Azure Key Vault
Tableau Server dispose de trois options KMS (Key Management System, ou système de gestion de clés) pour activer le chiffrement au repos. Deux d’entre elles nécessitent Advanced Management (anciennement Server Management Add-on), tandis qu’une option locale est disponible avec toutes les installations de Tableau Server.
Depuis la version 2019.3, Tableau Server a ajouté ces options KMS :
- KMS local disponible avec toutes les installations. Pour plus d’informations, consultez Système de gestion de clés Tableau Server.
- KMS basé sur AWS qui fait partie de Advanced Management. Pour plus de détails, consultez Système de gestion de clés AWS.
Depuis la version 2021.1, Tableau Server a ajouté une autre option KMS :
- KMS basé sur Azure qui est partie intégrante de Advanced Management. Il est décrit ci-dessous.
Azure Key Vault pour le chiffrement au repos
Azure Key Vault est disponible comme partie intégrante d’Advanced Management pour Tableau Server depuis la version 2021.1.0. Pour plus d’informations, consultez À propos de Tableau Advanced Management sur Tableau Server.
Si votre entreprise déploie le chiffrement d’extrait de données au repos, vous avez la possibilité de configurer Tableau Server pour utiliser Azure Key Vault comme KMS pour le chiffrement d’extrait. Pour activer Azure Key Vault, vous devez déployer Tableau Server dans Azure. Dans le scénario Azure, Tableau Server utilise Azure Key Vault pour chiffrer la clé RMK (root master key, ou clé racine principale) pour tous les extraits chiffrés. Cependant, même lorsqu’il est configuré pour Azure Key Vault, le keystore Java Tableau Server natif et le KMS local sont toujours utilisés pour le stockage sécurisé des secrets sur Tableau Server. Azure Key Vault ne sert qu’à chiffrer la clé racine principale pour les extraits chiffrés.
Hiérarchie des clés lorsque Tableau Server est configuré avec Azure Key Vault
Configurer Azure Key Vault pour les extraits chiffrés Tableau Server
Si vous utilisez Azure Key Vault pour chiffrer la clé racine dans la hiérarchie KMS de Tableau Server, vous devez configurer Tableau Server comme décrit dans cette section.
Avant de démarrer, vérifiez que votre configuration remplit les exigences suivantes :
- Tableau Server doit être déployé dans Azure.
- Tableau Server doit être configuré avec une licence Advanced Management. Consultez À propos de Tableau Advanced Management sur Tableau Server.
- Vous devez avoir un contrôle administratif sur le coffre-fort de clés d’Azure où réside la clé.
Étape 1 : Créer un coffre-fort de clés et une clé pour Tableau Server dans Azure
Les procédures suivantes sont exécutées dans le service Azure Key Vault. Les références sont incluses dans la documentation Azure.
- Créez le coffre de clés que vous utiliserez pour Tableau Server. Consultez la rubrique Création d’un coffre de clés(Le lien s’ouvre dans une nouvelle fenêtre) dans Azure.
- Créez une clé dans le coffre. Consultez la rubrique Gestion des clés et des secrets(Le lien s’ouvre dans une nouvelle fenêtre) dans Azure.
La clé doit être asymétrique, de type RSA, mais peut être de n’importe quelle taille (Tableau Server ne se soucie pas de la taille de la clé). Nous vous recommandons d’utiliser le principe du privilège minimum pour assurer une sécurité maximale.
Tableau a besoin d’autorisations pour exécuter les opérations des commandes GET, UNWRAP KEY et WRAP KEY et nous vous recommandons de n’autoriser l’accès avec privilège minimum que pour ces opérations. Attribuez la stratégie d’accès à la machine virtuelle sur laquelle vous exécutez Tableau Server.
Dans un déploiement distribué de Tableau Server, la stratégie d’accès doit être attribuée à tous les nœuds de la grappe de serveurs.
Étape 2 : Collecter les paramètres de configuration Azure
Vous aurez besoin du nom du coffre-fort de clés et du nom de clé d’Azure.
Étape 3 : Configurer Tableau Server pour Azure Key Vault
Exécutez la commande suivante sur Tableau Server. Cette commande redémarre le serveur :
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
Les options
--vault-name
et--key-name
d’une chaîne directe copie une chaîne directe de votre coffre-fort de clés Azure.Par exemple, si votre coffre-fort de clés Azure s’appelle
tabsrv-keyvault
et votre clétabsrv-sandbox-key01
, la commande serait la suivante :tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"
Étape 4 : Activer le chiffrement au repos
Consultez Chiffrement des extraits au repos.
Étape 5 : Valider l’installation
Exécutez la commande suivante :
Les informations suivantes peuvent être retournées :
- État : OK (indique que le nœud du contrôleur peut accéder au coffre de clés) :
- Mode : Azure Key Vault
- Nom du coffre : <key_vault_name>
- Nom de la clé Azure Key Vault :<key_name>
- Liste des UUID disponibles pour les MEK indiquant quelle clé est active
- Informations d’erreur si les données KMS ne sont pas accessibles
Affichez les fichiers journaux après avoir chiffré et déchiffré les extraits :
Publiez des extraits sur votre site et chiffrez-les. Consultez Chiffrement des extraits au repos.
Accédez aux extraits avec Tableau Desktop ou avec la création Web sur un navigateur (ceci déchiffrera les extraits afin qu’ils puissent être utilisés).
Recherchez les chaînes
AzureKeyVaultEnvelopeAccessor
etAzureKeyVaultEnvelope
dans les fichiers journaux vizqlserver_node. L’emplacement par défaut des fichiers journaux estC:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs
Pour publier et actualiser des extraits associés à Azure Key Vault, effectuez une recherche dans les fichiers journaux du gestionnaire de processus en arrière-plan. Pour plus d’informations sur les fichiers journaux, consultez Fichiers journaux et emplacement des fichiers journaux Tableau Server.
Dépannage de la configuration
Configuration multinœud incorrecte
Dans une configuration multinœud d’Azure Key Vault, la commande tsm security kms status
peut signaler un état sain (OK) même si un autre nœud du groupement est incorrectement configuré. Le contrôle d’état de KMS ne crée des rapports que sur le nœud sur lequel le processus Contrôleur d’administration Tableau Server s’exécute. Il ne rend pas compte des autres nœuds du groupement. Par défaut, le service Contrôleur d’administration Tableau Server s’exécute sur le nœud initial du groupement.
Par conséquent, si un autre nœud est incorrectement configuré si bien que Tableau Server ne peut pas accéder à la clé Azure, ces nœuds peuvent signaler des états d’erreur pour divers services, qui ne démarreront pas.
Si certains services ne démarrent pas après que vous avez défini KMS sur le mode « azure », exécutez la commande suivante pour revenir au mode local : tsm security kms set-mode local
.
Actualiser la clé Azure
Vous actualisez la clé Azure dans Azure. Il n’y a pas d’intervalle requis ou programmé d’actualisation de clé. Vous pouvez actualiser votre clé en créant une nouvelle version de clé dans Azure. Étant donné que le nom du coffre de clés et le nom de la clé ne changent pas, vous n’avez pas besoin de mettre à jour la configuration KMS sur Tableau Server pour les scénarios d’actualisation de clés Azure courants.
Sauvegarde et restauration à l’aide d’Azure Key Vault
Une sauvegarde serveur peut être effectuée en mode Azure Key Vault sans configuration ni procédure supplémentaire. La sauvegarde contient des copies chiffrées des RMK et MEK. Le déchiffrement des clés nécessite l’accès et le contrôle d’Azure Key Vault.
Dans le cas d’une restauration, le serveur en cours de restauration peut être soit en mode Azure Key Vault, soit en mode KMS local. La seule exigence est que le serveur sur lequel la sauvegarde est restaurée ait accès au Azure Key Vault utilisé par la sauvegarde elle-même.