Lista de verificação do reforço de segurança
A lista a seguir oferece recomendações para melhorar a segurança ("endurecimento") da instalação de seu Tableau Server.
Procurando o Tableau Server no Windows? Consulte Lista de verificação do reforço de segurança(O link abre em nova janela).
Instalação de atualizações de segurança
As atualizações de segurança estão incluídas nas versões mais recentes e nas versões de manutenção (MR) do Tableau Server. Não é possível instalar atualizações de segurança como correções. Em vez disso, você deve atualizar para uma versão atual ou MR para atualizar o Tableau Server com as correções de segurança mais recentes.
Sempre consulte a versão mais atual deste tópico após a atualização. A versão atual inclui /current/ na URL do tópico.
Por exemplo, a URL da versão dos EUA é: https://help.tableau.com/current/server/pt-br/security_harden.htm.
1. Atualizar para a versão atual
Recomendamos que você sempre execute a versão mais recente do Tableau Server. Além disso, o Tableau publica periodicamente versões de manutenção do Tableau Server que inclui correções para vulnerabilidades de segurança conhecidas. (Informações sobre vulnerabilidades de segurança conhecidas podem ser encontradas na página Boletins de segurança do Tableau e na página Consultorias de segurança do Salesforce(O link abre em nova janela).) Recomendamos que seja feita uma análise das notificações de versão de manutenção para determinar se devem ser instaladas.
Para obter a versão mais recente ou a versão de manutenção do Tableau Server, visite a página Portal do cliente(O link abre em nova janela).
2. Configurar SSL/TLS com um certificado válido e confiável
Secure Sockets Layer (SSL/TLS) é essencial para ajudar a proteger a segurança das comunicações com o Tableau Server. Configure o Tableau Server com um certificado válido e confiável (não um certificado autoassinado) para que o Tableau Desktop, os dispositivos móveis e os clientes Web possam se conectar ao servidor por uma conexão segura. Para obter mais informações, consulte SSL.
3. Desabilitar versões anteriores do TLS
O Tableau Server usa o TLS para autenticar e criptografar diversas conexões entre componentes e com clientes externos. Os clientes externos, como navegadores, o Tableau Desktop e o Tableau Mobile se conectem ao Tableau usando TLS sobre HTTPS. Transport layer security (TLS) é uma versão melhorada de SSL. Na verdade, as versões anteriores de SSL (SSL v2 e SSL v3) não são mais consideradas padrões de comunicação segura adequados. Como resultado, o Tableau Server não permite que clientes externos usem protocolos SSL v2 ou SSL v3 para conexão.
Recomendamos que você permita que clientes externos se conectem ao Tableau Server com TLS v1.3 e v1.2.
O TLS v1.2 ainda é considerado um protocolo seguro e muitos clientes (incluindo o Tableau Desktop) ainda não oferecem suporte ao TLS v1.3.
Os clientes compatíveis com TLS v1.3 negociarão o TLS v1.3 mesmo se o TLS v1.2 for compatível com o servidor.
O seguinte comando tsm habilita TLS v1.2 e v1.3 (usando o parâmetro "all" ) e desabilita SSL v2, SSL v3, TLS v1 e TLS v1.1 (ao colocar o caractere de menos [-] antes de um determinado protocolo). O TLS v1.3 ainda não é compatível com todos os componentes do Tableau Server.
tsm configuration set -k ssl.protocols -v 'all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1'
tsm pending-changes apply
Para modificar os protocolos que regem o SSL para o repositório PostgreSQL do Tableau Server, consulte pgsql.ssl.ciphersuite.
Você também pode modificar a lista padrão de pacotes de criptografia que o Tableau Server usa para sessões SSL/TLS. Para obter mais informações, veja a seção ssl.ciphersuite em Opções do tsm configuration set.
4. Configurar criptografia SSL para tráfego interno
Configure o Tableau Server para usar SSL para criptografar todo o tráfego entre o repositório Postgres e outros componentes de servidor. Por padrão, o SSL fica desabilitado para comunicações entre componentes de servidor e o repositório. Recomendamos habilitar o SSL interno para todas as instâncias do Tableau Server, mesmo nas instalações de um servidor. A habilitação de SSL interno é especialmente importante para implantações de vários nós. Consulte Como configurar o SSL para comunicação interna com o Postgres.
5. Habilitar a proteção com firewall
O Tableau Server foi projetado para operar dentro de uma rede interna protegida.
Importante: não execute o Tableau Server ou nenhum de seus componentes na Internet ou em um DMZ. O Tableau Server deve ser executado dentro da rede corporativa protegida por um firewall de Internet. Recomendamos a configuração de uma solução de proxy reverso para clientes da Internet que precisam se conectar ao Tableau Server. Consulte Configurar proxies e balanceadores de carga para o Tableau Server.
Um firewall local deve estar ativado no sistema operacional para proteger o Tableau Server em implantações de um ou vários nós. Em uma instalação distribuída (de vários nós) do Tableau Server, a comunicação entre os nós não usa comunicação segura. Portanto, os firewalls precisam estar habilitados nos computadores que hospedam o Tableau Server.
Para evitar que um invasor passivo observe a comunicação entre os nós, configure uma LAN virtual segregada ou outra solução de segurança de camada da rede.
Consulte Portas do Tableau Services Manager para entender quais portas e serviços são exigidos pelo Tableau Server.
6. Restringir acesso ao computador servidor e a diretórios importantes
Os arquivos de configuração e os arquivos de registro do Tableau Server podem conter informações que sejam valiosas para um invasor. Portanto, restrinja o acesso físico à máquina com o Tableau Server em execução. Além disso, certifique-se de que apenas usuários confiáveis e autorizados tenham acesso aos arquivos do Tableau Server no diretório /var/opt/tableau/tableau_server/
7. Gerar segredos e tokens atualizados
Qualquer serviço do Tableau Server que se comunique com o repositório ou o servidor de cache deve primeiro se autenticar com um token secreto. O token secreto é gerado durante a instalação do Tableau Server. A chave de criptografia usada pelo SSL interno para criptografar o tráfego para o repositório Postgres também é gerada durante a instalação.
Recomendamos que, depois de instalar o Tableau Server, novas chaves de criptografia sejam geradas para sua implantação.
Esses ativos de segurança podem ser recuperados com o comando tsm security regenerate-internal-tokens.
Execute os seguintes comandos:
tsm security regenerate-internal-tokens
tsm pending-changes apply
8. Desabilitar os serviços que você não está usando
Para minimizar a superfície de ataque do Tableau Server, desabilite quaisquer pontos de conexão que não sejam necessários.
Serviço JMX
O JMX fica desabilitado por padrão. Caso esteja ativado mas não esteja em uso, deverá ser desativado usando a sequência a seguir:
tsm configuration set -k service.jmx_enabled -v false
tsm pending-changes apply
9. Verificar a configuração de tempo da sessão
Por padrão, o Tableau Server não precisa ter um tempo limite absoluto de sessão. Isso significa que as sessões de cliente baseadas em navegador (Criação na Web) podem permanecer abertas indefinidamente, caso o tempo limite de inatividade do Tableau Server não seja excedido. O tempo limite de inatividade padrão é de 240 minutos.
Caso sua política de segurança precise, é possível definir um tempo limite absoluto de sessão. Certifique-se de definir um tempo limite absoluto de sessão em um intervalo que permita carregamentos de extração de execução mais longa ou publicação de pasta de trabalho em sua empresa. Definir um tempo limite de sessão muito baixo pode resultar em falhas de extração e publicação em operações de execução longa.
Para definir o tempo limite de sessão, execute os comandos a seguir:
tsm configuration set -k wgserver.session.apply_lifetime_limit -v true
tsm configuration set -k wgserver.session.lifetime_limit -v value, onde value é o número de minutos. O padrão é 1440, que são 24 horas.
tsm configuration set -k wgserver.session.idle_limit -v value, onde value é o número de minutos. O padrão é 240.
tsm pending-changes apply
As sessões para clientes conectados (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge e tokens de acesso pessoal) usam tokens OAuth para manter os usuários conectados por meio do restabelecimento de uma sessão. Você pode desativar esse comportamento se quiser que todas as sessões de clientes do Tableau sejam regidas exclusivamente pelos limites de sessão baseados no navegador e controlados pelos comandos acima. Consulte Desabilitar a autenticação do cliente.
10. Configurar uma lista de permissão de fontes de dados baseadas em arquivo
A partir das versões de outubro de 2023 do Tableau Server, o comportamento padrão do acesso baseado em arquivo mudou. Antes, o Tableau Server permitia que usuários autorizados do Tableau Server criassem pastas de trabalho que usassem arquivos no servidor como fontes de dados baseadas em arquivos (como planilhas). Nas versões de outubro de 2023, o acesso aos arquivos armazenados no Tableau ou em compartilhamentos remotos deve ser configurado especificamente no Tableau Server usando a configuração descrita aqui.
Essa configuração permite limitar o acesso pela conta do sistema do tableau apenas para os diretórios que você especificar.
Para configurar o acesso a arquivos compartilhados, você precisa configurar a funcionalidade da lista de permissões. Isso permite que o acesso da conta tableau seja limitado a apenas os caminhos de diretório nos quais os arquivos de dados são hospedados.
No computador com o Tableau Server em execução, identifique os diretórios nos quais os arquivos de fontes de dados serão hospedados.
Importante Certifique-se de que os caminhos de arquivo especificados nesta configuração existam e sejam acessíveis pela conta do sistema.
Execute os seguintes comandos:
tsm configuration set -k native_api.allowed_paths -v "path", onde path é o diretório a ser adicionado à lista de permissão. Todos os subdiretórios do caminho especificado serão adicionados à lista de permissão. Caso deseje especificar vários caminhos, separe-os com ponto e vírgula, como neste exemplo:tsm configuration set -k native_api.allowed_paths -v "/datasources;/HR/data"tsm pending-changes apply
11. Habilitar o HTTP Strict Transport Security para clientes do navegador da Web
O HTTP Strict Transport Security (HSTS) é uma política configurada nos serviços de aplicativos da Web, como o Tableau Server. Quando um navegador compatível encontra um aplicativo da Web que executa o HSTS, todas as comunicações com o serviço devem estar em uma conexão (HTTPS) segura. O HSTS é compatível com a maioria dos navegadores.
Para obter mais informações sobre como o HSTS funciona e os navegadores compatíveis, consulte a página da Web Planilha de consultas do HTTP Strict Transport Security(O link abre em nova janela), do Projeto de segurança de aplicativos da Web aberto.
Para habilitar o HSTS, execute os seguintes comandos no Tableau Server:
tsm configuration set -k gateway.http.hsts -v true
Por padrão, a política do HSTS está definida para um ano (31536000 segundos). Este período especifica o tempo em que o navegador acessará o servidor por meio do HTTPS. Você deve considerar a definição de um tempo máximo breve durante o lançamento inicial do HSTS. Para alterar esse período, execute tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Por exemplo, para definir o período da política de HSTS para 30 dias, insira tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.
tsm pending-changes apply
12. Desabilitar o acesso de Convidado
As licenças baseadas em núcleo do Tableau Server incluem a opção de usuário Convidado, que permite que qualquer usuário na organização visualize e interaja com as exibições do Tableau inseridas nas páginas da Web.
O acesso de usuário Convidado é habilitado por padrão no Tableau Servers, implantado com o licenciamento baseado em núcleo.
O acesso de Convidado permite que os usuários visualizem as exibições inseridas. O usuário convidado não pode navegar pela interface do Tableau Server e não verá comandos da interface do servidor na exibição, como nome do usuário, configurações da conta, comentários e assim por diante.
Se a sua organização implantou o Tableau Server com o licenciamento em núcleo e o acesso de Convidado não é exigido, então, desabilite-o.
Você pode desabilitar o acesso de Convidado a nível de servidor ou site.
Você deve ser um administrador de servidor para desabilitar a conta de Convidado a nível de servidor ou site.
Para desabilitar o acesso de Convidado a nível de servidor:
no menu do site, clique em Gerenciar todos os sites e, em seguida, em Configurações > Geral.
Para Acesso de Convidado, desmarque a caixa de seleção Habilitar conta de Convidado.
Clique em Salvar.
Para desabilitar o acesso de Convidado para um site:
No menu do site, selecione um site.
Clique em Configurações e, na página Configurações, desmarque a caixa de seleção Habilitar conta de convidado.
Para obter mais informações, consulte Usuário Convidado.
13. Defina o cabeçalho HTTP referrer-policy como “same-origin”
A partir da versão 2019.2, o Tableau Server inclui a capacidade de configurar o comportamento do cabeçalho HTTP Referrer-Policy. Essa política é habilitada com um comportamento padrão que incluirá a URL de origem de todas as conexões "seguras como" (no-referrer-when-downgrade), que envia informações de referenciador de origem somente como conexões (HTTP para HTTP) ou aquelas que são mais seguras (HTTP para HTTPS).
No entanto, recomendamos definir esse valor para same-origin, que só envia informações de referenciador para origens do mesmo site. As solicitações de fora do site não receberão informações de referenciador.
Para atualizar o referrer-policy para same-origin, execute os seguintes comandos:
tsm configuration set -k gateway.http.referrer_policy -v same-origin
tsm pending-changes apply
Para obter mais informações sobre como configurar cabeçalhos adicionais para melhorar a segurança, consulte Cabeçalhos de resposta HTTP.
14. Configurar TLS para conexão SMTP
A partir da versão 2019.4, o Tableau Server inclui a capacidade de configurar o TLS para conexão SMTP. O Tableau Server só é compatível com STARTTLS (TLS oportunista ou explícito).
O Tableau Server pode ser configurado opcionalmente para se conectar a um servidor de e-mail. Após a configuração do SMTP, o Tableau Server pode ser configurado para enviar um e-mail aos administradores do servidor sobre falhas no sistema e aos usuários do servidor sobre exibições em que estão inscritos e alertas orientados por dados.
Para configurar o TLS para SMTP:
- Carregue um certificado compatível para o Tableau Server. Consulte tsm security custom-cert add.
- Configure a conexão do TLS usando a CLI do TSM.
Execute os seguintes comandos do TSM para habilitar e forçar conexões do TLS ao servidor SMTP e habilitar a verificação do certificado.
tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v truetsm configuration set -k svcmonitor.notification.smtp.ssl_required -v truetsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v truePor padrão, o Tableau Server suportará as versões do TLS 1, 1.1 e 1.2, mas é recomendável especificar a versão do TLS mais recente suportada pelo servidor SMTP.
Execute o seguinte comando para definir a versão. Os valores válidos são
SSLv2Hello,SSLv3,TLSv1,TLSv1.1eTLSv1.2. O exemplo a seguir define a versão do TLS para a 1.2:tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"Para obter mais informações sobre as opções de configuração do TLS, consulte Configurar o SMTP.
- Reinicie o Tableau Server para aplicar as alterações. Execute o seguinte comando:
tsm pending-changes apply
15. Configurar SSL para LDAP
Se a implantação do Tableau Server estiver configurada para usar um armazenamento de identidades externo LDAP genérico, é recomendável configurar o SSL para proteger a autenticação entre o Tableau Server e o servidor LDAP. Consulte Configurar canal criptografado no armazenamento de identidade externo LDAP.
Se a implantação do Tableau Server estiver configurada para usar o Active Directory, é recomendável habilitar o Kerberos para proteger o tráfego de autenticação. Consulte Kerberos.
Lista de alterações
| Date | Change |
|---|---|
| May 2018 | Added clarification: Do not disable REST API in organizations that are running Tableau Prep. |
| May 2019 | Added recommendation for referrer-policy HTTP header. |
| June 2019 | Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See O que mudou - O que é preciso saber antes da atualização. |
| January 2020 | Added recommendation to configure TLS for SMTP. |
| February 2020 | Added recommendation to configure SSL for LDAP server. |
| May 2020 | Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning. |
| October 2020 | Added TLS v1.3 as a default supported cipher. |
| January 2021 | Added clarification: All products enabled by the Data Management license require REST API. |
| February 2021 | Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality. |