Netzwerksicherheit
Es gibt drei Hauptschnittstellen für Netzwerke in Tableau Server:
Schnittstelle zwischen Client und Tableau Server: Der Client kann ein Webbrowser, Tableau Mobile, Tableau Desktop oder das tabcmd-Dienstprogramm sein.
Tableau Server zu Ihren Datenbanken: Zum Aktualisieren von Datenextrakten oder zum Verwalten von Datenbank-Direktverbindungen muss Tableau Server mit Ihren Datenbanken kommunizieren können.
Kommunikation zwischen Serverkomponenten: Dies betrifft nur verteilte Bereitstellungen.
In den meisten Organisationen ist Tableau Server auch für die Kommunikation mit dem Internet und mit einem SMTP-Server konfiguriert.
Schnittstelle zwischen Client und Tableau Server
Ein Tableau Server-Client kann ein Webbrowser, ein Gerät mit Tableau Mobile, Tableau Desktop oder tabcmd-Befehle sein. In der Kommunikation zwischen Tableau Server und den Clients werden Standard-HTTP-Anforderungen und -Antworten verwendet. Wir empfehlen, dass Sie Tableau Server für HTTPS für alle Kommunikation konfigurieren. Wenn Tableau Server für SSL konfiguriert wurde, wird der gesamte Datenverkehr zwischen den Clients mithilfe von SSL verschlüsselt und das HTTPS-Protokoll wird für Anforderungen und Anworten verwendet.
Standardmäßig werden Kennwörter anhand der öffentlichen/privaten 1024-Bit-Verschlüsselung von Browsern und tabcmd an Tableau Server kommuniziert. Diese Verschlüsselungsstufe wird für die sichere Kommunikation als nicht stabil genug gehalten. Diese Methode, bei der ein öffentlicher Schlüssel an einen Empfänger in Klartext und ohne Netzwerk-Layer-Authentifizierung gesendet wird, ist jedoch anfällig auf sogenannte Man-in-the-Middle-Angriffe.
Um den Netzwerkverkehr zwischen Clients und Tableau Server ausreichend abzusichern, müssen Sie SSL mit einem Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle konfigurieren.
Weitere Informationen finden Sie unter Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server.
Client-Zugriff vom Internet aus
Wir empfehlen einen Gateway-Proxy-Server zur Aktivierung des sicheren Client-Zugriffs vom Internet zu Ihrem Tableau Server. Tableau Server sollte nicht in einer DMZ oder anderweitig außerhalb des geschützten internen Netzwerks ausgeführt werden.
Konfigurieren Sie einen Reverseproxy-Server mit SSL-Aktivierung, um den gesamten eingehenden Datenverkehr vom Internet zu verarbeiten. In diesem Szenario ist der Reverseproxy die einzige externe IP-Adresse (oder der Adressbereich, falls mehrere Reverseproxys die Last der eingehenden Anforderungen ausgleichen), mit der Tableau Server kommuniziert. Reverseproxys sind für anfordernde Clients transparent, machen dabei die Tableau Server-Netzwerkinformationen unkenntlich und vereinfachen die Client-Konfiguration.
Informationen zur Konfiguration finden Sie unter Konfigurieren von Proxys und Lastenausgleichsmodulen für Tableau Server.
Clickjacking-Schutz
Standardmäßig ist für Tableau Server der Clickjack-Schutz aktiviert. Damit werden Angriffe verhindert, bei denen der Angreifer eine transparente Version einer Seite über eine harmlose Seite legt und den Benutzer zum Anklicken von Links oder zur Eingabe von Daten verleitet. Bei aktiviertem Clickjack-Schutz gelten in Tableau Server bestimmte Einschränkungen für das Einbetten von Ansichten. Weitere Informationen finden Sie unter Clickjacking-Schutz.
Tableau Server und Datenbank
Tableau Server stellt während der Ausführung Verbindungen mit Datenbanken her, um Ergebnissätze zu verarbeiten und Extrakte zu aktualisieren. Soweit möglich, werden zum Herstellen von Datenbankenverbindungen systemeigene Treiber verwendet. Wenn keine systemeigenen Treiber verfügbar sind, wird auf einen generischen ODBC-Adapter zurückgegriffen. Die gesamte Kommunikation mit der Datenbank wird über diese Treiber geleitet. Daher wird der Treiber im Rahmen der Installation der systemeigenen Treiber für die Kommunikation über andere Ports als die Standardports oder die Transportverschlüsselung konfiguriert. Diese Art der Konfiguration ist für Tableau transparent.
Wenn ein Benutzer Anmeldeinformationen für externe Datenquellen auf Tableau Server speichert, werden diese verschlüsselt in der internen Datenbank von Tableau Server gespeichert. Wenn ein Prozess diese Anmeldeinformationen für die Abfrage der externen Datenquelle verwendet, ruft der Prozess die verschlüsselten Anmeldeinformationen aus der internen Datenbank ab und entschlüsselt sie im Prozess.
Anbindung des Tableau Servers an das Internet
In einigen Fällen, in denen Benutzer eine Verbindung zu externen Datenquellen herstellen, wie Tableau-Kartenserver, muss Tableau Server eine Verbindung zum Internet herstellen. Wir empfehlen Ihnen, alle Komponenten von Tableau innerhalb Ihres geschützten Netzwerks auszuführen. Daher kann es für Internetverbindungen erforderlich sein, dass Sie Tableau Server zur Verwendung eines Weiterleitungsproxys konfigurieren.
Anbindung des Tableau Servers an einen SMTP-Server
Sie können Tableau Server so konfigurieren, dass Ereignisbenachrichtigungen an Administratoren und Benutzer gesendet werden. Ab Version 2019.4 unterstützt Tableau Server TLS für die SMTP-Verbindung. Siehe Konfigurieren des SMTP-Setups.
Kommunikation mit dem Repository
Sie können Tableau Server so konfigurieren, dass für den gesamten Datenverkehr zwischen dem Postgres-Repository und anderen Serverkomponenten die SSL-Verschlüsselung (Secure Sockets Layer) verwendet wird. Standardmäßig ist SSL für die Kommunikation zwischen Serverkomponenten und dem Repository deaktiviert.
Weitere Informationen finden Sie unter tsm security repository-ssl enable.
Kommunikation zwischen Serverkomponenten in einem Cluster
Zwei Aspekte der Kommunikation zwischen Tableau Server-Komponenten sind in einer verteilten Serverinstallation zu berücksichtigen: Vertrauensstellung und Übertragung. In einem Tableau-Cluster verwendet jeder Server ein stringentes Vertrauensstellungsmodell, um den Empfang gültiger Anforderungen von anderen Servern im Cluster sicherzustellen. Computer im Cluster, auf denen ein Gateway-Prozess ausgeführt wird, akzeptieren Anforderungen von Dritten (Clients), es sei denn, ihnen ist ein Lastenausgleich vorgeschaltet; in diesem Fall empfängt der Lastenausgleich die Anfragen. Server, auf denen kein Gateway-Prozess ausgeführt wird, akzeptieren nur Anforderungen von anderen vertrauenswürdigen Mitgliedern des Clusters. Die Vertrauensstellung wird durch eine Zulassungsliste mit vertrauenswürdigen IP-Adressen, Ports und Protokollen begründet. Wenn eine dieser Angaben ungültig ist, wird die Anforderung ignoriert. Alle Mitglieder des Cluster können mit den anderen Clustermitgliedern kommunizieren.
Wenn ein Benutzer Anmeldeinformationen für externe Datenquellen auf Tableau Server speichert, werden diese verschlüsselt in der internen Datenbank von Tableau Server gespeichert. Wenn ein Prozess diese Anmeldeinformationen für die Abfrage der externen Datenquelle verwendet, ruft der Prozess die verschlüsselten Anmeldeinformationen aus der internen Datenbank ab und entschlüsselt sie im Prozess.