Checklist per il miglioramento della sicurezza

L’elenco seguente fornisce raccomandazioni per migliorare la sicurezza ("hardening") dell’installazione di Tableau Server.

Installazione degli aggiornamenti di sicurezza

Gli aggiornamenti di sicurezza sono inclusi nelle versioni più recenti e nelle versioni di manutenzione (MR) di Tableau Server. Non è possibile installare gli aggiornamenti di sicurezza come patch. È invece necessario eseguire l’upgrade a una versione corrente o MR per aggiornare Tableau Server con le correzioni di sicurezza più recenti.

Fai sempre riferimento alla versione più recente di questo argomento dopo l’upgrade. La versione corrente include /current/ nell’URL dell’argomento.

Ad esempio, l’URL per la versione italiana è: https://help.tableau.com/current/server/it-it/security_harden.htm.

1. Aggiornare la versione corrente

Ti consigliamo di eseguire sempre la versione più recente di Tableau Server. Inoltre, Tableau pubblica periodicamente le release di manutenzione di Tableau Server che includono correzioni per vulnerabilità di sicurezza note Le informazioni sulle vulnerabilità di sicurezza note sono disponibili nella pagina dei bollettini sulla sicurezza di Tableau e nella pagina degli avvisi sulla sicurezza di Salesforce(Il collegamento viene aperto in una nuova finestra). Ti consigliamo di esaminare le notifiche delle release di manutenzione per stabilire se dovresti installarle.

Per ottenere la versione più aggiornata o di manutenzione di Tableau Server, visita la pagina del Portale clienti(Il collegamento viene aperto in una nuova finestra).

2. Configurare SSL/TLS con un certificato attendibile valido

Secure Sockets Layer (SSL/TLS) è essenziale per proteggere la sicurezza delle comunicazioni con Tableau Server. Configura Tableau Server con un certificato valido e affidabile (non un certificato autofirmato) in modo che Tableau Desktop, dispositivi mobili e client Web possano connettersi al server tramite una connessione sicura. Per maggiori informazioni, consulta SSL.

3. Disattivare versioni precedenti di TLS

Tableau Server usa TLS per autenticare e crittografare molte connessioni tra componenti e con client esterni. Client esterni, ad esempio browser, Tableau Desktop, Tableau Mobile si connettono a Tableau tramite TLS su HTTPS. TLS è una versione migliorata di SSL. In effetti, le versioni precedenti di SSL (SSL v2 e SSL v3) non sono più considerate efficienti standard di comunicazione. Di conseguenza, Tableau Server non consente ai client esterni di utilizzare i protocolli SSL v2 o SSL v3 per connettersi.

È consigliabile consentire ai client esterni di connettersi a Tableau Server solo con TLS v1.3 e TLS v1.2.

TLS v1.2 è ancora considerato un protocollo sicuro e molti client (incluso Tableau Desktop) non supportano ancora TLS v1.3.

I client compatibili con TLS v1.3 negozieranno TLS v1.3 anche se TLS v1.2 è supportato dal server.

Il comando tsm seguente abilita TLS v1.2 e v1.3 (utilizzando il parametro "all") e disabilita SSL v2, SSL v3, TLS v1, and TLS v1.1 (anteponendo il carattere meno [-] a un dato protocollo). TLS v1.3 non è ancora supportato da tutti i componenti di Tableau Server.

tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm pending-changes apply

Per modificare i protocolli che regolano SSL per il repository PostgreSQL di Tableau Server, consulta pgsql.ssl.ciphersuite.

È anche possibile modificare l’elenco predefinito delle suite di crittografia utilizzate da Tableau Server per le sessioni SSL/TLS. Per maggiori informazioni, consulta la sezione ssl.ciphersuite in Opzioni di tsm configuration set.

4. Configurare la crittografia SSL per il traffico interno

Configura Tableau Server per usare SSL per crittografare tutto il traffico tra il repository Postgres e gli altri componenti del server. Per impostazione predefinita, SSL è disabilitato per le comunicazioni tra i componenti del server e il repository. Ti consigliamo di abilitare SSL interno per tutte le istanze di Tableau Server, anche installazioni a server singolo. L’abilitazione di SSL interno è particolarmente importante per le distribuzioni con più server. Consulta Configurare SSL per le comunicazioni interne a Postgres.

5. Attivare la protezione firewall

Tableau Server è stato progettato per operare in una rete interna protetta.

Importante: non eseguire Tableau Server o qualsiasi componente di Tableau Server su Internet o in una DMZ. Tableau Server deve essere eseguito all’interno della rete aziendale protetta da un firewall Internet. Ti consigliamo di configurare una soluzione reverse proxy per i client Internet che devono connettersi a Tableau Server. Consulta Configurazione di proxy e servizi di bilanciamento del carico per Tableau Server.

Per proteggere Tableau Server nelle distribuzioni a nodo singolo e multi-nodo è necessario abilitare un firewall locale sul sistema operativo. In un’installazione distribuita (multinodo) di Tableau Server, la comunicazione tra nodi non avviene in modo sicuro. Sui computer che ospitano Tableau Server è pertanto necessario abilitare i firewall.

Per impedire a un aggressore passivo di osservare le comunicazioni tra i nodi, configura una LAN virtuale separata o un’altra soluzione di sicurezza a livello di rete.

Vedi le Porte di Tableau Services Manager per comprendere quali porte e servizi richiede Tableau Server.

6. Limitare l’accesso al computer server e alle directory importanti

I file di configurazione di Tableau Server e i file di log possono contenere informazioni utili per gli aggressori. Pertanto, limita l’accesso fisico alla macchina su cui è in esecuzione Tableau Server. Inoltre, assicurati che solo gli utenti autorizzati e quelli attendibili abbiano accesso ai file di Tableau Server nella directory C:\ProgramData\Tableau.

7. Aggiornare l’account Utente Esegui come di Tableau Server

Per impostazione predefinita, Tableau Server funziona sotto l’account Windows predefinito di Network Services (NT Authority\Network Service). L’utilizzo dell’account predefinito è accettabile in scenari in cui Tableau Server non si connette a origini dati esterne che richiedono l’autenticazione di Windows. Tuttavia, se gli utenti richiedono l’accesso a origini dati autenticate da Active Directory, aggiorna l’Utente Esegui come a un account di dominio. È importante ridurre al minimo i diritti dell’account utilizzato per l’Utente Esegui come. Per maggiori informazioni, consulta Account servizio Esegui come.

8. Generare segreti e token aggiornati

Qualsiasi servizio di Tableau Server che comunica con il repository o Cache Server deve prima autenticarsi con un token segreto. Il token segreto viene generato durante la configurazione di Tableau Server. La chiave di crittografia che SSL interno utilizza per crittografare il traffico al repository Postgres viene generata anche durante la configurazione.

Dopo aver installato IFM, ti consigliamo di generare nuove chiavi di crittografia per la distribuzione.

Questi risorse di sicurezza possono essere rigenerate con il comando tsm security regenerate-internal-tokens.

Esegui questi comandi:

tsm security regenerate-internal-tokens

tsm pending-changes apply

9. Disattivare i servizi non utilizzati

Per ridurre al minimo la superficie di attacco di Tableau Server, disabilitare i punti di connessione non necessari.

Servizio JMX

JMX è disabilitata per impostazione predefinita. Se è abilitata, ma non è in uso, dovresti disabilitarla utilizzando quanto segue:

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10. Verificare la configurazione della durata della sessione

Per impostazione predefinita, Tableau Server non dispone di un timeout assoluto della sessione. Ciò significa che le sessioni client (Web authoring) basate su browser possono rimanere aperte a tempo indeterminato se il timeout di inattività di Tableau Server non viene superato. Il timeout di inattività predefinito è 240 minuti.

Se i criteri di sicurezza lo richiedono, puoi impostare un timeout assoluto della sessione. Assicurati di impostare il timeout assoluto della sessione su un intervallo che consenta di eseguire le operazioni più lunghe di caricamento delle estrazioni o di pubblicazione delle cartelle di lavoro nell’organizzazione. L’impostazione di un timeout di sessione troppo basso può causare errori di estrazione e pubblicazione per operazioni di lunga durata.

Per impostare il timeout della sessione, esegui questi comandi:

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, dove value è il numero di minuti. Il valore predefinito è 1.440, ovvero 24 ore.

tsm configuration set -k wgserver.session.idle_limit -v value, dove value è il numero di minuti. Il valore predefinito è 240.

tsm pending-changes apply

Le sessioni per i client connessi (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge e token di accesso personali) utilizzano i token OAuth per mantenere gli utenti connessi ristabilendo una sessione. Puoi disabilitare questo comportamento se desideri che tutte le sessioni client Tableau siano gestite esclusivamente dai limiti di sessione basati su browser controllati dai comandi precedenti. Consulta Disattivare l’autenticazione automatica del client.

11. Configurare un elenco di elementi consentiti del server per le origini dati basate su file

A partire dalle versioni di Tableau Server di ottobre 2023, il comportamento predefinito per l’accesso basato su file è cambiato. In precedenza, Tableau Server consentiva agli utenti autorizzati di Tableau Server di creare cartelle di lavoro che utilizzano i file sul server come origini dati basate su file (come i fogli di calcolo). Con le versioni di ottobre 2023, l’accesso ai file archiviati in Tableau o in condivisioni remote deve essere configurato in modo specifico su Tableau Server utilizzando l’impostazione descritta di seguito.

Questa impostazione ti consente di limitare l’accesso da parte dell’Account servizio Esegui come solo alle directory specificate.

Per configurare l’accesso ai file condivisi, devi configurare la funzionalità per l’elenco consentiti. In questo modo, puoi limitare l’account servizio Esegui come solo ai percorsi di directory locali o alle directory condivise in cui sono ospitati i file di dati.

  1. Sul computer con Tableau Server in esecuzione, identifica le directory in cui verranno ospitati i file di origine dati.

    Importante: verifica che i percorsi dei file specificati in questa impostazione esistano e siano accessibili dall’account servizio.

  2. Esegui questi comandi:

    tsm configuration set -k native_api.allowed_paths -v "path", dove path è la directory da aggiungere all’elenco di elementi consentiti. Tutte le sottocartelle del percorso specificato saranno aggiunte all’elenco di elementi consentiti. Devi aggiungere una barra rovesciata finale al percorso specificato. Se desideri specificare più percorsi, separali con un punto e virgola, come in questo esempio:

    tsm configuration set -k native_api.allowed_paths -v "c:\datasources;\\HR\data\"

    tsm pending-changes apply

12. Attivare HTTP Strict Transport Security per i client dei browser Web

HTTP Strict Transport Security (HSTS) è una policy configurata su servizi applicativi Web, come Tableau Server. Quando un browser conforme incontra un’applicazione Web che esegue HSTS, tutte le comunicazioni con il servizio devono avvenire tramite una connessione protetta (HTTPS). HSTS è supportata dai browser principali.

Per maggiori informazioni su come funziona e i browser che li supportano, consulta la pagina Web Open Web Application Security Project Web Page, HTTP Strict Transport Security Cheat Sheet(Il collegamento viene aperto in una nuova finestra).

Per abilitare HSTS, esegui i comandi seguenti in Tableau Server:

tsm configuration set -k gateway.http.hsts -v true

Per impostazione predefinita, la politica HSTS è fissata per un anno (31536000 secondi). Questo periodo di tempo specifica la quantità di tempo in cui il browser accederà al server tramite HTTPS. Dovresti prendere in considerazione l’impostazione di una breve età massima durante l’implementazione iniziale di HSTS. Per modificare questo intervallo di tempo, esegui tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Ad esempio, per impostare il periodo di tempo per il criterio HSTS su 30 giorni, immetti tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.

tsm pending-changes apply

13. Disattivare l’accesso Guest

Le licenze basate su core di Tableau Server includono un’opzione utente Guest, che consente a qualsiasi utente dell’organizzazione di vedere e interagire con le visualizzazioni di Tableau incorporate nelle pagine Web.

L’accesso Guest è abilitato per impostazione predefinita sui server Tableau distribuiti con licenze basate su core.

L’accesso Guest consente agli utenti di visualizzare le viste incorporate. L’utente Guest non può navigare nell’interfaccia di Tableau Server o visualizzare gli elementi dell’interfaccia server presenti nella vista come il nome utente, le impostazioni dell’account, i commenti e così via.

Se l’organizzazione ha distribuito Tableau Server con licenza core e non è richiesto l’accesso Guest, disabilita l’accesso Guest.

Puoi disabilitare l’accesso Guest a livello di server o di sito.

È necessario che tu sia un amministratore del server per disabilitare l’account Guest a livello di server o di sito.

Per disabilitare l’accesso Guest a livello server:

  1. Nel menu del sito, fai clic su Gestisci tutti i siti, quindi su Impostazioni > Generale.

  2. Per Accesso Guest, deseleziona la casella di controllo Abilita account Guest.

  3. Fai clic su Salva.

Per disabilitare l’accesso Guest a un sito:

  1. Nel menu del sito, seleziona un sito.

  2. Fai clic su Impostazioni e, nella pagina Impostazioni, deseleziona la casella di controllo Abilita account Guest.

Per maggiori informazioni, consulta Utente Guest.

14. Impostare l’intestazione HTTP del criterio Referrer-Policy su 'same-origin'

A partire dalla versione 2019.2, Tableau Server include la possibilità di configurare il comportamento dell’intestazione HTTP del criterio Referrer-Policy. Questo criterio è abilitato con un comportamento predefinito che includerà l’URL di origine per tutte le connessioni "sicure" (no-referrer-when-downgrade), dove vengono inviate informazioni sul referrer di origine solo a connessioni simili (da HTTP a HTTP) o a quelle più sicure (da HTTP a HTTPS).

Tuttavia, si consiglia di impostare questo valore su same-origin, che invia le informazioni del referrer solo alle origini dello stesso sito. Le richieste provenienti dall’esterno del sito non riceveranno informazioni sul referrer.

Per impostare il criterio referrer-policy su same-origin, esegui questi comandi:

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

Per maggiori informazioni sulla configurazione di intestazioni aggiuntive per migliorare la sicurezza, consulta Intestazioni di risposta HTTP.

15. Configurare TLS per la connessione SMTP

A partire dalla versione 2019.4, Tableau Server include la possibilità di configurare TLS per la connessione SMTP. Tableau Server supporta solo STARTTLS (TLS opportunistico o esplicito).

Tableau Server può anche essere configurato per la connessione a un server di posta. Dopo la configurazione di SMTP, Tableau Server può essere configurato per inviare e-mail di notifica agli amministratori dei server sugli errori di sistema e informare gli utenti dei server in merito alle viste sottoscritte e agli avvisi basati sui dati.

Per configurare TLS per SMTP:

  1. Carica un certificato compatibile in Tableau Server. Consulta tsm security custom-cert add.
  2. Configura la connessione TLS utilizzando la CLI di TSM.

    Esegui i seguenti comandi TSM per abilitare e forzare le connessioni TLS al server SMTP e abilitare la verifica del certificato.

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    Per impostazione predefinita, Tableau Server supporta le versioni TLS 1, 1.1 e 1.2, ma è consigliabile specificare la versione TLS più alta supportata dal server SMTP.

    Esegui il comando seguente per impostare la versione. I valori consentiti sono SSLv2Hello, SSLv3, TLSv1, TLSv1.1 e TLSv1.2. Il seguente esempio imposta la versione di TLS sulla versione 1.2.:

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    Per maggiori informazioni sulle opzioni di configurazione di TLS, consulta Configurare l’impostazione SMTP.

  3. Riavvia Tableau Server per applicare le modifiche. Esegui questo comando:

    tsm pending-changes apply

16. Configurare SSL per LDAP

Se l’installazione di Tableau Server è configurata per l’utilizzo di un archivio identità esterno LDAP generico, è consigliabile configurare SSL per proteggere l’autenticazione tra Tableau Server e il server LDAP. Vedi Configurare il canale crittografato per l’archivio identità esterno LDAP.

Se l’installazione di Tableau Server è configurata per l’utilizzo di Active Directory, è consigliabile abilitare Kerberos per proteggere il traffico di autenticazione. Vedi Kerberos.

17. Autorizzazioni di ambito per i percorsi di installazione non predefiniti

Se installi Tableau Server su Windows in un percorso non predefinito, è consigliabile specificare manualmente le autorizzazioni per la directory di installazione personalizzata per ridurre l’accesso.

Per impostazione predefinita, Tableau Server verrà installato nel drive di sistema. Il drive in cui è installato Windows è il drive di sistema. Nella maggior parte dei casi il drive di sistema è C:\. In questo caso predefinito, Tableau Server verrà installato nelle directory seguenti:

  • C:\Program Files\Tableau\Tableau Server\packages

  • C:\ProgramData\Tableau\Tableau Server

Tuttavia, molti clienti eseguono l’installazione in un’unità non di sistema o in una directory diversa. Se hai selezionato un’unità di installazione o un percorso di directory diverso durante l’installazione, la directory dati per Tableau Server verrà installata nello stesso percorso.

Per definire l’ambito delle autorizzazioni per la directory di installazione personalizzata, solo gli account seguenti devono disporre delle autorizzazioni corrispondenti per la cartella di installazione e tutte le sottocartelle:

Imposta autorizzazioni per questo account:Autorizzazioni richieste
Account utente utilizzato per installare ed eseguire l’upgrade di Tableau ServerControllo completo
Account utente utilizzato per eseguire i comandi TSMControllo completo
Account di sistemaControllo completo
Account di servizio Esegui come, Servizio di rete e Servizio localeLettura ed esecuzione

Una procedura per l’impostazione di queste autorizzazioni è disponibile in Installazione in una posizione non predefinita.

Modificare un elenco

DateChange
May 2018Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019Added recommendation for referrer-policy HTTP header.
June 2019Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Cosa è cambiato - Cose da sapere prima dell’aggiornamento.
January 2020Added recommendation to configure TLS for SMTP.
February 2020Added recommendation to configure SSL for LDAP server.
May 2020Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
August 2020Added scoped permissions for non-default installations on Windows
October 2020Added TLS v1.3 as a default supported cipher.
January 2021Added clarification: All products enabled by the Data Management license require REST API.
February 2021Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality.
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!