Este capítulo descreve como o Tableau Server se comunica com outros computadores e o que você pode fazer para tornar esse tráfego mais seguro.

 

Algumas curvas adiante

Nos capítulos anteriores do Tableau Server: Guia de instalação para todos, talvez você tenha sentido como se estivesse atravessando uma estrada vazia em um dia bonito. No entanto, este capítulo poderá ser mais parecido como escalar uma montanha. Não se trata exatamente de uma rodovia de uma pista, mas de uma estrada que exige um pouco mais de esforço.

Pode ser que isso ajude a identificar que parte desse caminho pode ser difícil até para profissionais de TI. Mas quando falamos sobre segurança ou dados confidenciais, você confiaria em uma abordagem que fosse muito fácil?

Se você estava trabalhando por sua conta até aqui usando este guia, agora é hora de chamar um profissional de TI. Se não houver um profissional de TI na sua empresa, considere inscrever-se nos Serviços profissionais do Tableau.

Até mesmo com a ajuda de TI, achamos que é importante que alguém que esteja administrando o Tableau Server deve entender os princípios e os procedimentos por trás da proteção ao ambiente. Além disso, não queremos decidir por você o que você vai querer saber , ou talvez se vai querer tornar-se um profissional també. Então, faremos nosso melhor aqui para informá-lo o que você precisa configurar. Além disso, é possível obter muitas ferramentas online, inclusive na própria ajuda do Tableau e nos artigos da Base de dados de conhecimento.

Uma visão geral de HTTP e comunicação cliente-servidor

Por padrão, o Tableau Server, assim como muitos aplicativos de servidor, comunica-se com clientes usando o protocolo da Web padrão, a saber HTTP. No HTTP, quando um navegador envia uma solicitação ao servidor e quando o servidor responde, as informações são transmitidas em texto sem formatação. Isso significa que quem encontrar essa comunicação casualmente poderá ler seu conteúdo.

Algumas informações que os usuários e o servidor transmitem podem ser confidenciais. Por exemplo, um usuário pode acessar o Tableau Server por meio de um navegador e enviar um nome de usuário e uma senha para conexão com o servidor. Ou um usuário pode solicitar uma exibição do Tableau criada com dados confidenciais. Se alguém puder visualizar esse tráfego (e bisbiblhotar no HTTP não é difícil para um profissional de TI experiente), essa pessoa poderá ver informações que não deve.

Suas metas de segurança: privacidade e confiança

Quando se trata de proteger a comunicação entre o Tableau Server e seus clientes, você busca privacidade e confiança. Para obter privacidade, você torna o conteúdo HTTP inacessível para todos que possam bisbilhotar. Para fazer isso, criptografe o tráfego.

Mas você também precisa de uma relação de confiança entre o servidor e o cliente. Isso significa que quando o servidor envia informações, o cliente pode ter certeza de que essas informações vêm de um servidor com o qual acha que está se comunicando. A confiança é estabelecida por meio da autenticação, o que é semelhante ao modo como você é autenticado como um usuário ao fornecer um nome de usuário e uma senha para se conectar ao computador. A autenticação ajuda a evitar que um cliente seja levado a se comunicar com um site mal intencionado.

Como usar o SSL para criptografar a comunicação com o Tableau Server

O SSL (secure sockets layer) é um protocolo semelhante ao HTTP, exceto pelo fato de que ele permite que os computadores enviem informações criptografadas em uma rede, como a Web. (Estamos usando o termo SSL como o nome genérico desse protocolo; talvez você também possa vê-lo mencionado como TLS.) O SSL atinge as duas metas mencionadas antes: privacidade e confiança, por meio da criptografia e da autenticação que acabamos de falar. Quando o SSL está habilitado para o Tableau Server, os usuários podem utilizar https://, em vez de apenas http:// para solicitar conteúdo do servidor.

A habilitação do SSL melhora significativamente a segurança do tráfego de cliente-servidor. Se a sua instância do Tableau Server puder ser acessada pela Internet (não só pela sua rede interna), a configuração do SSL para o servidor é essencial. Tornar um servidor disponível em uma rede pública sem SSL é uma preocupação grave de segurança. Mesmo que o servidor não possa ser acessado publicamente, uma boa prática é habilitar o SSL para a comunicação ente o cliente e o servidor na sua rede local.

As seções a seguir fornecem algumas informações básicas sobre como o SSL funciona. Também descrevemos os requisitos de uso de SSL com o Tableau Server, quer você queira proteger o tráfego pela Internet ou na sua rede local. As seções descrevem como habilitar SSL e levam você a recursos externos para obter mais informações. O modo como o SSL é habilitado na sua rede local depende de muitos fatores no ambiente. Seu amigo de TI saberá melhor como lidar com isso no caso da sua instalação de servidor em particular.

SSL e VPN

Alguns dos usuários do Tableau Server podem acessar o servidor de fora do site, usando uma conexão VPN (rede virtual privada) com a sua rede. Nesse caso, embora os usuários estejam fora do site, a conexão VPN em si já oferece tanto privacidade quanto confiança. Aunda é recomendável habilitar o SSL, mas isso não será essencial se o acesso ao Tableau Server dos seus usuários ocorrer via VPN.

Certificados SSL

Para aceitar SSL, o servidor requer um certificado digital. Você pode obter um certificado digital de uma entidade de terceiros publicamente confiável, conhecida como autoridade de certificação ou CA. Uma CA confiável verifica a identidade da organização e, em seguida, emite um certificado assinado que é exclusivo para a organização. Exemplos de CAs confiáveis incluem Symantec (VeriSign), thawte e GlobalSign. Há muitas outras.

"Publicamente confiável" significa que todos os sistemas operacionais, navegadores compatíveis com o Tableau e outros clientes confiam de modo inerente nos certificados raiz dessas CAs. Elas cumprem padrões do setor de criptografia recomendada e exigem menos trabalho da sua parte para configurar a relação de confiança entre o cliente e o servidor.

Depois que você passar pelas etapas para obtenção de um certificado, a CA envia esse certificado como um conjunto de arquivos. Quando você recebe os arquivos de certificado, instala-os no servidor. Em seguida, quando um cliente tenta acessar o servidor, as informações que o cliente recebe do certificado do servidor permitem que o cliente autentique o servidor. Isso cobre sua meta de confiança. O certificado também inclui uma chave pública, que permite que o cliente estabeleça comunicações criptografadas com o servidor. Isso cobre sua meta de privacidade.

Para descrever esse processo de verificação em um alto nível, quando um cliente quer iniciar uma sessão criptografada com o servidor, ele solicita o certificado do servidor. (A propósito, isso tudo ocorre automaticamente quand um usuário digita https:// no início de uma URL.) O servidor responde com seu certificado. O certificado do cervidor geralmente aponta para o certificado do emissor que, por sua vez, aponta para um certificado de um emissor diferente, até a CA, Na prática, geralmente há uma cadeia completa de certificados. O cliente examina o certificado, ou todos os certificados na cadeia, e compara as informações de CA no certificado com as informações de CA que o cliente já tem. Navegadores e outros clientes mantêm um repositório de CAs conhecidas.) Se o cliente determinar que os certificados são válidos e confiáveis, o cliente e o servidor podem começar uma sessão criptografada e trocar informações.

SSL mútuo (bidirecional)

Apenas mencionaremos aqui que será possível configurar SSL mútuo, às vezes chamado SSL bidirecional, em que tanto o servidor quanto o cliente têm certificados. O SSL mútuo será particularmente útil se os usuários forem acessar o servidor de locais públicos, especialmente por meio de Wi-Fi público, pois isso ajuda a assegurar que apenas clientes pré-convigurados possam acessar o servidor.

O certificado do cliente para SSL mútuo geralmente é gerado pelos profissionais de TI dentro da organização. O certificado de cliente contém um nome de usuário e informações para assegurar que o certificado não seja esquecido. Com o SSL mútuo, quando o cliente começa uma sessão com o servidor, o cliente solicita e examina o certificado do servidor, da maneira usual. Em seguida, o servidor solicita e examina o certificado de cliente para determinar sua validade.

Não falaremos mais sobre SSL mútuo neste guia, mas posteriormente neste capítulo, teremos links para mais informações, caso esse pareça um recurso que você queira habilitar para sua instalação do Tableau Server.

Certificados autoassinados

Sua organização pode gerar seu próprio certificado sem passar pelo processo de verificação oferecido por uma CA. Isso cria um certificado autoassinado. Um certificado autoassinado permite que o cliente e o servidor estabeleçam sessões criptografadas. No entanto, isso não permite que o cliente verifique a identidade do servidor (autentique o servidor). Quando os usuários se conectam ao servidor, eles visualizam uma mensagem que diz algo como "Este certificado não é confiável". O texto exato depende do bavegador ou do outro cliente.

Por padrão, muitos clientes do Tableau, inclusive o Tableau Mobile, não funcionarão com um certificado autoassinado no Tableau Server. Para alguns clientes (como dispositivos iOS), você pode configurar o dispostitivo para confiar em um certificado autoassinado. Se você estiver curioso com isso, dê uma olhada no artigo da Base de dados de conhecimento sobre como usar o Tableau Mobile com um servidor SSL, listado na seção de recursos adicional ao fim deste capítulo.

Recomendamos que, em vez de tentar trabalhar com o aviso de navegador "certificado não confiável", ou configurar dispositivos para funcionaren com certificados autoassinados (com potencial para resultados não confiáveis), você obtenha um certificado publicamente confiável de uma CA conhecida.

SSL para tráfego cliente-servidor dentro da sua organização

O certificado que você obtém de CA confiável ajuda a proteger o tráfego entre o seu servidor e os usuários que trabalham em computadores fora da organização — ou seja, o tráfego proveniente da Internet. Para este cenário, os clientes usam o nome de domínio (público) totalmente qualificado, como https://www.example.com/. (Observe o s no final de https://)

Você pode também habilitar a criptografia SSL no tráfego dentro da sua rede local. Isso protegerá o tráfego quando seus colegas estiverem acessando o servidor com um nome de host interno, como https://tableauserver.

As seções a seguir descrevem algumas opções para habilitar SSL do tráfego interno. Nossas recomendações seguem essas descrições. Reúna-se com o seu parceiro de TI para determinar qual se adapta melhor ao seu ambiente e, em seguida, ajudar a configurá-la.

Usar a AC interna e o certificado de raiz assinado por você existentes em sua organização

Se a sua organização tiver uma equipe de TI, pergunte se ela tem a própria autoridade de certificado interno. Caso tenha, pergunte se pode criar um certificado para você. Frequentemente, essas certificações serão automaticamente validadas pelos computadores dos usuários do seu Tableau, portanto, você não precisa passar pela configuração de cada cliente para validar o certificado.

Se não tiver uma AC interna, uma alternativa para criá-la é usar a OpenSSL, uma ferramenta de código aberto incluída no Tableau Server. Em seguida, você define cada cliente para confiar na AC interna. Quando precisar atualizar o certificado, poderá enviar aos clientes por meio da ferramenta de gerenciamento do sistema que você usa, como a Política de Grupo.

Embora as etapas para fazer isso estejam documentadas na Ajuda do Tableau Server e na Web, há a necessidade de coordenar várias partes móveis no sistema do seu computador. Não incentivamos fazer isso sem um parceiro de TI experiente.

Criar um certificado assinado por você para o seu servidor e configurar os clientes para suportá-lo

Sim, estamos realmente afirmando o oposto do que foi dito na seção sobre o uso dos certificados assinados por você para o tráfego público. Mas o motivo para isso é o seguinte: no tráfego cliente-servidor isolado dentro da rede privada da sua organização, você não precisa de confiança de nível público obtida com o certificado emitido pela AC.

Mesmo no tráfego interno, você terá que configurar os navegadores em cada computador de usuário, dispositivos iOS e outros clientes para suportarem o certificado assinado por você. Caso contrário, terá que indicar aos usuários como devem lidar com o aviso de "site não confiável" que aparece no navegador ao tentarem se conectar. Outra advertência é que, mesmo que configure clientes, você necessitará fazer isso novamente quando o certificado expirar e você precisar reenviá-lo.

Como decidir qual opção usar

Em relação à habilitação de SSL para tráfego interno ao Tableau Server, aqui está a nossa ordem de preferência. Se a opção preferida não for prática para a sua organização (por exemplo, não há CA interna), tente a próxima.

  1. Se a sua organização tiver uma AC interna, use-a. Isto permite que você ative o SSL internamente e evite as mensagens incômodas de "certificado não confiável" no navegador.

  2. Use um certificado assinado por você e configure os clientes para confiar nele ou explique aos usuários que é possível fazer uma exceção para o Tableau Server e ignorar a mensagem de "site não confiável" do navegador.

  3. Obtenha um certificado de uma AC confiável publicamente.

  4. Se nenhuma das primeiras três opções estiver disponível, solicite ao seu departamento de TI que ajude-o com o processo descrito para a criação de uma AC interna.

Obter e instalar um certificado público para o Tableau Server

O processo de obtenção de um certificado é diferente para cada AC, sendo que o custo varia por AC e nível de certificado obtido. Se a sua organização não tem um departamento de TI, a melhor maneira de começar é pesquisar na Web usando uma frase como "obter certificado ssl" e ler as ofertas de diferentes ACs.

Se a sua organização tiver um departamento de TI, pergunte se ele tem uma relação com as autoridades de certificado público e pode simplificar o processo de aquisição.

Seus profissionais de TI precisarão conhecer os requisitos a seguir para os certificados que você instalar no Tableau Server. (Os acrônimos representam diferentes algoritmos de criptografia. Para a finalidade atual, você não precisa aprender mais sobre eles, a não ser para satisfazer qualquer curiosidade que possa ter.)

  • O certificado do servidor deve ser um certificado x509 codificado por PEM.

    Outros formatos são possíveis, por isso, confirme que está obtendo um certificado codificado por PEM ou use uma ferramenta como a OpenSSL para salvar o certificado em formato PEM.

  • O arquivo de certificado .key contém a chave em formato RSA ou DSA e uma frase secreta inserida, sendo que o próprio arquivo não é protegido por senha.

  • Se o certificado do servidor não for assinado diretamente por uma CA de raiz, o emissor deve fornecer um arquivo de cadeia.

    O arquivo de cadeia deve, da mesma forma, estar em formato PEM e conter todos os certificados intermediários entre o certificado do servidor e os certificados da raiz. Incluir o certificado raiz (ou "âncora confiável") é opcional. O arquivo de cadeia é necessário se você deseja que os usuários do Tableau Mobile ou Tableau Desktop no Mac se conectem ao servidor.

Habilitar SSL

  1. Abra o TSM em um navegador:

    https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager(O link abre em nova janela).

  2. Na guia Configuração, selecione Segurança > SSL externo.

  3. Em SSL do servidor Web externo, selecione Habilitar SSL para comunicação do servidor.

  4. Faça upload do certificado e arquivos-chave e, caso necessário para seu ambiente, faça upload do arquivo de cadeia e insira a fase secreta de chave:

    Configurar captura de tela de SSL

  5. Clique em Salvar alterações pendentes.

  6. Clique em Alterações pendentes na parte superior da página:

  7. Clique em Aplicar alterações e reiniciar.

Visualizar o certificado

Após instalar os arquivos, você pode navegar para o seu site em um navegador e visualizar o certificado. Usaremos o Tableau Online no Google Chrome para mostrar a você como isso funciona.

  1. Abra o seu navegador e vá para online.tableau.com.

  2. Clique no cadeado verde que aparece na barra de endereço.

  3. Clique no link Detalhes. A visão geral de segurança do site é exibida.

    O visor mostra que o Chrome determinou que o site usa um certificado válido e confiável. Ao clicar perto da visão geral de segurança, você também observa a AC que emitiu o certificado e a cadeia confiável. Clique em Visualizar certificado aqui para ver mais informações específicas (porém, não se preocupe porque isso não é importante aqui).

    Você pode tentar fazer isso em navegadores diferentes para ver como cada um exibe as informações do certificado, ou em diferentes sites em que faz logon, como conta de banco online.

Facilite o seu trabalho do futuro

Ao obter os arquivos de certificado, anote a data de expiração e elabore um plano agora para atualizar o certificado antes que ele expire. Defina um lembrete no seu calendário, três meses antes da data de expiração. Anote com quem você entrou em contato para obter o certificado, inclua pedidos de compra, recibos e números de tíquete.

Facilite também o trabalho de quem vier fazer isso depois de você, e inclua essas informações na documentação do sistema.

Continue com a Configuração da comunicação com a Internet.

Recursos adicionais

Agradecemos seu feedback!