Controlelijst voor het versterken van de beveiliging

De volgende lijst bevat aanbevelingen voor het verbeteren van de beveiliging ('hardening') van uw Tableau Server-installatie.

Beveiligingsupdates installeren

Beveiligingsupdates zijn opgenomen in de nieuwste versies en onderhoudsreleases (MR) van Tableau Server. U kunt beveiligingsupdates niet als patches installeren. In plaats daarvan moet u upgraden naar een actuele versie of MR om Tableau Server bij te werken met de nieuwste beveiligingsoplossingen.

Raadpleeg na het upgraden altijd de meest recente versie van dit onderwerp. De huidige versie bevat /current/ in de onderwerp-URL.

De URL van de Amerikaanse versie is bijvoorbeeld: https://help.tableau.com/current/server/nl-nl/security_harden.htm.

1. Een update uitvoeren naar de huidige versie

We raden aan om altijd de nieuwste versie van Tableau Server uit te voeren. Daarnaast publiceert Tableau periodiek onderhoudsreleases van Tableau Server met oplossingen voor bekende beveiligingsproblemen. (Informatie over bekende beveiligingsproblemen vindt u op de Tableau -pagina Veiligheidsbulletins en de pagina Salesforce-beveiligingsadviezen(Link wordt in een nieuw venster geopend).) Wij raden u aan de meldingen van onderhoudsreleases te bekijken om te bepalen of u deze moet installeren.

Bezoek de pagina Klantenportaal(Link wordt in een nieuw venster geopend) voor de nieuwste versie of onderhoudsrelease van Tableau Server.

2. SSL/TLS configureren met een geldig, vertrouwd certificaat

SSL/ TLS (Secure Sockets Layer) is essentieel voor het beschermen van de veiligheid van communicatie met Tableau Server. Configureer Tableau Server met een geldig, vertrouwd certificaat (geen zelfondertekend certificaat), zodat Tableau Desktop, mobiele apparaten en webclients via een beveiligde verbinding met de server kunnen communiceren. Zie SSL voor meer informatie.

3. Oudere versies van TLS uitschakelen

Tableau Server gebruikt TLS om veel verbindingen tussen componenten en met externe clients te verifiëren en te versleutelen. Externe clients, zoals browsers, Tableau Desktop en Tableau Mobile, maken verbinding met Tableau via TLS over HTTPS. TLS (Transport Layer Security) is een verbeterde versie van SSL. Sterker nog, oudere versies van SSL (SSL v2 en SSL v3) worden niet langer beschouwd als veilige communicatiestandaarden. Als gevolg hiervan staat Tableau Server niet toe dat externe clients de protocollen SSL v2 of SSL v3 gebruiken om verbinding te maken.

Wij raden u aan om externe clients verbinding te laten maken met Tableau Server met TLS v1.3 en TLS v1.2.

TLS v1.2 wordt nog steeds gezien als een veilig protocol en veel clients (waaronder Tableau Desktop) ondersteunen TLS v1.3 nog niet.

Clients die TLS v1.3 ondersteunen kunnen communiceren via TLS v1.3, zelfs als TLS v1.2 door de server wordt ondersteund.

Met de volgende tsm-opdracht worden TLS v1.2 en v1.3 ingeschakeld (met behulp van de parameter 'all') en worden SSL v2, SSL v3, TLS v1 en TLS v1.1 uitgeschakeld (door het minteken [-] vóór een bepaald protocol te plaatsen). TLS v1.3 wordt nog niet door alle componenten van Tableau Server ondersteund.

tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm pending-changes apply

Zie pgsql.ssl.ciphersuite voor het wijzigen van de protocollen die SSL voor de Tableau Server PostgreSQL-repository beheren.

U kunt ook de standaardlijst met cipher-suites wijzigen die Tableau Server gebruikt voor SSL/TLS-sessies. Zie het gedeelte ssl-ciphersuite bij tsm configuration set-opties.

4. SSL-codering configureren voor intern verkeer

Configureer Tableau Server om SSL te gebruiken om al het verkeer tussen de Postgres-repository en andere servercomponenten te versleutelen. Standaard is SSL uitgeschakeld voor communicatie tussen servercomponenten en de repository. Wij raden aan om interne SSL in te schakelen voor alle exemplaren van Tableau Server, zelfs voor installaties op één server. Het inschakelen van interne SSL is vooral belangrijk bij implementaties met meerdere knooppunten. Zie SSL configureren voor interne Postgres-communicatie.

5. Firewallbeveiliging inschakelen

Tableau Server is speciaal ontworpen om binnen een beveiligd intern netwerk te werken.

Belangrijk: Voer Tableau Server of componenten van Tableau Server niet uit op internet of in een DMZ-zone. Tableau Server moet worden uitgevoerd binnen het bedrijfsnetwerk dat wordt beschermd door een internetfirewall. Wij raden aan een reverse proxy-oplossing te configureren voor internetclients die verbinding moeten maken met Tableau Server. Zie Proxy's en loadbalancers configureren voor Tableau Server.

Er moet een lokale firewall op het besturingssysteem zijn ingeschakeld om Tableau Server te beschermen bij implementaties met één of meerdere knooppunten. In een gedistribueerde installatie (met meerdere knooppunten) van Tableau Server is de communicatie tussen knooppunten niet beveiligd. Daarom moet u firewalls inschakelen op de computers waarop Tableau Server wordt gehost.

Om te voorkomen dat een passieve aanvaller de communicatie tussen knooppunten kan observeren, configureert u een gescheiden virtueel LAN of een andere beveiligingsoplossing op netwerklaagniveau.

Zie Tableau Services Manager-poorten voor inzicht in de poorten en services die Tableau Server nodig heeft.

6. De toegang tot de servercomputer en tot belangrijke mappen beperken

Configuratiebestanden en logbestanden van Tableau Server kunnen informatie bevatten die waardevol is voor een aanvaller. Beperk daarom de fysieke toegang tot de machine waarop Tableau Server draait. Zorg er daarnaast voor dat alleen geautoriseerde en vertrouwde gebruikers toegang hebben tot de Tableau Server-bestanden in de directory C:\ProgramData\Tableau.

7. Het 'Uitvoeren als gebruiker'-account van Tableau Server bijwerken

Tableau Server wordt standaard uitgevoerd onder het vooraf gedefinieerde Windows-account Network Services (NT Authority\Network Service). Het gebruik van het standaardaccount is acceptabel in scenario's waarin Tableau Server geen verbinding hoeft te maken met externe databronnen waarvoor Windows-verificatie vereist is. Als uw gebruikers echter toegang nodig hebben tot databronnen die door Active Directory worden geverifieerd, werkt u het account 'Uitvoeren als gebruiker' bij naar een domeinaccount. Het is belangrijk om de rechten van het account dat u voor 'Uitvoeren als gebruiker' toepast, te minimaliseren. Zie 'Uitvoeren als service'-account voor meer informatie.

8. Nieuwe geheimen en tokens genereren

Elke Tableau Server-service die communiceert met de repository of cacheserver moet zich eerst verifiëren met een geheim token. Het geheime token wordt gegenereerd tijdens de installatie van Tableau Server. De encryptiesleutel die interne SSL gebruikt om verkeer naar de Postgres-repository te versleutelen, wordt ook gegenereerd tijdens de installatie.

Wij raden u aan om na de installatie van Tableau Server nieuwe encryptiesleutels voor uw implementatie te genereren.

Deze beveiligingsmiddelen kunnen worden geregenereerd met de opdrachttsm security regenerate-internal-tokens.

Voer de volgende opdrachten uit:

tsm security regenerate-internal-tokens

tsm pending-changes apply

9. Niet-gebruikte services uitschakelen

Om het aanvalsoppervlak van Tableau Server te minimaliseren, schakelt u alle verbindingspunten uit die niet nodig zijn.

JMX-service

JMX is standaard uitgeschakeld. Als de functie is ingeschakeld maar u deze niet gebruikt, kunt u deze als volgt uitschakelen:

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10. Configuratie voor levensduur van de sessie verifiëren

Tableau Server heeft standaard geen absolute time-out voor een sessie. Dit betekent dat clientsessies via browsers (webauthoring) onbeperkt open kunnen blijven zolang de time-out voor inactiviteit van Tableau Server niet wordt overschreden. De standaardwaarde voor de time-out is 240 minuten.

Als uw beveiligingsbeleid dit vereist, kunt u een absolute time-out instellen. Zorg dat u de absolute time-out voor de sessie instelt op een bereik dat geen problemen oplevert voor de langstlopende uploads van extracten, of publicatiebewerkingen voor werkmappen in uw organisatie. Als u de time-out te laag instelt, kan dit leiden tot fouten bij het extraheren en publiceren van langlopende bewerkingen.

Als u de time-out wilt instellen, voert u de volgende opdrachten uit:

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, waarbij value (waarde) staat voor het aantal minuten. De standaardwaarde is 1440. Dit staat voor 24 uur.

tsm configuration set -k wgserver.session.idle_limit -v value, waarbij value (waarde) staat voor het aantal minuten. De standaardwaarde is 240.

tsm pending-changes apply

Sessies voor verbonden clients (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge en persoonlijke toegangstokens) gebruiken OAuth-tokens om gebruikers aangemeld te houden door een sessie opnieuw tot stand te brengen. U kunt dit gedrag uitschakelen als u wilt dat alle Tableau-clientsessies uitsluitend worden beheerd door de limieten voor browsersessies die worden beheerd met de bovenstaande opdrachten. Zie Automatische clientverificatie uitschakelen.

11. Een server-toelatingslijst configureren voor databronnen die zijn gebaseerd op bestanden

Vanaf de releases van Tableau Server van oktober 2023 is het standaardgedrag gewijzigd voor toegang op basis van bestanden. Voorheen konden geautoriseerde Tableau Server-gebruikers werkmappen bouwen die bestanden op de server gebruiken als op bestanden gebaseerde databronnen (zoals spreadsheets). Vanaf de releases van oktober 2023 moet de toegang tot bestanden die zijn opgeslagen op Tableau of op externe shares, specifiek worden geconfigureerd op Tableau Server met behulp van de hier beschreven instelling.

Met deze instelling kunt u de toegang beperken door het 'Uitvoeren als service'-account alleen toe te staan voor de mappen die u opgeeft.

Om toegang tot gedeelde bestanden te configureren, moet u de functionaliteit van de toelatingslijst configureren. Hiermee kunt u het 'Uitvoeren als service'-account beperken tot de lokale directorypaden of gedeelde directory's waarin u databestanden host.

  1. Op de computer waarop Tableau Server wordt uitgevoerd, moet u de mappen identificeren waarin u de databronbestanden wilt hosten.

    Belangrijk: Zorg dat de bestandspaden die u in deze instelling opgeeft, bestaan en toegankelijk zijn voor het serviceaccount.

  2. Voer de volgende opdrachten uit:

    tsm configuration set -k native_api.allowed_paths -v "path", waar ‘path’ de map is die moet worden toegevoegd aan de toelatingslijst. Alle submappen van het opgegeven pad worden aan de toelatingslijst toegevoegd. U moet een afsluitende backslash (\) aan het opgegeven pad toevoegen. Als u meerdere paden wilt opgeven, scheidt u deze met een puntkomma, zoals in dit voorbeeld:

    tsm configuration set -k native_api.allowed_paths -v "c:\datasources;\\HR\data\"

    tsm pending-changes apply

12. HSTS-protocol (HTTP Strict Transport Security) inschakelen voor webbrowserclients

Het HSTS-protocol is een beleid dat is geconfigureerd op webtoepassingsservices, zoals Tableau Server. Wanneer een conforme browser een webapplicatie tegenkomt die HSTS uitvoert, moet alle communicatie met de service via een beveiligde (HTTPS-)verbinding verlopen. HSTS wordt ondersteund door de belangrijkste browsers.

Zie de webpagina van het Open Web Application Security Project, HTTP Strict Transport Security-cheatsheet(Link wordt in een nieuw venster geopend) voor meer informatie over hoe HSTS werkt en de browsers die het ondersteunen.

Om HSTS in te schakelen, voert u de volgende opdrachten uit op Tableau Server:

tsm configuration set -k gateway.http.hsts -v true

Standaard is het HSTS-beleid ingesteld op één jaar (31.536.000 seconden). Deze tijdsperiode geeft de hoeveelheid tijd aan waarin de browser via HTTPS toegang krijgt tot de server. U kunt overwegen om een korte maximumleeftijd in te stellen tijdens de eerste uitrol van HSTS. Om deze tijdsperiode te wijzigen, voert u het volgende uit: tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Om bijvoorbeeld de HSTS-beleidsperiode op 30 dagen in te stellen, voert u het volgende in: tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.

tsm pending-changes apply

13. Gasttoegang uitschakelen

Op core gebaseerde licenties van Tableau Server bevatten een gastoptie, waarmee elke gebruiker in uw organisatie Tableau-weergaven kan bekijken en gebruiken die in webpagina's zijn ingesloten.

Gasttoegang is standaard ingeschakeld op Tableau-servers die zijn geïmplementeerd met core-licenties.

Met gasttoegang kunnen gebruikers ingesloten weergaven bekijken. De gastgebruiker kan niet door de Tableau Server-interface bladeren en ook geen elementen van de serverinterface in de weergave zien, zoals de gebruikersnaam, accountinstellingen, opmerkingen, enzovoort.

Als uw organisatie Tableau Server met core-licenties heeft geïmplementeerd en gasttoegang niet vereist is, schakelt u gasttoegang uit.

U kunt gasttoegang uitschakelen op server- of siteniveau.

U moet een serverbeheerder zijn om het gastaccount op server- of siteniveau uit te schakelen.

Ga als volgt te werk om gasttoegang op serverniveau uit te schakelen:

  1. Klik in het sitemenu op Alle sites beheren en vervolgens op Instellingen > Algemeen.

  2. Bij Gasttoegang schakelt u het selectievakje Gastaccount inschakelen uit.

  3. Klik op Opslaan.

Gasttoegang uitschakelen voor een site:

  1. Selecteer een site in het sitemenu.

  2. Klik op Instellingen en schakel op de pagina Instellingen het selectievakje Gastaccount inschakelen uit.

Zie Gastgebruiker voor meer informatie.

14. De HTTP-koptekst van het 'referrer'-verwijzingsbeleid instellen op 'same-origin'

Vanaf 2019.2 biedt Tableau Server de mogelijkheid om het gedrag van HTTP-kopteksten voor het 'referrer'-verwijzingsbeleid te configureren. Dit beleid is ingeschakeld met een standaardgedrag waarbij de oorspronkelijke URL voor alle 'beveiligd als'-verbindingen wordt opgenomen (no-referrer-when-downgrade), en waarbij de oorspronkelijke referrer-informatie alleen naar vergelijkbare verbindingen (HTTP naar HTTP) of naar veiligere verbindingen (HTTP naar HTTPS) wordt verstuurd.

Wij raden echter aan om deze waarde in te stellen op same-origin, zodat referrer-informatie alleen naar een site met dezelfde oorsprong wordt gestuurd. Aanvragen van buiten de site ontvangen geen referrer-informatie.

Om het referrer-verwijzingsbeleid bij te werken naar same-origin, voert u de volgende opdrachten uit:

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

Zie HTTP-responskopteksten voor meer informatie over het configureren van extra kopteksten om de beveiliging te verbeteren.

15. TLS configureren voor SMTP-verbinding

Vanaf 2019.4 bevat Tableau Server de mogelijkheid om TLS te configureren voor de SMTP-verbinding. Tableau Server ondersteunt alleen STARTTLS (opportunistische of expliciete TLS).

Tableau Server kan optioneel worden geconfigureerd om verbinding te maken met een mailserver. Na de configuratie kan Tableau Server worden geconfigureerd om e-mailberichten over systeemfouten te sturen naar beheerders, en om e-mailberichten over geabonneerde weergaven en datagestuurde meldingen te sturen naar servergebruikers.

TLS voor SMTP te configureren:

  1. Upload een compatibel certificaat naar Tableau Server. Zie tsm security custom-cert add.
  2. Configureer de TLS-verbinding met behulp van TSM CLI.

    Voer de volgende TSM-opdrachten uit om TLS-verbindingen met de SMTP-server in te schakelen en om het inschakelen van certificaatverificatie af te dwingen.

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    Standaard ondersteunt Tableau Server TLS-versies 1, 1.1 en 1.2, maar we raden u aan de hoogste TLS-versie op te geven die de SMTP-server ondersteunt.

    Voer de volgende opdracht uit om de versie in te stellen. Geldige waarden zijn SSLv2Hello, SSLv3, TLSv1, TLSv1.1 en TLSv1.2. In het volgende voorbeeld wordt de TLS-versie ingesteld op versie 1.2:

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    Zie SMTP-instellingen configureren voor meer informatie over het configureren van TLS.

  3. Start Tableau Server opnieuw op om de wijzigingen toe te passen. Voer de volgende opdracht uit:

    tsm pending-changes apply

16. SSL configureren voor LDAP

Als uw Tableau Server-implementatie is geconfigureerd voor het gebruik van een generieke externe LDAP-identiteitenarchief, raden we u aan SSL te configureren om de authenticatie tussen Tableau Server en uw LDAP-server te beschermen. Zie Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren.

Als uw Tableau Server-implementatie is geconfigureerd voor het gebruik van Active Directory, raden wij u aan Kerberos in te schakelen om het authenticatieverkeer te beveiligen. Zie Kerberos.

17. Bereikmachtigingen voor afwijkende installatielocaties

Als u Tableau Server op Windows installeert op een locatie die niet de standaardlocatie is, raden wij u aan de machtigingen voor de aangepaste installatiemap handmatig in te stellen om de toegang te beperken.

Tableau Server wordt standaard op het systeemstation geïnstalleerd. Windows is ook op het systeemstation geïnstalleerd. In de meeste gevallen is dat C:\ In dit geval wordt Tableau Server in de volgende directory's geïnstalleerd:

  • C:\Program Files\Tableau\Tableau Server\packages

  • C:\ProgramData\Tableau\Tableau Server

Veel klanten installeren Tableau Server echter op een niet-systeemstation of in een andere directory. Als u tijdens de installatie een ander installatiestation of een andere directory hebt geselecteerd, wordt de datadirectory voor Tableau Server in hetzelfde pad geïnstalleerd.

Om de machtigingen voor de aangepaste installatiemap te beperken, mogen alleen de volgende accounts de overeenkomstige machtigingen voor de installatiemap en alle submappen hebben:

Stel machtigingen in voor dit account:Vereiste machtigingen
Het gebruikersaccount dat wordt gebruikt om Tableau Server te installeren en te upgradenVolledig beheer
Het gebruikersaccount dat wordt gebruikt om TSM-opdrachten uit te voerenVolledig beheer
SysteemaccountVolledig beheer
'Uitvoeren als service'-account, netwerkservice en lokale serviceLezen en uitvoeren

Zie Installeren op een niet-standaardlocatie voor informatie over hoe u deze machtigingen kunt instellen.

Lijst wijzigen

DateChange
May 2018Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019Added recommendation for referrer-policy HTTP header.
June 2019Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Wat is er veranderd – Wat u moet weten voordat u een upgrade uitvoert.
January 2020Added recommendation to configure TLS for SMTP.
February 2020Added recommendation to configure SSL for LDAP server.
May 2020Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
August 2020Added scoped permissions for non-default installations on Windows
October 2020Added TLS v1.3 as a default supported cipher.
January 2021Added clarification: All products enabled by the Data Management license require REST API.
February 2021Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality.
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.