Sécurité du réseau
Il existe trois interfaces réseau principales dans Tableau Server :
Client vers Tableau Server : le client peut être un navigateur Web, Tableau Mobile, Tableau Desktop ou l’utilitaire tabcmd.
Tableau Server vers votre ou vos bases de données : pour actualiser les extraits de données ou gérer les connexions aux bases de données en direct, Tableau Server doit communiquer avec votre ou vos bases de données.
Communication du composant serveur : cela ne s’applique qu’aux déploiements distribués.
Dans la plupart des entreprises, Tableau Server est également configuré pour communiquer avec Internet et avec un serveur SMTP.
Client vers Tableau Server
Un client Tableau Server peut être un navigateur Web, un périphérique exécutant Tableau Mobile, Tableau Desktop ou des commandes tabcmd. Les communications entre Tableau Server et ses clients utilisent des requêtes et réponses HTTP standard. Nous vous recommandons de configurer Tableau Server pour HTTPS pour toutes les communications. Lorsque Tableau Server est configuré pour SSL, l’ensemble du contenu et des communications entre les clients est chiffré à l’aide de SSL, et le protocole HTTPS est utilisé pour les requêtes et les réponses.
Par défaut, les mots de passe sont communiqués depuis les navigateurs et tabcmd à Tableau Server à l’aide du chiffrement à clé publique/privée de 1024 bits. Ce niveau de cryptage n’est pas considéré comme suffisamment robuste pour les communications sécurisées. En outre, cette méthode, où une clé publique est envoyée au destinataire en clair et sans authentification de la couche réseau, est susceptible d’attaques de type "man-in-the-middle".
Pour sécuriser correctement le trafic réseau depuis des clients vers Tableau Server, vous devez configurer SSL avec un certificat émis par une autorité de certification approuvée.
Voir Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server.
Accès client depuis Internet
Nous vous recommandons d’utiliser un serveur proxy de passerelle pour sécuriser l’accès client depuis Internet sur votre Tableau Server. Nous vous déconseillons d’exécuter Tableau Server dans un DMZ ou alternativement à l’extérieur de votre réseau protégé interne.
Configurez un serveur proxy inverse, avec SSL activé, pour gérer tout le trafic entrant depuis Internet. Dans ce scénario, le proxy inverse est la seule adresse IP externe (ou une plage d’adresses si plusieurs proxies inverses sont des demandes entrantes d’équilibrage de charge) avec laquelle Tableau Server communiquera. Les proxies inverses sont transparents pour les clients demandeurs, ce qui brouille les informations réseau Tableau Server et simplifie la configuration des clients.
Pour des informations de configuration, voir Configuration des serveurs proxy et des équilibreurs de charge pour Tableau Server.
Protection contre les détournements de clics
Par défaut, la protection contre le détournement de clic est activée sur Tableau Server. Elle vise à empêcher certains types d’attaques où l’attaquant superpose une version transparente d’une page sur une page d’apparence inoffensive pour inciter un utilisateur à cliquer sur des liens ou à saisir des informations. Lorsque la protection contre le détournement de clic est activée, Tableau Server impose certaines restrictions sur l’incorporation de vues. Pour plus d’informations, consultez Protection contre les détournements de clics.
Tableau Server vers votre base de données
Tableau Server effectue des connexions dynamiques vers les bases de données pour traiter des ensembles de résultats et actualiser les extraits. Il utilise des pilotes natifs pour se connecter aux bases de données dès que cela est possible, et s’appuie sur un adaptateur ODBC générique lorsque les pilotes natifs sont indisponibles. Toutes les communications vers la base de données sont acheminées via ces pilotes. Ainsi, la configuration du pilote pour communiquer sur des ports non standard ou pour fournir un cryptage transport fait partie de l’installation du pilote natif. Ce type de configuration est transparent au niveau de Tableau.
Lorsqu’un utilisateur enregistre des informations d’identification pour des sources de données externes dans Tableau Server, elles sont enregistrées chiffrées dans la base de données interne de Tableau Server. Lorsqu’un processus utilise ces informations d’identification pour interroger la source de données externe, le processus récupère les informations d’identification chiffrées dans la base de données interne et les déchiffre.
Tableau Server connecté à Internet
Dans certains cas, lorsque les utilisateurs se connectent à des sources de données externes, par exemple les serveurs de carte Tableau Server, Tableau Server a besoin de se connecter à Internet. Nous vous recommandons d’exécuter tous les composants de Tableau à l’intérieur de votre réseau protégé. Les connexions à Internet peuvent donc nécessiter que vous configuriez Tableau Server de manière à utiliser un proxy de transfert.
Serveur Tableau vers un serveur SMTP
Vous pouvez configurer Tableau Server pour qu’il envoie des notifications d’événement aux administrateurs et aux utilisateurs. Depuis la version 2019.4, Tableau Server prend en charge TLS pour la connexion SMTP. Consultez Configurer les paramètres SMTP.
Communication avec le référentiel
Vous pouvez configurer Tableau Server pour qu’il utilise les communications SSL (Secure Sockets Layer) pour les communications cryptées sur l’ensemble du trafic entre le référentiel Postgres et les autres composants du serveur. Par défaut, SSL est désactivé pour les communications entre les composants du serveur et le référentiel.
Pour plus d’informations, consultez Configurer SSL pour la communication Postgres interne.
Pour plus d’informations, consultez tsm security repository-ssl enable
Communication du composant serveur dans un cluster
La communication entre les composants Tableau Server dans l’installation d’un serveur distribué comprend deux aspects : la confiance et la transmission. Chaque serveur dans un cluster Tableau utilise un modèle de confiance rigoureux afin de s’assurer qu’il reçoit des requêtes valides des autres serveurs du cluster. Les ordinateurs du cluster exécutant un processus de passerelle acceptent les requêtes des parties tierces (clients), sauf si un équilibreur de charge les précède, auquel cas les requêtes sont réceptionnées par l’équilibreur de charge. Les serveurs qui n’exécutent pas de processus de passerelle n’acceptent que les requêtes provenant des autres membres de confiance du cluster. La confiance est établie par une liste autorisée d’adresses IP, de ports et de protocoles. Si l’un des éléments précédents est invalide, la requête est ignorée. Tous les membres du cluster peuvent communiquer entre eux.
Lorsqu’un utilisateur enregistre des informations d’identification pour des sources de données externes dans Tableau Server, elles sont enregistrées chiffrées dans la base de données interne de Tableau Server. Lorsqu’un processus utilise ces informations d’identification pour interroger la source de données externe, le processus récupère les informations d’identification chiffrées dans la base de données interne et les déchiffre.