Azure Key Vault

O Tableau Server tem três opções de Sistema de gerenciamento de chaves (KMS) que permitem ativar a criptografia em repouso. Duas delas exigem o Server Management Add-on, enquanto um local está disponível com todas as instalações do Tableau Server.

A partir da versão 2019.3, o Tableau Server adicionou essas opções KMS: 

A partir da versão 2021.1, o Tableau Server adicionou outra opção de KMS: 

  • Um KMS baseado em Azure, que vem como parte do Server Management Add-on. Isso está descrito abaixo.

Azure Key Vault para criptografia em repouso

O Azure Key Vault está disponível como parte do Complemento de gerenciamento de dados para o Tableau Server, a partir da versão 2021.1.0. Para obter mais informações, consulte Sobre o Tableau Complemento de gerenciamento do servidor.

Se a empresa estiver implantando a Criptografia de extração de dados em repouso, opcionalmente, é possível configurar o Tableau Server para usar o Azure Key Vault como o KMS para criptografia de extração. Para ativar o Azure Key Vault, você deve implantar o Tableau Server no Azure. No cenário do Azure, o Tableau Server usa o Azure Key Vault para criptografar a chave raiz principal (RMK) para todas as extrações criptografadas. No entanto, mesmo se configurado para o Azure Key Vault, o repositório de chaves Java nativo e o KMS local do Tableau Server ainda são usados para o armazenamento seguro de segredos no Tableau Server. O Azure Key Vault só é usado para criptografar a chave mestra raiz para extrações criptografadas.

A hierarquia de chaves do Tableau Server é configurada com o Azure Key Vault

Configurar o Azure Key Vault para extrações criptografadas do Tableau Server

Para usar o Azure Key Vault para criptografar a chave raiz na hierarquia do KMS do Tableau Server, configure o Tableau Server conforme descrito nesta seção.

Antes de começar, verifique se os seguintes requisitos foram atendidos:

  • O Tableau Server deve ser implantado no Azure.
  • O Tableau Server deve ser configurado com uma licença do Complemento de gerenciamento do servidor. Consulte Sobre o Tableau Complemento de gerenciamento do servidor.
  • Você deve ter controle administrativo sobre o Azure Key Vault onde a chave reside.

Etapa 1: criar um cofre de chaves e uma chave para o Tableau Server no Azure

Os seguintes procedimentos são realizados no serviço do Azure Key Vault. As referências são incluídas na documentação do Azure.

  1. Crie o cofre de chaves que você usará para o Tableau Server. Consulte o tópico do Azure, Criar um cofre de chaves(O link abre em nova janela).
  2. Crie uma chave no cofre. Veja o tópico do Azure, Gerenciar chaves e segredos(O link abre em nova janela).

    A chave deve ser um tipo RSA assimétrico, mas pode ser de qualquer tamanho (o Tableau Server não se importa com o tamanho da chave). Recomendamos que você use o Princípio do menor privilégio para ter segurança máxima.

    O Tableau requer permissões para executar as operações de comandos GET, UNWRAP KEY e WRAP KEY, e recomendamos permitir acesso para apenas esses comandos para obter menos privilégio. Atribua a política de acesso à VM em que você está executando o Tableau Server.

    Em uma implantação de vários nós do Tableau Server, a política de acesso deve ser atribuída a todos os nós do cluster do servidor.

Etapa 2: coletar parâmetros de configuração do Azure

Você precisará do nome do cofre de chaves e do nome da chave do Azure.

Etapa 3: configurar o Tableau Server para Azure Key Vault

Execute o seguinte comando no Tableau Server. Este comando reiniciará o servidor:

  •                             tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
                            

    As opções --vault-name e --key-name de cópias de cadeias de caracteres diretas do seu Azure Key Vault.

    Por exemplo, se o Azure Key Vault for chamado tabsrv-keyvault e a chave for tabsrv-sandbox-key01 então o comando será:

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

Etapa 4: habilitar criptografia em repouso

Consulte Extrair criptografia em repouso.

Etapa 5: validar a instalação

  1. Execute o seguinte comando:

    tsm security kms status

    As seguintes informações podem ser retornadas:

    • Status: OK (indica que o cofre da chave está acessível pelo nó do controlador):
    • Modo: Azure Key Vault
    • Nome do cofre: <key_vault_name>
    • Nome da chave do Azure Key Vault:<key_name>
    • Lista de UUIDs disponíveis para MEKs indicando qual chave está ativa
    • Informações de erro se os dados do KMS não forem acessíveis
  2. Exibir registros após criptografar e descriptografar extrações:

    • Publicar extrações no site e criptografá-las. Consulte Extrair criptografia em repouso.

    • Acesse as extrações com o Tableau Desktop ou com a criação na Web em um navegador (isso descriptografa as extrações para uso).

    • Pesquise os arquivos de registro vizqlserver_node para as cadeias de caracteres AzureKeyVaultEnvelopeAccessor e AzureKeyVaultEnvelope. O local padrão dos registros se encontra em C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs

      Para atualizações de publicação e extração relacionadas ao Azure Key Vault, pesquise os registros do processador em segundo plano. Para obter mais informações sobre os registros, consulte Locais de arquivo de registro e registros do Tableau Server.

Solucionar problemas de configuração

Configuração incorreta em vários nós

Em uma configuração de vários nós para o Azure Key Vault, o comando tsm security kms status pode relatar status íntegro (OK), mesmo que outro nó no cluster esteja configurado incorretamente. A verificação de status KMS relata apenas sobre o nó em que o processo do Controlador de administração do Tableau Server está sendo executado. Ele não relata os outros nós do cluster. Por padrão, o processo do Controlador de administração do Tableau Server é executado no nó inicial do cluster.

Portanto, se outro nó estiver configurado incorretamente, de modo que o Tableau Server não possa acessar o Azure Key Vault, esses nós podem relatar estados de erro para vários serviços, que não seriam iniciados.

Se alguns serviços não iniciarem após definir o KMS como modo “azure”, execute o comando a seguir para reverter para o modo local: tsm security kms set-mode local.

Atualizar a chave do Azure

Você atualiza a chave do Azure no Azure. Não há um período de atualização de chaves necessário ou agendado. Você pode atualizar sua chave criando uma nova versão da chave no Azure. Como o cofre de chaves e o nome da chave não mudam, não é necessário atualizar a configuração KMS no Tableau Server para cenários normais de atualização do Azure Key Vault.

Backup e restauração com Azure Key Vault

Um backup do servidor pode ser obtido no modo Azure Key Vault sem configurações ou procedimentos adicionais. O backup contém cópias criptografadas da RMK e das MEKs. A descriptografia das chaves requer acesso e controle do Azure Key Vault.

Para o cenário de restauração, o servidor que está sendo restaurado pode estar no modo Azure Key Vault ou KMS Local. O único requisito é que o servidor para o qual o backup está sendo restaurado tenha acesso ao Azure Key Vault que o próprio backup usou.

Agradecemos seu feedback!