Tableau Server dispose de trois options KMS (Key Management System, ou système de gestion de clés) pour activer le cryptage au repos. Deux d’entre elles nécessitent le module Advanced Management (anciennement Server Management Add-on), tandis qu’une option locale est disponible avec toutes les installations de Tableau Server.

Depuis la version 2019.3, Tableau Server a ajouté ces options KMS : 

Depuis la version 2021.1, Tableau Server a ajouté une autre option KMS : 

  • KMS basé sur Azure qui fait partie du module Advanced Management. Il est décrit ci-dessous.

Azure Key Vault pour le cryptage au repos

Azure Key Vault est disponible comme partie intégrante du module Advanced Management pour Tableau Server depuis la version 2021.1.0. Pour plus d'informations, consultez À propos de Tableau Advanced Management sur Tableau Server.

Si votre entreprise déploie le cryptage d'extrait de données au repos, vous avez la possibilité de configurer Tableau Server pour utiliser Azure Key Vault comme KMS pour le cryptage d'extrait. Pour activer Azure Key Vault, vous devez déployer Tableau Server dans Azure. Dans le scénario Azure, Tableau Server utilise Azure Key Vault pour chiffrer la clé RMK (root master key, ou clé racine principale) pour tous les extraits cryptés. Cependant, même lorsqu'il est configuré pour Azure Key Vault, le keystore Java Tableau Server natif et le KMS local sont toujours utilisés pour le stockage sécurisé des secrets sur Tableau Server. Azure Key Vault ne sert qu'à crypter la clé racine principale pour les extraits cryptés.

Hiérarchie des clés lorsque Tableau Server est configuré avec Azure Key Vault

Configurer Azure Key Vault pour les extraits cryptés Tableau Server

Si vous utilisez Azure Key Vault pour crypter la clé racine dans la hiérarchie KMS de Tableau Server, vous devez configurer Tableau Server comme décrit dans cette section.

Avant de démarrer, vérifiez que votre configuration remplit les exigences suivantes :

  • Tableau Server doit être déployé dans Azure.
  • Tableau Server doit être configuré avec une licence Advanced Management. Consultez À propos de Tableau Advanced Management sur Tableau Server.
  • Vous devez avoir un contrôle administratif sur le coffre-fort de clés d’Azure où réside la clé.

Étape 1 : Créer un coffre-fort de clés et une clé pour Tableau Server dans Azure

Les procédures suivantes sont exécutées dans le service Azure Key Vault. Les références sont incluses dans la documentation Azure.

  1. Créez le coffre de clés que vous utiliserez pour Tableau Server. Consultez la rubrique Création d’un coffre de clés(Le lien s’ouvre dans une nouvelle fenêtre) dans Azure.
  2. Créez une clé dans le coffre. Consultez la rubrique Gestion des clés et des secrets(Le lien s’ouvre dans une nouvelle fenêtre) dans Azure.

    La clé doit être asymétrique, de type RSA, mais peut être de n’importe quelle taille (Tableau Server ne se soucie pas de la taille de la clé). Nous vous recommandons d’utiliser le principe du privilège minimum pour assurer une sécurité maximale.

    Tableau a besoin d’autorisations pour exécuter les opérations des commandes GET, UNWRAP KEY et WRAP KEY et nous vous recommandons de n’autoriser l’accès avec privilège minimum que pour ces opérations. Attribuez la stratégie d’accès à la machine virtuelle sur laquelle vous exécutez Tableau Server.

    Dans un déploiement distribué de Tableau Server, la stratégie d’accès doit être attribuée à tous les nœuds du cluster serveur.

Étape 2 : Collecter les paramètres de configuration Azure

Vous aurez besoin du nom du coffre-fort de clés et du nom de clé d’Azure.

Étape 3 : Configurer Tableau Server pour Azure Key Vault

Exécutez la commande suivante sur Tableau Server. Cette commande redémarre le serveur :

  •                             tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
                            

    Les options --vault-name et --key-name d’une chaîne directe copie une chaîne directe de votre coffre-fort de clés Azure.

    Par exemple, si votre coffre-fort de clés Azure s’appelle tabsrv-keyvault et votre clé tabsrv-sandbox-key01, la commande serait la suivante :

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

Étape 4 : Activer le cryptage au repos

Consultez Cryptage d'extrait au repos.

Étape 5 : Valider l'installation

  1. Exécutez la commande suivante :

    tsm security kms status

    Les informations suivantes peuvent être retournées :

    • État : OK (indique que le nœud du contrôleur peut accéder au coffre de clés) :
    • Mode : Azure Key Vault
    • Nom du coffre : <key_vault_name>
    • Nom de la clé Azure Key Vault :<key_name>
    • Liste des UUID disponibles pour les MEK indiquant quelle clé est active
    • Informations d’erreur si les données KMS ne sont pas accessibles
  2. Affichez les journaux après avoir crypté et décrypté les extraits :

    • Publiez des extraits sur votre site et cryptez-les. Consultez Cryptage d'extrait au repos.

    • Accédez aux extraits avec Tableau Desktop ou avec la création Web sur un navigateur (ceci décryptera les extraits afin qu'ils puissent être utilisés).

    • Recherchez les chaînes AzureKeyVaultEnvelopeAccessor et AzureKeyVaultEnvelope dans les fichiers journaux vizqlserver_node. L'emplacement par défaut des journaux est C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs

      Pour publier et actualiser des extraits associés à Azure Key Vault, effectuez une recherche dans les journaux du backgrounder. Pour plus d'informations sur les fichiers journaux, consultez Journaux et emplacement des fichiers journaux Tableau Server.

Dépannage de la configuration

Configuration multinœud incorrecte

Dans une configuration multinœud d’Azure Key Vault, la commande tsm security kms status peut signaler un état sain (OK) même si un autre nœud du cluster est incorrectement configuré. Le contrôle d'état de KMS ne crée des rapports que sur le nœud sur lequel le processus Contrôleur d'administration Tableau Server s'exécute. Il ne rend pas compte des autres nœuds du cluster. Par défaut, le service Contrôleur d'administration Tableau Server s'exécute sur le nœud initial du cluster.

Par conséquent, si un autre nœud est incorrectement configuré si bien que Tableau Server ne peut pas accéder à la clé Azure, ces nœuds peuvent signaler des états d'erreur pour divers services, qui ne démarreront pas.

Si certains services ne démarrent pas après que vous avez défini KMS sur le mode « azure », exécutez la commande suivante pour revenir au mode local : tsm security kms set-mode local.

Actualiser la clé Azure

Vous actualisez la clé Azure dans Azure. Il n’y a pas d’intervalle requis ou programmé d’actualisation de clé. Vous pouvez actualiser votre clé en créant une nouvelle version de clé dans Azure. Étant donné que le nom du coffre de clés et le nom de la clé ne changent pas, vous n’avez pas besoin de mettre à jour la configuration KMS sur Tableau Server pour les scénarios d'actualisation de clés Azure courants.

Sauvegarde et restauration à l’aide d’Azure Key Vault

Une sauvegarde serveur peut être effectuée en mode Azure Key Vault sans configuration ni procédure supplémentaire. La sauvegarde contient des copies cryptées des RMK et MEK. Le décryptage des clés nécessite l'accès et le contrôle d’Azure Key Vault.

Dans le cas d'une restauration, le serveur en cours de restauration peut être soit en mode Azure Key Vault, soit en mode KMS local. La seule exigence est que le serveur sur lequel la sauvegarde est restaurée ait accès au Azure Key Vault utilisé par la sauvegarde elle-même.

Merci de vos commentaires !