Liste de contrôle pour une sécurité renforcée
La liste suivante formule des recommandations pour améliorer (« renforcer ») la sécurité de votre installation Tableau Server.
Vous recherchez Tableau Server sur Windows ? Consultez Liste de contrôle pour une sécurité renforcée(Le lien s’ouvre dans une nouvelle fenêtre).
Installation des mises à jour de sécurité
Les mises à jour de sécurité sont incluses dans les dernières versions et les versions de maintenance (MR) de Tableau Server. Vous ne pouvez pas installer les mises à jour de sécurité en tant que correctifs. Au lieu de cela, vous devez effectuer une mise à niveau vers une version ou une MR actuelle pour mettre à jour Tableau Server avec les dernières correctifs de sécurité.
Reportez-vous toujours à la version la plus récente de cette rubrique après la mise à niveau. La version actuelle inclut /current/
dans l’URL de la rubrique.
Par exemple, l’URL de la version française est : https://help.tableau.com/current/server/fr-fr/security_harden.htm.
1. Mettre à jour vers la version actuelle
Nous vous recommandons de toujours exécuter la dernière version de Tableau Server. Par ailleurs, Tableau publie régulièrement des mises à jour de maintenance de Tableau Server comprenant des correctifs pour les vulnérabilités de sécurité connues. (Des informations concernant les vulnérabilités de sécurité connues sont disponibles sur la page Bulletins de sécurité Tableau et la page Salesforce Security Advisors(Le lien s’ouvre dans une nouvelle fenêtre).) Nous vous recommandons de vérifier les notifications des mises à jour de maintenance pour savoir si vous devez les installer.
Pour obtenir la version ou la version de maintenance la plus récente de Tableau Server, rendez-vous sur la page Portail client(Le lien s’ouvre dans une nouvelle fenêtre).
2. Configurer le protocole SSL/TLS avec un certificat de confiance valide
Le protocole Secure Sockets Layer (SSL/TLS) est indispensable pour assurer la sécurité des communications avec Tableau Server. Configurez Tableau Server avec un certificat de confiance valide approuvé (pas un certificat autosigné) afin que Tableau Desktop, les appareils mobiles et les clients Web puissent se connecter au serveur via une connexion sécurisée. Pour plus d’informations, voir SSL.
3. Désactiver les anciennes versions du protocole TLS
Tableau Server utilise le protocole TLS pour authentifier et crypter de nombreuses connexions entre les composants et avec les clients externes. Les clients externes tels que les navigateurs, Tableau Desktop et Tableau Mobile se connectent à Tableau en TLS via HTTPS. Le protocole TLS (Transport Layer Security) est une version améliorée du SSL. En fait, les versions plus anciennes du SSL (SSL v2 et v3) ne sont plus considérées comme des normes de communication sécurisée adéquates. Dès lors, Tableau Server n’autorise pas les clients externes à utiliser les versions 2 et 3 du protocole SSL pour se connecter.
Nous vous recommandons d’autoriser les clients externes à se connecter à Tableau Server avec le protocole TLS v1.3 et TLS v1.2 uniquement.
TLS v1.2 est toujours considéré comme un protocole sécurisé et de nombreux clients (y compris Tableau Desktop) ne prennent pas encore en charge TLS v1.3.
Les clients compatibles TLS v1.3 négocieront TLS v1.3 même si TLS v1.2 est pris en charge par le serveur.
La commande tsm suivante active la version TLS v1.2 et v1.3 (avec le paramètre « all ») et désactive les protocoles SSL v2, SSL v3, TLS v1 et TLS v1.1 (en ajoutant le signe moins [-] à un protocole donné). TLS v1.3 n’est pas encore pris en charge par tous les composants de Tableau Server.
tsm configuration set -k ssl.protocols -v 'all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1'
tsm pending-changes apply
Pour modifier les protocoles qui régissent SSL pour le référentiel Tableau Server PostgreSQL, consultez pgsql.ssl.ciphersuite.
Vous pouvez également modifier la liste par défaut des suites de chiffrement que Tableau Server utilise pour les sessions SSL/TLS. Pour plus d’informations, consultez la section ssl.ciphersuite dans Options tsm configuration set.
4. Configurer le chiffrement SSL pour le trafic interne
Configurez Tableau Server pour qu’il utilise le protocole SSL pour crypter l’ensemble du trafic entre le référentiel Postgres et les autres composants du serveur. Par défaut, SSL est désactivé pour les communications entre les composants du serveur et le référentiel. Nous recommandons d’activer le protocole SSL interne pour toutes les instances de Tableau Server, même les installations avec un seul serveur. L’activation du protocole SSL interne est particulièrement importante pour les déploiements multi-nœuds. Voir Configurer SSL pour la communication Postgres interne.
5. Activer la protection par pare-feu
Tableau Server a été conçu pour fonctionner à l’intérieur d’un réseau interne protégé.
Important : N’exécutez pas Tableau Server out tout autre composant de Tableau Server sur Internet ou dans un DMZ. Tableau Server doit être exécuté avec le réseau entreprise protégé par un pare-feu Internet. Nous recommandons la configuration d’une solution de proxy inverse pour les clients Internet qui doivent se connecter à Tableau Server. Consultez Configuration des serveurs proxy et des équilibreurs de charge pour Tableau Server.
Il est conseillé d’activer un pare-feu local sur le système d’exploitation afin de protéger Tableau Server dans les déploiements à un ou plusieurs nœuds. Dans une installation distribuée (à plusieurs nœuds) de Tableau Server, la communication entre les nœuds n’est pas une communication sécurisée. Par conséquent, vous devez activer les pare-feu sur les ordinateurs qui hébergent Tableau Server.
Pour empêcher toute personne malveillante d’observer les communications entre les nœuds, configurez un réseau local virtuel séparé ou une autre solution de sécurité de couche réseau.
Consultez Ports de Tableau Services Manager pour comprendre de quels ports et services Tableau Server a besoin.
6. Limiter l’accès à l’ordinateur serveur et aux répertoires importants
Les fichiers de configuration de Tableau Server et les fichiers journaux peuvent contenir de précieuses informations pour un cybercriminel. Veillez dès lors à restreindre l’accès physique à la machine qui exécute Tableau Server. Assurez-vous également que seuls les utilisateurs autorisés et les utilisateurs de confiance ont accès aux fichiers Tableau Server du répertoire /var/opt/tableau/tableau_server/
7. Générer de nouveaux secrets et jetons
Chaque service Tableau Server qui communique avec le référentiel ou le serveur de cache doit d’abord s’authentifier avec un jeton secret. Le jeton secret est généré durant l’installation de Tableau Server. La clé de cryptage utilisée par le protocole SSL interne pour crypter le trafic vers le référentiel Postgres est également générée durant l’installation.
Après avoir installé Tableau Server, nous vous recommandons de générer de nouvelles clés de cryptage pour votre déploiement.
Ces actifs de sécurité peuvent être générés à nouveau à l’aide de la commande tsm security regenerate-internal-tokens
.
Exécutez les commandes suivantes :
tsm security regenerate-internal-tokens
tsm pending-changes apply
8. Désactiver les services que vous n’utilisez pas
Pour minimiser la surface d’attaque de Tableau Server, désactivez les points de connexion inutiles.
Service JMX
JMX est désactivé par défaut. S’il est activé, mais que vous ne l’utilisez pas, désactivez-le en utilisant la séquence suivante de commandes :
tsm configuration set -k service.jmx_enabled -v false
tsm pending-changes apply
9. Vérifier la configuration de la durée de vie de la session
Par défaut, Tableau Server n’a pas de durée limite de session absolue. Cela signifie que les sessions (création Web) d’un client dans un navigateur peuvent rester ouvertes indéfiniment tant que la durée limite d’inactivité de Tableau Server n’est pas dépassée. La durée limite d’inactivité par défaut est de 240 minutes.
Si votre politique de sécurité l’exige, vous pouvez définir une durée limite de session absolue. Assurez-vous de définir le délai d’expiration absolu de votre session dans une plage qui accepte les opérations de chargement d’extraits ou de publication de classeur à exécution la plus longue dans votre entreprise. Si vous définissez le délai d’expiration de la session sur une durée trop courte, les extraits et les publications échoueront pour les opérations qui durent le plus longtemps.
Pour définir le délai d’expiration de la session, exécutez les commandes suivantes :
tsm configuration set -k wgserver.session.apply_lifetime_limit -v true
tsm configuration set -k wgserver.session.lifetime_limit -v value
, où value correspond au nombre de minutes. La valeur par défaut est 1440, qui correspond à 24 heures.
tsm configuration set -k wgserver.session.idle_limit -v value
, où value correspond au nombre de minutes. La valeur par défaut est 240.
tsm pending-changes apply
Les sessions pour les clients connectés (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge et jetons d’accès personnels) utilisent les jetons OAuth pour empêcher les utilisateurs de se connecter en rétablissant une session. Vous pouvez désactiver ce comportement si vous souhaitez que toutes les sessions clients Tableau soient uniquement régies par les limites de session dans un navigateur contrôlées par les commandes ci-dessus. Consultez Désactiver l’authentification client automatique.
10. Configurer une liste d’autorisations de serveurs pour les sources de données basées sur des fichiers
Depuis les versions de Tableau Server d’octobre 2023, le comportement d’accès basé sur les fichiers par défaut a changé. Auparavant, Tableau Server permettait à ses utilisateurs autorisés de créer des classeurs utilisant des fichiers sur le serveur en tant que sources de données basées sur des fichiers (comme les feuilles de calcul). Avec les versions d’octobre 2023, l’accès aux fichiers stockés sur Tableau ou sur des partages distants doit être spécifiquement configuré dans Tableau Server à l’aide du paramètre décrit ici.
Ce paramètre vous permet de limiter l’accès par le compte système tableau
aux seuls répertoires que vous spécifiez.
Pour configurer l’accès aux fichiers partagés, vous devez configurer la fonctionnalité de liste d’autorisations. Cette fonction vous permet de limiter l’accès du compte tableau
uniquement aux chemins d’accès des répertoires où vous hébergez les fichiers de données.
Sur l’ordinateur qui exécute Tableau Server, identifiez les répertoires où vous hébergerez les fichiers de source de données.
Important Assurez-vous que les chemins d’accès des fichiers que vous spécifiez dans ce paramètre existent sur le compte système.
Exécutez les commandes suivantes :
tsm configuration set -k native_api.allowed_paths -v "path"
, où path est le répertoire à ajouter à la liste d’autorisations. Tous les sous-répertoires du chemin d’accès spécifié seront ajoutés à la liste d’autorisations. Vous devez ajouter une barre oblique inverse de fin au chemin d’accès spécifié. Pour spécifier plusieurs chemins d’accès, séparez-les par un point-virgule, comme dans cet exemple :tsm configuration set -k native_api.allowed_paths -v "/datasources;/HR/data/"
tsm pending-changes apply
11. Activer HTTP Strict Transport Security pour les clients de navigateurs Web
HTTP Strict Transport Security (HSTS) est une stratégie configurée sur des services d’application Web, tels que Tableau Server. Lorsqu’un navigateur compatible rencontre une application Web exécutant HSTS, toutes les communications avec le service doivent s’effectuer sur une connexion sécurisée (HTTPS). HSTS est pris en charge par les principaux navigateurs.
Pour plus d’informations sur le mode de fonctionnement de HSTS et les navigateurs qui le prennent en charge, consultez la page Web de l’Open Web Application Security Project, Fiche de référence sur HTTP Strict Transport Security(Le lien s’ouvre dans une nouvelle fenêtre).
Pour activer HSTS, exécutez les commandes suivantes dans Tableau Server :
tsm configuration set -k gateway.http.hsts -v true
Par défaut, la stratégie HSTS est configurée pour une année (31 536 000 secondes). Cette période spécifie la durée pendant laquelle le navigateur accédera au serveur via HTTPS. Vous pouvez envisager de configurer une durée maximale courte pendant le déploiement initial de HSTS. Pour modifier cette période, exécutez tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>
. Par exemple, pour configurer une période de stratégie HSTS applicable sur 30 jours, saisissez tsm configuration set -k gateway.http.hsts_options -v max-age=2592000
.
tsm pending-changes apply
12. Désactiver l’accès Invité
Les licences basées sur le nombre de cœurs dans Tableau Server incluent une option Utilisateur invité qui permet à tous les utilisateurs dans votre organisation de voir des vues Tableau intégrées dans des pages Web et d’interagir avec elles.
L’accès Utilisateur invité est activé par défaut sur les serveurs Tableau déployés avec des licences basées sur le nombre de cœurs.
L’accès Invité permet aux utilisateurs de voir les vues intégrées. L’utilisateur invité ne peut pas accéder à l’interface Tableau Server et ne voit pas les éléments de l’interface serveur dans la vue, par exemple le nom d’utilisateur, les paramètres de compte, les commentaires, etc.
Si votre organisation a déployé Tableau Server avec des licences basées sur le nombre de cœurs et que l’accès Invité n’est pas requis, désactivez l’accès Invité.
Vous pouvez désactiver l’accès Invité au niveau du serveur ou du site.
Vous devez être un administrateur de serveur pour désactiver le compte Invité au niveau du serveur ou du site.
Pour désactiver l’accès Invité au niveau du serveur :
Dans le menu Site, cliquez sur Gérer tous les sites puis cliquez sur Paramètres > Général.
Dans Accès Invité, désélectionnez la case à cocher Activer le compte Invité.
Cliquez sur Enregistrer.
Pour désactiver l’accès Invité pour un site :
Dans le menu du site, sélectionnez un site.
Cliquez sur Paramètres, puis dans la page Paramètres, désactivez la case à cocher Activer le compte Utilisateur invité.
Pour plus d’informations, consultez Utilisateur invité.
13. Définir l’en-tête HTTP referrer-policy sur « same-origin »
Depuis 2019.2, Tableau Server inclut la possibilité de configurer le comportement de l’en-tête HTTP Referrer-Policy. Cette stratégie est activée avec un comportement par défaut qui inclura l’URL d’origine pour toutes les connexions "secure as" (no-referrer-when-downgrade
), avec envoi des informations de référent d’origine uniquement aux connexions similaires (HTTP vers HTTP) ou plus sécurisées (HTTP vers HTTPS).
Cependant, nous vous recommandons de définir cette valeur sur same-origin
, qui n’envoie que les informations du référent à same-site origins. Les demandes provenant de l’extérieur du site ne recevront pas d’informations de référent.
Pour mettre à jour la stratégie referrer-policy sur same-origin
, exécutez les commandes suivantes :
tsm configuration set -k gateway.http.referrer_policy -v same-origin
tsm pending-changes apply
Pour plus d’informations sur la configuration d’en-têtes supplémentaires pour améliorer la sécurité, consultez En-têtes de réponse HTTP.
14. Configurer TLS pour la connexion SMTP
Depuis 2019.4, Tableau Server inclut la possibilité de configurer TLS pour la connexion SMTP. Tableau Server ne prend en charge que STARTTLS (TLS opportuniste ou explicite).
Tableau Server peut être configuré en option pour se connecter à un serveur de messagerie. Une fois SMTP configuré, Tableau Server peut envoyer un e-mail aux administrateurs de serveur pour les informer de pannes système, et aux utilisateurs du serveur pour des informations sur les vues auxquelles ils sont abonnés et les alertes basées sur les données.
Pour configurer TLS pour SMTP :
- Chargez le certificat compatible sur Tableau Server. Consultez tsm security custom-cert add.
- Configurez la connexion TLS en utilisant l’interface en ligne de commande TSM.
Exécutez les commandes TSM suivantes pour activer et forcer les connexions TLS au serveur SMTP et pour activer la vérification du certificat.
tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true
tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true
tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true
Par défaut, Tableau Server prend en charge les versions TLS 1, 1.1 et 1.2, mais nous vous recommandons de spécifier la version TLS la plus élevée prise en charge par le serveur SMTP.
Exécutez la commande suivante pour définir la version. Les valeurs valides sont
SSLv2Hello
,SSLv3
,TLSv1
,TLSv1.1
etTLSv1.2
. L’exemple suivant définit la version TLS sur la version 1.2. :tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"
Pour plus d’informations sur les autres options de configuration TLS, consultez Configurer les paramètres SMTP.
- Redémarrez Tableau Server pour appliquer les modifications. Exécutez la commande suivante :
tsm pending-changes apply
15. Configurer SSL pour LDAP
Si votre déploiement de Tableau Server est configuré pour utiliser un magasin d’identité externe LDAP générique, nous vous recommandons de configurer SSL pour protéger l’authentification entre Tableau Server et votre serveur LDAP. Consultez Configurer le canal crypté vers le magasin d’identités externe LDAP.
Si votre déploiement Tableau Server est configuré pour utiliser Active Directory, nous vous recommandons d’activer Kerberos pour protéger le trafic d’authentification. Consultez Kerberos.
Liste des changements
Date | Change |
---|---|
May 2018 | Added clarification: Do not disable REST API in organizations that are running Tableau Prep. |
May 2019 | Added recommendation for referrer-policy HTTP header. |
June 2019 | Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Ce qui a changé - À savoir avant d’effectuer la mise à niveau. |
January 2020 | Added recommendation to configure TLS for SMTP. |
February 2020 | Added recommendation to configure SSL for LDAP server. |
May 2020 | Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning. |
October 2020 | Added TLS v1.3 as a default supported cipher. |
January 2021 | Added clarification: All products enabled by the Data Management license require REST API. |
February 2021 | Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality. |