Extrair criptografia em repouso

A extração de criptografia em repouso é um recurso de segurança de dados que permite criptografar extrações .hyper enquanto elas são armazenadas no Tableau Server.

Os administradores do Tableau Server podem aplicar a criptografia de todas as extrações no site ou permitir que os usuários especifiquem a criptografia de todas as extrações associadas a determinadas pastas de trabalho ou fontes de dados publicadas.

Limitações

Antes de serem criptografadas, as extrações de arquivos .tde mais antigas devem ser atualizadas para extrações de arquivos .hyper. Isso acontece automaticamente como parte do trabalho de criptografia. Para obter mais informações sobre o impacto da atualização de extração, consulte Atualização de extrações para o formato .hyper.

Os arquivos temporários e os arquivos de cache não são criptografados em repouso com esse recurso.

As pastas de trabalho (.twb) e os arquivos de fonte de dados (.tds) não são criptografados com esse recurso. Esses arquivos conterão metadados como nomes de coluna e instruções de formatação da tabela do banco de dados. Em alguns casos, eles podem conter alguns dados da fileira se estiverem incluídos nos filtros. 

Outros arquivos de dados, como arquivos Excel ou JSON, não são criptografados com esse recurso, a menos que sejam convertidos em extrações antes de serem publicados.

Quando as extrações são baixadas do servidor, elas são descriptografadas.

Visão geral do desempenho

Aumento no carregamento do processador em segundo plano

É possível ver um aumento leve a moderado no carregamento do processador em segundo plano, ao ativar a criptografia em repouso. A criptografia e a descriptografia são operações extremamente intensivas. A criptografia em repouso altera as tarefas atuais do processador em segundo plano e apresenta novos trabalhos a serem executados no processador em segundo plano. O aumento geral no carregamento do processador em segundo plano depende do número e do tamanho das extrações afetadas e da frequência com que os cenários abaixo se aplicam.

  • Publicação inicial: ao publicar pastas de trabalho ou fontes de dados usando extrações que devem ser criptografadas, a criptografia ocorre nos processadores em segundo plano do servidor.
  • Atualizações de extração do Tableau Server: atualizações completas e incrementais de extrações criptografadas no Tableau Server consumirão a CPU um pouco mais.
  • Atualizações de extração do Tableau Bridge e aplicativos de terceiros (por exemplo, Informática, Alteryx): esses fluxos exigirão novos trabalhos de criptografia, agendados nos processadores em segundo plano para qualquer extração atualizada, resultando em um aumento leve a moderado no carregamento do processador em segundo plano.
  • Criptografia e descriptografia de extrações em pastas de trabalho e fontes de dados já publicadas: se a configuração do site para criptografia em repouso estiver definida como Habilitar, os usuários poderão optar por criptografar ou descriptografar extrações em pastas de trabalho e fontes de dados já publicadas no Tableau Server. Dependendo do número e do tamanho das extrações, isso causará um amento leve a moderado no carregamento dos processadores em segundo plano.
  • Alteração do modo de criptografia de um site: ao alterar a configuração de um site para criptografia em repouso para Desabilitar ou Aplicar, o processador em segundo plano descriptografará ou criptografará todas as extrações existentes no site, respectivamente. Dependendo do número e do tamanho das extrações, isso pode aumentar significativamente o carregamento nos processadores em segundo plano até que todas as extrações sejam descriptografadas ou criptografadas.
  • Encaminhamento das chaves de criptografia: O encaminhamento das chaves de criptografia faz com que os processadores em segundo plano criptografem novamente todas as extrações existentes publicadas nesse site, usando novas chaves de criptografia. Dependendo do número e do tamanho das extrações, isso pode aumentar significativamente o carregamento nos processadores em segundo plano até que todas as extrações sejam criptografadas novamente.

Se estiver operando na capacidade ou acima, considere:

  • Incluir processos e recursos adicionais do processador em segundo plano.
  • Deixar que os usuários criptografem pastas de trabalho e fontes de dados individuais, em vez de impor a criptografia para todo o site ou desabilitar a criptografia em repouso para sites onde isso não é necessário. Observe que as atualizações de extração agendadas e ad hoc prevalecerão sobre os trabalhos de criptografia e descriptografia.

Aumento no tempo de carregamento e carga de trabalho da visualização

O desempenho da consulta, por exemplo, ao carregar ou interagir com uma visualização ou painel, exigirá que os dados sejam descriptografados uma vez, quando carregados do disco para a memória. Isso resultará em um pequeno aumento no tempo de carregamento e no consumo da CPU em nós de trabalho para o primeiro usuário que carregar uma pasta de trabalho. Isso não afetará os outros usuários que acessarem essas pastas de trabalho ao mesmo tempo, pois os dados já estarão descriptografados na memória.

Impacto no backup e na restauração

As extrações criptografadas nos backups permanecem criptografadas. O tamanho dos arquivos de backup (.tbks) pode aumentar até 50-100% devido à ineficiência da compactação em extrações criptografadas. O aumento de tamanho depende do número de extrações criptografadas, entre outros fatores. O tempo para restaurar um backup que contém extrações criptografadas pode aumentar ligeiramente devido ao tempo de troca das chaves de criptografia.

Se a instalação do Tableau Server tiver muitas ou somente extrações criptografadas, considere desabilitar a compactação durante os backups para melhorar significativamente o tempo. Para saber mais sobre o backup do TSM backup, consulte tsm maintenance backup.

Aplicar criptografia em repouso em um site

Os administradores do Tableau Server podem aplicar a criptografia de todas as extrações no site.

  1. Em um navegador da Web, entre no Tableau Server como administrador do servidor.
  2. Vá para o site que deseja configurar.
  3. Clique em Configurações.
  4. Role para baixo até a seção Criptografia de extração em repouso.
    Clique em Aplicar para criptografar todas as extrações publicadas e armazenadas no site.
    A criptografia de todas as extrações existentes armazenadas no site pode demorar alguns instantes.
  5. Clique em Salvar

Habilitar criptografia em repouso em um site

Os administradores do Tableau Server podem permitir que os usuários especifiquem a criptografia de todas as extrações associadas a determinadas pastas de trabalho ou fontes de dados publicadas.

  1. Em um navegador da Web, entre no Tableau Server como administrador do servidor.
  2. Vá para o site que deseja configurar.
  3. Clique em Configurações.
  4. Role para baixo até a seção Criptografia de extração em repouso.
  5. Clique em Habilitar para permitir que os usuários criptografem opcionalmente as extrações no site.
    A alteração para Habilitar cancelará os trabalhos pendentes de descriptografia e criptografia. Os trabalhos de criptografia não são criados.
  6. Clique em Salvar

Desabilitar criptografia em repouso em um site

  1. Em um navegador da Web, entre no Tableau Server como administrador do servidor.
  2. Vá para o site que deseja configurar.
  3. Clique em Configurações.
  4. Role para baixo até a seção Criptografia de extração em repouso.
  5. Clique em Desabilitar para impedir extrações criptografadas no site.
    Alterar para Desabilitar descriptografará todas as extrações criptografadas existentes. A descriptografia de todas as extrações armazenadas no site pode demorar alguns instantes.
  6. Clique em Salvar

Exibir modo de criptografia de extração para todos os sites

  1. Em um servidor de vários sites, clique em Gerenciar todos os sites no menu do site.

    Observação: a opção Gerenciar todos os sites é exibida apenas quando você está conectado como administrador do servidor.

  2. Clique em Sites.
  3. O modo de criptografia de cada site é exibido na coluna Criptografia de extração em repouso.

Criptografar ou descriptografar extrações para uma pasta de trabalho ou fonte de dados publicada

Observação: a opção de criptografar ou descriptografar as extrações associadas a uma pasta de trabalho ou fonte de dados publicada específica está disponível somente quando a configuração do site para criptografia em repouso está definida como Habilitar. Quando um site é definido como Desabilitar, todo o conteúdo não é criptografado. Quando um site é definido como Aplicar, todo o conteúdo é criptografado.
Observação: você deve ser o proprietário ou administrador.

  1. Vá para a página de pasta de trabalho ou fonte de dados publicada.
  2. Clique no menu suspenso que diz Extração criptografada ou Extração descriptografada.
  3. Selecione Descriptografada.
    Você verá a seguinte mensagem: “Descriptografia de extração”.
    -ou-
    Selecione Criptografada.
    Um trabalho de criptografia é iniciado.

Como alternativa, é possível criptografar ou descriptografar extrações no menu de ação de exibição do cartão, menu de ação de exibição de lista e menu de ação na seção de cabeçalho.

Criptografar ou descriptografar vários itens

  1. Vá para a página Fontes de dados.
  2. Marque a caixa de seleção ao lado de uma ou mais fontes de dados.
  3. No lado superior esquerdo da página da Fontes de dados, clique em Ações.
  4. Clique em Criptografar ou Descriptografar.

Exibir status de criptografia de um único item

  1. Faça logon em um site.
  2. Vá para a página de uma única fonte de dados.
    -ou-
    Vá para uma página de uma única pasta de trabalho para uma pasta de trabalho com fontes de dados incorporadas.
  3. O status da criptografia é exibido na página.

Filtrar fontes de dados por status de criptografia

  1. No site, clique em Explorar.
  2. No canto superior direito, clique no menu suspenso Explorar: projetos de nível superior e selecione Todas as fontes de dados.
  3. Clique no ícone de filtro.
  4. Role para baixo até a seção “Em tempo real ou extração” e selecione uma opção de filtro: Todos, Em tempo real, Extrações, Extrações descriptografadas, Extrações criptografadas, Criptografia atual ou Descriptografia atual.
  5. Marque a caixa de seleção ao lado de "Incluir arquivos .tde e .hyper" se quiser incluir as conexões "Em tempo real para arquivo .tde" e “Em tempo real para arquivo .hyper” nos resultados do filtro.

Filtrar pastas de trabalho por status de criptografia

  1. No site, clique em Explorar.
  2. No canto superior direito, clique no menu suspenso Explorar: projetos de nível superior e selecione Todas as pastas de trabalho.
  3. Clique no ícone de filtro.
  4. Role para baixo até a seção “Em tempo real ou extração” e selecione uma opção de filtro: Todos, Em tempo real, Extrações, Publicadas, Extrações descriptografadas, Extrações criptografadas, Criptografia atual ou Descriptografia atual.
  5. Marque a caixa de seleção ao lado de "Incluir arquivos .tde e .hyper" se quiser incluir as conexões "Em tempo real para arquivo .tde" e “Em tempo real para arquivo .hyper” nos resultados do filtro.
    As pastas de trabalho com menos uma conexão correspondente à seleção do filtro serão exibidas.

Exibir status das tarefas em segundo plano para criptografar ou descriptografar extrações

  1. No site, clique em Status do site.
  2. Clique em Tarefas em segundo plano para não extrações, para ver os detalhes das tarefas em segundo plano concluídas e pendentes.
    Observação: tarefas em segundo plano para não extrações incluem todas as tarefas que não estão relacionadas a atualizações de extração, portanto, inclui os trabalhos de criptografia.
  3. No menu Tarefa, selecione Criptografar extrações ou Descriptografar extrações e clique em Aplicar.
  4. No menu Intervalo de tempo, selecione um intervalo.
    Você verá as tarefas em segundo plano para "Criptografar extrações" ou "Descriptografar extrações" para todas as fontes de dados e pastas de trabalho publicadas de acordo com a extração.

O utilitário tabcmd

O utilitário de linha de comando tabcmd tem comandos e opções para controlar a criptografia de extração. Para obter mais informações, consulte a documentação tabcmd.

Especificar o modo de criptografia de extração ao criar um site

tabcmd createsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]

Especificar o modo de criptografia de extração ao editar um site

tabcmd editsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]

Obter o modo de criptografia de extração ao listar sites

tabcmd listsites --get-extract-encryption-mode

Criptografar extrações ao publicar uma pasta de trabalho, fonte de dados ou extração no servidor

tabcmd publish "filename.hyper" –-encrypt-extracts

Descriptografar todas as extrações em um site

Observação: dependendo do número e do tamanho das extrações, essa operação pode consumir recursos significativos do servidor. Considere executar este comando fora do horário comercial normal.

tabcmd decryptextracts <site-name>

Criptografar todas as extrações em um site

Observação: dependendo do número e do tamanho das extrações, essa operação pode consumir recursos significativos do servidor. Considere executar este comando fora do horário comercial normal.

tabcmd encryptextracts <site-name>

Criptografar novamente todas as extrações em um site com novas chaves de criptografia

Você deve especificar um site.

Observação: dependendo do número e do tamanho das extrações, essa operação pode consumir recursos significativos do servidor. Considere executar este comando fora do horário comercial normal.

tabcmd reencryptextracts <site-name>

Para obter mais informações, consulte reencryptextracts.

API Rest do Tableau Server

Com a API REST do Tableau Server, é possível gerenciar os recursos do Tableau Server de maneira programática. É possível usar esse acesso para criar seus próprios aplicativos, ou para criar scripts de interações com os recursos do Tableau Server.

Para saber mais, consulte Métodos de criptografia de extração(Link opens in a new window).

Agradecemos seu feedback!