Proteggere il traffico tra i client e il server

In questo capitolo viene descritta la modalità con cui Tableau Server comunica con altri computer e le operazioni che puoi eseguire per rendere il traffico più sicuro.

 

Alcune curve dopo

Mentre i capitoli precedenti di Tableau Server: guida generale all'installazione possono esserti sembrati come un tranquillo viaggio in un'autostrada vuota durante una giornata limpida, questo potrebbe ricordare più una salita in montagna. Non è proprio una strada di servizio a una corsia, tuttavia una che richiede un po' più di attenzione.

Ti potrà essere utile sapere che alcuni di questi elementi possono risultare insidiosi, persino per i professionisti dell'IT. Ma quando parliamo di sicurezza dei tuoi dati sensibili, ti fideresti di un approccio troppo semplice?

Se finora hai letto questa guida da solo, è giunto il momento di rivolgerti al tuo esperto IT di fiducia. Se non ne conosci uno, valuta l'idea di avvalerti dei Servizi professionali di Tableau.

Persino con l'aiuto di un esperto IT, riteniamo che sia importante che qualsiasi utente di Tableau Server comprenda i principi e le procedure alla base della protezione dell'ambiente. Inoltre, non vogliamo decidere al posto tuo ciò che ti interessa apprendere, oppure magari vorrai diventare tu stesso un esperto. Dunque faremo del nostro meglio per spiegarti ciò che ti occorre sapere per iniziare la configurazione. Oltre a ciò, potrai trovare tantissime informazioni online, inclusi gli articoli della Guida e della Knowledge Base di Tableau.

Panoramica delle comunicazioni HTTP e tra client e server

Per impostazione predefinita, Tableau Server, come molte altre applicazioni server, comunica con i client utilizzando il protocollo Web standard, ovvero HTTP. In HTTP, quando un browser invia una richiesta al server e quest'ultimo risponde, le informazioni vengono inviate e ricevute in testo non crittografato. Ciò significa che chiunque intercetti la comunicazione ne possa leggere il contenuto.

Alcune delle informazioni che i tuoi utenti e il server inviano e ricevono potrebbero essere di natura sensibile. Ad esempio, un utente può accedere a Tableau Server tramite un browser Web e inviare un nome utente e una password per accedere al server. Oppure un utente potrebbe richiedere una vista di Tableau creata con dati sensibili. Se qualcuno può visualizzare questo traffico (e non è difficile intercettare su HTTP per un esperto di IT), potrebbe vedere informazioni riservate.

I tuoi obiettivi di protezione: privacy e affidabilità

Quando si tratta di proteggere le comunicazioni tra Tableau Server e i suoi client, devi mirare a privacy e affidabilità. Per ottenere la privacy, rendi il contenuto HTTP illeggibile a chiunque possa intercettarlo. La strategia da adottare in questo caso è quella di crittografare il traffico.

Tuttavia, occorre una relazione di fiducia tra il server e il client. Ciò significa che, quando il server invia le informazioni, il client può considerare attendibili le informazioni provenienti dal server con cui ritiene di stare comunicando. L'attendibilità viene stabilita tramite l'autenticazione, analogamente al modo in cui tu ti autentichi come utente quando fornisci un nome utente e una password per accedere al tuo computer. L'autenticazione impedisce che un client sia ingannato e portato a comunicare con un sito dannoso.

Utilizzare SSL per crittografare le comunicazioni di Tableau Server

SSL (Secure Sockets Layer) è un protocollo simile a HTTP, tranne per il fatto che consente ai computer di inviare informazioni crittografate attraverso una rete, ad esempio il Web. Utilizziamo il termine SSL come nome generico per questo protocollo. Potresti vederlo indicato anche come TLS. SSL realizza i due obiettivi descritti in precedenza, ovvero privacy e affidabilità, tramite la crittografia e l'autenticazione che abbiamo appena menzionato. Quando SSL è abilitato per Tableau Server, gli utenti possono usare https:// al posto di http:// per richiedere il contenuto del server.

L'attivazione di SSL migliora notevolmente la sicurezza del traffico tra client e server. Se la tua istanza di Tableau Server è accessibile da Internet (non solo sulla rete interna), è essenziale configurare SSL per il server. Rendere disponibile un server su una rete pubblica senza il protocollo SSL costituisce un problema serio per la sicurezza. Anche se il server non è accessibile pubblicamente, è consigliabile abilitare SSL per le comunicazioni tra client e server nella rete locale.

Nelle sezioni seguenti vengono fornite alcune informazioni di base sul funzionamento di SSL. Vengono inoltre descritti i requisiti per l'utilizzo di SSL con Tableau Server, sia che tu intenda proteggere il traffico su Internet o sulla rete locale. Illustreremo come abilitare SSL, indirizzandoti alle risorse esterne dove potrai reperire maggiori informazioni. La modalità con cui abiliterai il protocollo SSL sulla rete locale dipende da numerosi fattori presenti nel tuo ambiente. Il tuo amico esperto di IT saprà come gestire al meglio la tua installazione server specifica.

SSL e VPN

Alcuni utenti di Tableau Server potrebbero accedere al server esternamente da una connessione VPN (Virtual Private Network) alla tua rete. In tal caso, sebbene gli utenti siano fuori sede, la connessione VPN fornisce sia la privacy che la sicurezza. È comunque consigliabile abilitare SSL, ma non è essenziale, se i tuoi utenti accedono a Tableau Server attraverso una VPN.

Certificati SSL

Per supportare SSL, il server richiede un certificato digitale. Puoi ottenere un certificato digitale da un'entità pubblicamente attendibile di terze parti, nota come Autorità di certificazione o CA. Una CA attendibile verifica l'identità della tua organizzazione, emettendo quindi un certificato firmato che è univoco per l'organizzazione. Esempi di CA attendibili sono Symantec (VeriSign), thawte e GlobalSign. Ne esistono molte altre.

Per "pubblicamente attendibile" si intende che tutti i sistemi operativi, i browser supportati da Tableau e gli altri client considerano intrinsecamente affidabili i certificati radice provenienti da queste CA. Soddisfano gli standard del settore in materia di crittografia consigliata e richiedono meno intervento da parte tua per configurare la relazione di attendibilità tra client e server.

Dopo aver eseguito i passaggi necessari per ottenere un certificato, la CA te lo invia come insieme di file. Alla ricezione dei file di certificato, installali sul server. Quindi, quando un client tenta di accedere al server, le informazioni che otterrà dal relativo certificato gli consentiranno di autenticarsi sul server. In questo modo, abbiamo risolto il tuo obiettivo dell'affidabilità. Il certificato include anche una chiave pubblica, che consente al client di stabilire comunicazioni crittografate con il server. In questo modo, abbiamo attuato il tuo obiettivo di privacy.

Per descrivere questo processo di controllo a un livello elevato, quando un client desidera avviare una sessione crittografata con il server, il client richiede il certificato del server. A proposito, tutto ciò si verifica automaticamente quando un utente digita https:// all'inizio di un URL. Il server risponde con il proprio certificato. Il certificato del server, in genere, indirizza al certificato dell'autorità di certificazione, che può a sua volta indirizzare a un certificato di un'emittente diversa: in pratica, si tende a creare un'intera catena di certificati. Il client esamina il certificato (oppure tutti i certificati nella catena) e confronta le informazioni della CA presenti nel certificato con le informazioni della CA già in suo possesso. I browser e altri client mantengono un archivio di CA note. Se il client determina che i certificati sono validi e attendibili, il client e il server potranno avviare una sessione crittografata ed effettuare lo scambio di informazioni.

Autenticazione SSL reciproca (bidirezionale)

Qui citeremo brevemente che è possibile configurare l'autenticazione SSL reciproca, detta anche SSL bidirezionale, in cui sia il server che il client dispongono di certificati. L'autenticazione SSL reciproca è particolarmente utile se gli utenti accedono al server da posizioni pubbliche, soprattutto se si tratta di wifi pubbliche, perché consente di assicurarsi che solo i client preconfigurati siano autorizzati ad accedere al server.

Il certificato client per l'autenticazione SSL reciproca viene solitamente generato da personale IT presente all'interno della tua organizzazione. Il certificato client contiene un nome utente e le informazioni necessarie a verificare che il certificato non possa essere falsificato. Con l'autenticazione SSL reciproca, quando il client avvia una sessione con il server, richiede e analizza il rispettivo certificato, come di consueto. Il server quindi richiede e analizza il certificato del client per determinarne la validità.

In questa guida non verranno fornite maggiori informazioni sull'autenticazione SSL reciproca, ma più avanti nel capitolo ti mostreremo i collegamenti a maggiori informazioni, qualora tu intenda abilitare questa funzionalità per la tua installazione di Tableau Server.

Certificati autofirmati

La tua organizzazione può generare un certificato proprio senza passare attraverso il processo di verifica. Verrà creato un certificato autofirmato. Un certificato autofirmato consente al client e al server di stabilire sessioni crittografate. Tuttavia, non consente al client di verificare l'identità del server (autenticazione del server). Quando gli utenti si connettono al server, riceveranno un messaggio simile a "Questo certificato non è attendibile". Il testo esatto dipende dal browser o da un altro client.

Per impostazione predefinita, molti client Tableau, incluso Tableau Mobile, non funzioneranno su Tableau Server con un certificato autofirmato. Per alcuni client (come i dispositivi iOS), è possibile configurare il dispositivo affinché consideri attendibile un certificato autofirmato. Per maggiori informazioni, consulta l'articolo della Knowledge Base relativo all'utilizzo di Tableau Mobile con un server SSL: lo troverai elencato nella sezione dedicata alle risorse aggiuntive al termine di questo capitolo.

Anziché tentare di lavorare con l'avviso del browser "certificato non attendibile" o di configurare i dispositivi per l'utilizzo di certificati autofirmati (con possibili risultati inaffidabili), ti consigliamo di ottenere un certificato pubblicamente attendibile da una CA nota.

SSL per il traffico tra client e server all'interno della tua organizzazione

Il certificato ottenuto dalla CA attendibile ti consente di proteggere il traffico tra il server e gli utenti che lavorano all'esterno dell'organizzazione, ovvero il traffico proveniente da Internet. Per questo scenario i client utilizzano il nome di dominiocompleto (pubblico) del server, ad esempio https://www.example.com/. Nota la s alla fine di https://.

È inoltre possibile abilitare la crittografia SSL sul traffico all'interno della tua rete locale. In questo modo, il traffico viene protetto quando i tuoi colleghi accedono al server utilizzando un nome host interno, ad esempio https://tableauserver.

Nelle sezioni seguenti vengono descritte alcune opzioni per abilitare SSL per il traffico interno. I nostri consigli sono in linea con queste descrizioni. Incontrati con il partner IT e stabilite insieme la soluzione più adatta al tuo ambiente, quindi eseguine la configurazione con il suo aiuto.

Utilizzare il certificato radice autofirmato esistente della CA interna della tua organizzazione

Se la tua organizzazione dispone di un team IT, chiedi se dispone di un'Autorità di certificazione interna. In caso affermativo, richiedi la creazione di un certificato personale. Questi certificati spesso verranno considerati automaticamente attendibili dai computer dei tuoi utenti di Tableau, pertanto non è necessario eseguire il processo di configurazione di ogni client affinché ritenga attendibile il certificato.

Se disponi di una CA interna, un'alternativa consisterebbe nell'utilizzare OpenSSL, uno strumento open source fornito insieme a Tableau Server per creare una CA interna. Quindi, imposta ogni client affinché ritenga attendibile la CA interna. Quando è necessario aggiornare il certificato, puoi inviarlo ai client tramite lo strumento di gestione del sistema utilizzato, ad esempio Criteri di gruppo.

Sebbene i passaggi da eseguire siano documentati nella Guida di Tableau Server e sul Web, richiedono la coordinazione di molti parti mobili a livello di sistema del computer. Non ti consigliamo di eseguirli in assenza di un partner IT esperto.

Creare un certificato autofirmato per il server e configurare i client per supportarlo

Sì, stiamo dicendo esattamente il contrario esatto di ciò che abbiamo appena visto nella sezione relativa all'utilizzo di certificati autofirmati per il traffico pubblico. Ma il motivo per cui è accettabile è il seguente: si tratta di traffico tra client e server che è isolato all'interno della rete privata dell'organizzazione, non ti occorre quindi l'attendibilità di livello pubblico che ti viene fornita da un certificato emesso dalla CA.

Persino per il tuo traffico interno, per supportare il certificato autofirmato dovrai configurare i browser nei computer di tutti gli utenti, nei dispositivi iOS e in altri client. In caso contrario, dovrai informare i tuoi utenti su come gestire l'avviso "sito non attendibile" che viene visualizzato nel browser quando tentano di connettersi. Un'altra doverosa puntualizzazione è che, persino dopo aver configurato i client, dovrai rieseguire questa operazione alla scadenza del certificato, quando sarà necessario emetterlo nuovamente.

Come decidere l'opzione da utilizzare

Quando si tratta di abilitare SSL per il traffico interno diretto a Tableau Server, questo è il nostro ordine delle preferenze. Se l'opzione preferita è inattuabile per l'organizzazione, (ad esempio se non disponi di una CA interna) prova a utilizzare l'opzione successiva.

  1. Se l'organizzazione dispone di una CA interna, utilizzala. In questo modo potrai abilitare SSL internamente, risparmiando agli utenti il fastidioso messaggio del browser "certificato non attendibile".

  2. Utilizza un certificato autofirmato e configura i client affinché lo ritengano attendibile oppure spiega agli utenti che è accettabile creare un'eccezione per Tableau Server e ignorare il messaggio del browser "sito non attendibile".

  3. Ottieni un certificato da una CA pubblicamente attendibile.

  4. Se nessuna delle prime tre opzioni è disponibile, richiedi l'intervento del reparto IT affinché ti aiuti nella creazione di una CA interna.

Ottenere e installare un certificato pubblico per Tableau Server

Il processo per ottenere un certificato è diverso per ogni CA e il costo varia in base alla CA e al livello di certificato ottenuto. Se l'organizzazione non dispone di un reparto IT, il modo migliore per iniziare è quello di eseguire una ricerca nel Web utilizzando una frase simile a "ottenere certificato ssl" e leggere le proposte delle varie CA.

Se l'organizzazione dispone di un reparto IT, chiedi se ha contatti con le autorità di certificazione pubbliche e se può facilitare il processo di acquisizione.

Il tuo esperto IT di fiducia dovrà conoscere i seguenti requisiti per i certificati installati su Tableau Server. Gli acronimi rappresentano algoritmi di crittografia diversi. Per il fine in oggetto, non devi sapere altro di loro, a meno che tu non voglia soddisfare qualche curiosità personale.

  • Il certificato server deve essere un certificato x509 con codifica PEM.

    Altri formati sono possibili, pertanto assicurati di ottenere un certificato con codifica PEM oppure utilizza uno strumento come OpenSSL per salvare il certificato in formato PEM.

  • Il file di certificato .key contiene la chiave in formato RSA o DSA e una passphrase incorporata, il file stesso non è protetto da password.

  • Se il certificato server non è firmato direttamente da una CA radice, l'emittente dovrà fornire un file della catena.

    Il file della catena deve essere in formato PEM e deve contenere tutti i certificati intermedi tra il certificato server e il certificato radice. L'inclusione del certificato radice (o "trust anchor") è facoltativa. Il file della catena è necessario se desideri che gli utenti di Tableau Mobile o Tableau Desktop su Mac possano connettersi al server.

Abilitare SSL

  1. Apri TSM in un browser:

    https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all'interfaccia utente Web di Tableau Services Manager(Link opens in a new window).

  2. Nella scheda Configurazione, seleziona Sicurezza > SSL esterno.

  3. In SSL server Web esterno, seleziona Abilita SSL per comunicazione server.

  4. Carica i file del certificato e della chiave e, se necessario per l'ambiente, carica il file della catena e immetti la chiave della passphrase:

    Screenshot della configurazione di SSL

  5. Fai clic su Salva modifiche in sospeso.

  6. Fai clic su Modifiche in sospeso nella parte superiore della pagina:

  7. Fai clic su Applica le modifiche e riavvia.

Visualizzare il certificato

Dopo aver installato i file, puoi accedere al sito in un browser e visualizzare il certificato. Useremo Tableau Online su Google Chrome per illustrare come funziona.

  1. Apri il browser e visita online.tableau.coma .

  2. Fai clic sul lucchetto verde visualizzato nella barra degli indirizzi.

  3. Seleziona il collegamento Dettagli . Viene visualizzata la panoramica della protezione del sito.

    La visualizzazione mostra che Chrome ha determinato che il sito utilizza un certificato attendibile valido. Facendo clic all'interno della panoramica della sicurezza, puoi anche visualizzare la CA che ha rilasciato il certificato e la catena di attendibilità. Seleziona Visualizza certificato per conoscere le informazioni più specifiche (anche se non sono molto utili).

    Puoi eseguire la stessa operazione in browser diversi per vedere come ciascuno visualizza le informazioni sui certificati o siti diversi, ad esempio un conto bancario online.

Sii gentile con il tuo futuro

Quando ottieni i file di certificato, annota la data di scadenza e imposta subito un piano per aggiornare il certificato prima di tale data. Imposta un promemoria nel calendario tre mesi prima della data di scadenza. Prendi nota su chi ti ha contattato per ottenere il certificato, includi ordini di acquisto, ricevute e numeri di ticket.

Sii gentile anche con chi potrebbe trovarsi a svolgere questo lavoro la prossima volta e allega queste informazioni alla tua documentazione di sistema.

Prosegui con Configurazione della comunicazione con Internet.

Risorse aggiuntive

Grazie per il tuo feedback.