Conformité FIPS dans Tableau Server sur Linux

Cette rubrique présente la version de Tableau Server compatible FIPS. La conformité FIPS (Federal Information Processing Standard) a été ajoutée à Tableau Server sur Linux dans la version 2025.3. Tableau Server sur Windows n’est pas conforme à la norme FIPS.

FIPS 140-2 est une norme de sécurité informatique du gouvernement des États-Unis utilisée pour approuver les modules cryptographiques. Cette conformité garantit que toutes les opérations cryptographiques dans Tableau Server répondent à des exigences de sécurité rigoureuses, offrant ainsi un environnement plus sécurisé pour vos données.

Ce que la conformité FIPS signifie pour vous

Pour la plupart des utilisateurs, l’expérience quotidienne d’utilisation de Tableau Server restera largement inchangée. La conformité FIPS est avant tout une amélioration sous-jacente qui renforce la posture de sécurité du serveur.

  • Sécurité renforcée : toutes les données en transit et au repos, lorsqu’elles sont protégées par des modules cryptographiques, utiliseront des algorithmes validés par FIPS.

  • Conformité réglementaire : la conformité FIPS dans Tableau Server pour Linux aide les entreprises à se conformer aux réglementations gouvernementales et sectorielles spécifiques qui imposent la conformité à la norme FIPS 140- 2.

  • Impact sur l’utilisateur : il n’y a pas d’impact direct sur l’utilisateur. Vous n’avez pas besoin de modifier votre façon de publier des classeurs, d’afficher des tableaux de bord ou d’interagir avec les données. Les améliorations de sécurité sont transparentes pour le flux de travail de l’utilisateur final.

Installation de Tableau Server en mode FIPS

L’installation de Tableau Server en mode FIPS signifie inclure l’indicateur --enable-fips avec initialize-tsm script. La documentation d’installation et d’initialisation de Tableau Server est la même que celle d’un serveur non-FIPS, à l’exception de l’indicateur --enable-fips. Une instance de Tableau Server est ou n’est pas en mode FIPS. Une fois que initialize-tsm a été exécuté pour la première fois pour une instance, le mode FIPS est activé et ne peut pas être modifié sauf si vous réinstallez Tableau Server. Pour plus d’informations sur l’installation de Tableau Server, consultez Installer et initialiser TSM.

Pour convertir une instance de Tableau Server du mode non-FIPS au mode FIPS, consultez Restauration de données en mode FIPS Tableau Server

Remarque : le mode FIPS n’a pas été testé et n’est pas pris en charge avec Tableau Server dans un conteneur.

Utilisation des outils de ligne de commande de Tableau Server avec FIPS

Lorsque Tableau Server est installé en mode FIPS, une partie du processus d’installation ajoute une variable d’environnement spéciale, TABLEAU_SERVER_ENABLEFIPS=true, aux scripts de démarrage du système afin que cette variable d’environnement soit automatiquement définie pour les utilisateurs du système avant qu’ils se connectent. De cette manière, lorsque l’utilisateur exécute les outils ou les outils de l’interface en ligne de commande tsm pu tabcmd , ces outils s’exécutent également en mode FIPS. Si l’exécution de tsm et tabcmd en mode FIPS est importante pour la conformité FIPS, elle est également nécessaire pour un fonctionnement correct.

Remarque : vous ne pouvez pas utiliser des versions antérieures de tsm avec un serveur en mode FIPS.

Comment déterminer si le mode FIPS est activé sur Tableau Server

Le mode FIPS a une incidence sur certaines interactions avec Tableau Server, notamment les cas où vous pouvez restaurer une sauvegarde serveur sur une autre instance et les identifiants que certaines connexions de base de données requièrent pour l’authentification. Il existe plusieurs méthodes pour déterminer si votre serveur s’exécute en mode FIPS :

  • Dans TSM

    • Exécutez la commande tsm version à la ligne de commande et recherchez « (FIPS) » à la fin de la version :

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • Ouvrez la boîte de dialogue À propos de TSM dans l’interface utilisateur TSM :

  • Avec tabcmd :

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • En ouvrant la boîte de dialogue À propos de Tableau dans Tableau Server :

Utilisation d’un système d’exploitation Linux compatible FIPS

Tableau Server en mode FIPS a été testé sur RHEL 8 avec FIPS activé(Le lien s’ouvre dans une nouvelle fenêtre). Tableau Server devrait s’exécuter en mode FIPS sur tous les systèmes d’exploitation Linux pris en charge, mais n’a été testé que sur RHEL 8.

Vous n’avez pas besoin d’avoir un système d’exploitation compatible FIPS pour exécuter Tableau Server en mode FIPS, mais pour une conformité complète à FIPS, il est préférable de l’exécuter sur un système d’exploitation compatible FIPS. Il vous incombe de comprendre et de savoir comment configurer votre système d’exploitation pour qu’il fonctionne en mode FIPS.

Restauration de données en mode FIPS Tableau Server

Pour pouvoir restaurer des données en mode FIPS sur Tableau Server, la sauvegarde doit être conforme à FIPS. Toutefois, si vous exécutez une version de Tableau Server compatible avec une version pré-FIPS, ce serveur ne peut pas générer une sauvegarde conforme à la norme FIPS et vous devrez mettre à niveau cette instance avant de créer une sauvegarde compatible avec la norme FIPS.

Les meilleures pratiques consistent à encourager tous les clients à utiliser l’approche Bleu/Vert pour la mise à niveau, car elle permet de revenir à votre serveur d’origine en cas de difficultés. Pour plus d’informations sur les mises à niveau Bleu/Vert, consultez Utiliser une approche Bleu/Vert pour la mise à niveau de Tableau Server.

Mise à niveau d’une installation non-FIPS vers le mode FIPS

Pour passer d’une version non-FIPS de Tableau Server à une version en mode FIPS :

  1. Sauvegardez votre Tableau Server en mode non-FIPS.

    Cette sauvegarde entre dans le cadre des meilleures pratiques de sécurité et peut être utilisée pour restaurer votre installation serveur d’origine en cas de problème.

  2. Mettez à niveau votre Tableau Server en mode non-FIPS vers la version de Tableau Server prenant en charge FIPS (2025.3.0 ou version ultérieure).

  3. Effectuez une sauvegarde du serveur mis à niveau. Cette sauvegarde sera utilisée pour restaurer vos données sur une instance de serveur compatible FIPS créée à l’étape suivante.

    Remarque : le serveur mis à niveau n’est pas en mode FIPS, mais il génère une sauvegarde conforme à FIPS car il s’agit d’une version prenant en charge FIPS.

  4. Créez une nouvelle instance Tableau Server s’exécutant en mode FIPS.

  5. Restaurez la sauvegarde sur une nouvelle instance compatible FIPS.

Remarque : une fois que vous avez mis à niveau Tableau Server vers une version prenant en charge FIPS, la sauvegarde générée par cette version est conforme à FIPS même si l’instance Tableau Server ne s’exécute pas en mode FIPS.

Mise à niveau d’une installation en mode FIPS vers le mode non-FIPS

Pour passer d’une installation en mode FIPS à une installation non-FIPS, vous pouvez suivre des étapes similaires. Dans ce cas, l’installation ultime non-FIPS doit toujours être une version compatible FIPS (2025.3.x ou version ultérieure) avec le mode FIPS désactivé.

Mécanismes d’application de la norme FIPS

Le travail d’application des normes FIPS est géré par deux bibliothèques externes, openssl(Le lien s’ouvre dans une nouvelle fenêtre) et bouncycastle(Le lien s’ouvre dans une nouvelle fenêtre). Les bibliothèques sont certifiées NIST pour garantir la conformité FIPS tant que les applications qui les utilisent s’appuient sur elles exclusivement pour les fonctions cryptographiques. Tableau Server est conçu de manière à ce que toutes les fonctions cryptographiques passent par l’une de ces deux bibliothèques.

Plus précisément, les bibliothèques Bouncycastle ne liront pas le fichier Keystore cacerts Java standard car il n’est pas conforme à FIPS. À la place, Tableau Server utilise le keystore BCFKS spécifique à Bouncycastle et compatible FIPS. L’utilisation de ce keystore est globalement transparente pour les utilisateurs, sauf s’ils ajoutent leurs propres certificats au magasin de confiance du système d’exploitation afin de communiquer en toute sécurité via (m)TLS avec leurs sources de données JDBC, comme décrit dans la documentation de Tableau Desktop et de la création Web(Le lien s’ouvre dans une nouvelle fenêtre). En plus de suivre ces étapes, et après avoir exécuté update-ca-certificates, l’utilisateur doit ensuite exécuter le script supplémentaire dans le répertoire d’installation de Tableau Server nommé update-cacerts. Cela convertira le contenu du fichier de magasin de confiance cacerts du système d’exploitation en fichier cacerts.bcfks conforme à FIPS. Il sera créé dans le même répertoire que le fichier de magasin de confiance du système d’exploitation.

Un exemple d’application FIPS est illustré lors d’une connexion via JDBC à une base de données PostgreSQL. Voici les deux erreurs les plus courantes : le serveur ou l’utilisateur de la base de données n’est pas configuré pour utiliser le cryptage par mot de passe(Le lien s’ouvre dans une nouvelle fenêtre) scram-sha-256 et utilise à la place le cryptage par mot de passe md5, ou le mot de passe de l’utilisateur de la base de données a une longueur inférieure à la longueur de 112 bits (14 octets) prescrite par la bibliothèque Bouncycastle. Lors de la connexion à PostgreSQL alors que Tableau Server est en mode FIPS, un utilisateur peut rencontrer une de ces erreurs ou les deux, selon sa configuration utilisateur et ses informations d’identification. De telles erreurs sont courantes lors de l’exécution de logiciels en mode FIPS et font la différence entre l’exécution de Tableau Server en mode non-FIPS et en mode FIPS.

Limites de FIPS

L’exécution de Tableau Server en mode FIPS sur un système d’exploitation compatible FIPS signifie que les logiciels s’exécutant sur le système d’exploitation compatible FIPS et les logiciels Tableau Server s’exécutant directement sur ce système d’exploitation sont compatibles FIPS et appliqueront les normes FIPS. Cependant, d’autres logiciels se connecteront à ce Tableau Server, y compris les logiciels écrits par Tableau, sans qu’aucune revendication ne soit faite quant à la conformité FIPS de ces logiciels. Il en va de même si le système d’exploitation n’est pas compatible FIPS. Cela inclut, mais sans s’y limiter, les navigateurs Web et Tableau Desktop.

De plus, la norme FIPS ne concerne que l’application des algorithmes cryptographiques utilisés. FIPS ne reflète pas nécessairement la posture de sécurité globale du système logiciel. Par exemple, dans l’exemple ci-dessus utilisant PostgreSQL, une option de cryptage de mot de passe est nommée « mot de passe », ce qui signifie « pas de cryptage ». Les mots de passe sont donc envoyés en clair. Il s’agit du protocole de transmission de mot de passe le moins sécurisé de tous, mais il est techniquement conforme à la norme FIPS car il n’y a pas d’algorithmes cryptographiques en jeu. Si un utilisateur configure sa base de données Postgres de manière à accepter les mots de passe en clair, un serveur Tableau Server en mode FIPS se connectera sans erreur. Les utilisateurs sont tenus de connaître les paramètres de sécurité qu’ils utilisent. L’exécution de Tableau Server en mode FIPS garantit uniquement que les algorithmes cryptographiques utilisés sont conformes à la norme FIPS.

 

Merci de vos commentaires !Avis correctement envoyé. Merci