Azure Key Vault
Tableau Server verfügt über drei Schlüsselverwaltungsoptionen, mit denen Sie die Verschlüsselung im Ruhezustand aktivieren können. Zwei davon erfordern Advanced Management (zuvor Server Management-Add-on), während eine lokale Möglichkeit bei allen Installationen von Tableau Server verfügbar ist.
Ab Version 2019.3 verfügt Tableau Server über die folgenden Schlüsselverwaltungsoptionen:
- Eine lokale Schlüsselverwaltungsoption, das für alle Installationen verfügbar ist. Ausführliche Informationen finden Sie unter Tableau Server-Schlüsselverwaltungssystem.
- Ein AWS-basiertes Schlüsselverwaltungssystem, das als Teil von Advanced Management verwendet wird. Weitere Informationen finden Sie unter AWS-Schlüsselverwaltungssystem (KMS).
Ab Version 2021.1 verfügt Tableau Server über eine weitere Schlüsselverwaltungsoption:
- Ein Azure-basiertes Schlüsselverwaltungssystem, das als Teil von Advanced Management verwendet wird. Dies wird im Folgenden beschrieben.
Azure Key Vault für die Verschlüsselung im Ruhezustand
Azure Key Vault ist als Teil des Advanced Management für Tableau Server ab Version 2021.1.0 verfügbar. Für weitere Informationen siehe Über Tableau Advanced Management in Tableau Server.
Wenn Ihr Unternehmen die Datenextraktverschlüsselung im Ruhezustand bereitstellt, können Sie Tableau Server optional so konfigurieren, dass Azure Key Vault als KMS für die Extraktverschlüsselung verwendet wird. Um Azure Key Vault zu aktivieren, müssen Sie Tableau Server in Azure bereitstellen. Im Azure-Szenario verwendet Tableau Server den Azure Key Vault, um den primären Root-Schlüssel (Root Master Key, RMK) für alle verschlüsselten Extrakte zu verschlüsseln. Selbst wenn sie für Azure Key Vault konfiguriert sind, werden der Tableau Server-native Java-Keystore und das lokale KMS weiterhin für die sichere Speicherung von Geheimnissen auf dem Tableau Server verwendet. Azure Key Vault wird nur zur Verschlüsselung des Root-Master-Keys für verschlüsselte Extrakte verwendet.
Die Schlüsselhierarchie bei der Konfiguration von Tableau Server mit Azure Key Vault
Azure Key Vault für verschlüsselte Extrakte von Tableau Server konfigurieren
Um Azure Key Vault zur Verschlüsselung des Stammschlüssels in der Tableau Server KMS-Hierarchie zu verwenden, müssen Sie Tableau Server wie in diesem Abschnitt beschrieben konfigurieren.
Stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie beginnen:
- Tableau Server muss in Azure bereitgestellt sein.
- Der Tableau Server muss mit einer Advanced Management Lizenz konfiguriert sein. Siehe Über Tableau Advanced Management in Tableau Server.
- Sie müssen über die administrative Kontrolle über den Schlüsseltresor in Azure verfügen, in dem sich der Schlüssel befindet.
Schritt 1: Erstellen eines Schlüsseltresors und eines Schlüssels für Tableau Server in Azure
Die folgenden Vorgänge werden im Azure Key Vault-Service durchgeführt. Referenzen dazu sind in der Azure-Dokumentation enthalten.
- Erstellen Sie den Schlüsseltresor, den Sie für Tableau Server verwenden möchten. Siehe die Azure-Themenseite Erstellen eines Schlüsseltresors(Link wird in neuem Fenster geöffnet).
- Erstellen Sie im Tresor einen Schlüssel. Weitere Informationen finden Sie im Azure-Thema Verwalten von Schlüsseln und Geheimnissen(Link wird in neuem Fenster geöffnet).
Der Schlüssel muss asymmetrisch und vom RSA-Typ sein, kann jedoch eine beliebige Größe haben (Tableau Server kümmert sich nicht um die Schlüsselgröße). Wir empfehlen Ihnen, sich an das Prinzip der geringsten Privilegien (PoLP) zu halten, um maximale Sicherheit zu gewährleisten.
Tableau erfordert Berechtigungen zum Ausführen der GET-, UNWRAP KEY- und WRAP KEY-Befehlsvorgänge und es wird empfohlen, für die geringsten Privilegien den Zugriff nur für diese Vorgänge zuzulassen. Weisen Sie die Zugriffsrichtlinie der VM zu, auf der Tableau Server ausgeführt wird.
In einer Bereitstellung mit mehreren Knoten von Tableau Server muss die Zugriffsrichtlinie allen Knoten des Serverclusters zugewiesen werden.
Schritt 2: Azure-Konfigurationsparameter erfassen
Sie benötigen den Schlüsseltresornamen und den Schlüsselnamen aus Azure.
Schritt 3: Tableau Server für Azure Key Vault konfigurieren
Führen Sie den folgenden Befehl auf Tableau Server aus. Mit diesem Befehl wird der Server neu gestartet:
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
Die Optionen
--vault-name
und--key-name
kopieren eine direkte Zeichenfolge aus Ihrem Azure-Schlüsseltresor.Wenn Ihr Azure-Schlüsseltresor beispielsweise
tabsrv-keyvault
heißt und Ihr Schlüsseltabsrv-sandbox-key01
ist, lautet der Befehl wie folgt:tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"
Schritt 4: Verschlüsselung im Ruhezustand aktivieren
Siehe Extrahieren der Verschlüsselung im Ruhezustand.
Schritt 5: Installation validieren
Führen Sie den folgenden Befehl aus:
Die folgenden Informationen können zurückgegeben werden:
- Status: OK (zeigt an, dass der Schlüsseltresor über den Controllerknoten zugänglich ist):
- Modus: Azure Key Vault
- Tresorname: <key_vault_name>
- Azure Key Vault-Schlüsselname: <key_name>
- Liste der verfügbaren UUIDs für MEKs, die angeben, welcher Schlüssel aktiv ist
- Fehlerinformation, wenn auf die KMS-Daten nicht zugegriffen werden kann
Sehen Sie Protokolle ein, nachdem Sie Extrakte verschlüsselt und entschlüsselt haben:
Veröffentlichen Sie Extrakte auf Ihrer Website und verschlüsseln Sie diese anschließend. Siehe Extrahieren der Verschlüsselung im Ruhezustand.
Greifen Sie mit Tableau Desktop oder mit Web Authoring in einem Browser auf die Extrakte zu (dadurch werden die Extrakte für die Verwendung entschlüsselt).
Durchsuchen Sie die Protokolldatei "vizqlserver_node" nach
AzureKeyVaultEnvelopeAccessor
undAzureKeyVaultEnvelope
Strings. Die Standardposition der Protokolle ist auf/var/opt/tableau/tableau_server/data/tabsvc/logs/
Suchen Sie in den Hintergrundprotokollen nach Veröffentlichungen und Extrakt-Aktualisierungen im Zusammenhang mit dem Azure Key Vault. Für weitere Informationen zu Protokolldateien, siehe Speicherorte der Tableau Server-Protokolle und -Protokolldateien.
Fehlerbehebung bei der Konfiguration
Multi-Node Fehlkonfiguration
In einem Setup mit mehreren Knoten für Azure Key Vault kann der Befehl tsm security kms status
einen fehlerfreien (OK-)Status melden, selbst wenn ein anderer Knoten im Cluster falsch konfiguriert ist. Die KMS-Statusprüfung meldet nur den Knoten, auf dem der Tableau Server Administration Controller-Prozess läuft. Es wird nicht über die anderen Knoten im Cluster berichtet. Standardmäßig läuft der Prozess "Tableau Server Administration Controller" auf dem Anfangsknoten im Cluster.
Wenn also ein anderer Knoten so falsch konfiguriert ist, dass Tableau Server nicht auf den Azure-Schlüssel zugreifen kann, können diese Knoten Fehlerzustände für verschiedene Services melden, die nicht starten können.
Wenn einige Services nicht starten können, nachdem Sie KMS auf den Azure-Modus eingestellt haben, führen Sie den folgenden Befehl aus, um in den lokalen Modus zurückzukehren: tsm security kms set-mode local
.
Azure-Schlüssel aktualisieren
Sie können den Azure-Schlüssel in Azure aktualisieren. Es ist kein erforderlicher oder geplanter Schlüsselaktualisierungszeitraum nötig. Sie können Ihren Schlüssel aktualisieren, indem Sie eine neue Schlüsselversion in Azure erstellen. Da sich Tresorname und Schlüsselname nicht ändern, müssen Sie die KMS-Konfiguration auf dem Tableau Server für normale Azure-Schlüsselaktualisierungsszenarien nicht aktualisieren.
Sichern und Wiederherstellen mit Azure Key Vault
Ein Server-Backup kann im Azure Key Vault-Modus ohne zusätzliche Konfigurationen oder Verfahren durchgeführt werden. Das Backup enthält verschlüsselte Kopien der RMK und MEK. Die Entschlüsselung der Schlüssel erfordert den Zugriff und die Kontrolle über Azure Key Vault.
Für das Wiederherstellungsszenario kann sich der wiederherzustellende Server entweder im Azure Key Vault- oder im lokalen KMS-Modus befinden. Die einzige Voraussetzung ist, dass der Server, auf dem das Backup wiederhergestellt wird, Zugriff auf den Azure Key Vault hat, den das Backup selbst verwendet hat.