Lista de verificação do reforço de segurança

A lista a seguir oferece recomendações para melhorar a segurança ("endurecimento") da instalação de seu Tableau Server.

Instalação de atualizações de segurança

As atualizações de segurança estão incluídas nas versões mais recentes e nas versões de manutenção (MR) do Tableau Server. Não é possível instalar atualizações de segurança como correções. Em vez disso, você deve atualizar para uma versão atual ou MR para atualizar o Tableau Server com as correções de segurança mais recentes.

Sempre consulte a versão mais atual deste tópico após a atualização. A versão atual inclui /current/ na URL do tópico.

Por exemplo, a URL da versão dos EUA é: https://help.tableau.com/current/server/pt-br/security_harden.htm.

1. Atualizar para a versão atual

Recomendamos que você sempre execute a versão mais recente do Tableau Server. Além disso, o Tableau publica periodicamente versões de manutenção do Tableau Server que inclui correções para vulnerabilidades de segurança conhecidas. (Informações sobre vulnerabilidades de segurança conhecidas podem ser encontradas na página Boletins de segurança do Tableau e na página Consultorias de segurança do Salesforce(O link abre em nova janela).) Recomendamos que seja feita uma análise das notificações de versão de manutenção para determinar se devem ser instaladas.

Para obter a versão mais recente ou a versão de manutenção do Tableau Server, visite a página Portal do cliente(O link abre em nova janela).

2. Configurar SSL/TLS com um certificado válido e confiável

Secure Sockets Layer (SSL/TLS) é essencial para ajudar a proteger a segurança das comunicações com o Tableau Server. Configure o Tableau Server com um certificado válido e confiável (não um certificado autoassinado) para que o Tableau Desktop, os dispositivos móveis e os clientes Web possam se conectar ao servidor por uma conexão segura. Para obter mais informações, consulte SSL.

3. Desabilitar versões anteriores do TLS

O Tableau Server usa o TLS para autenticar e criptografar diversas conexões entre componentes e com clientes externos. Os clientes externos, como navegadores, o Tableau Desktop e o Tableau Mobile se conectem ao Tableau usando TLS sobre HTTPS. Transport layer security (TLS) é uma versão melhorada de SSL. Na verdade, as versões anteriores de SSL (SSL v2 e SSL v3) não são mais consideradas padrões de comunicação segura adequados. Como resultado, o Tableau Server não permite que clientes externos usem protocolos SSL v2 ou SSL v3 para conexão.

Recomendamos que você permita que clientes externos se conectem ao Tableau Server com TLS v1.3 e v1.2.

O TLS v1.2 ainda é considerado um protocolo seguro e muitos clientes (incluindo o Tableau Desktop) ainda não oferecem suporte ao TLS v1.3.

Os clientes compatíveis com TLS v1.3 negociarão o TLS v1.3 mesmo se o TLS v1.2 for compatível com o servidor.

O seguinte comando tsm habilita TLS v1.2 e v1.3 (usando o parâmetro "all" ) e desabilita SSL v2, SSL v3, TLS v1 e TLS v1.1 (ao colocar o caractere de menos [-] antes de um determinado protocolo). O TLS v1.3 ainda não é compatível com todos os componentes do Tableau Server.

tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm pending-changes apply

Para modificar os protocolos que regem o SSL para o repositório PostgreSQL do Tableau Server, consulte pgsql.ssl.ciphersuite.

Você também pode modificar a lista padrão de pacotes de criptografia que o Tableau Server usa para sessões SSL/TLS. Para obter mais informações, veja a seção ssl.ciphersuite em Opções do tsm configuration set.

4. Configurar criptografia SSL para tráfego interno

Configure o Tableau Server para usar SSL para criptografar todo o tráfego entre o repositório Postgres e outros componentes de servidor. Por padrão, o SSL fica desabilitado para comunicações entre componentes de servidor e o repositório. Recomendamos habilitar o SSL interno para todas as instâncias do Tableau Server, mesmo nas instalações de um servidor. A habilitação de SSL interno é especialmente importante para implantações de vários nós. Consulte Como configurar o SSL para comunicação interna com o Postgres.

5. Habilitar a proteção com firewall

O Tableau Server foi projetado para operar dentro de uma rede interna protegida.

Importante: não execute o Tableau Server ou nenhum de seus componentes na Internet ou em um DMZ. O Tableau Server deve ser executado dentro da rede corporativa protegida por um firewall de Internet. Recomendamos a configuração de uma solução de proxy reverso para clientes da Internet que precisam se conectar ao Tableau Server. Consulte Configurar proxies e balanceadores de carga para o Tableau Server.

Um firewall local deve estar ativado no sistema operacional para proteger o Tableau Server em implantações de um ou vários nós. Em uma instalação distribuída (de vários nós) do Tableau Server, a comunicação entre os nós não usa comunicação segura. Portanto, os firewalls precisam estar habilitados nos computadores que hospedam o Tableau Server.

Para evitar que um invasor passivo observe a comunicação entre os nós, configure uma LAN virtual segregada ou outra solução de segurança de camada da rede.

Consulte Portas do Tableau Services Manager para entender quais portas e serviços são exigidos pelo Tableau Server.

6. Restringir acesso ao computador servidor e a diretórios importantes

Os arquivos de configuração e os arquivos de registro do Tableau Server podem conter informações que sejam valiosas para um invasor. Portanto, restrinja o acesso físico à máquina com o Tableau Server em execução. Além disso, certifique-se de que apenas usuários confiáveis e autorizados tenham acesso aos arquivos do Tableau Server no diretório C:\ProgramData\Tableau.

7. Atualizar a conta de Usuário Run As do Tableau Server

Por padrão, o Tableau Server é executado na conta Serviços de rede (NT Authority\Network Service) do Windows. Usar a conta padrão é aceitável em cenários nos quais o Tableau Server não precisa se conectar a fontes de dados externas que requerem autenticação do Windows. No entanto, se os usuários requerem acesso a fontes de dados autenticadas pelo Active Directory, atualize o Usuário Run As para uma conta de domínio. É importante minimizar os direitos à conta utilizada para o Usuário Run As. Para obter mais informações, consulte Conta de serviço Run As.

8. Gerar segredos e tokens atualizados

Qualquer serviço do Tableau Server que se comunique com o repositório ou o servidor de cache deve primeiro se autenticar com um token secreto. O token secreto é gerado durante a instalação do Tableau Server. A chave de criptografia usada pelo SSL interno para criptografar o tráfego para o repositório Postgres também é gerada durante a instalação.

Recomendamos que, depois de instalar o Tableau Server, novas chaves de criptografia sejam geradas para sua implantação.

Esses ativos de segurança podem ser recuperados com o comando tsm security regenerate-internal-tokens.

Execute os seguintes comandos:

tsm security regenerate-internal-tokens

tsm pending-changes apply

9. Desabilitar os serviços que você não está usando

Para minimizar a superfície de ataque do Tableau Server, desabilite quaisquer pontos de conexão que não sejam necessários.

Serviço JMX

O JMX fica desabilitado por padrão. Caso esteja ativado mas não esteja em uso, deverá ser desativado usando a sequência a seguir:

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10. Verificar a configuração de tempo da sessão

Por padrão, o Tableau Server não precisa ter um tempo limite absoluto de sessão. Isso significa que as sessões de cliente baseadas em navegador (Criação na Web) podem permanecer abertas indefinidamente, caso o tempo limite de inatividade do Tableau Server não seja excedido. O tempo limite de inatividade padrão é de 240 minutos.

Caso sua política de segurança precise, é possível definir um tempo limite absoluto de sessão. Certifique-se de definir um tempo limite absoluto de sessão em um intervalo que permita carregamentos de extração de execução mais longa ou publicação de pasta de trabalho em sua empresa. Definir um tempo limite de sessão muito baixo pode resultar em falhas de extração e publicação em operações de execução longa.

Para definir o tempo limite de sessão, execute os comandos a seguir:

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, onde value é o número de minutos. O padrão é 1440, que são 24 horas.

tsm configuration set -k wgserver.session.idle_limit -v value, onde value é o número de minutos. O padrão é 240.

tsm pending-changes apply

As sessões para clientes conectados (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge e tokens de acesso pessoal) usam tokens OAuth para manter os usuários conectados por meio do restabelecimento de uma sessão. Você pode desativar esse comportamento se quiser que todas as sessões de clientes do Tableau sejam regidas exclusivamente pelos limites de sessão baseados no navegador e controlados pelos comandos acima. Consulte Desabilitar a autenticação do cliente.

11. Configurar uma lista de permissão de fontes de dados baseadas em arquivo

A partir das versões de outubro de 2023 do Tableau Server, o comportamento padrão do acesso baseado em arquivo mudou. Antes, o Tableau Server permitia que usuários autorizados do Tableau Server criassem pastas de trabalho que usassem arquivos no servidor como fontes de dados baseadas em arquivos (como planilhas). Nas versões de outubro de 2023, o acesso aos arquivos armazenados no Tableau ou em compartilhamentos remotos deve ser configurado especificamente no Tableau Server usando a configuração descrita aqui.

Essa configuração permite limitar o acesso pelo Conta de serviço Run As somente para os diretórios que você especificar.

Para configurar o acesso a arquivos compartilhados, você precisa configurar a funcionalidade da lista de permissões. Isso permite que a conta de serviço Run As seja limitada a apenas aos caminhos de diretório local nos quais os arquivos de dados são hospedados.

  1. No computador com o Tableau Server em execução, identifique os diretórios nos quais os arquivos de fontes de dados serão hospedados.

    Importante Certifique-se de que os caminhos de arquivo especificados nesta configuração existam na conta de serviço.

  2. Execute os seguintes comandos:

    tsm configuration set -k native_api.allowed_paths -v "path" , onde path é o diretório a ser adicionado à lista de permissão. Todos os subdiretórios do caminho especificado serão adicionados à lista de permissão. Você deve adicionar uma barra invertida ao caminho especificado. Caso deseje especificar vários caminhos, separe-os com ponto e vírgula, como neste exemplo:

    tsm configuration set -k native_api.allowed_paths -v "c:\datasources;\\HR\data\"

    tsm pending-changes apply

12. Habilitar o HTTP Strict Transport Security para clientes do navegador da Web

O HTTP Strict Transport Security (HSTS) é uma política configurada nos serviços de aplicativos da Web, como o Tableau Server. Quando um navegador compatível encontra um aplicativo da Web que executa o HSTS, todas as comunicações com o serviço devem estar em uma conexão (HTTPS) segura. O HSTS é compatível com a maioria dos navegadores.

Para obter mais informações sobre como o HSTS funciona e os navegadores compatíveis, consulte a página da Web Planilha de consultas do HTTP Strict Transport Security(O link abre em nova janela), do Projeto de segurança de aplicativos da Web aberto.

Para habilitar o HSTS, execute os seguintes comandos no Tableau Server:

tsm configuration set -k gateway.http.hsts -v true

Por padrão, a política do HSTS está definida para um ano (31536000 segundos). Este período especifica o tempo em que o navegador acessará o servidor por meio do HTTPS. Você deve considerar a definição de um tempo máximo breve durante o lançamento inicial do HSTS. Para alterar esse período, execute tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Por exemplo, para definir o período da política de HSTS para 30 dias, insira tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.

tsm pending-changes apply

13. Desabilitar o acesso de Convidado

As licenças baseadas em núcleo do Tableau Server incluem a opção de usuário Convidado, que permite que qualquer usuário na organização visualize e interaja com as exibições do Tableau inseridas nas páginas da Web.

O acesso de usuário Convidado é habilitado por padrão no Tableau Servers, implantado com o licenciamento baseado em núcleo.

O acesso de Convidado permite que os usuários visualizem as exibições inseridas. O usuário convidado não pode navegar pela interface do Tableau Server e não verá comandos da interface do servidor na exibição, como nome do usuário, configurações da conta, comentários e assim por diante.

Se a sua organização implantou o Tableau Server com o licenciamento em núcleo e o acesso de Convidado não é exigido, então, desabilite-o.

Você pode desabilitar o acesso de Convidado a nível de servidor ou site.

Você deve ser um administrador de servidor para desabilitar a conta de Convidado a nível de servidor ou site.

Para desabilitar o acesso de Convidado a nível de servidor:

  1. no menu do site, clique em Gerenciar todos os sites e, em seguida, em Configurações > Geral.

  2. Para Acesso de Convidado, desmarque a caixa de seleção Habilitar conta de Convidado.

  3. Clique em Salvar.

Para desabilitar o acesso de Convidado para um site:

  1. No menu do site, selecione um site.

  2. Clique em Configurações e, na página Configurações, desmarque a caixa de seleção Habilitar conta de convidado.

Para obter mais informações, consulte Usuário Convidado.

14. Defina o cabeçalho HTTP referrer-policy como “same-origin”

A partir da versão 2019.2, o Tableau Server inclui a capacidade de configurar o comportamento do cabeçalho HTTP Referrer-Policy. Essa política é habilitada com um comportamento padrão que incluirá a URL de origem de todas as conexões "seguras como" (no-referrer-when-downgrade), que envia informações de referenciador de origem somente como conexões (HTTP para HTTP) ou aquelas que são mais seguras (HTTP para HTTPS).

No entanto, recomendamos definir esse valor para same-origin, que só envia informações de referenciador para origens do mesmo site. As solicitações de fora do site não receberão informações de referenciador.

Para atualizar o referrer-policy para same-origin, execute os seguintes comandos:

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

Para obter mais informações sobre como configurar cabeçalhos adicionais para melhorar a segurança, consulte Cabeçalhos de resposta HTTP.

15. Configurar TLS para conexão SMTP

A partir da versão 2019.4, o Tableau Server inclui a capacidade de configurar o TLS para conexão SMTP. O Tableau Server só é compatível com STARTTLS (TLS oportunista ou explícito).

O Tableau Server pode ser configurado opcionalmente para se conectar a um servidor de e-mail. Após a configuração do SMTP, o Tableau Server pode ser configurado para enviar um e-mail aos administradores do servidor sobre falhas no sistema e aos usuários do servidor sobre exibições em que estão inscritos e alertas orientados por dados.

Para configurar o TLS para SMTP:

  1. Carregue um certificado compatível para o Tableau Server. Consulte tsm security custom-cert add.
  2. Configure a conexão do TLS usando a CLI do TSM.

    Execute os seguintes comandos do TSM para habilitar e forçar conexões do TLS ao servidor SMTP e habilitar a verificação do certificado.

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    Por padrão, o Tableau Server suportará as versões do TLS 1, 1.1 e 1.2, mas é recomendável especificar a versão do TLS mais recente suportada pelo servidor SMTP.

    Execute o seguinte comando para definir a versão. Os valores válidos são SSLv2Hello, SSLv3, TLSv1, TLSv1.1 e TLSv1.2. O exemplo a seguir define a versão do TLS para a 1.2:

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    Para obter mais informações sobre as opções de configuração do TLS, consulte Configurar o SMTP.

  3. Reinicie o Tableau Server para aplicar as alterações. Execute o seguinte comando:

    tsm pending-changes apply

16. Configurar SSL para LDAP

Se a implantação do Tableau Server estiver configurada para usar um armazenamento de identidades externo LDAP genérico, é recomendável configurar o SSL para proteger a autenticação entre o Tableau Server e o servidor LDAP. Consulte Configurar canal criptografado no armazenamento de identidade externo LDAP.

Se a implantação do Tableau Server estiver configurada para usar o Active Directory, é recomendável habilitar o Kerberos para proteger o tráfego de autenticação. Consulte Kerberos.

17. Permissões de escopo para locais de instalação não padrão

Se você instalar o Tableau Server no Windows em um local não padrão, recomendamos definir de forma manual o escopo das permissões no diretório de instalação personalizado, para reduzir o acesso.

Por padrão, o Tableau Server será instalado na unidade do sistema. A unidade na qual o Windows está instalado é a unidade do sistema. Na maioria dos casos, a unidade do sistema é a unidade C:\. Neste caso padrão, o Tableau Server será instalado nos diretórios a seguir:

  • C:\Program Files\Tableau\Tableau Server\packages

  • C:\ProgramData\Tableau\Tableau Server

No entanto, muitos clientes instalam em uma unidade que não é do sistema ou em um diretório diferente. Se você selecionar uma unidade de instalação diferente ou uma localização do diretório diferente durante a instalação, o diretório de dados do Tableau Server será instalado no mesmo caminho.

Para escopo de permissões no diretório de instalação personalizado, apenas as seguintes contas devem ter as permissões correspondentes na pasta de instalação e em todas as subpastas:

Definir permissões para esta conta:Permissões exigidas
A conta de usuário usada para instalar e atualizar o Tableau ServerControle total
A conta de usuário usada para executar comandos TSMControle total
Conta do sistemaControle total
Executar como conta de serviço, serviço de rede e serviço localLer e executar

Um procedimento para definir essas permissões pode ser encontrado em Instalando em um local não padrão.

Lista de alterações

DateChange
May 2018Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019Added recommendation for referrer-policy HTTP header.
June 2019Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See O que mudou - O que é preciso saber antes da atualização.
January 2020Added recommendation to configure TLS for SMTP.
February 2020Added recommendation to configure SSL for LDAP server.
May 2020Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
August 2020Added scoped permissions for non-default installations on Windows
October 2020Added TLS v1.3 as a default supported cipher.
January 2021Added clarification: All products enabled by the Data Management license require REST API.
February 2021Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality.
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!