Lista de comprobación de mejora de la seguridad

En la siguiente lista se indican recomendaciones para mejorar la seguridad ("mejorarla") de la instalación de Tableau Server.

Instalación de actualizaciones de seguridad

Las actualizaciones de seguridad se incluyen en las últimas versiones y versiones de mantenimiento (VM) de Tableau Server. No puede instalar actualizaciones de seguridad a modo de parches. En su lugar, debe actualizar a una versión actual o una VM para actualizar Tableau Server con las correcciones de seguridad más recientes.

Consulte siempre a la versión más reciente de este tema después de la actualización. La versión actual incluye /current/en la dirección URL del tema.

Por ejemplo, la URL de la versión de EE. UU. es: https://help.tableau.com/current/server/es-es/security_harden.htm.

1. Actualizar a la versión actual

Le recomendamos que ejecute siempre la versión más reciente de Tableau Server. Además, Tableau publica de forma periódica versiones de mantenimiento de Tableau Server en las que se incluyen correcciones de vulnerabilidades de seguridad conocidas (La información sobre las vulnerabilidades de seguridad conocidas se puede encontrar en la página Boletines de seguridad de Tableau y en la página Avisos de seguridad de Salesforce(El enlace se abre en una ventana nueva)). Le recomendamos que revise las notificaciones de las versiones de mantenimiento para determinar si debe instalarlas.

Para descargar la versión de mantenimiento más reciente de Tableau Server, visite la página Portal del cliente(El enlace se abre en una ventana nueva).

2. Configurar SSL/TLS con un certificado de confianza válido

La capa de sockets seguros (SSL/TLS) es esencial para proteger la seguridad de las comunicaciones con Tableau Server. Configure Tableau Server con un certificado de confianza válido (no un certificado autofirmado) para que Tableau Desktop, los dispositivos móviles y los clientes web se puedan conectar al servidor a través de una conexión segura. Para obtener más información, consulte SSL.

3. Deshabilitar las versiones anteriores de TLS

Tableau Server usa TLS para autenticar y cifrar diferentes conexiones entre componentes y clientes externos. Los clientes externos (como los navegadores, Tableau Desktop y Tableau Mobile) se conectan a Tableau a través de TLS con HTTPS. La seguridad de la capa de transporte (TLS) es una versión mejorada de SSL. De hecho, las versiones anteriores de SSL (SSL versión 2 y SSL versión 3) ya no se consideran estándares adecuados de comunicación segura. Como resultado, Tableau Server no permite que los clientes externos usen los protocolos SSL versión 2 o SSL versión 3 para conectarse.

Le recomendamos que permita que los clientes externos se conecten a Tableau Server con TLS versión 1.3 y 1.2.

TLS 1.2 todavía se considera un protocolo seguro y muchos clientes (incluido Tableau Desktop) aún no son compatibles con TLS 1.3.

Los clientes compatibles con TLS 1.3 negociarán TLS 1.3 incluso si el servidor admite TLS 1.2.

El siguiente comando tsm habilita TLS 1.2 y 1.3 (con el parámetro "all") y deshabilita SSL 2, SSL 3, TLS 1 y TLS 1.1 (añadiendo el carácter de signo menos [-] a un protocolo específico). TLS v1.3 aún no es compatible con todos los componentes de Tableau Server.

tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm pending-changes apply

También puede modificar la lista predeterminada de conjuntos de cifrado que Tableau Server utiliza para sesiones SSL/TLS. Para obtener más información, consulte la sección ssl.ciphersuite en Opciones de tsm configuration set.

4. Configurar el cifrado SSL para el tráfico interno

Configure Tableau Server para usar SSL y cifrar todo el tráfico entre el repositorio de PostgreSQL y otros componentes del servidor. Predeterminadamente, SSL está deshabilitado para las comunicaciones entre los componentes del servidor y el repositorio. Le recomendamos que habilite el protocolo SSL interno para todas las instancias de Tableau Server, incluso para las instalaciones de un solo servidor. Habilitar el protocolo SSL interno es importante sobre todo en las implementaciones de varios nodos. Consulte Configurar el SSL para la comunicación interna de Postgres.

5. Habilitar la protección del firewall

Tableau Server está diseñado para funcionar dentro de una red interna protegida.

Importante: No ejecute Tableau Server, o cualquier componente de Tableau Server, en Internet o en una zona desmilitarizada. Tableau Server debe ejecutarse en la red corporativa protegida por un firewall de Internet. Recomendamos configurar una solución de proxy inverso para clientes de Internet que necesiten conectarse a Tableau Server. Consulte Configuración de servidores proxy para Tableau Server.

Deberá habilitarse un firewall local en el sistema operativo para proteger Tableau Server en las implementaciones de uno y varios nodos. En una instalación distribuida (de varios nodos) de Tableau Server, la comunicación entre los nodos no usa una comunicación segura. Por lo tanto, debe habilitar los firewalls en los equipos donde se hospede Tableau Server.

Para evitar que un atacante pasivo pueda observar las comunicaciones entre los nodos, configure una LAN virtual separada u otra solución de seguridad de nivel de red.

Consulte Puertos de Tableau Services Manager para saber qué puertos y servicios necesita Tableau Server.

6. Restringir el acceso al equipo servidor y a directorios importantes

Los archivos de configuración y los archivos de registro de Tableau Server pueden contener información útil para un atacante. Por lo tanto, debe limitar el acceso físico al equipo donde se ejecute Tableau Server. Además, debe asegurarse de que solo los usuarios autorizados y de confianza tengan acceso a los archivos de Tableau Server en el directorio C:\ProgramData\Tableau.

7. Actualizar la cuenta Ejecutar como usuario de Tableau Server

De forma predeterminada, Tableau Server se ejecuta con la cuenta de Windows predeterminada Servicios de red (NT Authority\Network Service). Se puede usar la cuenta predeterminada en las situaciones en que Tableau Server no necesita conectarse a fuentes de datos externas que requieran la autenticación de Windows. Sin embargo, si los usuarios necesitan tener acceso a fuentes de datos autenticadas mediante Active Directory, actualice el usuario Ejecución como a una cuenta de dominio. Es importante minimizar los derechos de la cuenta que use para el usuario Ejecución como. Para obtener más información, consulte Cuenta Ejecutar como servicio.

8. Generar secretos y tokens nuevos

Cualquier servicio de Tableau Server que se comunique con el repositorio o con el servidor de caché debe autenticarse primero con un token secreto. El token secreto se genera durante la configuración de Tableau Server. La clave de cifrado que usa el protocolo SSL interno para cifrar el tráfico al repositorio de PostgreSQL también se genera durante la configuración.

Le recomendamos que, después de instalar Tableau Server, genere nuevas claves de cifrado para la implementación.

Estos activos de seguridad pueden regenerarse con el comando tsm security regenerate-internal-tokens.

Ejecute los comandos siguientes:

tsm security regenerate-internal-tokens

tsm pending-changes apply

9. Deshabilitar los servicios no usados

Para minimizar la superficie expuesta a ataques de Tableau Server, deshabilite los puntos de conexión que no sean necesarios.

Servicio JMX

JMX está deshabilitado de forma predeterminada. Si está habilitado, pero no lo usa, debería deshabilitarlo mediante lo siguiente:

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10. Comprobar la configuración de la duración de la sesión

De forma predeterminada, Tableau Server no tiene un tiempo de espera de sesión absoluto. Esto quiere decir que las sesiones de cliente basadas en el navegador (creación web) pueden permanecer abiertas de forma indefinida, siempre que no se supere el tiempo de espera de inactividad de Tableau Server. El tiempo de espera de inactividad predeterminado es de 240 minutos.

Si ninguna política de seguridad lo necesita, puede configurar un tiempo de espera de sesión absoluto. Asegúrese de establecer el tiempo de espera absoluto de sesión en un rango que permita la ejecución de las operaciones de carga de extracción o publicación de libros de trabajo existentes en la organización que más tardan en completarse. Si se establece un tiempo de espera de sesión muy bajo, pueden producirse errores en operaciones de extracción y publicación que tardan mucho tiempo en completarse.

Para establecer el tiempo de espera de sesión, ejecute los siguientes comandos:

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, donde valor es el número de minutos. El valor predeterminado es 1440, que equivale a 24 horas.

tsm configuration set -k wgserver.session.idle_limit -v value, donde valor es el número de minutos. El valor predeterminado es 240.

tsm pending-changes apply

Las sesiones de clientes conectados (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge y tokens de acceso personal) utilizan tokens de OAuth para mantener a los usuarios conectados mediante el restablecimiento de una sesión. Puede deshabilitar este comportamiento si desea que todas las sesiones de cliente de Tableau se rijan únicamente por los límites de sesión basados en el navegador que se controlan mediante los comandos anteriores. Consulte Deshabilitar la autenticación automática de cliente.

11. Configurar una lista de ubicaciones seguras de servidor para fuentes de datos basadas en archivos

De forma predeterminada, Tableau Server permite que los usuarios autorizados de Tableau Server puedan generar libros de trabajo que usen archivos en el servidor como fuentes de datos basadas en archivos (por ejemplo, hojas de cálculo). En esta situación, la cuenta Cuenta Ejecutar como servicio es la que accede a los archivos.

Para evitar el acceso no deseado a los archivos, le recomendamos que configure una funcionalidad de lista de ubicaciones seguras. Esto le permite limitar el acceso de la cuenta Ejecutar como servicio únicamente a las rutas de acceso de los directorios donde se hospedan los archivos de datos.

  1. En el equipo donde se ejecute Tableau Server, identifique los directorios donde guardará los archivos de fuente de datos.

    Importante Asegúrese de que las rutas de acceso a los archivos que especifique en este procedimiento existan en el servidor. Si las rutas de acceso no existen cuando se inicie el equipo, Tableau Server no se iniciará.

  2. Ejecute los comandos siguientes:

    tsm configuration set -k native_api.allowed_paths -v "path", donde path es el directorio que se debe añadir a la lista de ubicaciones seguras. Todos los subdirectorios de la ruta especificada se añadirán a la lista de ubicaciones seguras. Si desea especificar varias rutas de acceso, sepárelas con un signo de punto y coma, como en el ejemplo siguiente:

    tsm configuration set -k native_api.allowed_paths -v "c:\datasources;c:\HR\data"

    tsm pending-changes apply

12. Habilitar Seguridad de transporte HTTP estricta para clientes de navegador web

Seguridad de transporte HTTP estricta (HSTS por sus siglas en inglés) es una política que se configura en servicios de aplicaciones web, como Tableau Server. Cuando un navegador compatible encuentra una aplicación web que ejecuta HSTS, todas las comunicaciones con el servicio deben realizarse a través de una conexión segura (HTTPS). HSTS es compatible con los principales navegadores.

Para obtener más información sobre cómo funciona HSTS y los navegadores que lo admiten, consulte HTTP Strict Transport Security Cheat Sheet(El enlace se abre en una ventana nueva) en el sitio web The Open Web Application Security Project.

Para habilitar HSTS, ejecute los siguientes comandos en Tableau Server:

tsm configuration set -k gateway.http.hsts -v true

La política de HSTS está establecida de forma predeterminada en un año (31 536 000 segundos). Este período de tiempo especifica la cantidad de tiempo durante la que el navegador accederá al servidor a través de HTTPS. Es recomendable configurar un período máximo breve durante la implementación inicial de HSTS. Para cambiar el período de tiempo, ejecute tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Por ejemplo, para ajustar el período de tiempo de la política HSTS en 30 días, escriba tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.

tsm pending-changes apply

13. Deshabilitar el acceso de invitado

Las licencias basadas en núcleos de Tableau Server incluyen una opción de usuario invitado que permite que cualquier usuario de su organización pueda ver e interactuar con las vistas de Tableau incrustadas en páginas web.

El usuario invitado está habilitado de forma predeterminada en las instancias de Tableau Server implementadas con licencias basadas en núcleos.

El acceso de invitado permite que los usuarios vean vistas incrustadas. El usuario invitado no puede explorar la interfaz de Tableau Server ni ver los elementos de la interfaz del servidor en la vista (nombre de usuario, configuración de la cuenta, comentarios, etc.).

Si su organización ha implementado Tableau Server con licencias basadas en núcleos y no necesita el acceso de invitado, puede deshabilitarlo.

Puede deshabilitar el acceso de invitado a nivel de servidor o de sitio.

Debe ser un administrador de servidor para deshabilitar la cuenta de invitado, tanto en el servidor como en el sitio.

Para deshabilitar el acceso de invitado en el servidor:

  1. en el menú del sitio, haga clic en Administrar todos los sitios y en Configuración > General.

  2. En Acceso de invitado, desactive la casilla de verificación Habilitar cuenta de invitado.

  3. Haga clic en Guardar.

Para deshabilitar el acceso de invitado en un sitio:

  1. En el menú del sitio, seleccione un sitio.

  2. Haga clic en Configuración y, en la página Configuración, desactive la casilla de verificación Habilitar cuenta de invitado.

Para obtener más información, consulte Usuario invitado.

14. Establecer el encabezado HTTP de la directiva de referencia como 'same-origin'

A partir de 2019.2, Tableau Server incluye la capacidad de configurar el comportamiento de los encabezados HTTP Referrer-Policy. Esta política está habilitada con un comportamiento predeterminado que incluirá la URL de origen para todas las conexiones "seguras como" (no-referrer-when-downgrade), que envía información del remitente de origen solo a conexiones similares (HTTP a HTTP) o a aquellas que son más seguras (HTTP a HTTPS).

Sin embargo, se recomienda fijar este valor en same-origin, que solo envía información de referencia a los orígenes del mismo sitio. Las solicitudes de fuera del sitio no recibirán información de referencia.

Para actualizar la política de referenciadores a same-origin, ejecute los siguientes comandos:

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

Para obtener más información sobre la configuración de encabezados adicionales para mejorar la seguridad, consulte Encabezados de respuesta HTTP.

15. Configurar TLS para conexiones SMTP

A partir de la versión 2019.4, Tableau Server permite configurar TLS para conexiones SMTP. Tableau Server solo admite STARTTLS (TLS oportunista o explícito).

Tableau Server se puede configurar de forma ocpional para que se conecte a un servidor de correo. Después de configurar un SMTP, puede configurar Tableau Server para enviar un correo electrónico a los administradores de servidores sobre errores del sistema y a los usuarios sobre vistas suscritas y alertas basadas en los datos.

Para configurar el TLS para el SMTP:

  1. Suba un certificado compatible a Tableau Server. Consulte tsm security custom-cert add.
  2. Configurar la conexión TLS usando la CLI de TSM.

    Ejecute los siguientes comandos TSM para habilitar y forzar las conexiones TLS con el servidor SMTP y para habilitar la verificación de certificados.

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    De forma predeterminada, Tableau Server admite las versiones TLS 1, 1.1 y 1.2, pero recomendamos que especifique la versión TLS más alta que admita el servidor SMTP.

    Ejecute el siguiente comando para establecer la versión. Los valores válidos son SSLv2Hello, SSLv3, TLSv1, TLSv1.1 y TLSv1.2. El siguiente ejemplo establece la versión TLS a la versión 1.2:

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    Para obtener más información sobre otras opciones de configuración TLS, consulte Configurar la instalación de SMTP.

  3. Reinicie Tableau Server para aplicar los cambios. Ejecute el comando siguiente:

    tsm pending-changes apply

16. Configure SSL para LDAP

Si la implementación de Tableau Server está configurada para usar un almacén de identidad externo LDAP genérico, recomendamos configurar SSL para proteger la autenticación entre Tableau Server y su servidor LDAP. Consulte Configurar un canal cifrado al almacén de identidades externo LDAP.

Si la implementación de Tableau Server está configurada para utilizar Active Directory, recomendamos habilitar Kerberos para proteger el tráfico de autenticación. Consulte Kerberos.

17. Examinar los permisos de ubicaciones de instalación no predeterminadas

Si instala Tableau Server en Windows en una ubicación no predeterminada, le recomendamos que consulte los permisos del directorio de instalación personalizado de forma manual para reducir el acceso.

De forma predeterminada, Tableau Server se instalará en la unidad del sistema. La unidad del sistema es donde Windows está instalado. En la mayoría de los casos, la unidad del sistema es la unidad C:\. En este caso predeterminado, Tableau Server se instalará en los siguientes directorios:

  • C:\Program Files\Tableau\Tableau Server\packages

  • C:\ProgramData\Tableau\Tableau Server

Sin embargo, muchos clientes lo instalan en una unidad que no es del sistema o en un directorio diferente. Si ha seleccionado una unidad de instalación o una ubicación de directorio diferente durante la instalación, el directorio de datos de Tableau Server se instalará en la misma ruta.

Para examinar los permisos del directorio de instalación personalizado, solo las cuentas siguientes deben tener los permisos correspondientes en la carpeta de instalación y en todas las subcarpetas:

Establezca permisos para esta cuenta: Permisos necesarios
La cuenta de usuario que se utiliza para instalar y actualizar Tableau Server Control completo
La cuenta de usuario que se utiliza para ejecutar comandos de TSM Control completo
Cuenta del sistema Control completo
Cuenta de servicio Ejecutar como, servicio de red y servicio local Leer y ejecutar

Encontrará un procedimiento para establecer estos permisos en Instalación en una ubicación no predeterminada.

Lista de cambios

Date Change
May 2018 Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019 Added recommendation for referrer-policy HTTP header.
June 2019 Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Cambios: qué debe saber antes de actualizar.
January 2020 Added recommendation to configure TLS for SMTP.
February 2020 Added recommendation to configure SSL for LDAP server.
May 2020 Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
August 2020 Added scoped permissions for non-default installations on Windows
October 2020 Added TLS v1.3 as a default supported cipher.
January 2021 Added clarification: All products enabled by the Data Management license require REST API.
February 2021 Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality.
¡Gracias por sus comentarios!