ネットワーク セキュリティ
Tableau Server には 3 つの主要なネットワーク インターフェイスがあります。
クライアントから Tableau Server へ: クライアントとして、Web ブラウザー、Tableau Mobile、Tableau Desktop、または tabcmd ユーティリティを指定できます。
Tableau Server からデータベースへ: データ抽出を更新するか、稼働中のデータベース接続を処理するには、Tableau Server はデータベースと通信する必要があります。
サーバー コンポーネント通信: これは分散展開の場合にのみ適用されます。
ほとんどの組織では、Tableau Server を構成してインターネットおよび SMTP サーバーとも通信します。
クライアントから Tableau Server へ
Tableau Server クライアントとして Web ブラウザー、Tableau Mobile、Tableau Desktop、または tabcmd コマンドを実行するデバイスを指定できます。Tableau Server とそのクライアント間の通信では、標準の HTTP 要求と応答が使用されます。すべての通信に HTTPS を使用するよう Tableau Server を構成することをお勧めします。Tableau Server を SSL 用に構成する場合、クライアント間のすべてのコンテンツと通信は SSL を使用して暗号化され、要求と応答には HTTPS プロトコルを使用します。
既定では、パスワードは、1024 ビットの公開/秘密キーの暗号化を使用してブラウザーおよび tabcmd から Tableau Server に通信されます。このレベルの暗号化は、セキュアな通信には不十分であると見なされます。さらに、この方法では、公開キーが明確かつネットワーク レイヤー認証なしで送信されるため、中間者攻撃の影響を受けやすくなります。
クライアントから Tableau Server へのネットワーク トラフィックを適切に保護するには、信頼できる認証機関からの証明書で SSL を設定する必要があります。
Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成するを参照してください。
インターネットからのクライアント アクセス
ゲートウェイ プロキシ サーバーでインターネットから Tableau Server へのセキュア クライアント アクセスを有効にすることをお勧めします。Tableau Server を DMZ や、その他の保護されている内部ネットワークの外で実行することはお勧めしません。
SSL を有効にしたリバース プロキシ サーバーが、インターネットからのすべてのインバウンド トラフィックを処理するよう構成します。このシナリオでは、リバース プロキシは Tableau Server が通信する唯一の外部 IP アドレス (または複数のリバース プロキシでインバウンド リクエストのロード バランシングを行う場合はアドレスの範囲) です。リバース プロキシは要求側クライアントに対して透過的なため、Tableau Server ネットワーク情報を難読化し、クライアント構成を簡素化します。
設定の詳細については、Tableau Server のプロキシとロード バランサーの設定を参照してください。
クリックジャック保護
既定では、Tableau Server はクリックジャック保護を有効にしています。これにより、攻撃者がユーザーを誘い込んでリンクをクリックし、情報を入力させるよう、無害に見えるページの上に透明バージョンのページを重ねる、特定の種類の攻撃を防止するのに役立ちます。クリックジャック保護が有効な場合、Tableau Server は埋め込みビューに特定の制限をかけます。詳細については、クリックジャック保護を参照してください。
Tableau Server からデータベースへ
Tableau Server はデータベースへの動的接続を行って、結果セットを処理し、抽出を更新します。また、可能な限りデータベースへの接続にネイティブ ドライバーを使用します。ネイティブ ドライバーが使用できないときは、汎用 ODBC アダプターを使用します。データベースへのすべての通信は、これらのドライバーを通じてルーティングされます。この場合、標準以外のポートで通信するように、またはトランスポートの暗号化を提供するようにドライバーを構成する作業は、ネイティブ ドライバーのインストール作業に含まれます。このタイプの構成は Tableau に対して透過的です。
ユーザーが Tableau Server で外部データ ソースの認証資格情報を保存している場合、それらの情報は Tableau Server の内部データベースに暗号化して保存されます。プロセスがそれらの認証資格情報を使用して外部データ ソースをクエリする場合、プロセスは内部データベースから暗号化された認証資格情報を取得して、進行中に暗号を解読します。
Tableau Server からインターネットへ
場合によっては Tableau マップ サーバーなどの外部データ ソースにユーザーが接続し、Tableau Server がインターネットに接続する必要があります。Tableau のすべてのコンポーネントを保護されているネットワーク内で実行することをお勧めします。したがって、インターネットに接続するには、フォワード プロキシを使用するよう Tableau Server の設定が必要な場合があります。
Tableau Server から SMTP サーバーへ
Tableau Server を構成して、イベント通知を管理者やユーザーに送信できます。バージョン 2019.4 の時点で、Tableau Server は SMTP 接続の TLS をサポートしています。SMTP セットアップの構成を参照してください。
リポジトリとの通信
Postgres リポジトリと他のサーバー コンポーネントとの間のすべてのトラフィックに対して SSL (セキュア ソケット レイヤー) 暗号化通信を使用するように Tableau Server を構成できます。デフォルトでは、SSL はサーバー コンポーネントとリポジトリとの間の通信について無効になっています。
詳細については、内部 Postgres 通信用に SSL を設定するを参照してください。
詳細については、tsm security repository-ssl enableを参照してください
クラスタ内のサーバー コンポーネント通信
分散サーバーのインストールで Tableau Server コンポーネント間の通信には、信頼と送信という 2 つの要素があります。Tableau クラスタ内の各サーバーは、厳格な信頼モデルを使用して、クラスタ内のその他のサーバーから有効な要求を受け取っていることを確認します。ゲートウェイ プロセスを実行しているクラスタ内のコンピューターは、負荷分散装置が転送 (この場合、負荷分散装置が要求を受け取ります) しない限り、サード パーティ (クライアント) からの要求を受け入れます。ゲートウェイ プロセスを実行していないサーバーは、クラスタのその他の信頼できるメンバーからの要求のみを受け入れます。信頼は、IP アドレス、ポート、およびプロトコルの承認リストによって確立されます。これらのうちいずれかが無効である場合、要求は無視されます。クラスタのすべてのメンバーは互いに通信できます。
ユーザーが Tableau Server で外部データ ソースの認証資格情報を保存している場合、それらの情報は Tableau Server の内部データベースに暗号化して保存されます。プロセスがそれらの認証資格情報を使用して外部データ ソースをクエリする場合、プロセスは内部データベースから暗号化された認証資格情報を取得して、進行中に暗号を解読します。