Checklist per il miglioramento della sicurezza

L'elenco seguente fornisce raccomandazioni per migliorare la sicurezza ("hardening") dell'installazione di Tableau Server.

Installazione degli aggiornamenti di sicurezza

Gli aggiornamenti di sicurezza sono inclusi nelle versioni più recenti e nelle versioni di manutenzione (MR) di Tableau Server. Non è possibile installare gli aggiornamenti di sicurezza come patch. È invece necessario eseguire l'upgrade a una versione corrente o MR per aggiornare Tableau Server con le correzioni di sicurezza più recenti.

Fai sempre riferimento alla versione più recente di questo argomento dopo l'upgrade. La versione corrente include /current/ nell'URL dell'argomento.

Ad esempio, l'URL per la versione italiana è: https://help.tableau.com/current/server/it-it/security_harden.htm.

1. Aggiornare la versione corrente

Ti consigliamo di eseguire sempre la versione più recente di Tableau Server. Inoltre, Tableau pubblica periodicamente le release di manutenzione di Tableau Server che includono correzioni per vulnerabilità di sicurezza note (le informazioni relative alle vulnerabilità di sicurezza note possono essere trovate nella pagina Bollettini di sicurezza). Ti consigliamo di esaminare le notifiche delle release di manutenzione per stabilire se dovresti installarle.

Per ottenere l'ultima versione della release di manutenzione di Tableau Server, visita la pagina del Portale clienti(Link opens in a new window).

2. Configurare SSL/TLS con un certificato attendibile valido

Secure Sockets Layer (SSL/TLS) è essenziale per proteggere la sicurezza delle comunicazioni con Tableau Server. Configura Tableau Server con un certificato valido e affidabile (non un certificato autofirmato) in modo che Tableau Desktop, dispositivi mobili e client Web possano connettersi al server tramite una connessione sicura. Per maggiori informazioni, consulta SSL.

3. Disattivare versioni precedenti di TLS

Tableau Server usa TLS per autenticare e crittografare molte connessioni tra componenti e con client esterni. Client esterni, ad esempio browser, Tableau Desktop, Tableau Mobile si connettono a Tableau tramite TLS su HTTPS. TLS è una versione migliorata di SSL. In effetti, le versioni precedenti di SSL (SSL v2 e SSL v3) non sono più considerate efficienti standard di comunicazione. Di conseguenza, Tableau Server non consente ai client esterni di utilizzare i protocolli SSL v2 o SSL v3 per connettersi. Ti consigliamo di consentire solo ai client esterni di connettersi a Tableau Server solo con TLS v1.2.

In particolare, ti consigliamo anche di disabilitare TLS v1 e TLS v1.1. Tuttavia, prima di disabilitare una specifica versione di TLS, verifica che i browser(Link opens in a new window) con cui gli utenti si connettono a Tableau Server con il supporto di TLS v1.2. In alcuni casi, potresti aver bisogno di mantenere il supporto per TLSv1.1.

Il comando tsm seguente abilita TLS v1.2 (utilizzando il parametro "all") e disabilita SSL v2, SSL v2, SSL v3, TLS v1, TLS v1.1 e TLS v1.3 (anteponendo il carattere meno [-] a un dato protocollo). TLS v1.3 non è ancora supportato da tutti i componenti di Tableau Server.

tsm configuration set -k ssl.protocols -v 'all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.3'

tsm pending-changes apply

Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l'opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per ulteriori informazioni, consulta il paragrafo tsm pending-changes apply.

4. Configurare la crittografia SSL per il traffico interno

Configura Tableau Server per usare SSL per crittografare tutto il traffico tra il repository Postgres e gli altri componenti del server. Per impostazione predefinita, SSL è disabilitato per le comunicazioni tra i componenti del server e il repository. Ti consigliamo di abilitare SSL interno per tutte le istanze di Tableau Server, anche installazioni a server singolo. L'abilitazione di SSL interno è particolarmente importante per le distribuzioni con più server. Consulta Configurare SSL per le comunicazioni interne a Postgres.

5. Attivare la protezione firewall

Tableau Server è stato progettato per operare in una rete interna protetta.

Importante: non eseguire Tableau Server o qualsiasi componente di Tableau Server su Internet o in una DMZ. Tableau Server deve essere eseguito all'interno della rete aziendale protetta da un firewall Internet. Ti consigliamo di configurare una soluzione reverse proxy per i client Internet che devono connettersi a Tableau Server. Consulta Configurare i proxy per Tableau Server.

Per proteggere Tableau Server nelle distribuzioni a nodo singolo e multi-nodo è necessario abilitare un firewall locale sul sistema operativo. In un'installazione distribuita (multinodo) di Tableau Server, la comunicazione tra nodi non avviene in modo sicuro. Sui computer che ospitano Tableau Server è pertanto necessario abilitare i firewall. Vedi Configurazione del firewall locale.

Per impedire a un aggressore passivo di osservare le comunicazioni tra i nodi, configura una LAN virtuale separata o un'altra soluzione di sicurezza a livello di rete.

Vedi le Porte di Tableau Services Manager per comprendere quali porte e servizi richiede Tableau Server.

6. Limitare l'accesso al computer server e alle directory importanti

I file di configurazione di Tableau Server e i file di log possono contenere informazioni utili per gli aggressori. Pertanto, limita l'accesso fisico alla macchina su cui è in esecuzione Tableau Server. Inoltre, assicurati che solo gli utenti autorizzati e quelli attendibili abbiano accesso ai file di Tableau Server nella directory /var/opt/tableau/tableau_server/.

7. Generare segreti e token aggiornati

Qualsiasi servizio di Tableau Server che comunica con il repository o il server cache deve prima autenticarsi con un token segreto. Il token segreto viene generato durante la configurazione di Tableau Server. La chiave di crittografia che SSL interno utilizza per crittografare il traffico al repository Postgres viene generata anche durante la configurazione.

Dopo aver installato IFM, ti consigliamo di generare nuove chiavi di crittografia per la distribuzione.

Questi risorse di sicurezza possono essere rigenerate con il comando tsm security regenerate-internal-tokens.

Esegui i seguenti comandi:

tsm security regenerate-internal-tokens

tsm pending-changes apply

8. Disattivare i servizi non utilizzati

Per ridurre al minimo la superficie di attacco di Tableau Server, disabilitare i punti di connessione non necessari.

REST API

L'interfaccia API REST è abilitata per impostazione predefinita. Se nessuna applicazione effettua chiamate REST API all'installazione di Tableau Server 9.3 (o successive) disabilitala utilizzando i comandi seguenti:

tsm configuration set -k api.server.enabled -v false

tsm pending-changes apply

Importante: Tableau Prep usa REST API per accedere a Tableau Server. Se l'organizzazione usa Tableau Prep, non disabilitare l'API REST.

Servizio JMX

JMX è disabilitata per impostazione predefinita. Se è abilitata, ma non è in uso, dovresti disabilitarla utilizzando quanto segue:

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

9. Verificare la configurazione della durata della sessione

Per impostazione predefinita, Tableau Server non dispone di un timeout assoluto della sessione. Ciò significa che le sessioni client (Web authoring) basate su browser possono rimanere aperte a tempo indeterminato se il timeout di inattività di Tableau Server non viene superato. Il timeout di inattività predefinito è 240 minuti.

Se i criteri di sicurezza lo richiedono, puoi impostare un timeout assoluto della sessione. Assicurarti di impostare il timeout assoluto della sessione in un intervallo che consenta di eseguire le operazioni di estrazione o pubblicazione più lunghe nella propria organizzazione. L'impostazione di un timeout di sessione troppo basso può causare errori di estrazione e pubblicazione per operazioni di lunga durata.

Per impostare il timeout della sessione, esegui i comandi seguenti:

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, dove value è il numero di minuti. Il valore predefinito è 1.440, ovvero 24 ore.

tsm configuration set -k wgserver.session.idle_limit -v value, dove value è il numero di minuti. Il valore predefinito è 240.

tsm pending-changes apply

Le sessioni per i client connessi (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge e token di accesso personali) utilizzano i token OAuth per mantenere gli utenti connessi ristabilendo una sessione. Puoi disabilitare questo comportamento se desideri che tutte le sessioni client Tableau siano gestite esclusivamente dai limiti di sessione basati su browser controllati dai comandi precedenti. Consulta Disattivare l'autenticazione automatica del client.

10. Configurare un elenco di elementi consentiti del server per le origini dati basate su file

Per impostazione predefinita, Tableau Server consente agli utenti autorizzati di Tableau Server di creare cartelle di lavoro che utilizzano i file sul server come origini dati basate su file (come i fogli di calcolo). In questo scenario, i file sono accessibili dall'account di sistema tableau.

Per evitare l'accesso indesiderato ai file, è consigliabile di configurare la funzionalità per l'elenco di elementi consentiti. In questo modo puoi limitare tableau l'accesso degli account solo ai percorsi directory in cui sono ospitati i file di dati.

  1. Sul computer con Tableau Server in esecuzione, identifica le directory in cui verranno ospitati i file di origine dati.

    Importante Verifica che i percorsi dei file specificati in questa procedura esistano sul server. Se i percorsi non esistono all'avvio del computer, Tableau Server non si avvia.

  2. Esegui i seguenti comandi:

    tsm configuration set -k native_api.allowed_paths -v "path", dove path è la directory da aggiungere all'elenco di elementi consentiti. Tutte le sottocartelle del percorso specificato saranno aggiunte all'elenco di elementi consentiti. Se desideri specificare più percorsi, separali con un punto e virgola, come in questo esempio:

    tsm configuration set -k native_api.allowed_paths -v "/datasources;/HR/data"

    tsm pending-changes apply

11. Attivare HTTP Strict Transport Security per i client dei browser Web

HTTP Strict Transport Security (HSTS) è una policy configurata su servizi applicativi Web, come Tableau Server. Quando un browser conforme incontra un'applicazione Web che esegue HSTS, tutte le comunicazioni con il servizio devono avvenire tramite una connessione protetta (HTTPS). HSTS è supportata dai browser principali.

Per maggiori informazioni su come funziona e i browser che li supportano, consulta la pagina Web Open Web Application Security Project Web Page, HTTP Strict Transport Security Cheat Sheet(Link opens in a new window).

Per abilitare HSTS, esegui i comandi seguenti in Tableau Server:

tsm configuration set -k gateway.http.hsts -v true

Per impostazione predefinita, la politica HSTS è fissata per un anno (31536000 secondi). Questo periodo di tempo specifica la quantità di tempo in cui il browser accederà al server tramite HTTPS. Dovresti prendere in considerazione l'impostazione di una breve età massima durante l'implementazione iniziale di HSTS. Per modificare questo intervallo di tempo, esegui tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Ad esempio, per impostare il periodo di tempo per il criterio HSTS su 30 giorni, immetti tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.

tsm pending-changes apply

12. Disattivare l'accesso Guest

Le licenze basate su core di Tableau Server includono un'opzione utente Guest, che consente a qualsiasi utente dell'organizzazione di vedere e interagire con le visualizzazioni di Tableau incorporate nelle pagine Web.

L'accesso Guest è abilitato per impostazione predefinita sui server Tableau distribuiti con licenze basate su core.

L'accesso Guest consente agli utenti di visualizzare le viste incorporate. L'utente Guest non può navigare nell'interfaccia di Tableau Server o visualizzare gli elementi dell'interfaccia server presenti nella vista come il nome utente, le impostazioni dell'account, i commenti e così via.

Se l'organizzazione ha distribuito Tableau Server con licenza core e non è richiesto l'accesso Guest, disabilita l'accesso Guest.

Puoi disabilitare l'accesso Guest a livello di server o di sito.

È necessario che tu sia un amministratore del server per disabilitare l'account Guest a livello di server o di sito.

Per disabilitare l'accesso Guest a livello server:

  1. Nel menu del sito, fai clic su Gestisci tutti i siti, quindi su Impostazioni > Generale.

  2. Per Accesso Guest, deseleziona la casella di controllo Abilita account Guest.

  3. Fai clic su Salva.

Per disabilitare l'accesso Guest a un sito:

  1. Nel menu del sito, seleziona un sito.

  2. Fai clic su Impostazioni e, nella pagina Impostazioni, deseleziona la casella di controllo Abilita account Guest.

Per maggiori informazioni, consulta Utente Guest.

13. Impostare l'intestazione HTTP del criterio Referrer-Policy su 'same-origin'

A partire dalla versione 2019.2, Tableau Server include la possibilità di configurare il comportamento dell'intestazione HTTP del criterio Referrer-Policy. Questo criterio è abilitato con un comportamento predefinito che includerà l'URL di origine per tutte le connessioni "sicure" (no-referrer-when-downgrade), dove vengono inviate informazioni sul referrer di origine solo a connessioni simili (da HTTP a HTTP) o a quelle più sicure (da HTTP a HTTPS).

Tuttavia, si consiglia di impostare questo valore su same-origin, che invia le informazioni del referrer solo alle origini dello stesso sito. Le richieste provenienti dall'esterno del sito non riceveranno informazioni sul referrer.

Per impostare il criterio referrer-policy su same-origin, esegui i seguenti comandi:

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

Per maggiori informazioni sulla configurazione di intestazioni aggiuntive per migliorare la sicurezza, consulta Intestazioni di risposta HTTP.

14. Configurare TLS per la connessione SMTP

A partire dalla versione 2019.4, Tableau Server include la possibilità di configurare TLS per la connessione SMTP.

Tableau Server può anche essere configurato per la connessione a un server di posta. Dopo la configurazione di SMTP, Tableau Server può essere configurato per inviare e-mail di notifica agli amministratori dei server sugli errori di sistema e informare gli utenti dei server in merito alle viste sottoscritte e agli avvisi basati sui dati.

Per configurare TLS per SMTP:

  1. Carica un certificato compatibile in Tableau Server. Consulta tsm security custom-cert add.
  2. Configura la connessione TLS utilizzando la CLI di TSM.

    Esegui i seguenti comandi TSM per abilitare e forzare le connessioni TLS al server SMTP e abilitare la verifica del certificato.

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    Per impostazione predefinita, Tableau Server supporta le versioni TLS 1, 1.1 e 1.2, ma è consigliabile specificare la versione TLS più alta supportata dal server SMTP.

    Esegui il comando seguente per impostare la versione. I valori consentiti sono SSLv2Hello, SSLv3, TLSv1, TLSv1.1 e TLSv1.2. Il seguente esempio imposta la versione di TLS sulla versione 1.2.:

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    Per maggiori informazioni sulle opzioni di configurazione di TLS, consulta Configurare l'impostazione SMTP.

  3. Riavvia Tableau Server per applicare le modifiche. Esegui questo comando:

    tsm pending-changes apply

15. Configurare SSL per LDAP

Se l'installazione di Tableau Server è configurata per l'utilizzo di un archivio di identità esterno LDAP generico, è consigliabile configurare SSL per proteggere l'autenticazione tra Tableau Server e il server LDAP. Vedi LDAP su SSL.

Se l'installazione di Tableau Server è configurata per l'utilizzo di Active Directory, è consigliabile abilitare Kerberos per proteggere il traffico di autenticazione. Vedi Kerberos.

Modificare un elenco

Date Change
September 2017 Ported and updated for Tableau Services Manager and Linux platform.
May 2018 Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019 Added recommendation for referrer-policy HTTP header.
June 2019 Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Cosa è cambiato - Cose da sapere prima dell'aggiornamento.
January 2020 Added recommendation to configure TLS for SMTP.
February 2020 Added recommendation to configure SSL for LDAP server.
May 2020 Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
Grazie per il tuo feedback. Si è verificato un errore durante l'invio del feedback. Riprova o scrivici.