FIPS-naleving in Tableau Server op Linux

In dit onderwerp wordt de FIPS-compatibele versie van Tableau Server geïntroduceerd. Naleving van FIPS (Federal Information Processing Standard) is toegevoegd aan Tableau Server op Linux in versie 2025.3. Tableau Server op Windows is niet FIPS-compatibel.

FIPS 140-2 is een computerbeveiligingsstandaard van de Amerikaanse overheid die wordt gebruikt om cryptografische modules goed te keuren. Deze naleving zorgt ervoor dat alle cryptografische bewerkingen binnen Tableau Server voldoen aan strenge beveiligingsvereisten, waardoor een veiligere omgeving voor uw data ontstaat.

Wat FIPS-naleving voor u betekent

Voor de meeste gebruikers blijft de dagelijkse ervaring van het gebruik van Tableau Server grotendeels ongewijzigd. De FIPS-naleving is in de eerste plaats een verbetering onder de motorkap die de beveiligingsstatus van de server versterkt.

  • Verbeterde beveiliging: alle data die worden verzonden en alle data die zijn opgeslagen, en daarbij worden beschermd door cryptografische modules, maken gebruik van FIPS-gevalideerde algoritmen.

  • Naleving van regelgeving: FIPS-naleving in Tableau Server voor Linux helpt organisaties te voldoen aan specifieke overheids- en branchevoorschriften die naleving van FIPS 140-2 verplichten.

  • Gebruikersimpact: er is geen directe impact op de gebruiker. U hoeft de manier waarop u werkmappen publiceert, dashboards bekijkt of met data werkt niet te wijzigen. De beveiligingsverbeteringen zijn transparant voor de workflow van de eindgebruiker.

Tableau Server installeren in de FIPS-modus

Het installeren van Tableau Server in de FIPS-modus betekent dat u de vlag --enable-fips opneemt met initialize-tsm script. De documentatie voor het installeren en initialiseren van Tableau Server is hetzelfde als voor een niet-FIPS-server, met uitzondering van de vlag --enable-fips. Een Tableau Server-instantie bevindt zich wel of niet in de FIPS-modus. Zodra initialize-tsm voor de eerste keer is uitgevoerd voor een willekeurige instantie, is de FIPS-modus ingesteld en kan deze niet worden gewijzigd, tenzij u Tableau Server opnieuw installeert. Zie TSM installeren en initialiseren voor meer informatie over het installeren van Tableau Server.

Zie Data herstellen naar Tableau Server in een FIPS-modus om een instantie van Tableau Server te converteren van een niet-FIPS-modus naar een FIPS-modus

Opmerking: de FIPS-modus is niet getest en wordt niet ondersteund met Tableau Server in een container.

De opdrachtregelprogramma's van Tableau Server gebruiken met FIPS

Wanneer Tableau Server in de FIPS-modus is geïnstalleerd, voegt een deel van het installatieproces een speciale omgevingsvariabele, TABLEAU_SERVER_ENABLEFIPS=true, toe aan de scripts voor het opstarten van het systeem, zodat deze omgevingsvariabele automatisch voor gebruikers van het systeem is ingesteld wanneer ze inloggen. Dit zorgt ervoor dat wanneer de gebruiker de CLI-tools tsm of tabcmd uitvoert, deze tools ook in de FIPS-modus worden uitgevoerd. Hoewel het uitvoeren van tsm en tabcmd in de FIPS-modus belangrijk is voor FIPS-naleving, is het ook noodzakelijk voor de juiste functionaliteit.

Opmerking: u kunt geen oudere versies van tsm gebruiken met een server in de FIPS-modus.

Bepalen of de FIPS-modus is ingeschakeld op Tableau Server

De FIPS-modus is van invloed op sommige interacties met Tableau Server, bijvoorbeeld voor wanneer u een serverback-up kunt terugzetten naar een andere instantie en hoe sommige databaseverbindingen verificatie vereisen. Er zijn verschillende methoden om te bepalen of uw server wordt uitgevoerd in de FIPS-modus:

  • In TSM

    • Voer de opdracht tsm version uit op de opdrachtregel en zoek naar '(FIPS)' aan het einde van de versie:

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • Open het dialoogvenster Over TSM vanuit de TSM-UI:

  • Met behulp van tabcmd:

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • Door dialoogvenster Over Tableau te openen in Tableau Server:

Een FIPS-compatibel Linux-besturingssysteem gebruiken

Tableau Server in de FIPS-modus is getest op RHEL 8 met FIPS ingeschakeld(Link wordt in een nieuw venster geopend). Tableau Server kan in theorie in de FIPS-modus worden uitgevoerd op alle ondersteunde Linux-besturingssystemen, maar is alleen getest op RHEL 8.

U hoeft geen FIPS-compatibel besturingssysteem te hebben om Tableau Server in de FIPS-modus uit te voeren, maar voor volledige FIPS-naleving wilt u waarschijnlijk wel op een FIPS-compatibel besturingssysteem draaien. U bent verantwoordelijk om uw besturingssysteem correct te configureren voor gebruik in de FIPS-modus.

Data herstellen naar Tableau Server in een FIPS-modus

Om data te herstellen naar Tableau Server in een FIPS-modus, moet de back-up voldoen aan FIPS. Als u echter een pre-FIPS-compatibele versie van Tableau Server gebruikt, kan die server geen FIPS-compatibele back-up genereren en moet u die instantie upgraden voordat u een back-up maakt die FIPS-compatibel is.

Als best practice raden we alle klanten ten zeerste aan om de blauw/groene-benadering te gebruiken voor het upgraden, omdat dit een manier biedt om terug te vallen op uw oorspronkelijke server als u problemen ondervindt. Zie Een Blauw/Groen-benadering gebruiken bij het upgraden van Tableau Server (in het Engels) voor informatie over blauwe/groene upgrades.

Een niet-FIPS-installatie upgraden naar de FIPS-modus

Als u wilt overstappen van een niet-FIPS-versie van Tableau Server naar een FIPS-modusversie, gaat u als volgt te werk:

  1. Maak een back-up van uw Tableau Server in de niet-FIPS-modus.

    Deze back-up is een best practice voor de veiligheid en kan worden gebruikt om uw oorspronkelijke serverinstallatie te herstellen als er iets misgaat.

  2. Upgrade uw Tableau Server in de niet-FIPS-modus naar de versie van Tableau Server die FIPS ondersteunt (2025.3.0 of hoger).

  3. Maak een back-up van de bijgewerkte server. Deze back-up wordt gebruikt om uw data te herstellen naar een FIPS-serverinstantie die in de volgende stap wordt gemaakt.

    Opmerking: de bijgewerkte server bevindt zich niet in de FIPS-modus, maar genereert een FIPS-compatibele back-up omdat het een versie is die FIPS-compatibel is.

  4. Maak een nieuwe Tableau Server-instantie die wordt uitgevoerd in de FIPS-modus.

  5. Zet de back-up terug op een nieuwe FIPS-compatibele instantie.

Opmerking: zodra u Tableau Server bijwerkt naar een versie die FIPS ondersteunt, is de back-up die door die versie wordt gegenereerd FIPS-compatibel, zelfs als de Tableau Server-instantie niet in de FIPS-modus wordt uitgevoerd.

Een installatie in de FIPS-modus upgraden naar een niet-FIPS-modus

Om een installatie in de FIPS-modus over te zetten naar een installatie zonder FIPS, kunt u een vergelijkbaar proces volgen. Als u dit doet, moet de uiteindelijke niet-FIPS-installatie nog steeds een FIPS-bewuste versie zijn (2025.3.x of later) waarin de FIPS-modus is uitgeschakeld.

FIPS-handhavingsmechanismen

Het afdwingen van FIPS-standaarden wordt uitgevoerd door twee externe bibliotheken, openssl(Link wordt in een nieuw venster geopend) en bouncycastle(Link wordt in een nieuw venster geopend). De bibliotheken zijn NIST-gecertificeerd om FIPS-naleving te garanderen, zolang de toepassingen die ze gebruiken er uitsluitend op vertrouwen voor cryptografische functies. Tableau Server is zo ontworpen dat alle cryptografische functies via een van deze twee bibliotheken gaan.

Met name de Bouncycastle-bibliotheken zullen het standaard Java-sleutelopslagbestand cacerts niet lezen, omdat dit niet FIPS-compatibel is. In plaats daarvan gebruikt Tableau Server de Bouncycastle-specifieke en FIPS-compatibele BCFKS-sleutelopslag. Het gebruik van deze sleutelopslag is grotendeels transparant voor gebruikers, behalve als ze hun eigen certificaten toevoegen aan de vertrouwensopslag van het besturingssysteem om veilig via (m)TLS te communiceren met hun JDBC-databronnen, zoals beschreven in de documentatie voor Tableau Desktop en webauthoring(Link wordt in een nieuw venster geopend). Naast het volgen van deze stappen, en na het uitvoeren van update-ca-certificates, moet de gebruiker het extra script uitvoeren in de Tableau Server-installatiedirectory met de naam update-cacerts, waarmee de inhoud van het vertrouwensopslagbestand cacerts van het besturingssysteem wordt geconverteerd naar het FIPS-compatibele bestand cacerts.bcfks dat in dezelfde directory wordt gemaakt als het vertrouwensopslagbestand van het besturingssysteem.

Voorbeeld van FIPS-afdwinging waarbij via JDBC verbinding wordt gemaakt met een PostgreSQL-database. De twee meest voorkomende fouten zijn dat de server of de databasegebruiker niet is geconfigureerd om de wachtwoordversleuteling(Link wordt in een nieuw venster geopend) scram-sha-256 te gebruiken, maar in plaats daarvan de wachtwoordversleuteling md5 gebruikt, of wanneer het wachtwoord van de databasegebruiker kleiner is dan de door de Bouncycastle-bibliotheek voorgeschreven lengte van 112 bits (14 bytes). Wanneer een gebruiker verbinding maakt met PostgreSQL terwijl Tableau Server zich in de FIPS-modus bevindt, kan de gebruiker een of beide fouten tegenkomen, afhankelijk van de gebruikersconfiguratie en referenties. Fouten zoals deze komen vaak voor bij het uitvoeren van software in de FIPS-modus en vormen het verschil tussen het uitvoeren van Tableau Server in de niet-FIPS-modus en de FIPS-modus.

FIPS-grens

Als u Tableau Server in de FIPS-modus op een FIPS-compatibel besturingssysteem uitvoert, betekent dit dat de software die op het FIPS-besturingssysteem wordt uitgevoerd en de Tableau Server-software die rechtstreeks op dat besturingssysteem wordt uitgevoerd, FIPS-compatibel zijn en FIPS-standaarden afdwingen. Andere software kan echter verbinding maken met die Tableau Server, inclusief software die door Tableau is geschreven en er worden geen claims ingediend over FIPS-naleving van die software. Hetzelfde geldt als het besturingssysteem niet FIPS-compatibel is. Dit omvat, maar is niet beperkt tot webbrowsers en Tableau Desktop.

Bovendien heeft de FIPS-standaard alleen betrekking op het afdwingen van de gebruikte cryptografische algoritmen. FIPS weerspiegelt niet noodzakelijkerwijs de algehele beveiligingsstatus van het softwaresysteem. In het bovenstaande voorbeeld met PostgreSQL wordt een optie voor wachtwoordversleuteling bijvoorbeeld 'wachtwoord' genoemd, wat geen versleuteling betekent. Dat wil zeggen dat wachtwoorden onversleuteld worden verzonden. Dit is het meest onveilige protocol voor wachtwoordoverdracht van allemaal, maar voldoet technisch gezien aan FIPS omdat er geen cryptografische algoritmen in het spel zijn. Als een gebruiker zijn Postgres-database configureert om wachtwoorden onversleuteld te accepteren, kan een Tableau Server in FIPS-modus foutloos verbinding maken. Gebruikers moeten zich bewust zijn van de beveiligingsinstellingen die ze gebruiken. Als u Tableau Server in de FIPS-modus uitvoert, garandeert u alleen dat de gebruikte cryptografische algoritmen voldoen aan de FIPS-standaard.

 

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.