Cumplimiento de FIPS en Tableau Server en Linux

En este tema se presenta la versión de Tableau Server compatible con FIPS. El cumplimiento de FIPS (Estándar Federal de Procesamiento de la Información) se agregó a Tableau Server en Linux en la versión 2025.3. Tableau Server en Windows no es compatible con FIPS.

FIPS 140-2 es un estándar de seguridad informática del gobierno de EE. UU. que se utiliza para aprobar módulos criptográficos. Este cumplimiento garantiza que todas las operaciones criptográficas dentro de Tableau Server cumplan con rigurosos requisitos de seguridad, proporcionando un entorno más seguro para sus datos.

¿Qué significa para usted el cumplimiento de FIPS?

Para la mayoría de los usuarios, la experiencia diaria de usar Tableau Server se mantendrá prácticamente sin cambios. El cumplimiento de FIPS es principalmente una mejora bajo el capó que fortalece la postura de seguridad del servidor.

  • Seguridad mejorada: todos los datos en tránsito y en reposo, cuando estén protegidos por módulos criptográficos, utilizarán algoritmos validados por FIPS.

  • Cumplimiento normativo: el cumplimiento de FIPS en Tableau Server para Linux ayuda a las organizaciones a cumplir con normativas gubernamentales y del sector específicas que exigen el cumplimiento de FIPS 140-2.

  • Impacto en el usuario: No hay un impacto directo en el usuario. No necesita cambiar la forma en que publica los libros de trabajo, visualiza los dashboards o interactúa con los datos. Las mejoras de seguridad son transparentes para el flujo de trabajo del usuario final.

Instalar Tableau Server en modo FIPS

Instalar Tableau Server en modo FIPS significa incluir el marcador --enable-fips con initialize-tsm script. La documentación para instalar e inicializar Tableau Server es la misma que la de un servidor no FIPS, excepto por el marcador --enable-fips. Una instancia de Tableau Server está o no en modo FIPS. Una vez que initialize-tsm se haya ejecutado por primera vez para cualquier instancia, se establece el modo FIPS y no se puede cambiar a menos que reinstale Tableau Server. Para obtener más información sobre cómo instalar Tableau Server, consulte Instalar e inicializar TSM.

Para convertir una instancia de Tableau Server del modo no FIPS al modo FIPS, consulte Restauración de datos a un modo FIPS en Tableau Server

Nota: El modo FIPS no se ha probado y no es compatible con Tableau Server en un contenedor.

Usar las herramientas de línea de comandos de Tableau Server con FIPS

Cuando Tableau Server se instala en modo FIPS, parte del proceso de instalación agrega una variable de entorno especial, TABLEAU_SERVER_ENABLEFIPS=true, a los scripts de inicio del sistema para que los usuarios del sistema tengan esta variable de entorno configurada automáticamente para ellos cuando inicien sesión. Esto garantiza que cuando el usuario ejecute las herramientas de CLI tsm o tabcmd , esas herramientas también se ejecutarán en modo FIPS. Aunque ejecutar tsm y tabcmd en modo FIPS es importante para el cumplimiento de FIPS, también es necesario para una funcionalidad correcta.

Nota: No se pueden utilizar versiones anteriores de tsm con un servidor en modo FIPS.

Cómo determinar si el modo FIPS está habilitado en Tableau Server

El modo FIPS afecta a algunas interacciones con Tableau Server, por ejemplo, cuándo puede restaurar una copia de seguridad del servidor en otra instancia y cómo algunas conexiones de base de datos requieren autenticación. Hay varios métodos para determinar si el servidor se está ejecutando en modo FIPS:

  • En TSM

    • Ejecute el comando tsm version en la línea de comandos y busque “(FIPS)” al final de la versión:

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • Abra el cuadro de diálogo Acerca de TSM desde la interfaz de usuario de TSM:

  • usando tabcmd:

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • Al abrir el cuadro de diálogo Acerca de Tableau en Tableau Server:

Uso de un sistema operativo Linux habilitado para FIPS

Tableau Server en modo FIPS se ha probado en RHEL 8 con FIPS habilitado(El enlace se abre en una ventana nueva). Tableau Server debería ejecutarse en modo FIPS en todos los sistemas operativos Linux compatibles, pero solo se ha probado en RHEL 8.

No es necesario tener un sistema operativo habilitado para FIPS para ejecutar Tableau Server en modo FIPS, pero para cumplir completamente con FIPS, es probable que desee ejecutar en un sistema operativo habilitado para FIPS. Usted es responsable de comprender y saber cómo configurar su sistema operativo para que se ejecute en modo FIPS.

Restauración de datos a un modo FIPS en Tableau Server

Para restaurar los datos a un modo FIPS en Tableau Server, la copia de seguridad debe ser compatible con FIPS. Sin embargo, si ejecuta una versión de Tableau Server compatible con FIPS anterior a FIPS, ese servidor no podrá generar una copia de seguridad compatible con FIPS y deberá actualizar esa instancia antes de crear una copia de seguridad que cumpla con FIPS.

Como práctica recomendada, recomendamos encarecidamente a todos los clientes que utilicen el enfoque azul/verde para la actualización, ya que proporciona una forma de volver a su servidor original si tiene problemas. Para obtener más información sobre las actualizaciones azul/verde, consulte Usar un enfoque azul/verde para actualizar Tableau Server.

Actualización de una instalación no FIPS al modo FIPS

Para cambiar de una versión de Tableau Server que no es FIPS a una versión en modo FIPS:

  1. Realice una copia de seguridad de su Tableau Server sin modo FIPS.

    Esta copia de seguridad es una práctica recomendada por motivos de seguridad y se puede utilizar para restaurar la instalación del servidor original si algo sale mal.

  2. Actualice su Tableau Server sin modo FIPS a la versión de Tableau Server que admita FIPS (2025.3.0 o posterior).

  3. Realice una copia de seguridad del servidor actualizado. Esta copia de seguridad se utilizará para restaurar los datos en una instancia de servidor habilitada para FIPS creada en el siguiente paso.

    Nota: El servidor actualizado no estará en modo FIPS, pero genera una copia de seguridad compatible con FIPS porque es una versión compatible con FIPS.

  4. Cree una nueva instancia de Tableau Server ejecutándose en modo FIPS.

  5. Restaurar los datos de la copia de seguridad a la nueva instancia con FIPS.

Nota: Una vez que actualice Tableau Server a una versión compatible con FIPS, la copia de seguridad generada por esa versión será compatible con FIPS incluso si la instancia de Tableau Server no se ejecuta en modo FIPS.

Actualización de una instalación en modo FIPS a modo no FIPS

Para convertir una instalación en modo FIPS a una instalación no FIPS, puede seguir pasos similares. Si lo hace, la instalación definitiva que no sea FIPS debe seguir siendo una versión compatible con FIPS (2025.3.x o posterior) con el modo FIPS deshabilitado.

Mecanismos de aplicación de FIPS

El trabajo de hacer cumplir los estándares FIPS está a cargo de dos bibliotecas externas, openssl(El enlace se abre en una ventana nueva) y bouncycastle(El enlace se abre en una ventana nueva). Las bibliotecas están certificadas por el NIST para garantizar el cumplimiento de FIPS siempre que las aplicaciones que las utilizan se basen exclusivamente en ellas para funciones criptográficas. Tableau Server está diseñado para que todas las funciones criptográficas pasen por una de estas dos bibliotecas.

Específicamente, las bibliotecas Bouncycastle no leerán el archivo de almacén de claves Java cacerts estándar, ya que no es compatible con FIPS. En su lugar, Tableau Server utiliza el almacén de claves BCFKS específico de Bouncycastle y compatible con FIPS. El uso de este almacén de claves es mayormente transparente para los usuarios, excepto si están agregando sus propios certificados al almacén de confianza del sistema operativo para comunicarse de forma segura a través de (m)TLS con sus fuentes de datos JDBC, como se describe en la documentación de Tableau Desktop y creación web(El enlace se abre en una ventana nueva). Además de seguir estos pasos, y después de ejecutar update-ca-certificates, el usuario debe ejecutar el script adicional en el directorio de instalación de Tableau Server, llamado update-cacerts, que convertirá el contenido del archivo de almacén de confianza del sistema operativo cacerts en el archivo compatible con FIPS cacerts.bcfks, que se creará en el mismo directorio que el archivo de almacén de confianza del sistema operativo.

Se muestra un ejemplo de aplicación de FIPS conectándose a través de JDBC a una base de datos PostgreSQL. Los dos errores más comunes son que el servidor o el usuario de la base de datos no está configurado para usar scram-sha-256 elcifrado de contraseña(El enlace se abre en una ventana nueva) y, en su lugar, está usando el cifrado md5, o cuando la contraseña del usuario de la base de datos es menor que la biblioteca de Bouncycastle de 112 bits (14 bytes) de longitud. Al conectarse a PostgreSQL mientras Tableau Server está en modo FIPS, un usuario puede encontrar uno o ambos errores, dependiendo de su configuración de usuario y credenciales. Errores como estos son comunes cuando se ejecuta software en modo FIPS y son la diferencia entre ejecutar Tableau Server en modo no FIPS y en modo FIPS.

Límite de FIPS

Ejecutar Tableau Server en modo FIPS en un sistema operativo habilitado para FIPS significa que el software que se ejecuta en el sistema operativo habilitado para FIPS y el software de Tableau Server que se ejecuta directamente en ese sistema operativo están habilitados para FIPS y aplicarán los estándares FIPS. Sin embargo, otro software se conectará a ese Tableau Server, incluido el software escrito por Tableau, y no se hacen afirmaciones sobre el cumplimiento de FIPS de ese software. Lo mismo ocurre si el sistema operativo no está habilitado para FIPS. Esto incluye, entre otros, navegadores web y Tableau Desktop.

Además, el estándar FIPS solo se relaciona con la aplicación de los algoritmos criptográficos en uso. FIPS no refleja necesariamente la postura de seguridad general del sistema de software. Por ejemplo, en el ejemplo anterior con PostgreSQL, una opción para el cifrado de contraseñas se denomina “contraseña”, lo que significa que no hay cifrado. Es decir, las contraseñas se envían sin cifrar. Este es el protocolo de transmisión de contraseñas más inseguro de todos, pero técnicamente es compatible con FIPS porque no hay algoritmos criptográficos en juego. Si un usuario configura su base de datos Postgres para aceptar contraseñas sin cifrar, un Tableau Server en modo FIPS se conectará sin errores. Los usuarios deben conocer la configuración de seguridad que están utilizando. Ejecutar Tableau Server en modo FIPS solo garantiza que los algoritmos criptográficos en uso se ajusten al estándar FIPS.

 

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!