Seguridad de red
Hay tres interfaces de red principales en Tableau Server:
Cliente para Tableau Server: El cliente puede ser un navegador web, Tableau Mobile, Tableau Desktop o la utilidad tabcmd.
Tableau Server para sus bases de datos: Para actualizar extractos de datos o manipular conexiones de bases de datos en tiempo real, Tableau Server debe comunicarse con sus bases de datos.
Comunicación de componentes de servidor: Esto se aplica a implementaciones distribuidas solamente.
En la mayoría de las organizaciones, Tableau Server también está configurado para comunicarse con Internet y con un servidor SMTP.
Cliente para Tableau Server
Un cliente de Tableau Server puede ser un navegador web, un dispositivo que ejecute Tableau Mobile, Tableau Desktop o comandos de tabcmd. Las comunicaciones entre Tableau Server y sus clientes usan solicitudes y respuestas HTTP estándar. Le recomendamos que configure Tableau Server para HTTPS en todas las comunicaciones. Cuando Tableau Server está configurado para SSL, todo el contenido y las comunicaciones entre clientes están encriptadas con SSL, y el protocolo HTTPS se usa para solicitudes y respuestas.
De forma predeterminada, las contraseñas se comunican desde los navegadores y tabcmd a Tableau Server mediante el cifrado de claves públicas o privadas de 1024 bits. Este nivel de cifrado no se considera lo suficientemente potente para proteger las comunicaciones. Además, este método, en el que una clave pública se envía al destinatario sin protección y sin autenticación de capa de red, es vulnerable a los ataques "man-in-the-middle" o de intermediarios.
Para proteger adecuadamente el tráfico de red que los clientes transmiten a Tableau Server, debe configurar SSL con un certificado de una autoridad de certificación de confianza.
Consulte Configurar SSL para tráfico HTTP externo a y desde Tableau Server.
Acceso de clientes desde Internet
Le recomendamos un servidor proxy de puerta de enlace para habilitar el acceso de clientes seguro de Internet a Tableau Server. Desaconsejamos ejecutar Tableau Server en una zona desmilitarizada o un entorno similar fuera de la red interna protegida.
Configure un servidor proxy inverso que tenga habilitada la SSL para gestionar todo el tráfico entrante desde Internet. En esta situación, el proxy inverso es la única dirección IP externa (o rango de direcciones, si varios proxies inversos equilibran la carga de las solicitudes entrantes) con la que se comunicará Tableau Server. Los proxies inversos son transparentes para los clientes que envían solicitudes, es decir, que complican la información de red de Tableau Server y simplifican la configuración del cliente.
Para obtener información de configuración, consulte Configurar proxies y equilibradores de carga para Tableau Server.
Protección contra ataques clickjack
De forma predeterminada, Tableau Server tiene habilitada la protección frente a ataques de clickjacking. Esta protección ayuda a impedir ciertos tipos de ataques en los que el autor superpone una versión transparente de una página a otra página que parece inofensiva para atraer a un usuario y que haga clic en vínculos o acceda a información. Con la protección frente a ataques de clickjacking habilitada, Tableau Server aplica ciertas restricciones a las vistas incrustadas. Para obtener más información, consulte Protección contra ataques clickjack.
Tableau Server para su base de datos
Tableau Server realiza conexiones dinámicas a bases de datos para procesar conjuntos de resultados y actualizar extractos. Usa controladores nativos para conectarse a bases de datos cuando es posible y depende de un adaptador ODBC genérico cuando los controladores nativos no están disponibles. Todas las comunicaciones a la base de datos se dirigen a través de estos controladores. De tal forma, la configuración del controlador para comunicarse en puertos no estándar o proporcionar encriptación de transporte es parte de la instalación de controladores nativos. Este tipo de configuración es transparente para Tableau.
Cuando un usuario almacena credenciales para fuentes de datos externas en Tableau Server, se almacenan encriptadas en la base de datos interna de Tableau Server. Cuando un proceso usa esas credenciales para consultar la fuente de datos externa, el proceso recupera las credenciales cifradas de la base de datos interna y las descifra en el proceso.
Tableau Server a Internet
En algunos casos, cuando los usuarios se conecten a fuentes de datos externas, como los servidores de mapas de Tableau, Tableau Server tendrá que conectarse a Internet. Le recomendamos que ejecute todos los componentes de Tableau dentro de la red protegida. Por lo tanto, es posible que las conexiones a Internet requieran configurar Tableau Server para que use un proxy de reenvío.
Tableau Server a un servidor SMTP
Puede configurar Tableau Server para enviar notificaciones de eventos a los administradores y usuarios. A partir de la versión 2019.4, Tableau Server es compatible con TLS para la conexión SMTP. Consulte Configurar la instalación de SMTP.
Comunicación con el repositorio
Puede configurar Tableau Server para que use la capa de conexión segura (SSL) en las comunicaciones cifradas para todo el tráfico intercambiado entre el repositorio Postgres y otros componentes del servidor. Predeterminadamente, SSL está deshabilitado para las comunicaciones entre los componentes del servidor y el repositorio.
Para obtener más información, consulte tsm security repository-ssl enable.
Comunicación de componentes de servidor en un clúster
Hay dos aspectos para comunicación entre componentes de Tableau Server en una instalación de servidores distribuidos: confianza y transmisión. Cada servidor en un clúster de Tableau usa un modelo de confianza estricto para garantizar que recibe solicitudes válidas de otros servidores del clúster. Los equipos en el conjunto que ejecuten procesos de puerta de enlace aceptan solicitudes de terceros (clientes), a menos que estén detrás de un equilibrador de carga, en cuyo caso este recibe las solicitudes. Los servidores que no ejecutan un proceso de puerta de enlace solo aceptan solicitudes de otros miembros de confianza del conjunto. La confianza se establece por una lista de entrada al servidor de dirección IP, puerto y protocolo. Si cualquiera de estos elementos no es válido, se ignora la solicitud. Todos los miembros del clúster pueden comunicarse entre sí.
Cuando un usuario almacena credenciales para fuentes de datos externas en Tableau Server, se almacenan encriptadas en la base de datos interna de Tableau Server. Cuando un proceso usa esas credenciales para consultar la fuente de datos externa, el proceso recupera las credenciales cifradas de la base de datos interna y las descifra en el proceso.