Conformidade com FIPS no Tableau Server no Linux

Este tópico apresenta a versão compatível com o FIPS no Tableau Server. A conformidade com o FIPS (Federal Information Processing Standard) foi adicionada ao Tableau Server no Linux na versão 2025.3. O Tableau Server no Windows não é compatível com o FIPS.

O FIPS 140-2 é um padrão de segurança de computador do governo dos EUA usado para aprovar módulos criptográficos. Essa conformidade garante que todas as operações criptográficas no Tableau Server atendam a rigorosos requisitos de segurança, fornecendo um ambiente mais seguro para seus dados.

O que a conformidade com o FIPS significa para você

Para a maioria dos usuários, a experiência diária de uso do Tableau Server permanecerá praticamente inalterada. A conformidade com o FIPS é principalmente um aprimoramento que fortalece a postura de segurança do servidor.

  • Segurança aprimorada: todos os dados em trânsito e em repouso, quando protegidos por módulos criptográficos, usarão algoritmos validados com o FIPS.

  • Aderência normativa: a conformidade com FIPS no Tableau Server para Linux ajuda as organizações a atender às regulamentações governamentais e setoriais específicas que exigem conformidade com o FIPS 140-2.

  • Impacto no usuário: não há impacto direto no usuário. Não é necessário alterar a forma como publica pastas de trabalho, exibe painéis ou interage com os dados. Os aprimoramentos de segurança não são visíveis para o fluxo de trabalho do usuário final.

Instalação do Tableau Server no modo FIPS

Instalar o Tableau Server no modo FIPS significa incluir o sinalizador --enable-fips com o initialize-tsm script. A documentação para instalar e inicializar o Tableau Server é a mesma de um servidor não FIPS, exceto pelo sinalizador --enable-fips. Uma instância do Tableau Server está ou não no modo FIPS. Uma vez que initialize-tsm é executado pela primeira vez para qualquer instância, o modo FIPS é definido e não pode ser alterado, a menos que você reinstale o Tableau Server. Para obter mais informações sobre a instalação do Tableau Server, consulte Instalar e inicializar o TSM.

Para converter uma instância do Tableau Server de modo não FIPS para o FIPS, consulte Restauração de dados para um Tableau Server no modo FIPS

Nota: o modo FIPS não foi testado e não é compatível com o Tableau Server em um contêiner.

Usar as ferramentas de linha de comando do Tableau Server com o FIPS

Quando o Tableau Server é instalado no modo FIPS, parte do processo de instalação adiciona uma variável de ambiente especial, TABLEAU_SERVER_ENABLEFIPS=true, aos scripts de inicialização do sistema para que os usuários do sistema tenham automaticamente essa variável de ambiente definida para eles e depois efetuem logon. Isso garante que quando o usuário executar as ferramentas CLI tsm ou tabcmd , essas ferramentas também serão executadas no modo FIPS. Embora a execução de tsm e tabcmd no modo FIPS seja importante para a conformidade com FIPS, também é necessário para o fncionamento correto.

Nota: não é possível usar versões anteriores do tsm com um servidor no modo FIPS.

Como determinar se o modo FIPS está habilitado no Tableau Server

O modo FIPS afeta algumas interações com Tableau Server, incluindo quando você pode restaurar um backup do servidor para outra instância e como algumas conexões de banco de dados precisam de autenticação. Existem vários métodos para determinar se o servidor está sendo executado no modo FIPS:

  • No TSM

    • Execute o comando tsm version na linha de comando e procure “(FIPS)” no final da versão:

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • Abra a caixa de diálogo Sobre o TSM na interface do usuário do TSM:

  • usando o Tabcmd:

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • abrindo a caixa de diálogo Sobre o Tableau no Tableau Server:

Usando um sistema operacional Linux com FIPS habilitado

O Tableau Server no modo FIPS foi testado no RHEL 8 com FIPS habilitado(O link abre em nova janela). O Tableau Server deve ser executado no modo FIPS em qualquer sistema operacional Linux compatível, mas só foi testado no RHEL 8.

Você não precisa ter um sistema operacional com FIPS habilitado para executar o Tableau Server no modo FIPS, mas para obter conformidade completa com FIPS, você provavelmente desejará executar em um sistema operacional com FIPS habilitado. Você é responsável por entender e saber como configurar seu sistema operacional para ser executado no modo FIPS.

Restauração de dados para um Tableau Server no modo FIPS

Para restaurar dados para um Tableau Server no modo FIPS, o backup deve ser compatível com FIPS. No entanto, se você estiver executando uma versão do Tableau Server compatível com FIPS, esse servidor não poderá gerar um backup compatível com FIPS e será necessário atualizar essa instância antes de criar um backup compatível com FIPS.

Como prática recomendada, encorajamos fortemente todos os clientes a usar a abordagem azul/verde para atualização, pois isso fornece uma maneira de retornar ao servidor original se você tiver dificuldades. Para obter mais detalhes sobre as atualizações azul/verde, consulte Utilização de uma abordagem azul/verde para atualizar o Tableau Server.

Atualizando uma instalação não FIPS para o modo FIPS

Para migrar de uma versão não FIPS do Tableau Server para uma versão no modo FIPS:

  1. Faça backup do Tableau Server no modo não FIPS.

    Esse backup é uma prática recomendada de segurança e pode ser usado para restaurar a instalação do servidor original se algo der errado.

  2. Atualize o Tableau Server no modo não FIPS para a versão do Tableau Server que oferece suporte a FIPS (2025.3.0 ou posterior).

  3. Faça um backup do servidor atualizado. Esse backup será usado para restaurar seus dados para uma instância de servidor com FIPS habilitado criada na próxima etapa.

    Nota: o servidor atualizado não estará no modo FIPS, mas ele gera um backup compatível com FIPS porque é uma versão que reconhece FIPS.

  4. Crie uma nova instância do Tableau Server sendo executado no modo FIPS.

  5. Restaure os dados de backup na nova instância com FIPS habilitado.

Nota: depois de atualizar o Tableau Server para uma versão compatível com FIPS, o backup gerado por essa versão será compatível com FIPS, mesmo se a instância do Tableau Server não estiver sendo executada no modo FIPS.

Atualizar uma instalação do modo FIPS para o modo não FIPS

Para converter de uma instalação no modo FIPS para uma instalação não FIPS, você pode seguir etapas semelhantes. Se você fizer isso, a instalação final não FIPS ainda deve ser uma versão com reconhecimento de FIPS (2025.3.x ou posterior) com o modo FIPS desativado.

Mecanismos de aplicação do FIPS

O trabalho de aplicar os padrões FIPS é feito por duas bibliotecas externas, openssl(O link abre em nova janela) e bouncycastle(O link abre em nova janela). As bibliotecas são certificadas pelo NIST para garantir a conformidade com o FIPS, desde que os aplicativos que as utilizam dependam exclusivamente delas para funções criptográficas. O Tableau Server foi projetado de modo que todas as funções criptográficas passam por uma dessas duas bibliotecas.

Especificamente, as bibliotecas Bouncycastle não lerão o arquivo Java Keystore cacerts padrão, pois ele não é compatível com FIPS. Em seu lugar, o Tableau Server usa o repositório de chaves BCFKS específico para Bouncycastle e compatível com FIPS. O uso desse repositório de chaves é invisível principalmente para os usuários, exceto se eles estiverem adicionando seus próprios certificados ao armazenamento confiável do sistema operacional para se comunicar com segurança via (m)TLS para suas fontes de dados JDBC, conforme descrito na Documentação de Criação na Web e do Tableau Desktop(O link abre em nova janela). Além de seguir essas etapas, e após executar update-ca-certificates, o usuário deverá executar o script adicional no diretório de instalação do Tableau Server chamado update-cacerts, que converterá o conteúdo do arquivo truststore cacerts do sistema operacional para o cacerts.bcfks, que é compatível com o FIPS e será criado no mesmo diretório do arquivo truststore do sistema operacional.

Um exemplo de imposição do FIPS é demonstrado conectando-se via JDBC a um banco de dados PostgreSQL. Os dois erros mais comuns são que o usuário do servidor ou do banco de dados não está configurado para usar o criptografia de senha(O link abre em nova janela) scram-sha-256 e, em vez disso, está usando a criptografia de senha md5, ou quando a senha do usuário do banco de dados é menor do que a biblioteca Bouncycastle exigia, 112 bits (14 bytes) de comprimento. Ao se conectar ao PostgreSQL enquanto o Tableau Server está no modo FIPS, um usuário pode encontrar um ou os dois erros, dependendo da configuração e das credenciais do usuário. Erros como esses são comuns ao executar o software no modo FIPS e são a diferença entre a execução do Tableau Server no modo não FIPS e no modo FIPS.

Limite do FIPS

Executar o Tableau Server no modo FIPS em um SO com FIPS habilitado significa que o software executado no SO com FIPS habilitado e o software do Tableau Server executado diretamente nesse sistema operacional tem FIPS habilitado e aplicarão os padrões FIPS. No entanto, outros softwares serão conectados a esse Tableau Server, incluindo um software escrito pelo Tableau, e nenhuma alegação será feita sobre a conformidade desse software com FIPS. O mesmo acontece se o sistema operacional não estiver com FIPS habilitado. Isso inclui, mas não está limitado a, navegadores da Web e o Tableau Desktop.

Além disso, o padrão FIPS está atrelado apenas à aplicação dos algoritmos criptográficos em uso. O FIPS não reflete necessariamente a postura geral de segurança do sistema de software. Por exemplo, no exemplo acima, usando PostgreSQL, uma opção de criptografia de senha é chamada “password”, o que significa que não há criptografia. Ou seja, as senhas são enviadas de forma clara. Este é o protocolo de transmissão de senha menos seguro de todos, mas é tecnicamente compatível com FIPS porque não há algoritmos criptográficos envolvidos. Se um usuário configurar seu banco de dados postgres para aceitar senhas de forma simples, um servidor Tableau no modo FIPS pode ser conectado sem erros. É necessário que os usuários estejam cientes das configurações de segurança que estão usando. A execução do Tableau Server no modo FIPS apenas garante que os algoritmos criptográficos em uso estejam em conformidade com o padrão FIPS.

 

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!