Protección del tráfico entre los clientes y el servidor

Este capítulo describe el modo en que Tableau Server se comunica con otros equipos y lo que se puede hacer para conseguir que el tráfico sea más seguro.

 

Vienen curvas

Si los capítulos anteriores de Tableau Server: Guía de instalación para todos se parecían a una autopista vacía en un día despejado, en este capítulo va a parecer que estamos cruzando un puerto de montaña. Esta parte del camino no va a ser exactamente fácil, sino que va a requerir un poco más de esfuerzo.

Conviene saber que algunas de estas cuestiones pueden ser complejas incluso para los informáticos. Pero al hablar sobre la seguridad de sus datos confidenciales, ¿se fiaría de un método que fuera demasiado simple?

Si hasta ahora ha estado siguiendo la guía solo, ahora es el momento de recurrir a un profesional de la informática. Si no cuenta con ningún informático en plantilla, puede contratar los servicios profesionales de Tableau.

Aun con la ayuda de un informático, creemos que es importante que cualquier persona que administre Tableau Server comprenda los principios y procedimientos necesarios para proteger el entorno. Además, tampoco queremos frenar su aprendizaje ni impedir que se convierta en un experto si lo desea. Así que vamos a esforzarnos por enseñarlo lo que necesita saber para la configuración. También puede encontrar mucha información en línea, tanto en la propia ayuda de Tableau' como en las artículos de la Base de conocimiento.

Un resumen de la comunicación HTTP y entre cliente y servidor

De forma predeterminada, Tableau Server, como muchas aplicaciones de servidor, se comunica con los clientes a través del protocolo web estándar, es decir, HTTP. En HTTP, cuando un navegador envía una solicitud al servidor, y cuando este responde, la información se envía y se devuelve en forma de texto sin cifrar. Esto significa que cualquiera puede ponerse a cotillear y leer el contenido de la comunicación.

Algunos de los datos que los usuarios y el servidor transmiten pueden ser confidenciales. Por ejemplo, un usuario puede acceder a Tableau Server desde un navegador web y enviar un nombre de usuario y una contraseña para iniciar sesión en el servidor. O puede solicitar una vista de Tableau creada con datos confidenciales. Si alguien puede ver este tráfico (y no es muy difícil que un informático con experiencia pueda husmear en el HTTP), podrían llegar a conocer información que no deberían saber.

Sus objetivos de seguridad: privacidad y confianza

Cuando hay que proteger la comunicación entre Tableau Server y los clientes, lo más importante es la privacidad y la confianza. Para conseguir la privacidad, hay que hacer que nadie que intente husmear pueda leer el contenido HTTP. Esto se hace cifrando el tráfico.

Pero también se necesita una relación de confianza entre el servidor y el cliente. Esto significa que cuando el servidor envía información, el cliente puede confiar en que la información procede del servidor con el que el cliente piensa que se está comunicando. La confianza se establece a través de la autenticación, de igual modo que usted se autentica como usuario al proporcionar un nombre de usuario y una contraseña al iniciar sesión en el equipo. La autenticación ayuda a prevenir que un cliente se comunique con un sitio malintencionado mediante engaños.

Usar SSL para cifrar la comunicación en Tableau Server

SSL (capa de conexión segura) es un protocolo parecido a HTTP. La diferencia estriba en que SSL permite a los equipos enviar información cifrada a través de una red como la web. (Usamos el término SSL como nombre genérico del protocolo; también se puede denominar TLS). Con la capa SSL logramos los dos objetivos mencionados anteriormente, privacidad y confianza, mediante el cifrado y la autenticación de los que acabamos de hablar. Cuando SSL está habilitado en Tableau Server, los usuarios pueden usar https:// en lugar de solo http:// para solicitar contenido al servidor.

Al habilitar SSL, la seguridad del tráfico entre cliente y servidor se refuerza de forma considerable. Si su instancia de Tableau Server es accesible desde Internet (no solo en la red interna), es fundamental configurar SSL en el servidor. Hacer que un servidor esté disponible en una red pública sin SSL puede suponer un grave riesgo para la seguridad. Aunque el servidor no esté disponible para el público, se recomienda habilitar SSL para la comunicación entre cliente y servidor en la red local.

En las secciones siguientes describimos el funcionamiento de la capa SSL. También indicamos los requisitos para el uso de SSL con Tableau Server para proteger el tráfico en Internet o en la red local. Explicamos cómo habilitar SSL y ofrecemos recursos externos con información adicional. La forma de habilitar SSL en la red local depende de muchos factores del entorno. Su amigo informático sabrá qué es lo que conviene hacer según las características de la instalación del servidor.

SSL y VPN

Es posible que algunos de los usuarios de Tableau Server accedan al servidor desde fuera a través de una conexión VPN (red privada virtual) a su red. En este caso, aunque los usuarios se encuentren fuera, la propia conexión VPN proporciona privacidad y seguridad. Sigue siendo recomendable habilitar SSL, pero no es fundamental si los usuarios acceden a Tableau Server a través de una VPN.

Certificados SSL

Para admitir SSL, el servidor necesita un certificado digital. Puede obtener un certificado digital de una entidad externa de confianza global denominada autoridad de certificados o CA. Una CA de confianza comprueba la identidad de la organización y luego emite un certificado firmado que es exclusivo para la organización. Algunas CA de confianza son Symantec (VeriSign), thawte y GlobalSign. Existen muchas otras.

"De confianza global" significa que todos los sistemas operativos, los navegadores compatibles con Tableau y otros clientes confían intrínsecamente en los certificados raíz de estas CA. Cumplen normas del sector de la web en cuanto al cifrado recomendado y requieren menos trabajo para configurar la relación de confianza entre cliente y servidor.

Después de haber realizado los pasos necesarios para obtener un certificado, la CA le envía el certificado, que es un conjunto de archivos. Cuando reciba los archivos del certificado, deberá instalarlos en el servidor. Luego, cuando un cliente intenta acceder al servidor, la información que el cliente recibe del certificado del servidor permite al cliente autenticar el servidor. Con esto ya sabemos que podemos confiar. El certificado también incluye una clave pública, que permite al cliente establecer comunicaciones cifradas con el servidor. Con esto se logra la privacidad.

Para describir este proceso de escrutinio a alto nivel, cuando un cliente quiere iniciar una sesión cifrada con el servidor, el cliente solicita el certificado del servidor. (Por cierto, esto sucede automáticamente cuando un usuario escribe https:// al principio de una URL). El servidor responde con su certificado. El certificado del servidor suele apuntar al certificado del emisor, que , a su vez, puede apuntar a un certificado de otro emisor hasta remitir a la CA: en la práctica suele haber toda una cadena de certificados. El cliente examina el certificado (o todos los certificados de la cadena) y compara la información de la CA presente en el certificado con la información de la CA de la que dispone el cliente. (Los navegadores y otros clientes mantienen un almacén de CA conocidas). Si el cliente determina que los certificados son válidos y de confianza, el cliente y el servidor pueden iniciar una sesión cifrada e intercambiar información.

Autenticación SSL mutua (bidireccional)

Solo vamos a mencionar que se puede configurar una SSL mutua, en ocasiones denominada SSL bidireccional, en la que el servidor y el cliente disponen de certificados. La SSL mutua es muy útil cuando los usuarios van a acceder al servidor desde ubicaciones públicas, especialmente a través de una red Wi-Fi pública, ya que garantiza que solo los clientes preconfigurados tengan acceso al servidor.

El certificado de cliente para SSL mutua lo suelen generar los informáticos de su propia organización. El certificado de cliente contiene un nombre de usuario e información que impiden su falsificación. Con SSL mutua, cuando el cliente inicia una sesión con el servidor, solicita y examina el certificado del servidor, como es habitual. Luego el servidor solicita y examina el certificado del cliente para confirmar su validez.

No vamos a hablar más sobre SSL mutua en la guía, pero en este capítulo encontrará vínculos con más información por si quiere habilitar esta función en su instalación de Tableau Server.

Certificados autofirmados

Una organización puede generar su propio certificado sin tener que someterse al proceso de escrutinio que una CA ofrece. De este modo se crea un certificado autofirmado. Un certificado autofirmado permite al cliente y al servidor establecer sesiones cifradas. Sin embargo, no permite al cliente comprobar la identidad del servidor (es decir, autenticarlo). Cuando los usuarios se conectan al servidor, ven un mensaje parecido a este: "This certificate is not trusted" (este certificado no es de confianza). El texto varía en función del navegador o de otro cliente.

De forma predeterminada, muchos clientes de Tableau, incluido Tableau Mobile, no funcionan con un certificado autofirmado en Tableau Server. En algunos clientes (como los dispositivos iOS), el dispositivo se puede configurar para que confíe en un certificado autofirmado. Si le interesa esta cuestión, consulte el artículo de la Base de conocimiento que trata sobre el uso de Tableau Mobile con un servidor SSL y que encontrará en la sección de recursos adicionales al final de este capítulo.

Le recomendamos que, en lugar de intentar eliminar la advertencia del navegador "certificado que no es de confianza" o de configurar los dispositivos para que funcionen con certificados autofirmados (que pueden dar resultados poco fiables), obtenga un certificado de confianza global de una CA.

SSL para el tráfico entre cliente y servidor dentro de la organización

El certificado que obtiene de la entidad de certificación de confianza ayuda a proteger el tráfico entre el servidor y los usuarios que trabajan en equipos que no están dentro en la organización, es decir, el tráfico de Internet. En esta situación, los clientes usan el nombre de dominiocompletamente calificado (público), por ejemplo https://www.example.com/. (Fíjese en la s que hay al final de https://).

También puede habilitar el cifrado SSL para el tráfico que se produce dentro de la red local. Así protege el tráfico cuando sus compañeros acceden al servidor con un nombre de host interno, por ejemplo https://tableauserver.

En las secciones siguientes se describen algunas opciones para habilitar SSL para el tráfico interno. Nuestras recomendaciones siguen estas descripciones. Reúnase con su socio de TI para determinar cuál se adapta mejor a su entorno y para que le ayude a configurarla.

Usar la entidad de certificación interna y el certificado raíz autofirmado que ya hay en la organización

Si su organización cuenta con un departamento de TI, pregunte a algún miembro del equipo si tienen su propia entidad de certificación interna. Si es así, pídale que le cree un certificado. A menudo, los equipos de sus usuarios de Tableau confiarán automáticamente en estos certificados, de modo que no tendrá que pasar por el proceso de configurar cada cliente para que confíe en el certificado.

Si no tiene una entidad de certificación interna, una alternativa es usar OpenSSL, una herramienta de código abierto que se incluye con Tableau Server para crear una entidad de certificación interna. Después, configure cada cliente para que confíe en esta autoridad. Cuando tenga que actualizar el certificado, puede transmitirlo automáticamente a los clientes mediante la herramienta de administración del sistema que use (por ejemplo, la Directiva de grupo).

Aunque los pasos de este proceso están documentados en la ayuda de Tableau Server y en Internet, requieren que se coordinen muchas piezas en movimiento en el sistema de su equipo. No recomendamos seguir método si no se cuenta con la ayuda de un socio de TI con experiencia.

Crear un certificado autofirmado para su servidor y configurar los clientes para que lo admitan

En efecto, estamos afirmando lo contrario de lo que acabamos de decir en la sección sobre el uso de certificados autofirmados para el tráfico público. Le explicaremos por qué es una opción viable: en el caso del tráfico entre el cliente y el servidor que está aislado dentro de la red privada de la organización, no necesita la confianza pública que le proporciona un certificado emitido por una entidad de certificación.

Aunque solo sea para el tráfico interno, tendrá que configurar los navegadores del equipo, de los dispositivos iOS y de otros clientes de cada usuario para que admitan el certificado autofirmado. De lo contrario, tendrá que explicar a los usuarios cómo gestionar la advertencia "sitio que no es de confianza" que aparece en el navegador cuando intentan conectarse. Otra cosa a tener en cuenta es que, aunque configure los clientes, tendrá que volver a hacerlo cuando el certificado caduque, momento en que tendrá que volver a emitirlo.

Cómo decidir qué opción se debe usar

En lo que respecta a habilitar SSL para el tráfico interno en Tableau Server, este es nuestro orden de preferencia. Si la opción que prefiere no resulta práctica para su organización (por ejemplo, si no tiene una entidad de certificación interna), intente seguir la siguiente opción.

  1. Si su organización tiene una entidad de certificación interna, úsela. Esto le permite habilitar SSL de forma interna, a la vez que evita que los usuarios vean los molestos mensajes del tipo "certificado que no es de confianza" que aparecen en el navegador.

  2. Use un certificado autofirmado y configure que los clientes confíen en él, o explique a los usuarios que pueden hacer una excepción para Tableau Server e ignorar el mensaje "sitio que no es de confianza" que aparece en el navegador.

  3. Obtenga un certificado de una entidad de certificación de confianza pública.

  4. Si ninguna de las tres primeras opciones está disponible, implique al departamento de TI para que le ayude con el proceso descrito para crear una entidad de certificación interna.

Obtener e instalar un certificado público para Tableau Server

El proceso para obtener un certificado es diferente para cada entidad de certificación, y los costes varían según la entidad de certificación y el nivel de certificado que obtenga. Si su organización no cuenta con un departamento de TI, el mejor modo de empezar es buscar una frase del tipo "obtener certificado ssl" en Internet y estudiar las ofertas de cada entidad de certificación.

Si la organización cuenta con un departamento de TI, pregunte a algún miembro del equipo si están en contacto con alguna entidad de certificación pública y si pueden diseñar el proceso de adquisición.

El profesional de TI tendrá que saber los siguientes requisitos sobre los certificados que instale en Tableau Server. (Los acrónimos representan diferentes algoritmos de cifrado. Para el propósito que nos ocupa, no es necesario que se informe más sobre este tema, pero es libre de saciar su curiosidad).

  • El certificado del servidor debe ser un certificado x509 codificado por PEM.

    Hay otros formatos posibles, así que asegúrese de que el certificado esté codificado por PEM, o bien use una herramienta como OpenSSL para guardar el certificado en formato PEM.

  • El archivo .key de certificado contiene la clave en formato RSA o DSA y una contraseña incrustada. Sin embargo, el archivo no está protegido por contraseña.

  • Si el certificado del servidor no tiene la firma directa de una entidad de certificación, el emisor debe proporcionar un archivo de cadena.

    Así mismo, el archivo de cadena debe estar en formato PEM y debe contener todos los certificados intermedios entre el certificado raíz y el del servidor. La inclusión del certificado raíz (o "anclaje de veracidad") es opcional. El archivo de cadena es necesario si quiere que los usuarios de Tableau Mobile o Tableau Desktop con equipos Mac se puedan conectar al servidor.

Habilitar SSL

  1. Abra TSM en un navegador:

    https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager(Link opens in a new window).

  2. En la pestaña Configuración, seleccione Seguridad > SSL externa.

  3. En SSL de servidor web externo, seleccione Habilitar SSL para la comunicación del servidor.

  4. Cargue el certificado y los archivos de clave y, si es necesario para su entorno, cargue el archivo de cadena y especifique la clave de contraseña:

    Configure  SSL screenshot

  5. Haga clic en Guardar cambios pendientes.

  6. Haga clic en Cambios pendientes, en la parte superior de la página:

  7. Haga clic en Aplicar cambios y reiniciar.

Ver el certificado

Después de instalar los archivos, puede dirigirse a su sitio web en un navegador y consultar el certificado. Usaremos Tableau Online en Google Chrome para mostrarle cómo funciona este procedimiento.

  1. Abra el navegador y vaya a online.tableau.com.

  2. Haga clic en el candado verde que aparece en la barra de direcciones.

  3. Haga clic en el vínculo Detalles. Aparece el resumen de seguridad del sitio.

    En la pantalla se muestra que Chrome ha determinado que el sitio usa un certificado de confianza válido. Haga clic en diferentes puntos del resumen de seguridad para ver también la entidad de certificación que ha emitido el certificado y la cadena de confianza. Haga clic en View certificate (Ver certificado) aquí para ver más información específica (pero no se preocupe si de momento no le encuentra mucho sentido).

    Este procedimiento se puede llevar a cabo en diferentes navegadores para ver cómo se muestra la información del certificado en cada uno o para ver diferentes sitios en los que se tiene que iniciar sesión (por ejemplo, en una cuenta bancaria en línea).

Persona previsora vale por dos

Cuando reciba los archivos de certificado, anote la fecha de caducidad y establezca un plan para actualizarlo antes de esa fecha. Programe un recordatorio en el calendario que le avise tres meses antes de la fecha de caducidad. Anote con quién se ha puesto en contacto para obtener el certificado e incluya los pedidos de compra, los recibos y los números de vale.

Además, por el bien de la persona que quizá tenga que hacer esta tarea la próxima vez, incluya esta información en la documentación del sistema.

Continuar con Configurar la comunicación con Internet.

Recursos adicionales

¡Gracias por sus comentarios!