Azure Key Vault
Tableau Server tiene tres opciones del sistema de administración de claves (KMS) que le permiten habilitar el cifrado en reposo. Dos de ellas requieren capacidades de Advanced Management, mientras que una local está disponible con todas las instalaciones de Tableau Server.
Importante: A partir del 16 de septiembre de 2024, Advanced Management ya no está disponible como opción complementaria independiente. Las capacidades de Advanced Management solo están disponibles si compró previamente Advanced Managemet o si compra ciertas ediciones con licencia: Tableau Enterprise (para Tableau Server o Tableau Cloud) o Tableau+ (para Tableau Cloud).
A partir de la versión 2019.3, Tableau Server añadió estas opciones de KMS:
- Un KMS local que está disponible con todas las instalaciones. Para obtener más información, consulte Sistema de administración de claves de Tableau Server.
- Un KMS basado en AWS incluido como parte de Advanced Management. Para obtener más información, consulte Sistema de administración de claves de AWS.
A partir de la versión 2021.1, Tableau Server agregó otra opción de KMS:
- Un KMS basado en Azure que viene como parte de Advanced Management. Esto se describe a continuación.
Azure Key Vault para cifrado en reposo
Azure Key Vault está disponible como parte de Advanced Management en Tableau Server, a partir de la versión 2021.1.0. Para obtener más información consulte Acerca de Tableau Advanced Management en Tableau Server.
Si su organización está implementando el cifrado en reposo de extracciones de datos, tiene la opción de configurar Tableau Server para que utilice Azure Key Vault como KMS en el cifrado de extracciones. Para habilitar Azure Key Vault, debe implementar Tableau Server en Azure. En el caso de Azure, Tableau Server usa Azure Key Vault para cifrar la clave maestra raíz (RMK) para todas las extracciones cifradas. Sin embargo, incluso cuando está configurado para Azure Key Vault, el almacén de claves Java nativo de Tableau Server y el KMS local se siguen utilizando para el almacenamiento seguro de secretos en Tableau Server. Azure Key Vault solo se utiliza para cifrar la clave maestra raíz para extracciones cifradas.
La jerarquía de claves cuando Tableau Server está configurado con Azure Key Vault
Configurar Azure Key Vault para extracciones cifradas de Tableau Server
Si desea utilizar Azure Key Vault para cifrar la clave raíz en la jerarquía KMS de Tableau Server, debe configurar Tableau Server como se describe en esta sección.
Antes de comenzar, verifique que cumple los siguientes requisitos:
- Tableau Server debe estar implementado en Azure.
- Tableau Server debe estar configurado con una licencia de Advanced Management. Consulte Acerca de Tableau Advanced Management en Tableau Server.
- Debe tener control administrativo sobre el almacén de claves en Azure, donde reside la clave.
Paso 1: cree un almacén de claves y una clave para Tableau Server en Azure
Los siguientes procedimientos se realizan en el servicio de Azure Key Vault. Se incluyen referencias a la documentación de Azure.
- Cree el almacén de claves que utilizará para Tableau Server. Consulte el tema de Azure Creación de un almacén de claves(El enlace se abre en una ventana nueva).
- Cree una clave en el almacén. Consulte el tema Azure Administración de claves y secretos(El enlace se abre en una ventana nueva).
La clave debe ser de tipo asimétrico RSA, pero puede ser de cualquier tamaño (Tableau Server no se preocupa por el tamaño de la clave). Le recomendamos que utilice el principio de privilegio mínimo para tener la máxima seguridad.
Tableau requiere permisos para realizar las operaciones de los comandos GET, UNWRAP KEY y WRAP KEY y le recomendamos que permita el acceso solo a estas operaciones con privilegio mínimo. Asigne la directiva de acceso a la máquina virtual en la que está ejecutando Tableau Server.
En una implementación de varios nodos de Tableau Server, la directiva de acceso debe asignarse a todos los nodos del clúster de servidores.
Paso 2: recopilar los parámetros de configuración de Azure
Necesitará el nombre del almacén de claves y el nombre de la clave de Azure.
Paso 3: configurar Tableau Server para Azure Key Vault
Ejecute el siguiente comando en Tableau Server. Este comando reiniciará el servidor:
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
Las opciones
--vault-name
y--key-name
toman copias directas de la cadena desde su almacén de claves de Azure.Por ejemplo, si se nombra el almacén de claves de Azure
tabsrv-keyvault
y la clave estabsrv-sandbox-key01
, el comando sería el siguiente:tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"
Paso 4: habilitar el cifrado en reposo
Consulte Cifrado de extracciones en reposo.
Paso 5: validar la instalación
Ejecute el comando siguiente:
Puede devolverse la siguiente información:
- Estado: OK (indica que el nodo del controlador puede acceder al almacén de claves):
- Modo: Azure Key Vault
- Nombre del almacén: <key_vault_name>
- Nombre de la clave de Azure Key Vault: <key_name>
- Lista de UUID disponibles para MEK que indican qué clave está activa
- Información de error si no se puede acceder a los datos de KMS
Vea los registros después de cifrar y descifrar extracciones:
Publique extracciones en su sitio y luego cífrelas. Consulte Cifrado de extracciones en reposo.
Acceda a las extracciones con Tableau Desktop o creación web en un navegador (de este modo, las extracciones se descifrarán para poder utilizarlas).
Busque en los archivos de registro vizqlserver_node las cadenas
AzureKeyVaultEnvelopeAccessor
yAzureKeyVaultEnvelope
. La ubicación predeterminada de los registros es la siguiente:/var/opt/tableau/tableau_server/data/tabsvc/logs/
Para ver actualizaciones de publicación y extracción relacionadas con Azure Key Vault, busque en los registros del procesador en segundo plano. Para obtener más información sobre los registros, consulte Registros de Tableau Server y ubicación del archivo de registro.
Solución de problemas de configuración
Error de configuración multinodo
En una configuración multinodo para Azure Key Vault, el comando tsm security kms status
puede comunicar un estado correcto (OK), aunque otro nodo en el clúster esté mal configurado. La comprobación de estado de KMS solo informa sobre el nodo en el que se ejecuta el proceso del controlador de administración. No informa sobre los demás nodos del clúster. De forma predeterminada, el proceso del controlador de administración de Tableau Server se ejecuta en el nodo inicial del clúster.
Por lo tanto, si otro nodo está mal configurado de tal manera que Tableau Server no pueda acceder al clave de Azure, esos nodos pueden comunicar estados de Error en varios servicios, los cuales no se podrán iniciar.
Si algunos servicios no logran iniciarse después de configurar KMS en el modo "Azure", ejecute el siguiente comando para volver al modo local: tsm security kms set-mode local
.
Actualizar clave de Azure
Actualice la clave de Azure en Azure. No hay ningún período de actualización de claves obligatorio o programado. Puede actualizar su clave creando una nueva versión de la clave en Azure. Dado que el nombre del almacén de claves y el nombre de la clave no cambian, no es necesario actualizar la configuración de KMS en Tableau Server para los escenarios normales de actualización de claves de Azure.
Copia de seguridad y restauración con Azure Key Vault
Se puede realizar una copia de seguridad del servidor en el modo Azure Key Vault sin configuraciones ni procedimientos adicionales. La copia de seguridad contiene copias cifradas de los RMK y MEK. Descifrar las claves requiere acceso y control de Azure Key Vault.
Para el escenario de restauración, el servidor que se va a restaurar puede estar en cualquiera de los modos de Azure Key Vault o KMS local. El único requisito es que el servidor en el que se va a restaurar la copia de seguridad tenga acceso al Azure Key Vault de la copia de seguridad utilizada.