Cryptage d’extrait au repos

Le cryptage d’extrait au repos est une fonction de sécurité des données qui vous permet de crypter les extraits .hyper pendant qu’ils sont stockés sur Tableau Server.

Les administrateurs de Tableau Server peuvent appliquer le cryptage de tous les extraits de leur site ou permettre aux utilisateurs de spécifier le cryptage de tous les extraits associés à des classeurs ou des sources de données publiés spécifiques.

Limites

Avant de pouvoir être cryptés, les anciens extraits de fichiers .tde doivent être mis à niveau vers des extraits de fichiers .hyper. Ce processus intervient automatiquement dans le cadre du travail de cryptage. Pour plus d’informations sur l’impact de la mise à niveau d’extraits, consultez Mise à niveau d’extraits vers le format .hyper.

Les fichiers temporaires et les fichiers de cache ne sont pas cryptés au repos avec cette fonction.

Les classeurs (.twb) et les fichiers de sources de données (.tds) ne sont pas cryptés avec cette fonction. Ces fichiers contiendront des métadonnées telles que des noms de colonnes de tables de base de données et des instructions de formatage. Dans certains cas, ils peuvent contenir des données au niveau des lignes si elles sont incluses dans les filtres. 

D’autres fichiers de données, tels que les fichiers Excel ou JSON, ne sont pas cryptés avec cette fonction à moins qu’ils ne soient convertis en extraits avant d’être publiés.

Les extraits sont décryptés lorsqu’ils sont téléchargés depuis le serveur.

Présentation des performances

Augmentation de la charge du Backgrounder

Il se peut que vous observiez une augmentation légère à modérée de la charge du Backgrounder lorsque vous activez le cryptage au repos. Le cryptage et le décryptage sont des opérations de calcul intensif. Le cryptage au repos modifie les tâches du Backgrounder et introduit de nouvelles tâches à exécuter sur le Backgrounder. L’augmentation globale de la charge du Backgrounder dépend du nombre et de la taille des extraits concernés, et de la fréquence à laquelle les scénarios ci-dessous s’appliquent.

  • Publication initiale : Lors de la publication de classeurs ou de sources de données à l’aide d’extraits qui doivent être cryptés, le cryptage s’effectue sur les Backgrounders du serveur.
  • Actualisations d’extraits depuis Tableau Server : Les actualisations complètes et incrémentielles des extraits cryptés sur Tableau Server utilisent légèrement plus de puissance de calcul.
  • Actualisations d’extraits depuis Tableau Bridge et des applications tierces (p. ex. Informatica, Alteryx) : Ces flux nécessiteront de nouvelles tâches de cryptage, programmées sur les Backgrounders pour toute actualisation d’extrait, ce qui entraîne une augmentation légère à modérée de la charge du Backgrounder.
  • Cryptage et décryptage d’extraits dans des classeurs et des sources de données déjà publiés : Si le paramètre du site pour le cryptage au repos est réglé sur Activer, les utilisateurs peuvent choisir de crypter ou de décrypter des extraits dans des classeurs et sources de données déjà publiés sur le serveur Tableau. Selon le nombre et la taille des extraits, ce processus ajoutera une charge légère à modérée aux Backgrounders.
  • Modification du mode de cryptage d’un site : Lorsque le paramètre de cryptage au repos d’un site est réglé sur Désactiver ou Appliquer, le Backgrounder décrypte ou crypte tous les extraits existants sur le site, respectivement. Selon le nombre et la taille des extraits, ce processus peut augmenter considérablement la charge de travail des Backgrounders jusqu’à ce que tous les extraits soient décryptés ou cryptés.
  • Rotation des clés de cryptage : La rotation des clés de cryptage entraîne le recryptage, par les Backgrounders, de tous les extraits existants publiés sur ce site à l’aide de nouvelles clés de cryptage. Selon le nombre et la taille des extraits, ce processus peut augmenter considérablement la charge de travail des Backgrounders jusqu’à ce que tous les extraits soient recryptés.

En cas de fonctionnement à pleine capacité ou en surcapacité, pensez à :

  • Ajouter des processus et des ressources de Backgrounder supplémentaires.
  • Permettre aux utilisateurs crypter des classeurs et des sources de données individuels au lieu d’appliquer le cryptage à l’ensemble du site ou de désactiver le cryptage au repos pour les sites où cela n’est pas nécessaire. Notez que les actualisations d’extraits programmées et ad hoc auront priorité sur les tâches de cryptage et de décryptage.

Augmentation du temps de chargement de la visualisation et de la charge de travail du worker

Les performances de requête, par exemple, lors du chargement ou de l’interaction avec une visualisation ou un tableau de bord, nécessiteront que les données soient décryptées une fois, au moment où elles sont chargées du disque vers la mémoire. Il en résultera une légère augmentation du temps de chargement et de l’utilisation du processeur sur les nœuds worker pour le premier utilisateur qui charge un classeur. Ce ralentissement n’affectera pas les autres utilisateurs accédant à ces classeurs en même temps car les données seront déjà décryptées en mémoire.

Impact sur la sauvegarde et la restauration

Les extraits cryptés dans les sauvegardes restent cryptés. La taille des fichiers de sauvegarde (.tbks) peut augmenter jusqu’à 50-100 % en raison de l’inefficacité de la compression des extraits cryptés. L’augmentation de la taille dépend, entre autres facteurs, du nombre d’extraits qui sont cryptés. Le temps de restauration d’une sauvegarde contenant des extraits cryptés peut augmenter légèrement en raison du temps nécessaire pour échanger les clés de cryptage.

Si votre installation Tableau Server contient uniquement ou principalement des extraits cryptés, pensez à désactiver la compression pendant les sauvegardes afin d’améliorer considérablement la durée nécessaire aux sauvegardes. Pour en savoir plus sur la sauvegarde TSM, consultez tsm maintenance backup.

Application du cryptage au repos sur un site

Les administrateurs de Tableau Server peuvent appliquer le cryptage de tous les extraits sur leur site.

  1. Dans un navigateur Web, connectez-vous à Tableau Server en tant qu’administrateur de serveur.
  2. Allez sur le site que vous voulez configurer.
  3. Cliquez sur Paramètres.
  4. Faites défiler vers le bas jusqu’à la section Cryptage d’extrait au repos.
    Cliquez sur Appliquer pour crypter tous les extraits qui sont publiés et stockés sur le site.
    Le cryptage de tous les extraits existants stockés sur le site peut prendre un certain temps.
  5. Cliquez sur Enregistrer.

Activer le cryptage au repos sur un site

Les administrateurs de Tableau Server peuvent autoriser les utilisateurs à spécifier le cryptage de tous les extraits associés à certains classeurs ou sources de données publiés.

  1. Dans un navigateur Web, connectez-vous à Tableau Server en tant qu’administrateur de serveur.
  2. Allez sur le site que vous voulez configurer.
  3. Cliquez sur Paramètres.
  4. Faites défiler vers le bas jusqu’à la section Cryptage d’extrait au repos.
  5. Cliquez sur Activer pour permettre aux utilisateurs de crypter les extraits sur le site.
    Si vous choisissez Activer, les travaux de décryptage et de cryptage en attente seront annulés. Aucune tâche de cryptage n’est créée.
  6. Cliquez sur Enregistrer.

Désactiver le cryptage au repos sur un site

  1. Dans un navigateur Web, connectez-vous à Tableau Server en tant qu’administrateur de serveur.
  2. Allez sur le site que vous voulez configurer.
  3. Cliquez sur Paramètres.
  4. Faites défiler vers le bas jusqu’à la section Cryptage d’extrait au repos.
  5. Cliquez sur Désactiver pour ne pas autoriser les extraits cryptés sur le site.
    Si vous choisissez Désactiver, tous les extraits cryptés existants seront décryptés. Le décryptage de tous les extraits stockés sur le site peut prendre un certain temps.
  6. Cliquez sur Enregistrer.

Afficher le mode de cryptage d’extrait pour tous les sites

  1. Sur un serveur multisite, cliquez sur Gérer tous les sites dans le menu du site.

    Remarque : l’option Gérer tous les sites s’affiche uniquement lorsque vous êtes connecté en tant qu’administrateur de serveur.

  2. Cliquez sur Sites.
  3. Le mode de cryptage de chaque site est affiché dans la colonne Cryptage d’extrait au repos.

Cryptage ou décryptage des extraits pour un classeur ou une source de données publié(e)

Remarque : l’option de cryptage ou de décryptage des extraits associés à un classeur ou à une source de données publié(e) spécifique n’est disponible que si le paramètre du site pour le cryptage au repos est réglé sur Activer. Lorsqu’un site est réglé sur Désactiver, tout son contenu n’est pas crypté. Lorsqu’un site est réglé sur Appliquer, tout son contenu est crypté.
Remarque : vous devez être le propriétaire ou l’administrateur.

  1. Accédez au classeur publié ou à la page de la source de données publiée.
  2. Cliquez sur le menu déroulant qui indique Extrait crypté ou Extrait non crypté.
  3. Sélectionnez Non crypté.
    Le message suivant s’affiche : « Décryptage de l’extrait... ».
    -ou-
    Sélectionnez Crypté.
    Une tâche de cryptage est lancée.

Vous pouvez également crypter ou décrypter des extraits dans le menu d’action de la fiche, le menu d’action de la liste et le menu d’action de la section En-tête.

Cryptage ou décryptage de plusieurs éléments

  1. Accédez au volet Source de données.
  2. Cochez la case à côté d’une ou de plusieurs sources de données.
  3. En haut à gauche du volet Source de données, sous Connexions, cliquez sur Actions.
  4. Cliquez sur Crypter ou Décrypter.

Affichage de l’état de cryptage d’un seul élément

  1. Connectez-vous au site.
  2. Accédez à un volet de source de données unique.
    -ou-
    Accédez à une seule page de classeur pour un classeur contenant des sources de données intégrées.
  3. L’état de cryptage s’affiche sur la page.

Filtrage des sources de données par état de cryptage

  1. Sur un site, cliquez sur Explorer.
  2. En haut à droite, cliquez sur le menu déroulant Explorer : Projets de niveau supérieur et sélectionnez Toutes les sources de données.
  3. Cliquez sur l’icône de filtre.
  4. Faites défiler vers le bas jusqu’à la section « En direct ou extrait » et sélectionnez une option de filtrage : Tous, En direct, Extraits, Extraits non cryptés, Extraits cryptés, Cryptage en cours ou Décryptage en cours.
  5. Cochez la case à côté de « Inclure les fichiers .tde et .hyper » si vous voulez inclure les connexions « En direct vers fichier .tde » et « En direct vers fichier .hyper » dans vos résultats de filtrage.

Filtrage des classeurs par état de cryptage

  1. Sur un site, cliquez sur Explorer.
  2. En haut à droite, cliquez sur le menu déroulant Explorer : Projets de niveau supérieur et sélectionnez Tous les classeurs.
  3. Cliquez sur l’icône de filtre.
  4. Faites défiler vers le bas jusqu’à la section « En direct ou extrait » et sélectionnez une option de filtrage : Tous, En direct, Extraits, Publié, Extraits non cryptés, Extraits cryptés, Cryptage en cours ou Décryptage en cours.
  5. Cochez la case à côté de « Inclure les fichiers .tde et .hyper » si vous voulez inclure les connexions « En direct vers fichier .tde » et « En direct vers fichier .hyper » dans vos résultats de filtrage.
    Tous les classeurs qui ont au moins une connexion correspondant à la sélection du filtre s’affichent.

Affichage de l’état des tâches d’arrière-plan de cryptage ou de décryptage d’extrait

  1. Dans le site, cliquez sur État du site.
  2. Cliquez sur Tâches d’arrière-plan hors extraits pour afficher les détails des tâches d’arrière-plan terminées et en attente.
    Remarque : les Tâches d’arrière-plan hors extraits incluent toutes les tâches qui ne sont pas liées aux actualisations d’extraits, ce qui inclut donc les tâches de cryptage.
  3. Dans le menu Tâche, sélectionnez Crypter les extraits ou Décrypter les extraits et cliquez sur Appliquer.
  4. Dans le menu Plage temporelle, sélectionnez une plage.
    Vous voyez les tâches d’arrière-plan « Crypter les extraits » ou « Décrypter les extraits » pour toutes vos sources de données et vos classeurs publiés basés sur des extraits.

Utilitaire tabcmd

L’utilitaire de ligne de commande tabcmd possède des commandes et des options permettant de contrôler le cryptage de l’extrait. Pour plus d’informations, consultez la documentation tabcmd.

Spécifier le mode de cryptage d’extrait lors de la création d’un site

tabcmd createsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]

Spécifier le mode de cryptage d’extrait lors de la modification d’un site

tabcmd editsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]

Obtenir le mode de cryptage d’extrait lors du référencement de sites

tabcmd listsites --get-extract-encryption-mode

Crypter les extraits lors de la publication d’un classeur, d’une source de données ou d’un extrait sur le serveur

tabcmd publish "filename.hyper" –-encrypt-extracts

Décrypter tous les extraits d’un site

Remarque : selon le nombre et la taille des extraits, cette opération peut utiliser d’importantes ressources serveur. Envisagez d’exécuter cette commande en dehors des heures ouvrables normales.

tabcmd decryptextracts <site-name>

Crypter tous les extraits d’un site

Remarque : selon le nombre et la taille des extraits, cette opération peut utiliser d’importantes ressources serveur. Envisagez d’exécuter cette commande en dehors des heures ouvrables normales.

tabcmd encryptextracts <site-name>

Recrypter tous les extraits d’un site avec de nouvelles clés de cryptage

Vous devez spécifier un site.

Remarque : selon le nombre et la taille des extraits, cette opération peut utiliser d’importantes ressources serveur. Envisagez d’exécuter cette commande en dehors des heures ouvrables normales.

tabcmd reencryptextracts <site-name>

Pour plus d’informations, voir reencryptextracts.

API Rest de Tableau Server

Avec l’API REST de Tableau Server, vous pouvez gérer les ressources de Tableau Server de manière programmatique. Vous pouvez utiliser cet accès pour créer vos propres applications personnalisées ou utiliser des scripts pour les interactions avec les ressources de Tableau Server.

Pour en savoir plus, consultez Méthodes de cryptage d’extrait(Le lien s’ouvre dans une nouvelle fenêtre).

Merci de vos commentaires !Avis correctement envoyé. Merci