Linux 기반 Tableau Server의 FIPS 규정 준수

이 항목에서는 Tableau Server의 FIPS 호환 버전을 소개합니다. Linux 기반 Tableau Server 버전 2025.3에 FIPS(Federal Information Process Standard) 규정 준수가 적용되었습니다. Windows 기반 Tableau Server는 FIPS와 호환되지 않습니다.

FIPS 140-2는 암호화 모듈을 승인하는 데 사용되는 미국 정부 컴퓨터 보안 표준입니다. 이 규정 준수는 Tableau Server 내의 모든 암호화 작업이 엄격한 보안 요구 사항을 충족하도록 보장하여 데이터에 더 안전한 환경을 제공합니다.

FIPS 규정 준수의 의미

대부분 사용자의 경우 Tableau Server를 사용하는 일상적인 환경은 크게 변하지 않습니다. FIPS 규정 준수는 주로 서버의 보안 상태를 강화하는 내부적인 개선 사항입니다.

  • 향상된 보안: 전송 중이거나 저장된 상태의 모든 데이터가 FIPS 검증 알고리즘을 사용한 암호화 모듈로 보호됩니다.

  • 규정 준수: Linux용 Tableau Server의 FIPS 규정 준수는 조직이 FIPS 140-2 준수를 요구하는 특정 정부 및 업계 규정을 준수하는 데 도움이 됩니다.

  • 사용자 영향: 사용자에게 직접적인 영향은 없습니다. 통합 문서 게시, 대시보드 보기 또는 데이터 상호 작용 방법을 변경할 필요가 없습니다. 향상된 보안 기능은 최종 사용자 워크플로우에 원활하게 적용됩니다.

FIPS 모드로 Tableau Server 설치

FIPS 모드로 Tableau Server를 설치하면 initialize-tsm script와 함께 --enable-fips 플래그가 포함됩니다. Tableau Server를 설치하고 초기화하는 방법은 --enable-fips 플래그를 제외하고 FIPS 미지원 서버와 동일합니다. Tableau Server 인스턴스는 FIPS 모드이거나 모드가 아닌 경우로 둘 중 하나입니다. initialize-tsm을 처음 실행한 인스턴스는 FIPS 모드로 설정되며 Tableau Server를 다시 설치하지 않는 한 변경할 수 없습니다. Tableau Server 설치에 대한 자세한 내용은 TSM 설치 및 초기화를 참조하십시오.

Tableau Server 인스턴스를 FIPS 미지원 모드에서 FIPS 모드로 변환하려면 FIPS 모드 Tableau Server로 데이터 복원을 참조하십시오.

참고: FIPS 모드는 테스트되지 않았으며 Tableau Server 컨테이너에서 지원되지 않습니다.

FIPS 모드의 Tableau Server에서 명령줄 도구 사용

Tableau Server가 FIPS 모드로 설치된 경우 설치 프로세스의 일부로 시스템 시작 스크립트에 특수한 환경 변수인 TABLEAU_SERVER_ENABLEFIPS=true가 추가되므로 시스템 사용자는 자동으로 이 환경 변수를 설정한 후 로그인할 수 있습니다. 이렇게 하면 사용자가 tabcmd 또는 tsm CLI 도구를 실행할 때 해당 도구도 FIPS 모드에서 실행됩니다. FIPS 모드에서 tsmtabcmd를 실행하는 것은 FIPS 규정 준수에 중요하지만 올바른 기능을 위해서도 필요합니다.

참고: FIPS 모드의 서버에서는 이전 버전의 tsm을 사용할 수 없습니다.

Tableau Server에서 FIPS 모드를 사용하도록 설정되어 있는지 확인하는 방법

FIPS 모드는 Tableau Server와의 일부 상호 작용에 영향을 미치며, 여기에는 서버 백업을 다른 인스턴스로 복원할 수 있는 시기와 일부 데이터베이스 연결에 필요한 인증 방식 등이 포함됩니다. 서버가 FIPS 모드에서 실행 중인지 확인하는 방법에는 여러 가지가 있습니다.

  • TSM의 경우

    • 명령줄에서 tsm version 명령을 실행하고 버전 끝에 있는 '(FIPS)'를 찾습니다.

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • TSM UI에서 TSM 정보 대화 상자를 엽니다.

  • tabcmd 사용:

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • Tableau Server에서 Tableau 정보 대화 상자 열기:

FIPS 지원 Linux 운영 체제 사용

FIPS 모드의 Tableau Server는 FIPS를 사용하는 RHEL 8(링크가 새 창에서 열림)에서 테스트되었습니다. Tableau Server는 지원되는 모든 Linux 운영 체제에서 FIPS 모드로 실행되어야 하지만 테스트는 RHEL 8에서만 완료되었습니다.

Tableau Server를 FIPS 모드에서 실행하기 위해 FIPS 지원 OS가 필요하지는 않지만 FIPS를 완벽하게 준수하려면 FIPS 지원 OS에서 실행하는 것이 좋습니다. 사용자는 FIPS 모드에서 실행되도록 운영 체제를 구성하는 방법을 이해하고 알아야 합니다.

FIPS 모드 Tableau Server로 데이터 복원

FIPS 모드 Tableau Server로 데이터를 복원하려면 백업이 FIPS와 호환되어야 합니다. 그러나 이전 FIPS 호환 Tableau Server 버전을 실행하는 경우 해당 서버는 FIPS 호환 백업을 생성할 수 없으므로 FIPS 호환 백업을 만들기 전에 해당 인스턴스를 업그레이드해야 합니다.

모범 사례로, 모든 고객이 업그레이드에 블루/그린 접근 방식을 사용할 것을 강력히 권장합니다. 블루/그린 업그레이드 방식은 문제가 발생할 경우 원래 서버로 대체할 수 있는 방법을 제공합니다. 블루/그린 업그레이드에 대한 자세한 내용은 블루/그린 접근 방식을 사용하여 Tableau Server 업그레이드를 참조하십시오.

FIPS 미지원 설치를 FIPS 모드로 업그레이드

FIPS 미지원 버전의 Tableau Server에서 FIPS 모드 버전으로 이동하려면:

  1. FIPS 미지원 모드인 Tableau Server를 백업합니다.

    이 백업은 안전을 위한 최상의 방법이며 문제가 발생한 경우 원래 Server 설치를 복원하는 데 사용할 수 있습니다.

  2. FIPS 미지원 모드 Tableau Server를 FIPS 지원 모드 Tableau Server 버전(2025.3.0 이상)으로 업그레이드합니다.

  3. 업그레이드된 서버를 백업합니다. 이 백업은 다음 단계에서 만든 FIPS 지원 서버 인스턴스로 데이터를 복원하는 데 사용됩니다.

    참고: 업그레이드된 서버는 FIPS 모드가 아니지만 FIPS를 인식하는 버전이므로 FIPS 호환 백업을 생성합니다.

  4. FIPS 모드에서 실행되는 새 Tableau Server 인스턴스를 만듭니다.

  5. 새 FIPS 지원 인스턴스로 백업 데이터를 복원합니다.

참고: FIPS를 지원하는 버전으로 Tableau Server를 업그레이드하면 Tableau Server 인스턴스가 FIPS 모드에서 실행되고 있지 않더라도 해당 버전에서 생성된 백업은 FIPS를 준수합니다.

FIPS 모드 설치를 FIPS 미지원 모드로 업그레이드

FIPS 모드 설치에서 FIPS 미지원 설치로 변환하려면 유사한 단계를 수행하면 됩니다. 이렇게 하는 경우 FIPS 미지원 환경에서도 설치 버전은 FIPS 모드가 비활성화된 FIPS 인식 버전(2025.3.x 이상)이어야 합니다.

FIPS 적용 메커니즘

FIPS 표준을 적용하는 작업은 openssl(링크가 새 창에서 열림)bouncycastle(링크가 새 창에서 열림)이라는 두 개의 외부 라이브러리에서 처리됩니다. 라이브러리는 NIST 인증을 받았으며, 이를 사용하는 응용 프로그램이 암호화 기능에 있어 전적으로 이 라이브러리에 의존하는 한 FIPS 준수를 보장합니다. Tableau Server는 모든 암호화 함수가 이 두 라이브러리 중 하나를 통과하도록 설계되었습니다.

특히 Bouncycastle 라이브러리는 FIPS를 준수하지 않으므로 표준 Java 키 저장소 cacerts 파일을 읽지 않습니다. 대신 Tableau Server는 FIPS를 준수하는 Bouncycastle 전용의 BCFKS 키 저장소를 사용합니다. Tableau Desktop 및 웹 작성 설명서(링크가 새 창에서 열림)에 설명된 대로 사용자가 (m)TLS를 통해 JDBC 데이터 원본과 안전하게 통신하기 위해 OS 신뢰 저장소에 자체 인증서를 추가하는 경우를 제외하고 이 키 저장소의 사용은 사용자 눈에 거의 띄지 않습니다. 이러한 단계를 수행하고 update-ca-certificates 명령을 실행한 후 사용자는 Tableau Server 설치 디렉터리에 있는 update-cacerts라는 추가 스크립트를 실행해야 합니다. 이 스크립트는 OS 신뢰 저장소의 cacerts 파일 내용을 FIPS 호환 cacerts.bcfks로 변환하며, 이 파일은 OS 신뢰 저장소 파일과 동일한 디렉터리에 생성됩니다.

FIPS 적용의 예는 JDBC를 통해 PostgreSQL 데이터베이스에 연결하는 것을 보여줍니다. 가장 일반적인 두 가지 오류는 서버 또는 데이터베이스 사용자가 scram-sha-256 비밀번호 암호화(링크가 새 창에서 열림)를 사용하도록 구성되지 않고 대신 md5 비밀번호 암호화를 사용하는 경우, 또는 데이터베이스 사용자의 비밀번호가 Bouncycastle 라이브러리에서 요구하는 112비트(14바이트) 길이보다 작은 경우입니다. Tableau Server가 FIPS 모드인 동안 PostgreSQL에 연결할 때 사용자 구성 및 자격 증명에 따라 하나 또는 두 오류 모두가 발생할 수 있습니다. 이와 같은 오류는 FIPS 모드에서 소프트웨어를 실행할 때 흔히 발생하며 Tableau Server를 FIPS 미지원 모드에서 실행하는 경우와 FIPS 모드에서 실행하는 경우 간의 차이점입니다.

FIPS 경계

FIPS 지원 OS에서 Tableau Server를 FIPS 모드로 실행하는 것은 FIPS 지원 OS에서 실행되는 소프트웨어와 해당 OS에서 직접 실행되는 Tableau Server 소프트웨어가 FIPS를 지원하며 FIPS 표준이 적용된다는 의미입니다. 그러나 Tableau에서 개발한 소프트웨어를 포함하여 다른 소프트웨어도 해당 Tableau Server에 연결될 수 있으며, 이러한 소프트웨어의 FIPS 규정 준수 여부에 대해서는 어떠한 보증도 하지 않습니다. OS가 FIPS를 지원하지 않는 경우에도 마찬가지입니다. 여기에는 웹 브라우저 및 Tableau Desktop이 포함되지만 이에 국한되지는 않습니다.

또한 FIPS 표준은 사용 중인 암호화 알고리즘 적용과만 관련이 있습니다. FIPS가 반드시 소프트웨어 시스템의 전반적인 보안 상태를 반영하는 것은 아닙니다. 예를 들어, 앞서 언급한 PostgreSQL 예시에서 비밀번호 암호화 옵션 중 하나인 'password'는 암호화를 적용하지 않음을 의미합니다. 즉, 비밀번호가 암호화되지 않은 상태로 전송됩니다. 이것은 가장 안전하지 않은 비밀번호 전송 프로토콜이지만, 암호화 알고리즘이 없기 때문에 기술적으로는 FIPS를 준수합니다. 사용자가 일반적인 비밀번호를 수락하도록 postgres 데이터베이스를 구성하면 FIPS 모드의 Tableau Server가 오류 없이 연결됩니다. 사용자는 사용 중인 보안 설정을 알고 있어야 합니다. Tableau Server를 FIPS 모드로 실행하면 사용 중인 암호화 알고리즘이 FIPS 표준을 준수한다는 것만 보장됩니다.

 

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!