Chiffrement des extraits au repos
Le chiffrement des extraits au repos est une fonctionnalité de sécurité des données vous permettant de chiffrer les extraits .hyper lorsqu'ils sont stockés sur Tableau Server.
Les administrateurs de Tableau Server peuvent appliquer le chiffrement de tous les extraits de leur site ou permettre aux utilisateurs de spécifier le chiffrement de tous les extraits associés à des classeurs ou des sources de données publiés spécifiques.
Limites
Avant de pouvoir être chiffrés, les anciens extraits de fichiers .tde doivent être mis à niveau vers des extraits de fichiers .hyper. Ce processus intervient automatiquement dans le cadre du travail de chiffrement. Pour plus d’informations sur l’impact de la mise à niveau d’extraits, consultez Mise à niveau d’extraits vers le format .hyper.
Les fichiers temporaires et les fichiers de cache ne sont pas chiffrés au repos avec cette fonction.
Les classeurs (.twb) et les fichiers de sources de données (.tds) ne sont pas chiffrés avec cette fonction. Ces fichiers contiendront des métadonnées telles que des noms de colonnes de tables de base de données et des instructions de formatage. Dans certains cas, ils peuvent contenir des données au niveau des lignes si elles sont incluses dans les filtres.
D’autres fichiers de données, tels que les fichiers Excel ou JSON, ne sont pas chiffrés avec cette fonction à moins qu’ils ne soient convertis en extraits avant d’être publiés.
Les extraits sont déchiffrés lorsqu’ils sont téléchargés depuis le serveur.
Présentation des performances
Augmentation de la charge du gestionnaire de processus en arrière-plan
Il se peut que vous observiez une augmentation légère à modérée de la charge du gestionnaire de processus en arrière-plan lorsque vous activez le chiffrement au repos. Le chiffrement et le déchiffrement sont des opérations de calcul intensif. Le chiffrement au repos modifie les tâches du gestionnaire de processus en arrière-plan et introduit de nouvelles tâches à exécuter sur le gestionnaire de processus en arrière-plan. L’augmentation globale de la charge du gestionnaire de processus en arrière-plan dépend du nombre et de la taille des extraits concernés, et de la fréquence à laquelle les scénarios ci-dessous s’appliquent.
- Publication initiale : Lors de la publication de classeurs ou de sources de données à l’aide d’extraits qui doivent être chiffrés, le chiffrement s’effectue sur les gestionnaires de processus en arrière-plan du serveur.
- Actualisations d’extraits depuis Tableau Server : Les actualisations complètes et incrémentielles des extraits chiffrés sur Tableau Server utilisent légèrement plus de puissance de calcul.
- Actualisations d’extraits depuis Tableau Bridge et des applications tierces (p. ex. Informatica, Alteryx) : Ces flux nécessiteront de nouvelles tâches de chiffrement, programmées sur les gestionnaires de processus en arrière-plan pour toute actualisation d’extrait, ce qui entraîne une augmentation légère à modérée de la charge du gestionnaire de processus en arrière-plan.
- Chiffrement et déchiffrement d’extraits dans des classeurs et des sources de données déjà publiés : Si le paramètre du site pour le chiffrement au repos est réglé sur Activer, les utilisateurs peuvent choisir de chiffrer ou de déchiffrer des extraits dans des classeurs et sources de données déjà publiés sur le serveur Tableau. Selon le nombre et la taille des extraits, ce processus ajoutera une charge légère à modérée aux gestionnaires de processus en arrière-plan.
- Modification du mode de chiffrement d’un site : Lorsque le paramètre de chiffrement au repos d’un site est réglé sur Désactiver ou Appliquer, le gestionnaire de processus en arrière-plan déchiffre ou chiffre tous les extraits existants sur le site, respectivement. Selon le nombre et la taille des extraits, ce processus peut augmenter considérablement la charge de travail des gestionnaires de processus en arrière-plan jusqu’à ce que tous les extraits soient déchiffrés ou chiffrés.
- Rotation des clés de chiffrement : La rotation des clés de chiffrement entraîne le rechiffrement, par les gestionnaires de processus en arrière-plan, de tous les extraits existants publiés sur ce site à l’aide de nouvelles clés de chiffrement. Selon le nombre et la taille des extraits, ce processus peut augmenter considérablement la charge de travail des gestionnaires de processus en arrière-plan jusqu’à ce que tous les extraits soient rechiffrés.
En cas de fonctionnement à pleine capacité ou en surcapacité, pensez à :
- Ajouter des processus et des ressources de gestionnaire de processus en arrière-plan supplémentaires.
- Permettre aux utilisateurs chiffrer des classeurs et des sources de données individuels au lieu d’appliquer le chiffrement à l’ensemble du site ou de désactiver le chiffrement au repos pour les sites où cela n’est pas nécessaire. Notez que les actualisations d’extraits programmées et ad hoc auront priorité sur les tâches de chiffrement et de déchiffrement.
Augmentation du temps de chargement de la visualisation et de la charge de travail du worker
Les performances de requête, par exemple, lors du chargement ou de l’interaction avec une visualisation ou un tableau de bord, nécessiteront que les données soient déchiffrées une fois, au moment où elles sont chargées du disque vers la mémoire. Il en résultera une légère augmentation du temps de chargement et de l’utilisation du processeur sur les nœuds worker pour le premier utilisateur qui charge un classeur. Ce ralentissement n’affectera pas les autres utilisateurs accédant à ces classeurs en même temps car les données seront déjà déchiffrées en mémoire.
Impact sur la sauvegarde et la restauration
Les extraits chiffrés dans les sauvegardes restent chiffrés. La taille des fichiers de sauvegarde (.tbks) peut augmenter jusqu’à 50-100 % en raison de l’inefficacité de la compression des extraits chiffrés. L’augmentation de la taille dépend, entre autres facteurs, du nombre d’extraits qui sont chiffrés. Le temps de restauration d’une sauvegarde contenant des extraits chiffrés peut augmenter légèrement en raison du temps nécessaire pour échanger les clés de chiffrement.
Si votre installation Tableau Server contient uniquement ou principalement des extraits chiffrés, pensez à désactiver la compression pendant les sauvegardes afin d’améliorer considérablement la durée nécessaire aux sauvegardes. Pour en savoir plus sur la sauvegarde TSM, consultez tsm maintenance backup.
Application du chiffrement au repos sur un site
Les administrateurs de Tableau Server peuvent appliquer le chiffrement de tous les extraits sur leur site.
- Dans un navigateur Web, connectez-vous à Tableau Server en tant qu’administrateur de serveur.
- Allez sur le site que vous voulez configurer.
- Cliquez sur Paramètres.
- Faites défiler vers le bas jusqu’à la section Chiffrement d’extrait au repos.
Cliquez sur Appliquer pour chiffrer tous les extraits qui sont publiés et stockés sur le site.
Le chiffrement de tous les extraits existants stockés sur le site peut prendre un certain temps. - Cliquez sur Enregistrer.
Activer le chiffrement au repos sur un site
Les administrateurs de Tableau Server peuvent autoriser les utilisateurs à spécifier le chiffrement de tous les extraits associés à certains classeurs ou sources de données publiés.
- Dans un navigateur Web, connectez-vous à Tableau Server en tant qu’administrateur de serveur.
- Allez sur le site que vous voulez configurer.
- Cliquez sur Paramètres.
- Faites défiler vers le bas jusqu’à la section Chiffrement d’extrait au repos.
- Cliquez sur Activer pour permettre aux utilisateurs de chiffrer les extraits sur le site.
Si vous choisissez Activer, les travaux de déchiffrement et de chiffrement en attente seront annulés. Aucune tâche de chiffrement n’est créée. - Cliquez sur Enregistrer.
Désactiver le chiffrement au repos sur un site
- Dans un navigateur Web, connectez-vous à Tableau Server en tant qu’administrateur de serveur.
- Allez sur le site que vous voulez configurer.
- Cliquez sur Paramètres.
- Faites défiler vers le bas jusqu’à la section Chiffrement d’extrait au repos.
- Cliquez sur Désactiver pour ne pas autoriser les extraits chiffrés sur le site.
Si vous choisissez Désactiver, tous les extraits chiffrés existants seront déchiffrés. Le déchiffrement de tous les extraits stockés sur le site peut prendre un certain temps. - Cliquez sur Enregistrer.
Afficher le mode de chiffrement d’extrait pour tous les sites
Sur un serveur multisite, cliquez sur Gérer tous les sites dans le menu du site.
Remarque : l’option Gérer tous les sites s’affiche uniquement lorsque vous êtes connecté en tant qu’administrateur de serveur.
- Cliquez sur Sites.
- Le mode de chiffrement de chaque site est affiché dans la colonne Chiffrement d’extrait au repos.
Chiffrement ou déchiffrement des extraits pour un classeur ou une source de données publié(e)
Remarque : l’option de chiffrement ou de déchiffrement des extraits associés à un classeur ou à une source de données publié(e) spécifique n’est disponible que si le paramètre du site pour le chiffrement au repos est réglé sur Activer. Lorsqu’un site est réglé sur Désactiver, tout son contenu n’est pas chiffré. Lorsqu’un site est réglé sur Appliquer, tout son contenu est chiffré.
Remarque : vous devez être le propriétaire ou l’administrateur.
- Accédez au classeur publié ou à la page Source de données publiée.
- Cliquez sur le menu déroulant qui indique Extrait chiffré ou Extrait non chiffré.
- Sélectionnez Non chiffré.
Le message suivant s’affiche : « Déchiffrement de l’extrait... ».
-ou-
Sélectionnez Crypté.
Une tâche de chiffrement est lancée.
Vous pouvez également chiffrer ou déchiffrer des extraits dans le menu d’action de la vue Fiche, le menu d’action de la vue Liste et le menu d’action de la section En-tête.
Chiffrement ou déchiffrement de plusieurs éléments
- Accédez au volet Source de données.
- Cochez la case à côté d’une ou de plusieurs sources de données.
- En haut à gauche du volet Source de données, sous Connexions, cliquez sur Actions.
- Cliquez sur Crypter ou Déchiffrer.
Affichage de l’état de chiffrement d’un seul élément
- Connectez-vous au site.
- Accédez à une page Source de données unique.
-ou-
Accédez à une seule page de classeur pour un classeur contenant des sources de données intégrées. - L’état de chiffrement s’affiche sur la page.
Filtrage des sources de données par état de chiffrement
- Sur un site, cliquez sur Explorer.
- En haut à droite, cliquez sur le menu déroulant Explorer : Projets de niveau supérieur et sélectionnez Toutes les sources de données.
- Cliquez sur l’icône de filtre.
- Faites défiler vers le bas jusqu’à la section « En direct ou extrait » et sélectionnez une option de filtrage : Tous, En direct, Extraits, Extraits non chiffrés, Extraits chiffrés, Chiffrement en cours ou Déchiffrement en cours.
- Cochez la case à côté de « Inclure les fichiers .tde et .hyper » si vous voulez inclure les connexions « En direct vers fichier .tde » et « En direct vers fichier .hyper » dans vos résultats de filtrage.
Filtrage des classeurs par état de chiffrement
- Sur un site, cliquez sur Explorer.
- En haut à droite, cliquez sur le menu déroulant Explorer : Projets de niveau supérieur et sélectionnez Tous les classeurs.
- Cliquez sur l’icône de filtre.
- Faites défiler vers le bas jusqu’à la section « En direct ou extrait » et sélectionnez une option de filtrage : Tous, En direct, Extraits, Publié, Extraits non chiffrés, Extraits chiffrés, Chiffrement en cours ou Déchiffrement en cours.
- Cochez la case à côté de « Inclure les fichiers .tde et .hyper » si vous voulez inclure les connexions « En direct vers fichier .tde » et « En direct vers fichier .hyper » dans vos résultats de filtrage.
Tous les classeurs qui ont au moins une connexion correspondant à la sélection du filtre s’affichent.
Affichage de l’état des tâches en arrière-plan de chiffrement ou de déchiffrement d’extrait
- Dans le site, cliquez sur État du site.
- Cliquez sur Tâches en arrière-plan hors extraits pour afficher les détails des tâches en arrière-plan terminées et en attente.
Remarque : Les Tâches en arrière-plan hors extraits incluent toutes les tâches qui ne sont pas liées aux actualisations d’extraits, ce qui inclut donc les tâches de chiffrement. - Dans le menu Tâche, sélectionnez Crypter les extraits ou Déchiffrer les extraits et cliquez sur Appliquer.
- Dans le menu Plage temporelle, sélectionnez une plage.
Vous voyez les tâches en arrière-plan « Crypter les extraits » ou « Déchiffrer les extraits » pour toutes vos sources de données et vos classeurs publiés basés sur des extraits.
Utilitaire tabcmd
L’utilitaire de ligne de commande tabcmd possède des commandes et des options permettant de contrôler le chiffrement de l’extrait. Pour plus d’informations, consultez la documentation tabcmd.
Spécifier le mode de chiffrement d’extrait lors de la création d’un site
tabcmd createsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]
Spécifier le mode de chiffrement d’extrait lors de la modification d’un site
tabcmd editsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]
Obtenir le mode de chiffrement d’extrait lors du référencement de sites
tabcmd listsites --get-extract-encryption-mode
Crypter les extraits lors de la publication d’un classeur, d’une source de données ou d’un extrait sur le serveur
tabcmd publish "filename.hyper" –-encrypt-extracts
Déchiffrer tous les extraits d’un site
Remarque : selon le nombre et la taille des extraits, cette opération peut utiliser d’importantes ressources serveur. Envisagez d’exécuter cette commande en dehors des heures ouvrables normales.
tabcmd decryptextracts <site-name>
Crypter tous les extraits d’un site
Remarque : selon le nombre et la taille des extraits, cette opération peut utiliser d’importantes ressources serveur. Envisagez d’exécuter cette commande en dehors des heures ouvrables normales.
tabcmd encryptextracts <site-name>
Rechiffrer tous les extraits d’un site avec de nouvelles clés de chiffrement
Vous devez spécifier un site.
Remarque : selon le nombre et la taille des extraits, cette opération peut utiliser d’importantes ressources serveur. Envisagez d’exécuter cette commande en dehors des heures ouvrables normales.
tabcmd reencryptextracts <site-name>
Pour plus d’informations, consultez reencryptextracts.
API Rest de Tableau Server
Avec l’API REST de Tableau Server, vous pouvez gérer les ressources de Tableau Server de manière programmatique. Vous pouvez utiliser cet accès pour créer vos propres applications personnalisées ou utiliser des scripts pour les interactions avec les ressources de Tableau Server.
Pour en savoir plus, consultez Méthodes de chiffrement d’extrait(Le lien s’ouvre dans une nouvelle fenêtre).