Azure Key Vault
O Tableau Server tem três opções de Sistema de gerenciamento de chaves (KMS) que permitem ativar a criptografia em repouso. Duas delas exigem os recursos de Advanced Management, enquanto um local está disponível com todas as instalações do Tableau Server.
Importante: a partir de 16 de setembro de 2024, o Advanced Management não estará mais disponível como uma opção complementar independente. Os recursos do Advanced Management só estarão disponíveis se você tiver adquirido o Advanced Management anteriormente ou se tiver adquirido determinadas edições de licença: Tableau Enterprise (para Tableau Server ou Tableau Cloud) ou Tableau (para Tableau Cloud).
A partir da versão 2019.3, o Tableau Server adicionou essas opções KMS:
- Um KMS local que está disponível com todas as instalações. Para obter detalhes, consulte Sistema de gerenciamento de chaves do Tableau Server.
- Um KMS baseado em AWS, que vem como parte do Advanced Management. Para obter detalhes, consulte Sistema de gerenciamento de chaves da AWS.
A partir da versão 2021.1, o Tableau Server adicionou outra opção de KMS:
- Um KMS baseado em Azure, que vem como parte do Advanced Management. Isso está descrito abaixo.
Azure Key Vault para criptografia em repouso
O Azure Key Vault está disponível como parte do Advanced Management no Tableau Server, a partir da versão 2021.1.0. Para obter mais informações, consulte Sobre o Tableau Advanced Management no Tableau Server.
Se a empresa estiver implantando a Criptografia de extração de dados em repouso, opcionalmente, é possível configurar o Tableau Server para usar o Azure Key Vault como o KMS para criptografia de extração. Para ativar o Azure Key Vault, você deve implantar o Tableau Server no Azure. No cenário do Azure, o Tableau Server usa o Azure Key Vault para criptografar a chave raiz principal (RMK) para todas as extrações criptografadas. No entanto, mesmo se configurado para o Azure Key Vault, o repositório de chaves Java nativo e o KMS local do Tableau Server ainda são usados para o armazenamento seguro de segredos no Tableau Server. O Azure Key Vault só é usado para criptografar a chave mestra raiz para extrações criptografadas.
A hierarquia de chaves do Tableau Server é configurada com o Azure Key Vault
Configurar o Azure Key Vault para extrações criptografadas do Tableau Server
Para usar o Azure Key Vault para criptografar a chave raiz na hierarquia do KMS do Tableau Server, configure o Tableau Server conforme descrito nesta seção.
Antes de começar, verifique se os seguintes requisitos foram atendidos:
- O Tableau Server deve ser implantado no Azure.
- O Tableau Server deve ser configurado com uma licença do Advanced Management. Consulte Sobre o Tableau Advanced Management no Tableau Server.
- Você deve ter controle administrativo sobre o Azure Key Vault onde a chave reside.
Etapa 1: criar um cofre de chaves e uma chave para o Tableau Server no Azure
Os seguintes procedimentos são realizados no serviço do Azure Key Vault. As referências são incluídas na documentação do Azure.
- Crie o cofre de chaves que você usará para o Tableau Server. Consulte o tópico do Azure, Criar um cofre de chaves(O link abre em nova janela).
- Crie uma chave no cofre. Veja o tópico do Azure, Gerenciar chaves e segredos(O link abre em nova janela).
A chave deve ser um tipo RSA assimétrico, mas pode ser de qualquer tamanho (o Tableau Server não se importa com o tamanho da chave). Recomendamos que você use o Princípio do menor privilégio para ter segurança máxima.
O Tableau requer permissões para executar as operações de comandos GET, UNWRAP KEY e WRAP KEY, e recomendamos permitir acesso para apenas esses comandos para obter menos privilégio. Atribua a política de acesso à VM em que você está executando o Tableau Server.
Em uma implantação de vários nós do Tableau Server, a política de acesso deve ser atribuída a todos os nós do cluster do servidor.
Etapa 2: coletar parâmetros de configuração do Azure
Você precisará do nome do cofre de chaves e do nome da chave do Azure.
Etapa 3: configurar o Tableau Server para Azure Key Vault
Execute o seguinte comando no Tableau Server. Este comando reiniciará o servidor:
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
As opções
--vault-name
e--key-name
de cópias de cadeias de caracteres diretas do seu Azure Key Vault.Por exemplo, se o Azure Key Vault for chamado
tabsrv-keyvault
e a chave fortabsrv-sandbox-key01
então o comando será:tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"
Etapa 4: habilitar criptografia em repouso
Consulte Criptografia de extrações em repouso.
Etapa 5: validar a instalação
Execute o seguinte comando:
As seguintes informações podem ser retornadas:
- Status: OK (indica que o cofre da chave está acessível pelo nó do controlador):
- Modo: Azure Key Vault
- Nome do cofre: <key_vault_name>
- Nome da chave do Azure Key Vault:<key_name>
- Lista de UUIDs disponíveis para MEKs indicando qual chave está ativa
- Informações de erro se os dados do KMS não forem acessíveis
Exibir registros após criptografar e descriptografar extrações:
Publicar extrações no site e criptografá-las. Consulte Criptografia de extrações em repouso.
Acesse as extrações com o Tableau Desktop ou com a criação na Web em um navegador (isso descriptografa as extrações para uso).
Pesquise os arquivos de registro vizqlserver_node para as cadeias de caracteres
AzureKeyVaultEnvelopeAccessor
eAzureKeyVaultEnvelope
. O local padrão dos registros se encontra em/var/opt/tableau/tableau_server/data/tabsvc/logs/
Para atualizações de publicação e extração relacionadas ao Azure Key Vault, pesquise os registros do processador em segundo plano. Para obter mais informações sobre os registros, consulte Locais de arquivo de registro e registros do Tableau Server.
Solucionar problemas de configuração
Configuração incorreta em vários nós
Em uma configuração de vários nós para o Azure Key Vault, o comando tsm security kms status
pode relatar status íntegro (OK), mesmo que outro nó no cluster esteja configurado incorretamente. A verificação de status KMS relata apenas sobre o nó em que o processo do Controlador de administração do Tableau Server está sendo executado. Ele não relata os outros nós do cluster. Por padrão, o processo do Controlador de administração do Tableau Server é executado no nó inicial do cluster.
Portanto, se outro nó estiver configurado incorretamente, de modo que o Tableau Server não possa acessar o Azure Key Vault, esses nós podem relatar estados de erro para vários serviços, que não seriam iniciados.
Se alguns serviços não iniciarem após definir o KMS como modo “azure”, execute o comando a seguir para reverter para o modo local: tsm security kms set-mode local
.
Atualizar a chave do Azure
Você atualiza a chave do Azure no Azure. Não há um período de atualização de chaves necessário ou agendado. Você pode atualizar sua chave criando uma nova versão da chave no Azure. Como o cofre de chaves e o nome da chave não mudam, não é necessário atualizar a configuração KMS no Tableau Server para cenários normais de atualização do Azure Key Vault.
Um backup do servidor pode ser obtido no modo Azure Key Vault sem configurações ou procedimentos adicionais. O backup contém cópias criptografadas da RMK e das MEKs. A descriptografia das chaves requer acesso e controle do Azure Key Vault.
Para o cenário de restauração, o servidor que está sendo restaurado pode estar no modo Azure Key Vault ou KMS Local. O único requisito é que o servidor para o qual o backup está sendo restaurado tenha acesso ao Azure Key Vault que o próprio backup usou.