Liste de contrôle pour une sécurité renforcée

La liste suivante formule des recommandations pour améliorer la sécurité (« renforcée ») de votre installation Tableau Server.

Installation des mises à jour de sécurité

Les mises à jour de sécurité sont incluses dans les dernières versions et les versions de maintenance (MR) de Tableau Server. Vous ne pouvez pas installer les mises à jour de sécurité en tant que correctifs. Au lieu de cela, vous devez effectuer une mise à niveau vers une version ou une MR actuelle pour mettre à jour Tableau Server avec les dernières correctifs de sécurité.

Reportez-vous toujours à la version la plus récente de cette rubrique après la mise à niveau. La version actuelle inclut /current/ dans l’URL de la rubrique.

Par exemple, l’URL de la version française est : https://help.tableau.com/current/server/fr-fr/security_harden.htm.

1. Mettre à jour vers la version actuelle

Nous vous recommandons de toujours exécuter la dernière version de Tableau Server. Par ailleurs, Tableau publie régulièrement des mises à jour de maintenance de Tableau Server comprenant des correctifs pour les vulnérabilités de sécurité connues. (Des informations relatives aux vulnérabilités de sécurité connues sont disponibles à la page Bulletins de sécurité.) Nous vous recommandons de vérifier les notifications des mises à jour de maintenance pour savoir si vous devez les installer.

Pour obtenir la version de distribution ou la version de maintenance la plus récente de Tableau Server, rendez-vous sur le Portail client(Link opens in a new window).

2. Configurer le protocole SSL/TLS avec un certificat de confiance valide

Le protocole Secure Sockets Layer (SSL/TLS) est indispensable pour assurer la sécurité des communications avec Tableau Server. Configurez Tableau Server avec un certificat de confiance valide (pas un certificat autosigné) afin que Tableau Desktop, les appareils mobiles et les clients Web puissent se connecter au serveur via une connexion sécurisée. Pour plus d'informations, voir SSL.

3. Désactiver les anciennes versions du protocole TLS

Tableau Server utilise le protocole TLS pour authentifier et crypter de nombreuses connexions entre les composants et avec les clients externes. Les clients externes tels que les navigateurs, Tableau Desktop et Tableau Mobile se connectent à Tableau en TLS via HTTPS. Le protocole TLS (Transport Layer Security) est une version améliorée du SSL. En fait, les versions plus anciennes du SSL (SSL v2 et v3) ne sont plus considérées comme des normes de communication sécurisée adéquates. Dès lors, Tableau Server n'autorise pas les clients externes à utiliser les versions 2 et 3 du protocole SSL pour se connecter. Nous vous recommandons d'autoriser les clients externes à se connecter à Tableau Server uniquement avec TLS v1.2.

Plus spécifiquement, nous vous recommandons de désactiver TLS v1 et TLS v1.1 sur Tableau Server. Toutefois, avant de désactiver une version spécifique du protocole TLS, vérifiez que les navigateurs(Link opens in a new window) avec lesquels les utilisateurs se connectent à Tableau Server prennent en charge TLS v1.2. Dans certains cas, vous pouvez avoir besoin de conserver la prise en charge de TLSv1.1.

La commande tsm suivante active TLS v1.2 (avec le paramètre « all ») et désactive les protocoles SSL v2, SSL v3, TLS v1, TLS v1.1 et TLS v1.3 (en ajoutant le signe moins [-] à un protocole donné). TLS v1.3 n’est pas encore pris en charge par tous les composants de Tableau Server.

tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.3"

tsm pending-changes apply

Si les modifications en attente nécessitent un redémarrage du serveur, la commande pending-changes apply affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s'affiche même si le serveur est arrêté, mais dans ce cas, il n'y a pas de redémarrage. Vous pouvez supprimer l'invite à l'aide de l'option --ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d'informations, consultez tsm pending-changes apply.

4. Configurer le chiffrement SSL pour le trafic interne

Configurez Tableau Server pour qu'il utilise le protocole SSL pour crypter l'ensemble du trafic entre le référentiel Postgres et les autres composants du serveur. Par défaut, SSL est désactivé pour les communications entre les composants du serveur et le référentiel. Nous recommandons d'activer le protocole SSL interne pour toutes les instances de Tableau Server, même les installations avec un seul serveur. L'activation du protocole SSL interne est particulièrement importante pour les déploiements multi-nœuds. Voir Configurer SSL pour la communication Postgres interne.

5. Activer la protection par pare-feu

Tableau Server a été conçu pour fonctionner à l'intérieur d'un réseau interne protégé.

Important : N'exécutez pas Tableau Server out tout autre composant de Tableau Server sur Internet ou dans un DMZ. Tableau Server doit être exécuté avec le réseau entreprise protégé par un pare-feu Internet. Nous recommandons la configuration d'une solution de proxy inverse pour les clients Internet qui doivent se connecter à Tableau Server. Consultez Configuration des proxy pour Tableau Server.

Il est conseillé d'activer un pare-feu local sur le système d'exploitation afin de protéger Tableau Server dans les déploiements à un ou plusieurs nœuds. Dans une installation distribuée (à plusieurs nœuds) de Tableau Server, la communication entre les nœuds n'est pas une communication sécurisée. Par conséquent, vous devez activer les pare-feu sur les ordinateurs qui hébergent Tableau Server.

Pour empêcher toute personne malveillante d'observer les communications entre les nœuds, configurez un réseau local virtuel séparé ou une autre solution de sécurité de couche réseau.

Consultez Ports de Tableau Services Manager pour comprendre de quels ports et services Tableau Server a besoin.

6. Limiter l'accès à l'ordinateur serveur et aux répertoires importants

Les fichiers de configuration de Tableau Server et les fichiers journaux peuvent contenir de précieuses informations pour un cybercriminel. Veillez dès lors à restreindre l'accès physique à la machine qui exécute Tableau Server. Assurez-vous également que seuls les utilisateurs autorisés et les utilisateurs de confiance ont accès aux fichiers Tableau Server du répertoire C:\ProgramData\Tableau.

7. Mettre à jour Tableau Server pour utiliser le compte Exécuter en tant qu'utilisateur

Par défaut, Tableau Server s'exécute sous le compte Windows prédéfini Services réseau (Autorité NT / Service réseau). L'utilisation du compte par défaut est acceptable dans les scénarios où Tableau Server ne doit pas se connecter à des sources de données externes nécessitant l'authentification Windows. Toutefois, si vos utilisateurs doivent accéder à des sources de données authentifiées par Active Directory, mettez à jour le compte Exécuter en tant qu'utilisateur vers un compte de domaine. Il est important de minimiser les droits du compte que vous utilisez pour le compte Exécuter en tant qu'utilisateur. Pour plus d'informations, consultez Compte Exécuter en tant que service.

8. Générer de nouveaux secrets et jetons

Chaque service Tableau Server qui communique avec le référentiel ou le serveur de cache doit d'abord s'authentifier avec un jeton secret. Le jeton secret est généré durant l'installation de Tableau Server. La clé de cryptage utilisée par le protocole SSL interne pour crypter le trafic vers le référentiel Postgres est également générée durant l'installation.

Après avoir installé Tableau Server, nous vous recommandons de générer de nouvelles clés de cryptage pour votre déploiement.

Ces actifs de sécurité peuvent être générés à nouveau à l'aide de la commande tsm security regenerate-internal-tokens.

Exécutez les commandes suivantes :

tsm security regenerate-internal-tokens

tsm pending-changes apply

9. Désactiver les services que vous n'utilisez pas

Pour minimiser la surface d'attaque de Tableau Server, désactivez les points de connexion inutiles.

REST API

L'interface REST API est activée par défaut. Si aucune application n'effectue d'appels REST API à votre installation de Tableau Server 9.3 (ou version ultérieure), désactivez-la en utilisant les commandes suivantes :

tsm configuration set -k api.server.enabled -v false

tsm pending-changes apply

Important : Tableau Prep utilise l'API REST pour accéder à Tableau Server. Si votre entreprise utilise Tableau Prep, ne désactivez pas l'API REST.

Service JMX

JMX est désactivé par défaut. S'il est activé, mais que vous ne l'utilisez pas, désactivez-le en utilisant la séquence suivante de commandes :

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10. Vérifier la configuration de la durée de vie de la session

Par défaut, Tableau Server n'a pas de durée limite de session absolue. Cela signifie que les sessions (création Web) d'un client dans un navigateur peuvent rester ouvertes indéfiniment tant que la durée limite d'inactivité de Tableau Server n'est pas dépassée. La durée limite d'inactivité par défaut est de 240 minutes.

Si votre politique de sécurité l'exige, vous pouvez définir une durée limite de session absolue. Assurez-vous de définir le délai d'expiration absolu de votre session dans une plage qui accepte les opérations d'extrait ou de publication à exécution la plus longue dans votre organisation. Si vous définissez le délai d'expiration de la session sur une durée trop courte, les extraits et les publications échoueront pour les opérations qui durent le plus longtemps.

Pour définir le délai d'expiration de la session, exécutez les commandes suivantes :

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, où value correspond au nombre de minutes. La valeur par défaut est 1440, qui correspond à 24 heures.

tsm configuration set -k wgserver.session.idle_limit -v value, où value correspond au nombre de minutes. La valeur par défaut est 240.

tsm pending-changes apply

Les sessions pour les clients connectés (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge et jetons d’accès personnels) utilisent les jetons OAuth pour empêcher les utilisateurs de se connecter en rétablissant une session. Vous pouvez désactiver ce comportement si vous souhaitez que toutes les sessions clients Tableau soient uniquement régies par les limites de session dans un navigateur contrôlées par les commandes ci-dessus. Consultez Désactiver l'authentification client automatique.

11. Configurer une liste autorisée de serveurs pour les sources de données basées sur des fichiers

Par défaut, Tableau Server permet aux utilisateurs Tableau Server autorisés de créer des classeurs qui utilisent des fichiers sur le serveur en tant que sources de données basées sur des fichiers (comme les feuilles de calcul). Dans ce scénario, le compte Compte Exécuter en tant que service permet d'accéder aux fichiers.

Pour empêcher l'accès indésirable aux fichiers, nous vous recommandons de configurer une fonction de liste autorisée. Cette fonction vous permet de limiter l'accès Exécuter en tant que service uniquement aux chemins d'accès des répertoires où vous hébergez les fichiers de données.

  1. Sur l'ordinateur qui exécute Tableau Server, identifiez les répertoires où vous hébergerez les fichiers de source de données.

    Important Assurez-vous que les chemins d'accès que vous spécifiez dans cette procédure existent sur le serveur. S'ils n'existent pas lorsque l'ordinateur démarre, Tableau Server ne démarrera pas.

  2. Exécutez les commandes suivantes :

    tsm configuration set -k native_api.allowed_paths -v "path" , où path est le répertoire à ajouter à la liste autorisée. Tous les sous-répertoires du chemin d'accès spécifié seront ajoutés à la liste autorisée. Pour spécifier plusieurs chemins d'accès, séparez-les par un point-virgule, comme dans cet exemple :

    tsm configuration set -k native_api.allowed_paths -v "c:\datasources;c:\HR\data"

    tsm pending-changes apply

12. Activer HTTP Strict Transport Security pour les clients de navigateurs Web

HTTP Strict Transport Security (HSTS) est une stratégie configurée sur des services d'application Web, tels que Tableau Server. Lorsqu'un navigateur compatible rencontre une application Web exécutant HSTS, toutes les communications avec le service doivent s'effectuer sur une connexion sécurisée (HTTPS). HSTS est pris en charge par les principaux navigateurs.

Pour plus d'informations sur le mode de fonctionnement de HSTS et les navigateurs qui le prennent en charge, consultez la page Web de l'Open Web Application Security Project, Fiche de référence sur HTTP Strict Transport Security(Link opens in a new window).

Pour activer HSTS, exécutez les commandes suivantes dans Tableau Server :

tsm configuration set -k gateway.http.hsts -v true

Par défaut, la stratégie HSTS est configurée pour une année (31 536 000 secondes). Cette période spécifie la durée pendant laquelle le navigateur accédera au serveur via HTTPS. Vous pouvez envisager de configurer une durée maximale courte pendant le déploiement initial de HSTS. Pour modifier cette période, exécutez tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Par exemple, pour configurer une période de stratégie HSTS applicable sur 30 jours, saisissez tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.

tsm pending-changes apply

13. Désactiver l'accès Invité

Les licences basées sur le nombre de cœurs dans Tableau Server incluent une option Utilisateur invité qui permet à tous les utilisateurs dans votre organisation de voir des vues Tableau intégrées dans des pages Web et d'interagir avec elles.

L'accès Utilisateur invité est activé par défaut sur les serveurs Tableau déployés avec des licences basées sur le nombre de cœurs.

L'accès Invité permet aux utilisateurs de voir les vues intégrées. L'utilisateur invité ne peut pas accéder à l'interface Tableau Server et ne voit pas les éléments de l'interface serveur dans la vue, par exemple le nom d'utilisateur, les paramètres de compte, les commentaires, etc.

Si votre organisation a déployé Tableau Server avec des licences basées sur le nombre de cœurs et que l'accès Invité n'est pas requis, désactivez l'accès Invité.

Vous pouvez désactiver l'accès Invité au niveau du serveur ou du site.

Vous devez être un administrateur de serveur pour désactiver le compte Invité au niveau du serveur ou du site.

Pour désactiver l'accès Invité au niveau du serveur :

  1. Dans le menu Site, cliquez sur Gérer tous les sites puis cliquez sur Paramètres > Général.

  2. Dans Accès Invité, désélectionnez la case à cocher Activer le compte Invité.

  3. Cliquez sur Enregistrer.

Pour désactiver l'accès Invité pour un site :

  1. Dans le menu du site, sélectionnez un site.

  2. Cliquez sur Paramètres, puis dans la page Paramètres, désactivez la case à cocher Activer le compte Utilisateur invité.

Pour plus d'informations, consultez Utilisateur invité.

14. Définir l'en-tête HTTP referrer-policy sur « same-origin »

Depuis 2019.2, Tableau Server inclut la possibilité de configurer le comportement de l'en-tête HTTP Referrer-Policy. Cette stratégie est activée avec un comportement par défaut qui inclura l'URL d'origine pour toutes les connexions "secure as" (no-referrer-when-downgrade), avec envoi des informations de référent d'origine uniquement aux connexions similaires (HTTP vers HTTP) ou plus sécurisées (HTTP vers HTTPS).

Cependant, nous vous recommandons de définir cette valeur sur same-origin, qui n'envoie que les informations du référent à same-site origins. Les demandes provenant de l'extérieur du site ne recevront pas d'informations de référent.

Pour mettre à jour la stratégie referrer-policy sur same-origin, exécutez les commandes suivantes :

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

Pour plus d'informations sur la configuration d'en-têtes supplémentaires pour améliorer la sécurité, consultez En-têtes de réponse HTTP.

15. Configurer TLS pour la connexion SMTP

Depuis 2019.4, Tableau Server inclut la possibilité de configurer TLS pour la connexion SMTP.

Tableau Server peut être configuré en option pour se connecter à un serveur de messagerie. Une fois SMTP configuré, Tableau Server peut envoyer un e-mail aux administrateurs de serveur pour les informer de pannes système, et aux utilisateurs du serveur pour des informations sur les vues auxquelles ils sont abonnés et les alertes basées sur les données.

Pour configurer TLS pour SMTP :

  1. Chargez le certificat compatible sur Tableau Server. Consultez tsm security custom-cert add.
  2. Configurez la connexion TLS en utilisant l'interface en ligne de commande TSM.

    Exécutez les commandes TSM suivantes pour activer et forcer les connexions TLS au serveur SMTP et pour activer la vérification du certificat.

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    Par défaut, Tableau Server prend en charge les versions TLS 1, 1.1 et 1.2, mais nous vous recommandons de spécifier la version TLS la plus élevée prise en charge par le serveur SMTP.

    Exécutez la commande suivante pour définir la version. Les valeurs valides sont SSLv2Hello, SSLv3, TLSv1, TLSv1.1 et TLSv1.2. L'exemple suivant définit la version TLS sur la version 1.2. :

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    Pour plus d'informations sur les autres options de configuration TLS, consultez Configurer les paramètres SMTP.

  3. Redémarrez Tableau Server pour appliquer les modifications. Exécutez la commande suivante :

    tsm pending-changes apply

16. Configurer SSL pour LDAP

Si votre déploiement de Tableau Server est configuré pour utiliser un magasin d'identité externe LDAP générique, nous vous recommandons de configurer SSL pour protéger l'authentification entre Tableau Server et votre serveur LDAP. Consultez LDAP sur SSL.

Si votre déploiement Tableau Server est configuré pour utiliser Active Directory, nous vous recommandons d'activer Kerberos pour protéger le trafic d'authentification. Consultez Kerberos.

17. Déterminer les autorisations pour les emplacements d’installation non par défaut

Si vous installez Tableau Server sur Windows à un emplacement non par défaut, nous vous recommandons de définir manuellement les autorisations du répertoire d’installation personnalisé de manière à limiter l’accès.

Par défaut, Tableau Server est installé sur le lecteur système. Le lecteur sur lequel Windows est installé est le lecteur système. Dans la plupart des cas, le lecteur système est le lecteur C:\. Dans ce cas par défaut, Tableau Server est installé dans les répertoires suivants :

  • C:\Program Files\Tableau\Tableau Server\packages

  • C:\ProgramData\Tableau\Tableau Server

Toutefois, de nombreux clients s’installent sur un lecteur autre que le lecteur système ou dans un répertoire différent. Si vous avez sélectionné un lecteur d'installation ou un emplacement de dossier différent lors de l'installation, le répertoire de données de Tableau Server sera installé sur le même chemin d'accès.

Pour déterminer les autorisations sur le répertoire d’installation personnalisé, seuls les comptes suivants doivent disposer des autorisations correspondantes sur le dossier d’installation et tous les sous-dossiers :

Configurez les autorisations pour ce compte : Autorisations requises
Compte utilisateur utilisé pour installer et mettre à niveau Tableau Server Contrôle total
Compte utilisateur utilisé pour exécuter les commandes TSM Contrôle total
Compte système Contrôle total
Exécuter en tant que compte de service, service réseau et service local Lecture et exécution

Une procédure de définition de ces autorisations est décrite dans la section Installation dans un emplacement autre que par défaut.

Liste des changements

Date Change
September 2017 Ported and updated for Tableau Services Manager and Linux platform.
May 2018 Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019 Added recommendation for referrer-policy HTTP header.
June 2019 Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Ce qui a changé - À savoir avant d'effectuer la mise à niveau.
January 2020 Added recommendation to configure TLS for SMTP.
February 2020 Added recommendation to configure SSL for LDAP server.
May 2020 Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
August 2020 Added scoped permissions for non-default installations on Windows
Merci de vos commentaires ! Erreur lors de la soumission de votre commentaire. Réessayez ou envoyez-nous un message.