Conformité FIPS dans Tableau Server sur Linux

Cette rubrique présente la version de Tableau Server conforme à la norme FIPS. La conformité FIPS (Federal Information Processing Standard) a été ajoutée à Tableau Server sur Linux dans la version 2025.3. Tableau Server sur Windows n’est pas conforme à la norme FIPS.

FIPS 140-2 est une norme de sécurité informatique du gouvernement des États-Unis utilisée pour approuver les modules cryptographiques. Cette conformité garantit que toutes les opérations cryptographiques effectuées dans Tableau Server répondent à des exigences de sécurité rigoureuses, offrant ainsi un environnement plus sécurisé pour vos données.

Ce que la conformité FIPS signifie pour vous

Pour la plupart des utilisateurs, l’expérience quotidienne d’utilisation de Tableau Server restera largement inchangée. La conformité FIPS est avant tout une amélioration sous-jacente qui renforce la posture de sécurité du serveur.

  • Sécurité renforcée : toutes les données en transit et au repos, lorsqu’elles sont protégées par des modules cryptographiques, utilisent des algorithmes validés par FIPS.

  • Conformité réglementaire : la conformité FIPS dans Tableau Server pour Linux aide les entreprises à se conformer aux réglementations gouvernementales et sectorielles spécifiques qui imposent la conformité à la norme FIPS 140-2.

  • Impact sur l’utilisateur : il n’y a pas d’impact direct sur l’utilisateur. Vous n’avez pas besoin de modifier votre façon de publier des classeurs, d’afficher des tableaux de bord ou d’interagir avec les données. Les améliorations de sécurité n’ont aucune incidence sur le flux de travail de l’utilisateur final.

Installer Tableau Server en mode FIPS

L’installation de Tableau Server en mode FIPS signifie d’inclure l’indicateur --enable-fips dans le script initialize-tsm. La documentation d’installation et d’initialisation de Tableau Server est la même que celle d’un serveur non-FIPS, à l’exception de l’indicateur --enable-fips. Une instance de Tableau Server est ou n’est pas en mode FIPS. Lorsque initialize-tsm a été exécuté pour la première fois pour n’importe quelle instance, le mode FIPS est défini et ne peut pas être modifié sauf si vous réinstallez Tableau Server. Pour plus d’informations sur l’installation de Tableau Server, consultez Installer et initialiser TSM.

Pour convertir une instance de Tableau Server du mode non-FIPS au mode FIPS, consultez Restauration de données sur Tableau Server en mode FIPS

Remarque : Le mode FIPS n’a pas été testé et n’est pas pris en charge avec Tableau Server dans un conteneur.

Utilisation des outils de ligne de commande de Tableau Server avec FIPS

Lorsque Tableau Server est installé en mode FIPS, une partie du processus d’installation ajoute une variable d’environnement particulière aux scripts de démarrage du système, TABLEAU_SERVER_ENABLEFIPS=true, afin que cette variable d’environnement soit automatiquement définie pour les utilisateurs du système avant qu’ils ne se connectent. De cette manière, lorsqu’un utilisateur exécute les outils de l’interface en ligne de tsm ou tabcmd , ceux-ci s’exécutent également en mode FIPS. Bien que l’exécution de tsm et de tabcmd en mode FIPS soit important pour la conformité FIPS, cela est également nécessaire pour un bon fonctionnement.

Remarque : Vous ne pouvez pas utiliser des versions antérieures de tsm avec un serveur en mode FIPS.

Comment savoir si le mode FIPS est activé sur Tableau Server

Le mode FIPS a une incidence sur certaines interactions avec Tableau Server. Il affecte, notamment les situations dans lesquelles vous pouvez restaurer une sauvegarde serveur sur une autre instance et la manière dont certaines connexions à des bases de données nécessitent une authentification. Il existe plusieurs méthodes pour déterminer si votre serveur s’exécute en mode FIPS :

  • Dans TSM :

    • Exécutez la commande tsm version sur la ligne de commande et recherchez « (FIPS) » à la fin de la version :

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • Ouvrez la boîte de dialogue À propos de TSM dans l’interface utilisateur TSM :

  • À l’aide de tabcmd :

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • En ouvrant la boîte de dialogue À propos de Tableau dans Tableau Server :

Utiliser un système d’exploitation Linux conforme à FIPS

Tableau Server en mode FIPS a été testé sur RHEL 8 avec FIPS activé(Le lien s’ouvre dans une nouvelle fenêtre). Tableau Server devrait s’exécuter en mode FIPS sur tous les systèmes d’exploitation Linux pris en charge, mais n’a été testé que sur RHEL 8.

Il n’est pas nécessaire que FIPS soit activé sur votre système d’exploitation pour permettre l’exécution de Tableau Server en mode FIPS, mais pour une conformité complète à FIPS, vous souhaiterez sans doute utiliser un système d’exploitation conforme à FIPS. Il vous incombe de comprendre et de savoir comment configurer votre système d’exploitation pour qu’il fonctionne en mode FIPS.

Restauration de données sur Tableau Server en mode FIPS

Afin de restaurer des données sur Tableau Server en mode FIPS, la sauvegarde doit être conforme à FIPS. Toutefois, si vous exécutez une version de Tableau Server antérieure à la compatibilité FIPS, celui-ci ne pourra pas générer une sauvegarde conforme à la norme FIPS et vous devrez mettre à niveau cette instance avant de créer une sauvegarde conforme avec la norme FIPS.

Nous encourageons vivement tous les clients à utiliser une approche bleue/verte pour la mise à niveau, car elle vous permet de revenir à votre serveur initial en cas de difficultés. Pour plus de détails sur ces mises à niveau bleues/vertes, consultez Utiliser une approche Bleu/Vert pour la mise à niveau de Tableau Server.

Mise à niveau d’une installation non-FIPS en mode FIPS

Pour passer d’une version non-FIPS de Tableau Server à une version en mode FIPS :

  1. Sauvegardez votre Tableau Server en mode non-FIPS.

    Cette sauvegarde constitue une bonne pratique de sécurité. Elle pourra être utilisée pour restaurer votre installation serveur d’origine en cas de problème.

  2. Mettez à niveau votre Tableau Server en mode non-FIPS vers la version de Tableau Server prenant en charge FIPS (2025.3.0 ou une version ultérieure).

  3. Effectuez une sauvegarde du serveur mis à niveau. Cette sauvegarde servira à restaurer vos données sur l’instance de serveur conforme à FIPS créée à l’étape suivante.

    Remarque : Le serveur mis à niveau ne sera pas en mode FIPS, mais il génère une sauvegarde conforme à FIPS car il s’agit d’une version prenant en charge FIPS.

  4. Créez une nouvelle instance Tableau Server s’exécutant en mode FIPS.

  5. Restaurez les données de sauvegarde sur une nouvelle instance en mode FIPS.

Remarque : Une fois que vous avez mis à niveau Tableau Server vers une version prenant en charge FIPS, la sauvegarde générée par cette version sera conforme à FIPS même si l’instance Tableau Server ne s’exécute pas en mode FIPS.

Mise à niveau d’une installation en mode FIPS vers le mode non-FIPS

Pour passer d’une installation en mode FIPS à une installation non-FIPS, vous pouvez suivre une procédure similaire. Dans ce cas, l’installation non-FIPS devra quand même être une version compatible FIPS (2025.3.x ou ultérieure) avec le mode FIPS désactivé.

Mécanismes d’application de la norme FIPS

Le travail d’application des normes FIPS est géré par deux bibliothèques externes, openssl(Le lien s’ouvre dans une nouvelle fenêtre) et bouncycastle(Le lien s’ouvre dans une nouvelle fenêtre). Les bibliothèques sont certifiées par le NIST (National Institute of Standards and Technology) pour garantir la conformité FIPS tant que les applications qui les utilisent s’appuient exclusivement sur ces bibliothèques pour les fonctions cryptographiques. Tableau Server est conçu de manière à ce que toutes les fonctions cryptographiques passent par l’une de ces deux bibliothèques.

Plus précisément, les bibliothèques Bouncycastle ne liront pas le fichier Java Keystore standard cacerts, car celui-ci n’est pas conforme à FIPS. À la place, Tableau Server utilise le keystore BCFKS spécifique à Bouncycastle et conforme à FIPS. L’utilisation de ce keystore est généralement transparente pour les utilisateurs, sauf s’ils ajoutent leurs propres certificats au truststore du système d’exploitation afin de communiquer avec leurs sources de données JDBC en toute sécurité via (m)TLS, comme décrit dans la documentation de Tableau Desktop et de la création Web(Le lien s’ouvre dans une nouvelle fenêtre). Après avoir suivi ces étapes et exécuté update-ca-certificates, l’utilisateur doit ensuite exécuter le script supplémentaire dans le répertoire d’installation de Tableau Server nommé update-cacerts. Celui-ci convertira le contenu du fichier truststore cacerts du système d’exploitation en fichier conforme à FIPS, cacerts.bcfks . Celui-ci sera créé dans le même répertoire que le fichier truststore du système d’exploitation.

On peut observer un exemple d’application de la norme FIPS lors d’une connexion à une base de données PostgreSQL via JDBC. Dans ce cas, les deux erreurs les plus courantes sont soit que le serveur ou l’utilisateur de la base de données n’est pas configuré pour utiliser le chiffrement par mot de passe(Le lien s’ouvre dans une nouvelle fenêtre) scram-sha-256 et qu’il utilise plutôt le chiffrement par mot de passe md5, soit que la longueur du mot de passe de l’utilisateur de la base de données est inférieure à la longueur de 112 bits (14 octets) prescrite par la bibliothèque Bouncycastle. Lors de la connexion à PostgreSQL alors que Tableau Server est en mode FIPS, un utilisateur peut rencontrer l’une ou l’autre erreur, en fonction de sa configuration utilisateur et de ses informations d’identification. De telles erreurs sont courantes lors de l’exécution de logiciels en mode FIPS et c’est ce qui distingue l’exécution de Tableau Server en mode non-FIPS de son exécution en mode FIPS.

Limite du mode FIPS

L’exécution de Tableau Server en mode FIPS sur un système d’exploitation conforme à FIPS signifie que les logiciels s’exécutant sur le système d’exploitation conforme à FIPS et les logiciels Tableau Server s’exécutant directement sur ce système d’exploitation sont conformes à FIPS et qu’ils appliqueront les normes FIPS. Cependant, d’autres logiciels se connecteront à ce Tableau Server, y compris les logiciels édités par Tableau, sans qu’aucune revendication ne soit faite quant à la conformité FIPS de ce logiciel. Il en va de même si le système d’exploitation n’est pas compatible à FIPS. Cela inclut, mais sans s’y limiter, les navigateurs Web et Tableau Desktop.

De plus, la norme FIPS ne concerne que l’application des algorithmes cryptographiques utilisés. FIPS ne reflète pas nécessairement la posture de sécurité globale du système logiciel. Par exemple, dans l’exemple ci-dessus utilisant PostgreSQL, une option de chiffrement de mot de passe est nommée « mot de passe ». Cela signifie que le chiffrement n’est pas utilisé et que les mots de passe sont envoyés en texte clair. Il s’agit du protocole de transmission de mots de passe le moins sécurisé de tous, mais il est techniquement conforme à la norme FIPS car il n’y a pas d’algorithme cryptographique en jeu. Si un utilisateur configure sa base de données Postgres de manière à accepter les mots de passe en clair, un serveur Tableau Server en mode FIPS se connectera sans erreur. Les utilisateurs sont tenus de connaître les paramètres de sécurité qu’ils utilisent. L’exécution de Tableau Server en mode FIPS garantit uniquement que les algorithmes cryptographiques utilisés sont conformes à la norme FIPS.

 

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!