FIPS-efterlevnad i Tableau Server på Linux

Det här avsnittet beskriver den FIPS-kompatibla versionen av Tableau Server. FIPS-efterlevnad (Federal Information Processing Standard) har lagts till i Tableau Server på Linux i version 2025.3. Tableau Server på Windows är inte FIPS-kompatibelt.

FIPS 140-2 är en datasäkerhetsstandard för amerikanska myndigheter som används för att godkänna kryptografiska moduler. Denna regelefterlevnad säkerställer att alla kryptografiska åtgärder inom Tableau Server uppfyller rigorösa säkerhetskrav, vilket bidrar till en säkrare datamiljö.

Det här är FIPS-efterlevnad

För de flesta användare påverkas inte det dagliga arbetet i Tableau Server nämnvärt. FIPS-efterlevnaden är i första hand en förbättring bakom kulisserna, som ökar säkerheten för servern.

  • Förbättrad säkerhet: Alla data (i rörelse såväl som i vila) som skyddas av kryptografiska moduler använder FIPS-verifierade algoritmer.

  • Regelefterlevnad: Tack vare FIPS-efterlevnad i Tableau Server för Linux kan organisationer lättare uppfylla specifika myndighets- och branschkrav som kräver FIPS 140-2-efterlevnad.

  • Användarpåverkan: Det finns ingen direkt användarpåverkan. Du behöver inte ändra hur du publicerar arbetsböcker, visar instrumentpaneler eller interagerar med data. Säkerhetsförbättringarna påverkar inte slutanvändarens arbetsflöde.

Installera Tableau Server i FIPS-läge

När du ska installera Tableau Server i FIPS-läge måste du inkludera flaggan --enable-fips med initialize-tsm script. Processen för att installera och initiera Tableau Server är densamma som för en icke-FIPS-server, med undantag för flaggan --enable-fips. En Tableau Server-instans är antingen i FIPS-läge eller inte. När initialize-tsm har körts för första gången för en instans är FIPS-läget inställt och kan inte ändras, om du inte installerar om Tableau Server. Mer information om installation av Tableau Server finns i Installera och initiera TSM.

Information om hur du konverterar en instans av Tableau Server från icke-FIPS-läge till FIPS-läge finns i Återställa data till Tableau Server i FIPS-läge

Obs! FIPS-läget har inte testats och stöds inte med Tableau Server i en behållare.

Använda Tableau Servers kommandoradsverktyg med FIPS

När Tableau Server installeras i FIPS-läge läggs en särskild miljövariabel, TABLEAU_SERVER_ENABLEFIPS=true, till i systemets startskript, så att den här miljövariabeln ställs in automatiskt för systemets användare innan de loggar in. Detta säkerställer att när användaren kör något av CLI-verktygen tsm eller tabcmd så körs dessa verktyg också i FIPS-läge. Det är inte bara viktigt att köra tsm och tabcmd i FIPS-läge för FIPS-efterlevnad, det krävs också för att allt ska fungera korrekt.

Obs! Det går inte att använda äldre versioner av tsm med en server i FIPS-läge.

Så här avgör du om FIPS-läget är aktiverat på Tableau Server

FIPS-läget påverkar vissa interaktioner med Tableau Server, bland annat när du kan återställa en säkerhetskopia av servern till en annan instans och vilka inloggningsuppgifter vissa databasanslutningar kräver för autentisering. Det finns flera sätt att avgöra om servern körs i FIPS-läge:

  • I TSM:

    • Kör kommandot tsm version på kommandoraden och leta efter ”(FIPS)” i slutet av versionsnumret:

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • Öppna dialogrutan Om TSM från TSM-användargränssnittet:

  • Med tabcmd:

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • I dialogrutan Om Tableau i Tableau Server:

Använda ett FIPS-aktiverat Linux-operativsystem

Tableau Server i FIPS-läge har testats på RHEL 8 med FIPS aktiverat(Länken öppnas i ett nytt fönster). Tableau Server bör fungera i FIPS-läge på alla Linux-operativsystem som stöds, men har endast testats på RHEL 8.

Du behöver inte ha ett FIPS-aktiverat operativsystem för att köra Tableau Server i FIPS-läge, men för att få fullständig FIPS-efterlevnad bör du förmodligen använda ett FIPS-aktiverat operativsystem. Du ansvarar för att förstå och känna till hur du konfigurerar operativsystemet så att det körs i FIPS-läge.

Återställa data till Tableau Server i FIPS-läge

Om data ska kunna återställas till Tableau Server i FIPS-läge måste säkerhetskopian vara FIPS-kompatibel. Om du däremot kör en Tableau Server-version som kom innan FIPS-läget fanns kan den servern inte generera en FIPS-kompatibel säkerhetskopia, och du måste uppgradera den instansen innan du kan skapa en säkerhetskopia som är FIPS-kompatibel.

Det absolut bästa är att använda en blå/grön metodik för uppgradering, eftersom du då kan återgå till den ursprungliga servern om du råkar ut för problem. Mer information om blå/gröna uppgraderingar finns i Använder en blå/grön metodik för att uppgradera Tableau Server.

Uppgradera en installation utan FIPS till FIPS-läge

Så här går du från en icke-FIPS-version av Tableau Server till en version med FIPS:

  1. Säkerhetskopiera Tableau Server-installationen som saknar FIPS.

    Den här säkerhetskopian rekommenderas av säkerhetsskäl och kan användas för att återställa den ursprungliga serverinstallation om något går fel.

  2. Uppgradera Tableau Server-installationen utan FIPS till den version av Tableau Server som har stöd för FIPS (2025.3.0 eller senare).

  3. Gör en säkerhetskopia av den uppgraderade servern. Den här säkerhetskopian används för att återställa data till en FIPS-aktiverad serverinstans som skapas i nästa steg.

    Obs! Den uppgraderade servern kommer inte att vara i FIPS-läge, men den genererar en FIPS-kompatibel säkerhetskopia eftersom det är en version som är FIPS-medveten.

  4. Skapa en ny Tableau Server-instans som körs i FIPS-läge.

  5. Återställ säkerhetskopian till den nya FIPS-aktiverade instansen.

Obs! När du väl har uppgraderat Tableau Server till en version med stöd för FIPS är säkerhetskopian som genereras av den versionen FIPS-kompatibel, även om Tableau Server-instansen inte körs i FIPS-läge.

Uppgradera en installation med FIPS-läge till en version utan FIPS

Om du vill konvertera från en installation med FIPS-läge till en utan FIPS kan du följa en liknande process. Om du gör detta måste den slutliga installationen utan FIPS ändå vara en FIPS-medveten version (2025.3.x eller senare) med FIPS-läget inaktiverat.

Funktioner för FIPS-efterlevnad

Arbetet med att upprätthålla FIPS-standarderna hanteras av två externa bibliotek, openssl(Länken öppnas i ett nytt fönster) och bouncycastle(Länken öppnas i ett nytt fönster). Biblioteken är NIST-certifierade för att garantera FIPS-efterlevnad så länge de program som använder dem förlitar sig uteslutande på dem för kryptografiska funktioner. Tableau Server är konstruerat så att alla kryptografiska funktioner går via ett av dessa två bibliotek.

Bouncycastle-biblioteken kommer inte att läsa cacerts -standardfilen för Java Keystore eftersom den inte är FIPS-kompatibel. I stället använder Tableau Server det Bouncycastle-specifika och FIPS-kompatibla BCFKS-nyckelarkivet. Användningen av det här nyckelarkivet påverkar oftast inte användarna, utom när de lägger till egna certifikat i operativsystemets förtroendearkiv för att kunna kommunicera säkert via (m)TLS med JDBC-datakällor enligt beskrivningen i dokumentationen för Tableau Desktop och webbredigering(Länken öppnas i ett nytt fönster). När användaren har följt de här stegen och kört update-ca-certificates bör de sedan köra det extra skriptet update-cacerts i installationskatalogen för Tableau Server, som då konverterar innehållet i cacerts-filen i operativsystemets förtroendearkiv till den FIPS-kompatibla cacerts.bcfks-fil som skapas i samma katalog som operativsystemets förtroendearkivfil.

Ett exempel på tvingad FIPS-efterlevnad är vid anslutning via JDBC till en PostgreSQL-databas. De två vanligaste felen är att servern eller databasanvändaren inte har konfigurerats för att använda lösenordskrypteringen(Länken öppnas i ett nytt fönster) scram-sha-256 och i stället använder md5-lösenordskryptering eller när databasanvändarens lösenord är kortare än Bouncycastle-bibliotekets krav på 112 bitar (14 byte) i längd. När användare ansluter till PostgreSQL med Tableau Server i FIPS-läge kan de råka ut för det ena eller båda felen, beroende på användarkonfiguration och inloggningsuppgifter. Fel som dessa är vanliga när program körs i FIPS-läge och är det som skiljer Tableau Server utan FIPS-läge från versionen med FIPS-läge.

FIPS-gräns

När Tableau Server i FIPS-läge körs på ett FIPS-aktiverat operativsystem innebär det att program som körs på det FIPS-aktiverade operativsystemet och det Tableau Server-program som körs direkt på det operativsystemet är FIPS-aktiverade och kräver FIPS-efterlevnad. Andra program ansluter emellertid till denna Tableau Server, bland annat program som skrivits av Tableau, och inga löften om att dessa program är FIPS-kompatibla ges. Samma sak gäller om operativsystemet inte är FIPS-aktiverat. Detta inkluderar, men är inte begränsat till, webbläsare och Tableau Desktop.

Dessutom avser FIPS-efterlevnaden endast de kryptografiska algoritmer som används. FIPS speglar inte nödvändigtvis programvarusystemets övergripande säkerhetsstatus. I exemplet ovan med PostgreSQL heter till exempel ett alternativ för lösenordskryptering ”lösenord”, vilket betyder ingen kryptering. Lösenord skickas alltså i klartext. Detta är det mest osäkra överföringsprotokollet av alla för lösenord, men det är tekniskt sett FIPS-kompatibelt eftersom det inte finns några kryptografiska algoritmer med i bilden. Om en användare konfigurerar sin Postgres-databas så att den accepterar lösenord i klartext kommer en Tableau Server i FIPS-läge att ansluta utan fel. Användarna måste vara medvetna om de säkerhetsinställningar de använder. Att köra Tableau Server i FIPS-läge garanterar bara att de kryptografiska algoritmer som används överensstämmer med FIPS-standarden.

 

Tack för din feedback!Din feedback har skickats in. Tack!