktivieren von SSL für den internen Datenverkehr zu Tableau Server. Wenn die bevorzugte Option für Ihre Organisation unpraktisch ist (beispielsweise wenn Sie über keine interne CA verfügen), sollten Sie die nächste Option versuchen.

  1. Wenn Ihre Organisation über eine interne CA verfügt, dann verwenden Sie sie. Dadurch können Sie SSL intern aktivieren und Benutzern gleichzeitig die lästige Browsermeldung "Nicht vertrauenswürdige Site"ersparen.

  2. Verwenden Sie ein selbst signiertes Zertifikat, und konfigurieren Sie Ihre Clients so, das sie ihm vertrauen, oder erläutern Sie Benutzern, dass es in Ordnung geht, eine Ausnahme für Tableau Server zu machen und die Browsermeldung "Nicht vertrauenswürdige Site"zu ignorieren.

  3. Rufen Sie ein Zertifikat von einer öffentlich vertrauenswürdigen CA ab.

  4. Wenn keine der ersten drei Optionen verfügbar ist, sollten Sie sich an Ihre IT-Abteilung wenden, um Unterstützung hinsichtlich des für das Erstellen einer internen CA beschriebenen Prozesses zu erhalten.

Abrufen und Installieren eines öffentlichen Zertifikats für Tableau Server

Der Prozess für das Abrufen eines Zertifikats unterscheidet sich für jede CA, und die Kosten variieren entsprechend der CA und der Zertifikatsebene, die Sie erhalten. Wenn Ihre Organisation über keine IT-Abteilung verfügt, sollten Sie zunächst das Web mithilfe eines Satzes wie "SSL-Zertifikat abrufen" durchsuchen und sich die Angebote der unterschiedlichen CAs durchlesen.

Wenn Ihre Organisation über eine IT-Abteilung verfügt, sollten Sie sie fragen, ob eine Beziehung mit öffentlichen Zertifizierungsstellen besteht und den Akquisitionsprozess optimieren kann.

Ihr IT-Experte muss die folgenden Voraussetzungen für Zertifikate kennen, die Sie auf Tableau Server installieren. (Die Akronyme stehen für unterschiedliche Verschlüsselungsalgorithmen. Für die gewünschten Zwecke müssen Sie nur das Nötigste wissen, es sei denn, Sie möchten Ihren möglicherweise vorhandenen Wissensdurst stillen.)

  • Beim Serverzertifikat muss es sich um ein PEM-codiertes x509-Zertifikat handeln.

    Es sind auch andere Formate möglich. Stellen Sie demnach sicher, dass Sie ein PEM-codiertes Zertifikat erhalten oder ein Tool wie OpenSSL verwenden, um das Zertifikat im PEM-Format zu speichern.

  • Die Datei .key des Zertifikats enthält den Schlüssel im RSA- oder DSA-Format sowie eine eingebettete Passphrase, wobei die Datei an sich nicht kennwortgeschützt ist.

  • Wenn das Serverzertifikat nicht direkt durch eine Stamm-CA signiert wurde, sollte der Aussteller eine Kettendatei bereitstellen.

    Die Kettendatei muss entsprechend im PEM-Format vorliegen und alle Zwischenzertifikate zwischen dem Serverzertifikat und dem Stammzertifikat enthalten. Das Einbeziehen des Stammzertifikats (oder "Vertrauensankers") ist optional. Die Kettendatei ist erforderlich, wenn Benutzer von Tableau Mobile oder Tableau Desktop auf dem Mac eine Verbindung zum Server herstellen sollen.

Aktivieren von SSL

  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Wählen Sie auf der Registerkarte Konfiguration die Option Sicherheit > Externes SSL aus.

  3. Wählen Sie unter Externes Webserver-SSL die Option SSL für die Serverkommunikation aktivieren aus.

  4. Laden Sie die Zertifikat- und Schlüsseldateien und, sofern in Ihrer Umgebung erforderlich, auch die Zertifikatkettendatei hoch und geben Sie den Passphrase-Schlüssel ein:

    Configure  SSL screenshot

  5. Klicken Sie auf Ausstehende Änderungen speichern.

  6. Klicken Sie oben auf der Seite auf Ausstehende Änderungen:

  7. Klicken Sie auf Änderungen anwenden und neu starten.

Anzeigen des Zertifikats

Nach dem Installieren der Dateien können Sie in einem Browser zu Ihrer Site navigieren und das Zertifikat anzeigen. Wir verwenden Tableau Online auf Google Chrome, um Ihnen zu zeigen, wie dies funktioniert.

  1. Öffnen Sie Ihren Browser, und wechseln Sie zu online.tableau.com.

  2. Klicken Sie auf das grüne Vorhängeschloss, das in der Adressleiste angezeigt wird.

  3. Klicken Sie auf den Link Details. Die Sicherheitsübersicht der Site wird angezeigt.

    Es wird angezeigt, dass Chrome ermittelt hat, dass die Site ein gültiges, vertrauenswürdiges Zertifikat verwendet. Während Sie sich durch die Sicherheitsübersicht klicken, können Sie auch die CA anzeigen, die das Zertifikat und die Vertrauenskette ausgestellt hat. Klicken Sie hier auf die Option für das Anzeigen des Zertifikats, um spezifischere Informationen anzuzeigen (auch wenn dies hier ggf. nicht viel bedeutet).

    Sie können diese Aktion in unterschiedlichen Browsern testen, um anzuzeigen, wie jeder die Zertifikatsinformationen anzeigt, oder in unterschiedlichen Sites, bei denen Sie sich anmelden, beispielsweise bei einem Onlinebankkonto.

Hinweise zur künftigen Verwendung

Wenn Sie die Zertifikatsdateien erhalten, sollten Sie sich ihr Ablaufdatum notieren und umgehend einen Plan für das Aktualisieren des Zertifikats erstellen, bevor es abläuft. Legen Sie in Ihrem Kalender eine Erinnerung fest, die drei Monate vor dem Ablaufdatum angezeigt wird. Notieren Sie sich, wen Sie zum Abrufen des Zertifikats kontaktiert haben, einschließlich Bestellungen, Quittungen und Ticketnummern.

Denken Sie auch an andere, die diese Arbeit möglicherweise das nächste Mal zu verrichten haben, d. h. nehmen Sie diese Informationen in Ihre Systemdokumentation auf.

Fahren Sie fort mit Konfigurieren der Kommunikation mit dem Internet.

Weitere Ressourcen

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.