Tableau Server verfügt über drei Schlüsselverwaltungsoptionen, mit denen Sie die Verschlüsselung im Ruhezustand aktivieren können. Zwei davon erfordern das Server Management-Add-on, während eine lokale Möglichkeit bei allen Installationen von Tableau Server verfügbar ist.

Ab Version 2019.3 verfügt Tableau Server über die folgenden Schlüsselverwaltungsoptionen: 

Ab Version 2021.1 verfügt Tableau Server über eine weitere Schlüsselverwaltungsoption: 

  • Ein Azure-basiertes KMS, das als Teil des Server Management-Add-ons verwendet wird. Dies wird im Folgenden beschrieben.

Azure Key Vault für die Verschlüsselung im Ruhezustand

Azure Key Vault ist als Teil des Servermanagement-Add-ons für Tableau Server ab Version 2021.1.0 verfügbar. Für weitere Informationen siehe Über Tableau Servermanagement-Add-on.

Wenn Ihr Unternehmen die Datenextraktverschlüsselung im Ruhezustand bereitstellt, können Sie Tableau Server optional so konfigurieren, dass Azure Key Vault als KMS für die Extraktverschlüsselung verwendet wird. Um Azure Key Vault zu aktivieren, müssen Sie Tableau Server in Azure bereitstellen. Im Azure-Szenario verwendet Tableau Server Azure Key Vault, um den Root-Master-Key (RMK) für alle verschlüsselten Extrakte zu verschlüsseln. Selbst wenn sie für Azure Key Vault konfiguriert sind, werden der Tableau Server-native Java-Keystore und das lokale KMS weiterhin für die sichere Speicherung von Geheimnissen auf dem Tableau Server verwendet. Azure Key Vault wird nur zur Verschlüsselung des Root-Master-Keys für verschlüsselte Extrakte verwendet.

Die Schlüsselhierarchie bei der Konfiguration von Tableau Server mit Azure Key Vault

Azure Key Vault für verschlüsselte Extrakte von Tableau Server konfigurieren

Um Azure Key Vault zur Verschlüsselung des Stammschlüssels in der Tableau Server KMS-Hierarchie zu verwenden, müssen Sie Tableau Server wie in diesem Abschnitt beschrieben konfigurieren.

Stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie beginnen:

  • Tableau Server muss in Azure bereitgestellt sein.
  • Der Tableau Server muss mit einer Servermanagement-Add-on Lizenz konfiguriert sein. Siehe Über Tableau Servermanagement-Add-on.
  • Sie müssen über die administrative Kontrolle über den Schlüsseltresor in Azure verfügen, in dem sich der Schlüssel befindet.

Schritt 1: Erstellen eines Schlüsseltresors und eines Schlüssels für Tableau Server in Azure

Die folgenden Vorgänge werden im Azure Key Vault-Service durchgeführt. Referenzen dazu sind in der Azure-Dokumentation enthalten.

  1. Erstellen Sie den Schlüsseltresor, den Sie für Tableau Server verwenden möchten. Siehe die Azure-Themenseite Erstellen eines Schlüsseltresors(Link wird in neuem Fenster geöffnet).
  2. Erstellen Sie im Tresor einen Schlüssel. Weitere Informationen finden Sie im Azure-Thema Verwalten von Schlüsseln und Geheimnissen(Link wird in neuem Fenster geöffnet).

    Der Schlüssel muss asymmetrisch und vom RSA-Typ sein, kann jedoch eine beliebige Größe haben (Tableau Server kümmert sich nicht um die Schlüsselgröße). Wir empfehlen Ihnen, sich an das Prinzip der geringsten Privilegien (PoLP) zu halten, um maximale Sicherheit zu gewährleisten.

    Tableau erfordert Berechtigungen zum Ausführen der GET-, UNWRAP KEY- und WRAP KEY-Befehlsvorgänge und es wird empfohlen, für die geringsten Privilegien den Zugriff nur für diese Vorgänge zuzulassen. Weisen Sie die Zugriffsrichtlinie der VM zu, auf der Tableau Server ausgeführt wird.

    In einer Bereitstellung mit mehreren Knoten von Tableau Server muss die Zugriffsrichtlinie allen Knoten des Serverclusters zugewiesen werden.

Schritt 2: Azure-Konfigurationsparameter erfassen

Sie benötigen den Schlüsseltresornamen und den Schlüsselnamen aus Azure.

Schritt 3: Tableau Server für Azure Key Vault konfigurieren

Führen Sie den folgenden Befehl auf Tableau Server aus. Mit diesem Befehl wird der Server neu gestartet:

  •                             tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
                            

    Die Optionen --vault-name und --key-name kopieren eine direkte Zeichenfolge aus Ihrem Azure-Schlüsseltresor.

    Wenn Ihr Azure-Schlüsseltresor beispielsweise tabsrv-keyvault heißt und Ihr Schlüssel tabsrv-sandbox-key01 ist, lautet der Befehl wie folgt:

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

Schritt 4: Verschlüsselung im Ruhezustand aktivieren

Siehe Extrahieren der Verschlüsselung im Ruhezustand.

Schritt 5: Installation validieren

  1. Führen Sie den folgenden Befehl aus:

    tsm security kms status

    Die folgenden Informationen können zurückgegeben werden:

    • Status: OK (zeigt an, dass der Schlüsseltresor über den Controllerknoten zugänglich ist):
    • Modus: Azure Key Vault
    • Tresorname: <key_vault_name>
    • Azure Key Vault-Schlüsselname: <key_name>
    • Liste der verfügbaren UUIDs für MEKs, die angeben, welcher Schlüssel aktiv ist
    • Fehlerinformation, wenn auf die KMS-Daten nicht zugegriffen werden kann
  2. Sehen Sie Protokolle ein, nachdem Sie Extrakte verschlüsselt und entschlüsselt haben:

    • Veröffentlichen Sie Extrakte auf Ihrer Website und verschlüsseln Sie diese anschließend. Siehe Extrahieren der Verschlüsselung im Ruhezustand.

    • Greifen Sie mit Tableau Desktop oder mit Web Authoring in einem Browser auf die Extrakte zu (dadurch werden die Extrakte für die Verwendung entschlüsselt).

    • Durchsuchen Sie die Protokolldatei "vizqlserver_node" nach AzureKeyVaultEnvelopeAccessor und AzureKeyVaultEnvelope Strings. Die Standardposition der Protokolle ist auf /var/opt/tableau/tableau_server/data/tabsvc/logs/

      Suchen Sie in den Hintergrundprotokollen nach Veröffentlichungen und Extrakt-Aktualisierungen im Zusammenhang mit dem Azure Key Vault. Für weitere Informationen zu Protokolldateien, siehe Speicherorte der Tableau Server-Protokolle und -Protokolldateien.

Fehlerbehebung bei der Konfiguration

Multi-Node Fehlkonfiguration

In einem Setup mit mehreren Knoten für Azure Key Vault kann der Befehl tsm security kms status einen fehlerfreien (OK-)Status melden, selbst wenn ein anderer Knoten im Cluster falsch konfiguriert ist. Die KMS-Statusprüfung meldet nur den Knoten, auf dem der Tableau Server Administration Controller-Prozess läuft. Es wird nicht über die anderen Knoten im Cluster berichtet. Standardmäßig läuft der Prozess "Tableau Server Administration Controller" auf dem Anfangsknoten im Cluster.

Wenn also ein anderer Knoten so falsch konfiguriert ist, dass Tableau Server nicht auf den Azure-Schlüssel zugreifen kann, können diese Knoten Fehlerzustände für verschiedene Services melden, die nicht starten können.

Wenn einige Services nicht starten können, nachdem Sie KMS auf den Azure-Modus eingestellt haben, führen Sie den folgenden Befehl aus, um in den lokalen Modus zurückzukehren: tsm security kms set-mode local.

Azure-Schlüssel aktualisieren

Sie können den Azure-Schlüssel in Azure aktualisieren. Es ist kein erforderlicher oder geplanter Schlüsselaktualisierungszeitraum nötig. Sie können Ihren Schlüssel aktualisieren, indem Sie eine neue Schlüsselversion in Azure erstellen. Da sich Tresorname und Schlüsselname nicht ändern, müssen Sie die KMS-Konfiguration auf dem Tableau Server für normale Azure-Schlüsselaktualisierungsszenarien nicht aktualisieren.

Sichern und Wiederherstellen mit Azure Key Vault

Ein Server-Backup kann im Azure Key Vault-Modus ohne zusätzliche Konfigurationen oder Verfahren durchgeführt werden. Das Backup enthält verschlüsselte Kopien der RMK und MEK. Die Entschlüsselung der Schlüssel erfordert den Zugriff und die Kontrolle über Azure Key Vault.

Für das Wiederherstellungsszenario kann sich der wiederherzustellende Server entweder im Azure Key Vault- oder im lokalen KMS-Modus befinden. Die einzige Voraussetzung ist, dass der Server, auf dem das Backup wiederhergestellt wird, Zugriff auf den Azure Key Vault hat, den das Backup selbst verwendet hat.

Vielen Dank für Ihr Feedback!