Azure Key Vault

Tableau Server tiene tres opciones del sistema de administración de claves (KMS) que le permiten habilitar el cifrado en reposo. Dos de ellas requieren el complemento de administración de servidores, mientras que una local está disponible con todas las instalaciones de Tableau Server.

A partir de la versión 2019.3, Tableau Server añadió estas opciones de KMS: 

A partir de la versión 2021.1, Tableau Server agregó otra opción de KMS: 

  • Un KMS basado en Azure que viene como parte del complemento de administración de servidores. Esto se describe a continuación.

Azure Key Vault para cifrado en reposo

Azure Key Vault está disponible como parte del complemento de administración de servidores para Tableau Server, a partir de la versión 2021.1.0. Para obtener más información consulte Acerca de Tableau Complemento de administración de servidores.

Si su organización está implementando el cifrado en reposo de extracciones de datos, tiene la opción de configurar Tableau Server para que utilice Azure Key Vault como KMS en el cifrado de extracciones. Para habilitar Azure Key Vault, debe implementar Tableau Server en Azure. En el escenario de Azure, Tableau Server usa Azure Key Vault para cifrar la clave maestra raíz (RMK) para todas las extracciones cifradas. Sin embargo, incluso cuando está configurado para Azure Key Vault, el almacén de claves Java nativo de Tableau Server y el KMS local se siguen utilizando para el almacenamiento seguro de secretos en Tableau Server. Azure Key Vault solo se utiliza para cifrar la clave maestra raíz para extracciones cifradas.

La jerarquía de claves cuando Tableau Server está configurado con Azure Key Vault

Configurar Azure Key Vault para extracciones cifradas de Tableau Server

Si desea utilizar Azure Key Vault para cifrar la clave raíz en la jerarquía KMS de Tableau Server, debe configurar Tableau Server como se describe en esta sección.

Antes de comenzar, verifique que cumple los siguientes requisitos:

  • Tableau Server debe estar implementado en Azure.
  • Tableau Server debe estar configurado con una licencia de Complemento de administración de servidores. Consulte Acerca de Tableau Complemento de administración de servidores.
  • Debe tener control administrativo sobre el almacén de claves en Azure, donde reside la clave.

Paso 1: cree un almacén de claves y una clave para Tableau Server en Azure

Los siguientes procedimientos se realizan en el servicio de Azure Key Vault. Se incluyen referencias a la documentación de Azure.

  1. Cree el almacén de claves que utilizará para Tableau Server. Consulte el tema de Azure Creación de un almacén de claves(Link opens in a new window).
  2. Cree una clave en el almacén. Consulte el tema Azure Administración de claves y secretos(Link opens in a new window).

    La clave debe ser de tipo asimétrico RSA, pero puede ser de cualquier tamaño (Tableau Server no se preocupa por el tamaño de la clave). Le recomendamos que utilice el principio de privilegio mínimo para tener la máxima seguridad. Tableau requiere los comandos GET, UNWRAP KEY y WRAP KEY y le recomendamos que especifique solo estos comandos como privilegio mínimo. Asigne la directiva de acceso a la máquina virtual en la que está ejecutando Tableau Server.

    En una implementación de varios nodos de Tableau Server, la directiva de acceso debe asignarse a todos los nodos del clúster de servidores.

Paso 2: recopilar los parámetros de configuración de Azure

Necesitará el nombre del almacén de claves y el nombre de la clave de Azure.

Paso 3: configurar Tableau Server para Azure Key Vault

Ejecute el siguiente comando en Tableau Server. Este comando reiniciará el servidor:

  •                             tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
                            

    Las opciones --vault-name y --key-name toman copias directas de la cadena desde su almacén de claves de Azure.

    Por ejemplo, si se nombra el almacén de claves de Azure tabsrv-keyvault y la clave es tabsrv-sandbox-key01, el comando sería el siguiente:

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

Paso 4: habilitar el cifrado en reposo

Consulte Cifrado de extracciones en reposo.

Paso 5: validar la instalación

  1. Ejecute el siguiente comando:

    tsm security kms status

    Puede devolverse la siguiente información:

    • Estado: OK (indica que el nodo del controlador puede acceder al almacén de claves):
    • Modo: Azure Key Vault
    • Nombre del almacén: <key_vault_name>
    • Nombre de la clave de Azure Key Vault: <key_name>
    • Lista de UUID disponibles para MEK que indican qué clave está activa
    • Información de error si no se puede acceder a los datos de KMS
  2. Vea los registros después de cifrar y descifrar extracciones:

    • Publique extracciones en su sitio y luego cífrelas. Consulte Cifrado de extracciones en reposo.

    • Acceda a las extracciones con Tableau Desktop o creación web en un navegador (de este modo, las extracciones se descifrarán para poder utilizarlas).

    • Busque en los archivos de registro vizqlserver_node las cadenas AzureKeyVaultEnvelopeAccessor y AzureKeyVaultEnvelope. La ubicación predeterminada de los registros es la siguiente: C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs

      Para ver actualizaciones de publicación y extracción relacionadas con Azure Key Vault, busque en los registros del procesador en segundo plano. Para obtener más información sobre los registros, consulte Registros de Tableau Server y ubicación del archivo de registro.

Solución de problemas de configuración

Error de configuración multinodo

En una configuración multinodo para Azure Key Vault, el comando tsm security kms status puede comunicar un estado correcto (OK), aunque otro nodo en el clúster esté mal configurado. La comprobación de estado de KMS solo informa sobre el nodo en el que se ejecuta el proceso del controlador de administración. No informa sobre los demás nodos del clúster. De forma predeterminada, el proceso del controlador de administración de Tableau Server se ejecuta en el nodo inicial del clúster.

Por lo tanto, si otro nodo está mal configurado de tal manera que Tableau Server no pueda acceder al clave de Azure, esos nodos pueden comunicar estados de Error en varios servicios, los cuales no se podrán iniciar.

Si algunos servicios no logran iniciarse después de configurar KMS en el modo "Azure", ejecute el siguiente comando para volver al modo local: tsm security kms set-mode local.

Actualizar clave de Azure

Actualice la clave de Azure en Azure. No hay ningún período de actualización de claves obligatorio o programado. Puede actualizar su clave creando una nueva versión de la clave en Azure. Dado que el nombre del almacén de claves y el nombre de la clave no cambian, no es necesario actualizar la configuración de KMS en Tableau Server para los escenarios normales de actualización de claves de Azure.

Copia de seguridad y restauración con Azure Key Vault

Se puede realizar una copia de seguridad del servidor en el modo Azure Key Vault sin configuraciones ni procedimientos adicionales. La copia de seguridad contiene copias cifradas de los RMK y MEK. Descifrar las claves requiere acceso y control de Azure Key Vault.

Para el escenario de restauración, el servidor que se va a restaurar puede estar en cualquiera de los modos de Azure Key Vault o KMS local. El único requisito es que el servidor en el que se va a restaurar la copia de seguridad tenga acceso al Azure Key Vault de la copia de seguridad utilizada.

¡Gracias por sus comentarios!