Conformità a FIPS in Tableau Server su Linux

Questo argomento illustra la versione di Tableau Server conforme allo standard FIPS. La conformità a FIPS (Federal Information Processing Standard) è stata aggiunta nella versione 2025.3 di Tableau Server su Linux. Tableau Server su Windows non è conforme a FIPS.

FIPS 140-2 è uno standard di sicurezza informatica del governo degli Stati Uniti utilizzato per approvare i moduli crittografici. Questa conformità garantisce che tutte le operazioni di crittografia all’interno di Tableau Server soddisfino rigorosi requisiti di sicurezza, offrendo quindi un ambiente più sicuro per i dati.

Cosa significa per te la conformità a FIPS

Per la maggior parte degli utenti, l’esperienza quotidiana di utilizzo di Tableau Server rimarrà sostanzialmente invariata. La conformità a FIPS è principalmente un miglioramento nascosto che rafforza il livello di sicurezza del server.

  • Sicurezza avanzata: tutti i dati in transito e inattivi, se protetti da moduli crittografici, utilizzano algoritmi convalidati in base allo standard FIPS.

  • Conformità alle normative: la conformità a FIPS in Tableau Server su Linux aiuta le organizzazioni a uniformarsi a specifiche normative governative e di settore che impongono la conformità a FIPS 140-2.

  • Impatto sugli utenti: non esiste alcun impatto diretto sugli utenti. Non devi cambiare la modalità di pubblicazione delle cartelle di lavoro, visualizzazione delle dashboard o interazione con i dati. I miglioramenti della sicurezza sono trasparenti per il workflow dell’utente finale.

Installazione di Tableau Server in modalità FIPS

Per installare Tableau Server in modalità FIPS, è necessario solo aggiungere il flag --enable-fips con initialize-tsm script. La documentazione relativa all’installazione e all’inizializzazione di Tableau Server è identica a quella per un server non FIPS, ad eccezione del flag --enable-fips. Un’istanza di Tableau Server è o non è in modalità FIPS. Una volta eseguito per la prima volta initialize-tsm per qualsiasi istanza, la modalità FIPS è impostata e non può essere modificata a meno che non reinstalli Tableau Server. Per maggiori informazioni sull’installazione di Tableau Server, consulta Installare e inizializzare TSM.

Per convertire un’istanza di Tableau Server da una modalità non FIPS a FIPS, consulta Ripristino dei dati in un’istanza di Tableau Server in modalità FIPS.

Nota: la modalità FIPS non è stata testata e non è supportata con Tableau Server in un contenitore.

Utilizzo degli strumenti da riga di comando di Tableau Server con FIPS

Quando Tableau Server è installato in modalità FIPS, durante il processo di installazione agli script di avvio del sistema viene aggiunta una variabile di ambiente speciale TABLEAU_SERVER_ENABLEFIPS=truein modo che gli utenti del sistema dispongano automaticamente di questa variabile di ambiente impostata quando eseguono l’accesso. In questo modo, quando l’utente esegue gli strumenti dell’interfaccia della riga di comando tsm or tabcmd questi verranno eseguiti anche in modalità FIPS. L’esecuzione di tsm e tabcmd in modalità FIPS è importante non solo per la conformità a FIPS, ma anche necessario per il corretto funzionamento.

Nota: non è possibile utilizzare versioni precedenti di tsm con un server in modalità FIPS.

Come determinare se la modalità FIPS è abilitata in Tableau Server

La modalità FIPS influisce su alcune interazioni con Tableau Server, ad esempio quando puoi ripristinare un backup del server in un’altra istanza e sul modo in cui alcune connessioni di database richiedono l’autenticazione. Esistono diversi metodi per determinare se il server è in esecuzione in modalità FIPS:

  • In TSM

    • Esegui il comando tsm version sulla riga di comando e cerca “(FIPS)” alla fine della versione:

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • Apri la finestra di dialogo Informazioni su TSM dall’interfaccia utente di TSM:

  • con tabcmd:

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • aprendo la finestra di dialogo Informazioni su Tableau in Tableau Server:

Utilizzo di un sistema operativo Linux abilitato per FIPS

Tableau Server in modalità FIPS è stato testato su RHEL 8 con FIPS abilitato(Il collegamento viene aperto in una nuova finestra). Tableau Server dovrebbe essere eseguito in modalità FIPS su tutti i sistemi operativi Linux supportati, ma è stato testato solo su RHEL 8.

Non è necessario disporre di un sistema operativo abilitato per FIPS per eseguire Tableau Server in modalità FIPS, ma per una conformità a FIPS completa, è preferibile eseguirlo su un sistema operativo abilitato per FIPS. È tua responsabilità comprendere e sapere come configurare il tuo sistema operativo per l’esecuzione in modalità FIPS.

Ripristino dei dati in un’istanza di Tableau Server in modalità FIPS

Per ripristinare i dati in un’istanza di Tableau Server in modalità FIPS, il backup deve essere conforme a FIPS. Tuttavia, se utilizzi una versione di Tableau Server non compatibile con FIPS, tale server non riesce a generare un backup conforme a FIPS e dovrai aggiornare l’istanza prima di creare un backup conforme a tale standard.

Come procedura consigliata, consigliamo vivamente a tutti i clienti di utilizzare l’approccio di upgrade Blue/Green, in quanto offre un modo per tornare al server originale in caso di difficoltà. Per dettagli sugli upgrade Blue/Green, consulta Utilizzo di un approccio Blue/Green per l’upgrade di Tableau Server.

Upgrade di un’installazione non FIPS alla modalità FIPS

Per passare da una versione non FIPS di Tableau Server a una versione in modalità FIPS:

  1. Esegui il backup dell’istanza di Tableau Server in modalità non FIPS.

    Questo backup rappresenta una procedura consigliata per la sicurezza e può essere utilizzato per ripristinare l’installazione originale di Tableau Server in caso di problemi.

  2. Esegui l’upgrade di Tableau Server in modalità non FIPS alla versione di Tableau Server che supporta FIPS (2025.3.0 o versioni successive).

  3. Esegui un backup del server aggiornato. Questo backup verrà utilizzato per ripristinare i dati in un’istanza del server abilitata per FIPS creata nella fase successiva.

    Nota: il server aggiornato non sarà in modalità FIPS, ma genererà un backup conforme a FIPS perché si tratta di una versione che riconosce FIPS.

  4. Crea una nuova istanza di Tableau Server in esecuzione in modalità FIPS.

  5. Ripristina i dati del backup nella nuova istanza abilitata per FIPS.

Nota: dopo aver eseguito l’upgrade di Tableau Server a una versione che supporta FIPS, il backup generato da tale versione sarà conforme a FIPS anche se l’istanza di Tableau Server non è in esecuzione in modalità FIPS.

Upgrade di un’installazione in modalità FIPS alla modalità non FIPS

Per passare da un’installazione in modalità FIPS a un’installazione non FIPS, puoi seguire una procedura analoga. In tal caso, l’installazione definitiva non FIPS deve comunque essere una versione compatibile con FIPS (2025.3.x o successiva) con la modalità FIPS disabilitata.

Meccanismi di applicazione di FIPS

Il compito di applicare gli standard FIPS è gestito da due librerie esterne, ovvero openssl(Il collegamento viene aperto in una nuova finestra) e bouncycastle(Il collegamento viene aperto in una nuova finestra). Le librerie sono certificate NIST per garantire la conformità a FIPS purché le applicazioni che le utilizzano si basino su di esse esclusivamente per funzioni crittografiche. Tableau Server è progettato in modo che tutte le funzioni crittografiche passino attraverso una di queste due librerie.

In particolare, le librerie bouncycastle non leggono il file cacerts dell’archivio chiavi Java standard in quanto non è conforme a FIPS. In sostituzione, Tableau Server utilizza l’archivio chiavi BCFKS specifico per bouncycastle e conforme a FIPS. L’utilizzo di questo archivio chiavi è per lo più trasparente per gli utenti, a meno che non aggiungano i propri certificati al truststore del sistema operativo per comunicare in modo sicuro tramite (m)TLS con le proprie origini dati JDBC, come descritto nella documentazione di Tableau Desktop e Web authoring(Il collegamento viene aperto in una nuova finestra). Oltre a seguire questa procedura, e dopo l’esecuzione di update-ca-certificates, l’utente dovrà eseguire lo script aggiuntivo nella directory di installazione di Tableau Server denominata update-cacerts, che convertirà il contenuto del file cacerts del truststore del sistema operativo nel file cacerts.bcfks conforme a FIPS che verrà creato nella stessa directory del file truststore del sistema operativo.

Un esempio di applicazione di FIPS è illustrato durante la connessione tramite JDBC a un database PostgreSQL. I due errori più comuni si verificano quando il server o l’utente del database non è configurato per utilizzare la crittografia password(Il collegamento viene aperto in una nuova finestra) scram-sha-256 e utilizza invece la crittografia password md5, oppure quando la lunghezza della password dell’utente del database è inferiore a quella richiesta dalla libreria bouncycastle, ovvero 112 bit (14 byte). Quando si connette a PostgreSQL mentre Tableau Server è in modalità FIPS, un utente può riscontrare uno o entrambi gli errori, a seconda della configurazione e delle credenziali dell’utente. Errori come questi sono comuni quando il software viene eseguito in modalità FIPS e rappresentano la differenza tra l’esecuzione di Tableau Server in modalità non FIPS e quella in modalità FIPS.

Limite di FIPS

L’esecuzione di Tableau Server in modalità FIPS su un sistema operativo abilitato per FIPS significa che il software in esecuzione sul sistema operativo abilitato per FIPS e il software Tableau Server in esecuzione direttamente su tale sistema operativo sono abilitati per FIPS e applicheranno gli standard FIPS. Tuttavia, altri software si collegheranno a tale istanza di Tableau Server, incluso software scritto da Tableau, ma non verrà fornita alcuna garanzia in merito alla conformità a FIPS di tale software. Lo stesso vale se il sistema operativo non è abilitato per FIPS. Ciò include, a titolo esemplificativo, i browser Web e Tableau Desktop.

Inoltre, lo standard FIPS si riferisce solo all’applicazione degli algoritmi crittografici in uso. FIPS non rispecchia necessariamente il livello di sicurezza complessivo del sistema software. Ad esempio, nell’esempio precedente relativo all’utilizzo di PostgreSQL, un’opzione per la crittografia password è denominata “password”, il che significa che non viene applicata alcuna crittografia. In altre parole, le password vengono inviate non crittografate. Questo è il protocollo di trasmissione delle password più insicuro di tutti, ma è tecnicamente conforme a FIPS perché non vengono utilizzati algoritmi crittografici. Se un utente configura il proprio database Postgres in modo da accettare password non crittografate, un Tableau Server in modalità FIPS si connetterà senza errori. Gli utenti devono essere consapevoli delle impostazioni di sicurezza che utilizzano. L’esecuzione di Tableau Server in modalità FIPS garantisce solo che gli algoritmi crittografici in uso siano conformi allo standard FIPS.

 

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!