Netwerkbeveiliging
Er zijn drie belangrijke netwerkinterfaces in Tableau Server:
Client naar Tableau Server: De client kan een webbrowser, Tableau Mobile, Tableau Desktop of het hulpprogramma tabcmd zijn.
Tableau Server naar uw database(s): Om data-extracten te vernieuwen of live databaseverbindingen af te handelen, moet Tableau Server communiceren met uw database(s).
Communicatie met servercomponenten: dit is alleen van toepassing op gedistribueerde implementaties.
In de meeste organisaties is Tableau Server ook geconfigureerd om te communiceren met internet en met een SMTP-server.
Client naar Tableau Server
Een Tableau Server-client kan een webbrowser zijn, of een apparaat waarop Tableau Mobile, Tableau Desktop of tabcmd-opdrachten worden uitgevoerd. Communicatie tussen Tableau Server en zijn clients maakt gebruik van standaard HTTP-aanvragen en -reacties. Wij raden aan om Tableau Server voor HTTPS te configureren voor alle communicatie. Wanneer Tableau Server is geconfigureerd voor SSL, worden alle inhoud en communicatie tussen clients versleuteld met SSL en wordt het HTTPS-protocol gebruikt voor aanvragen en reacties.
Standaard worden wachtwoorden van browsers en tabcmd naar Tableau Server gecommuniceerd met behulp van 1024-bits openbare/privé-sleutelversleuteling. Dit versleutelingsniveau wordt niet als robuust genoeg beschouwd voor veilige communicatie. Bovendien is deze methode, waarbij een openbare sleutel onversleuteld en zonder netwerklaagauthenticatie naar de ontvanger wordt verzonden, gevoelig voor 'man-in-the-middle'-aanvallen.
Om het netwerkverkeer van clients naar Tableau Server adequaat te beveiligen, moet u SSL configureren met een certificaat van een vertrouwde certificeringsinstantie.
Zie SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server.
Clienttoegang via internet
We raden u aan om een gatewayproxyserver te gebruiken om veilige clienttoegang tot uw Tableau Server via internet mogelijk te maken. Wij raden het af om Tableau Server in een DMZ-zone of anderszins buiten uw beveiligde, interne netwerk uit te voeren.
Configureer een reverse-proxyserver met SSL ingeschakeld om al het inkomende verkeer van internet te verwerken. In dit scenario is de reverse-proxy het enige externe IP-adres (of het bereik van adressen als meerdere reverse-proxy's de belasting van inkomende verzoeken verdelen) waarmee Tableau Server communiceert. Reverse-proxy's zijn transparant voor aanvragende clients, waardoor netwerkinformatie van Tableau Server wordt verhuld en de clientconfiguratie wordt vereenvoudigd.
Zie Proxy's en loadbalancers configureren voor Tableau Server voor meer informatie.
Bescherming tegen clickjacking
Standaard heeft Tableau Server bescherming tegen clickjacking ingeschakeld. Hiermee worden bepaalde soorten aanvallen voorkomen, waarbij de aanvaller een transparante versie van een pagina over een onschuldig ogende pagina heen legt om de gebruiker ertoe te verleiden op links te klikken of informatie in te voeren. Als de bescherming tegen clickjacking is ingeschakeld, legt Tableau Server bepaalde beperkingen op aan het insluiten van weergaven. Zie Bescherming tegen clickjacking voor meer informatie.
Tableau Server naar uw database
Tableau Server maakt dynamische verbindingen met databases om resultaatsets te verwerken en extracten te vernieuwen. Waar mogelijk worden systeemeigen 'native' stuurprogramma's gebruikt om verbinding te maken met databases. Wanneer native stuurprogramma's niet beschikbaar zijn, wordt een generieke ODBC-adapter toegepast. Alle communicatie met de database verloopt via deze stuurprogramma's. Het configureren van het stuurprogramma voor communicatie via niet-standaardpoorten of voor transportversleuteling is daarom onderdeel van de installatie van het native stuurprogramma. Dit type configuratie is transparant voor Tableau.
Wanneer een gebruiker referenties voor externe databronnen opslaat op Tableau Server, worden deze versleuteld opgeslagen in de interne database van Tableau Server. Wanneer een proces deze referenties gebruikt om de externe databron te raadplegen, haalt het proces de versleutelde referenties op uit de interne database en ontsleutelt deze tijdens het proces.
Tableau Server naar internet
In sommige gevallen, wanneer gebruikers verbinding maken met externe databronnen, zoals de Tableau-kaartservers, moet Tableau Server verbinding maken met internet. Wij raden u aan om alle onderdelen van Tableau binnen uw beveiligde netwerk uit te voeren. Daarom kan het voor verbindingen met internet nodig zijn dat u Tableau Server configureert voor het gebruik van een forward-proxy.
Tableau Server naar een SMTP-server
U kunt Tableau Server zo configureren dat gebeurtenismeldingen naar beheerders en gebruikers worden verzonden. Vanaf versie 2019.4 biedt Tableau Server TLS-ondersteuning voor de SMTP-verbinding. Zie SMTP-instellingen configureren.
Communicatie met de opslagplaats
U kunt Tableau Server configureren om Secure Sockets Layer (SSL) te gebruiken voor versleutelde communicatie op alle tweerichtingsverkeer dat wordt uitgewisseld tussen de Postgres-opslagplaats en andere servercomponenten. Standaard is SSL uitgeschakeld voor communicatie tussen servercomponenten en de repository.
Zie SSL configureren voor interne Postgres-communicatie voor meer informatie.
Zie tsm security repository-ssl enable voor meer informatie
Communicatie van servercomponenten in een cluster
Er zijn twee aspecten aan de communicatie tussen Tableau Server-componenten in een gedistribueerde serverinstallatie: vertrouwen en transmissie. Elke server in een Tableau-cluster gebruikt een strikt vertrouwensmodel om ervoor te zorgen dat deze geldige verzoeken ontvangt van andere servers in het cluster. Computers in het cluster waarop een gatewayproces wordt uitgevoerd, accepteren verzoeken van derden (clients), tenzij ze worden aangestuurd door een loadbalancer. In dat geval ontvangt de loadbalancer de verzoeken. Servers waarop geen gatewayproces wordt uitgevoerd, accepteren alleen verzoeken van andere vertrouwde leden van het cluster. Vertrouwen wordt vastgesteld aan de hand van een toegestane lijst met IP-adressen, poorten en protocollen. Als één van deze data ongeldig is, wordt de aanvraag genegeerd. Alle leden van het cluster kunnen met elkaar communiceren.
Wanneer een gebruiker referenties voor externe databronnen opslaat op Tableau Server, worden deze versleuteld opgeslagen in de interne database van Tableau Server. Wanneer een proces deze referenties gebruikt om de externe databron te raadplegen, haalt het proces de versleutelde referenties op uit de interne database en ontsleutelt deze tijdens het proces.