FIPS-Konformität in Tableau Server unter Linux

In diesem Thema wird die FIPS-konforme Version von Tableau Server vorgestellt. FIPS-Konformität (Federal Information Processing Standard) wurde Tableau Server für Linux in Version 2025.3 hinzugefügt. Tableau Server für Windows ist nicht FIPS-konform.

FIPS 140-2 ist ein US-amerikanischer IT-Sicherheitsstandard zur Genehmigung kryptografischer Module. Durch diese Konformität wird sichergestellt, dass alle kryptografischen Vorgänge in Tableau Server strenge Sicherheitsanforderungen erfüllen und so eine sicherere Umgebung für Ihre Daten bereitgestellt wird.

Was FIPS-Konformität für Sie bedeutet

Für die meisten Benutzer bleibt die tägliche Nutzung von Tableau Server weitgehend unverändert. Die FIPS-Konformität ist in erster Linie eine Verbesserung „unter der Haube“, die die Sicherheitslage des Servers erhöht.

  • Erhöhte Sicherheit: Alle Daten, die durch kryptografische Module geschützt sind, verwenden während der Übertragung und im Ruhezustand FIPS-validierte Algorithmen.

  • Einhaltung gesetzlicher Vorschriften: Die FIPS-Konformität in Tableau Server für Linux hilft Organisationen, bestimmte gesetzliche und branchenspezifische Vorschriften zu erfüllen, die die Einhaltung von FIPS 140-2 vorschreiben.

  • Auswirkungen auf den Benutzer: Es gibt keine direkten Auswirkungen auf Benutzer. Sie müssen die Art und Weise, wie Sie Arbeitsmappen veröffentlichen, Dashboards anzeigen oder mit Daten interagieren, nicht ändern. Die Sicherheitsverbesserungen sind für den Endbenutzer-Workflow transparent.

Installieren von Tableau Server im FIPS-Modus

Das Installieren von Tableau Server im FIPS-Modus bedeutet, das --enable-fips-Flag in dem initialize-tsm script mit einzufügen. Die Dokumentation zum Installieren und Initialisieren von Tableau Server ist bis auf das --enable-fips-Flag identisch mit einem Nicht-FIPS-Server. Eine Tableau Server-Instanz befindet sich entweder im FIPS-Modus oder nicht. Nachdem initialize-tsm zum ersten Mal für eine Instanz ausgeführt wurde, ist der FIPS-Modus festgelegt und kann nur geändert werden, wenn Sie Tableau Server neu installieren. Informationen zur Installation von Tableau Server finden Sie im Abschnitt Installieren und Initialisieren von TSM.

Informationen über das Konvertieren einer Instanz von Tableau Server aus dem Nicht-FIPS- in den FIPS-Modus finden Sie unter Wiederherstellen von Daten in einem Tableau Server im FIPS-Modus

Hinweis: Der FIPS-Modus wurde nicht getestet und wird bei Tableau Server in einem Container nicht unterstützt.

Verwenden der Befehlszeilentools von Tableau Server mit FIPS

Wenn Tableau Server im FIPS-Modus installiert wird, wird den Systemstartskripts im Rahmen des Installationsvorgangs eine spezielle Umgebungsvariable (TABLEAU_SERVER_ENABLEFIPS=true) hinzugefügt, sodass diese Umgebungsvariable für Benutzer des Systems automatisch festgelegt ist, wenn sie sich anmelden. Dadurch wird sichergestellt, dass, wenn der Benutzer die Befehlszeilentools tsm oder tabcmd ausführt, diese Tools auch im FIPS-Modus ausgeführt werden. Das Ausführen von tsm und tabcmd im FIPS-Modus ist nicht nur für FIPS-Konformität wichtig, sondern auch für eine korrekte Funktionalität erforderlich.

Hinweis: Sie können ältere Versionen von tsm nicht mit einem Server im FIPS-Modus verwenden.

Wie Sie feststellen, ob der FIPS-Modus in Tableau Server aktiviert ist

Der FIPS-Modus wirkt sich auf einige Interaktionen mit Tableau Server aus, z. B. darauf, wann Sie eine Serversicherung in einer anderen Instanz wiederherstellen können und wie einige Datenbankverbindungen nach Authentifizierung verlangen. Es gibt mehrere Methoden, um festzustellen, ob Ihr Server im FIPS-Modus ausgeführt wird:

  • In TSM

    • Führen Sie den Befehl tsm version in der Befehlszeile aus, und schauen Sie, ob am Ende der Versionsangaben die Zeichenfolge „(FIPS)“ steht:

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • Öffnen Sie das Dialogfeld Über TSM in der TSM-Benutzeroberfläche:

  • Mithilfe von tabcmd:

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • Öffnen des Dialogfeldes Über Tableau in Tableau Server:

Verwenden eines FIPS-fähigen Linux-Betriebssystems

Tableau Server im FIPS-Modus wurde unter RHEL 8 mit aktiviertem FIPS(Link wird in neuem Fenster geöffnet)getestet. Tableau Server sollte auf allen unterstützten Linux-Betriebssystemen im FIPS-Modus ausgeführt werden, wurde jedoch nur auf RHEL 8 getestet.

Sie müssen kein FIPS-fähiges Betriebssystem haben, um Tableau Server im FIPS-Modus auszuführen, aber für vollständige FIPS-Konformität werden Sie es wahrscheinlich auf einem FIPS-fähigen Betriebssystem ausführen möchten. Es obliegt Ihnen, zu verstehen und zu wissen, wie Sie Ihr Betriebssystem für die Ausführung im FIPS-Modus konfigurieren.

Wiederherstellen von Daten in einem Tableau Server im FIPS-Modus

Um Daten in einem Tableau Server im FIPS-Modus wiederherzustellen, muss die Sicherung FIPS-konform sein. Wenn Sie jedoch eine Tableau Server-Version ausführen, die aus einer Zeit stammt, bevor Tableau FIPS-konform wurde, kann dieser Server keine FIPS-konforme Sicherung generieren – Sie müssen dann diese Instanz aktualisieren, bevor Sie eine FIPS-konforme Sicherung erstellen können.

Als Best Practice empfehlen wir allen Kunden dringend, beim Upgrade dem Blau/Grün-Ansatz zu folgen, da dieser eine Möglichkeit bietet, bei Problemen wieder zum ursprünglichen Server zurückzukehren. Weitere Informationen finden Sie unter Verwenden eines Blau/Grün-Ansatzes zum Aktualisieren von Tableau Server.

Aktualisieren einer Nicht-FIPS-Installation auf den FIPS-Modus

So wechseln Sie von einer Nicht-FIPS-Version von Tableau Server zu einer Version im FIPS-Modus:

  1. Sichern Sie Ihren im Nicht-FIPS-Modus befindlichen Tableau Server.

    Diese Sicherung ist eine Best Practice zu Sicherheitszwecken und kann verwendet werden, um die ursprüngliche Serverinstallation wiederherzustellen, wenn etwas schiefgeht.

  2. Aktualisieren Sie Ihren Nicht-FIPS-Tableau Server auf eine Version von Tableau Server, die FIPS unterstützt (2025.3.0 oder höher).

  3. Erstellen Sie eine Sicherung des aktualisierten Servers. Diese Sicherung wird verwendet werden, um Ihre Daten auf einer FIPS-fähigen Serverinstanz wiederherzustellen, die im nächsten Schritt erstellt wird.

    Hinweis: Der aktualisierte Server wird sich nicht im FIPS-Modus befinden, er generiert jedoch eine FIPS-konforme Sicherung, da es sich um eine Version handelt, die FIPS-fähig ist.

  4. Erstellen Sie eine neue Tableau Server-Instanz, die im FIPS-Modus ausgeführt wird.

  5. Stellen Sie die Sicherung in der neuen FIPS-aktivierten Instanz wieder her.

Hinweis: Sobald Sie ein Upgrade von Tableau Server auf eine Version durchführen, die FIPS unterstützt, wird die von dieser Version generierte Sicherung FIPS-konform sein, auch wenn die Tableau Server-Instanz nicht im FIPS-Modus ausgeführt wird.

Aktualisieren einer Installation im FIPS-Modus in den Nicht-FIPS-Modus

Die Schritte zum Konvertieren einer FIPS-Modus-Installation in eine Nicht-FIPS-Installation sehen ähnlich aus. Wenn Sie dies durchführen, muss die anvisierte Nicht-FIPS-Installation weiterhin eine FIPS-fähige Version (2025.3.x oder höher) mit deaktiviertem FIPS-Modus sein.

Mechanismen zur Durchsetzung von FIPS

Die Aufgabe, FIPS-Standards durchzusetzen, wird von zwei externen Bibliotheken übernommen, openssl(Link wird in neuem Fenster geöffnet) und bouncycastle(Link wird in neuem Fenster geöffnet). Die Bibliotheken sind NIST-zertifiziert, um FIPS-Konformität zu garantieren, solange die Anwendungen, die sie verwenden, sich für kryptografische Funktionen ausschließlich auf sie verlassen. Tableau Server ist so konzipiert, dass alle kryptografischen Funktionen über eine dieser beiden Bibliotheken erfolgen.

Insbesondere die Bouncycastle-Bibliotheken lesen nicht die standardmäßige Java-Keystore-cacerts -Datei, da diese nicht FIPS-konform ist. Stattdessen verwendet Tableau Server den Bouncycastle-spezifischen und FIPS-kompatiblen BCFKS-Schlüsselspeicher. Die Verwendung dieses Schlüsselspeichers ist für Benutzer weitgehend transparent, es sei denn, sie fügen dem Betriebssystem-Truststore ihre eigenen Zertifikate hinzu, um sicher über (m)TLS mit ihren JDBC-Datenquellen zu kommunizieren, wie in der Dokumentation zu Tableau Desktop und zur Webdokumenterstellung(Link wird in neuem Fenster geöffnet)beschrieben. Zusätzlich zu diesen Schritten, und nach Ausführen von update-ca-certificates, sollte der Benutzer dann das zusätzliche Skript im Tableau Server-Installationsverzeichnis mit dem Namen update-cacertsausführen. Dieses wird den Inhalt der Betriebssystem-Truststore-cacerts-Datei in die FIPS-kompatible Datei cacerts.bcfks konvertieren, die im selben Verzeichnis wie die Truststore-Datei des Betriebssystems erstellt wird.

Ein Beispiel für die FIPS-Erzwingung wird gezeigt, indem über JDBC eine Verbindung mit einer PostgreSQL-Datenbank hergestellt wird. Die beiden häufigsten Fehler sind, dass der Server- oder der Datenbankbenutzer nicht für dieKennwortverschlüsselung(Link wird in neuem Fenster geöffnet) scram-sha-256 konfiguriert ist, sondern stattdessen die Kennwortverschlüsselung md5 verwendet, oder wenn das Kennwort des Datenbankbenutzers kleiner ist als die von der Bouncycastle-Bibliothek vorgeschriebene Länge von 112 Bit (14 Byte). Wenn ein Benutzer eine Verbindung mit PostgreSQL herstellt, während sich Tableau Server im FIPS-Modus befindet, können einem Benutzer je nach seiner Benutzerkonfiguration und seinen Anmeldeinformationen einer oder beide Fehler gemeldet werden. Fehler wie diese treten für gewöhnlich auf, wenn Software im FIPS-Modus ausgeführt wird, und machen den Unterschied zwischen der Ausführung von Tableau Server im Nicht-FIPS-Modus und im FIPS-Modus aus.

FIPS-Grenze

Das Ausführen von Tableau Server im FIPS-Modus unter einem FIPS-fähigen Betriebssystem bedeutet, dass die Software, die auf dem FIPS-fähigen Betriebssystem ausgeführt wird, und die Tableau Server-Software, die direkt auf diesem Betriebssystem ausgeführt wird, FIPS-fähig sind und FIPS-Standards durchsetzen werden. Allerdings wird andere Software Verbindungen mit diesem Tableau Server herstellen, einschließlich Software, die von Tableau geschrieben wurde, und es gibt keine Ansprüche hinsichtlich der FIPS-Konformität dieser Software. Das Gleiche gilt, wenn das Betriebssystem nicht FIPS-fähig ist. Dazu gehören unter anderem Webbrowser und Tableau Desktop.

Darüber hinaus bezieht sich der FIPS-Standard nur auf die Durchsetzung der verwendeten kryptografischen Algorithmen. FIPS spiegelt nicht unbedingt den allgemeinen Sicherheitsstatus des Softwaresystems wider. Im oben gezeigten Beispiel mit PostgreSQL gibt es beispielsweise eine Option für die Kennwortverschlüsselung namens „password“ (Kennwort), was bedeutet, dass keine Verschlüsselung erfolgt. Das heißt, Kennwörter werden unverschlüsselt gesendet. Dies ist das unsicherste Passwortübertragungsprotokoll von allen, aber technisch gesehen ist es FIPS-konform, da keine kryptografischen Algorithmen im Spiel sind. Wenn ein Benutzer seine Postgres-Datenbank so konfiguriert, dass Kennwörter im Klartext akzeptiert werden, wird ein Tableau Server im FIPS-Modus die Verbindung ohne Fehlermeldungen herstellen. Benutzer müssen sich über die von ihnen verwendeten Sicherheitseinstellungen im Klaren sein. Die Ausführung von Tableau Server im FIPS-Modus garantiert lediglich, dass die verwendeten kryptografischen Algorithmen dem FIPS-Standard entsprechen.

 

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.