Checklista för säkerhetsförstärkning
Följande lista innehåller rekommendationer om hur ni förbättrar (förstärker) säkerheten för er Tableau Server-installation.
Letar du efter Tableau Server för Linux? Läs mer i Checklista för säkerhetsförstärkning(Länken öppnas i ett nytt fönster)
Installera säkerhetsuppdateringar
Säkerhetsuppdateringar ingår i de senaste versionerna och underhållsversionerna av Tableau Server. Du kan inte installera säkerhetsuppdateringar som korrigeringar. I stället måste du uppgradera till en aktuell version eller underhållsversion för att uppgradera Tableau Server med de senaste säkerhetskorrigeringarna.
Läs alltid den senaste versionen av det här avsnittet efter uppgraderingen. Den aktuella versionen har /current/
i avsnittets URL.
Den svenska URL:en är till exempel: https://help.tableau.com/current/server/sv-se/security_harden.htm.
1. Uppdatera till aktuell version
Du bör alltid köra den senaste versionen av Tableau Server. Dessutom släpper Tableau regelbundet underhållsversioner av Tableau Server, och dessa innehåller korrigeringar av kända säkerhetshål. (Information om kända säkerhetsrisker finns på Tableau-sidan Security Bulletins och på sidan Salesforce Security Advisories(Länken öppnas i ett nytt fönster).) Du bör kontrollera informationen om underhållsversionerna för att avgöra om du ska installera dem eller inte.
Om du vill hämta den senaste versionen eller underhållsversionen av Tableau Server går du till sidan Kundportal(Länken öppnas i ett nytt fönster).
2. Konfigurera SSL/TLS med ett giltigt, betrott certifikat
SSL (Secure Sockets Layer)/TLS är avgörande för att skydda kommunikationen med Tableau Server. Konfigurera Tableau Server med ett giltigt betrott certifikat (inte ett självsignerat certifikat) så att Tableau Desktop, mobila enheter och webbklienter kan ansluta till servern via en säker anslutning. Mer information finns i SSL.
3. Inaktivera äldre versioner av TLS
Tableau Server använder TLS för att autentisera och kryptera många anslutningar mellan komponenter och med externa klienter. Externa klienter, som webbläsare, Tableau Desktop och Tableau Mobile, ansluter till Tableau med TLS över HTTPS. TLS (Transport Layer Security) är en förbättrad version av SSL. Faktum är att äldre versioner av SSL (SSL v2 och SSL v3) inte längre anses vara tillräckligt säkra kommunikationsstandarder. Därför tillåter Tableau Server inte att externa klienter använder SSL v2- eller SSL v3-protokoll för att ansluta.
Du bör tillåta externa klienter att ansluta till Tableau Server med TLS v1.3 och TLS v1.2.
TLS v1.2 anses fortfarande vara ett säkert protokoll och många klienter (bland annat Tableau Desktop) har inte stöd för TLS v1.3 än.
TLS v1.3-kompatibla klienter utför TLS v1.3-förhandling även om TLS v1.2 stöds av servern.
Följande tsm-kommandon aktiverar TLS v1.2 och v1.3 (med parametern ”alla”) och inaktiverar SSL v2, SSL v3, TLS v1 samt TLS v1.1 (genom att lägga till ett minustecken [-] först i protokollnamnet). TLS v1.3 stöds inte än av alla komponenter i Tableau Server.
tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
tsm pending-changes apply
För att ändra protokollen som styr SSL för Tableau Server PostgreSQL-lagringsplatsen går du till pgsql.ssl.ciphersuite .
Du kan också ändra den standardlista med chiffersviter som Tableau Server använder för SSL/TLS-sessioner. Mer information finns i avsnittet ssl.ciphersuite i Alternativ för tsm configuration set.
4. Konfigurera SSL-kryptering för intern trafik
Konfigurera Tableau Server att använda SSL för att kryptera all trafik mellan Postgres-lagringsplatsen och andra serverkomponenter. Som standard är SSL inaktiverat för kommunikation mellan serverkomponenter och lagringsplatsen. Du bör aktivera intern SSL för alla instanser av Tableau Server, även enserverinstallationer. Det är särskilt viktigt att aktivera intern SSL för driftsättningar med flera noder. Läs mer i Konfigurera SSL för intern Postgres-kommunikation.
5. Aktivera brandväggsskydd
Tableau Server har utformats för att fungera i ett skyddat internt nätverk.
Viktigt: Kör inte Tableau Server, eller någon annan komponent i Tableau Server, på internet eller i en DMZ. Tableau Server måste köras i företagsnätverket, som skyddas av en brandvägg mot internet. Du bör konfigurera en lösning med omvänd proxy för internetklienter som måste ansluta till Tableau Server. Läs mer i Konfigurera proxyservrar och belastningsutjämnare för Tableau Server.
En lokal brandvägg bör aktiveras på operativsystemet för att skydda Tableau Server i driftsättningar med en och flera noder. I en distribuerad installation (flera noder) av Tableau Server är kommunikationen mellan noder inte skyddad. Därför bör du aktivera brandväggar på de datorer som används som värdar för Tableau Server.
För att förhindra att en passiv angripare avlyssnar kommunikation mellan noder konfigurerar du ett segregerat, virtuellt lokalt nätverk (LAN) eller använder någon annan säkerhetslösning för nätverk.
Avsnittet Tableau Services Manager-portar innehåller mer information om vilka portar och tjänster som krävs i Tableau Server.
6. Begränsa tillgången till serverdatorn och viktiga kataloger
Konfigurationsfiler och loggfiler för Tableau Server kan innehålla information som är värdefull för en angripare. Därför bör du begränsa den fysiska tillgången till den dator som kör Tableau Server. Dessutom bör du se till att bara auktoriserade och betrodda användare har tillgång till Tableau Server-filer i katalogen C:\ProgramData\Tableau
.
7. Uppdatera Kör som användare-kontot för Tableau Server
Tableau Server körs som standard med Windows fördefinierade konto för nätverkstjänster (NT Authority\Network Service). Standardkontot kan användas i scenarier där Tableau Server inte behöver ansluta till externa datakällor som kräver Windows-autentisering. Men om användarna behöver komma åt datakällor som autentiseras via Active Directory uppdaterar du Kör som användare-kontot till ett domänkonto. Det är viktigt att minimera behörigheterna för det konto som du använder för Kör som användare. Mer information finns i Kör som tjänst-konto.
8. Skapa nya hemligheter och token
Alla Tableau Server-tjänster som kommunicerar med lagringsplatsen eller cacheservern måste autentiseras med en hemlig token. Denna hemliga token genereras under konfigurationen av Tableau Server. Den krypteringsnyckel som intern SSL använder för att kryptera trafiken till Postgres-lagringsplatsen genereras också under konfigurationen.
När du har installerat Tableau Server bör du generera nya krypteringsnycklar för driftsättningen.
De här säkerhetsresurserna kan genereras om med kommandot tsm security regenerate-internal-tokens
.
Kör följande kommandon:
tsm security regenerate-internal-tokens
tsm pending-changes apply
9. Inaktivera tjänster som du inte använder
För att minimera möjligheterna till intrång på Tableau Server kan du inaktivera alla anslutningspunkter som inte behövs.
JMX-tjänst
JMX är som standard inaktiverat. Om det är aktiverat, men du inte använder det, bör du inaktivera det enligt följande:
tsm configuration set -k service.jmx_enabled -v false
tsm pending-changes apply
10. Verifiera konfiguration av sessionens livslängd
Tableau Server har som standard ingen absolut sessionstidsgräns. Det betyder att webbläsarbaserade klientsessioner (webbredigering) kan förbli öppna på obestämd tid om tidsgränsen för inaktivitet i Tableau Server inte överskrids. Standardvärdet för inaktivitet är 240 minuter.
Om säkerhetspolicyn kräver det kan du ange en absolut sessionstidsgräns. Se till att du anger en absolut sessionstidsgräns som räcker för att de längsta extraktöverföringarna eller arbetsbokspubliceringarna i organisationen ska hinnas med. Om du anger en för kort sessionstidsgräns kan det ge upphov till extrakt- och publiceringsfel för tidskrävande åtgärder.
Ange sessionstidsgränsen genom att köra följande kommandon:
tsm configuration set -k wgserver.session.apply_lifetime_limit -v true
tsm configuration set -k wgserver.session.lifetime_limit -v value
, där value (värde) är antalet minuter. Standardvärdet är 1 440, som motsvarar 24 timmar.
tsm configuration set -k wgserver.session.idle_limit -v value
, där value (värde) är antalet minuter. Standardvärdet är 240.
tsm pending-changes apply
Sessioner för anslutna klienter (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge och personliga åtkomsttoken) använder OAuth-token för att hålla användare inloggade genom att återupprätta en session. Du kan inaktivera det här beteendet om du vill att alla Tableaus klientsessioner enbart ska regleras av de webbläsarbaserade sessionsgränser som styrs med ovannämnda kommandon. Läs mer i Inaktivera automatisk klientautentisering.
11. Konfigurera en godkännandelista för servern för filbaserade datakällor
Från och med Tableau Server-versioner från oktober 2023 förändras standardbeteendet för filbaserad åtkomst. Tidigare tillät Tableau Server auktoriserade Tableau Server-användare att bygga arbetsböcker som använder filer på servern som filbaserade datakällor (till exempel kalkylblad). I versioner från oktober 2023 måste åtkomst till filer lagrade på Tableau eller på fjärrresurser konfigureras specifikt på Tableau Server med inställningen som beskrivs här.
Med den här inställningen kan du begränsa åtkomsten av Kör som tjänst-konto endast till de kataloger som du anger.
För att konfigurera åtkomst till delade filer måste du konfigurera funktionen för godkännandelista. Då kan du begränsa Kör som tjänst-kontot till enbart de lokala kataloger eller de delade kataloger där datafilerna finns.
På den dator som kör Tableau Server identifierar du de kataloger datakällfiler kommer att lagras.
Viktigt! Se till att filsökvägarna som du anger i den här inställningen finns och är tillgängliga för tjänstkontot.
Kör följande kommandon:
tsm configuration set -k native_api.allowed_paths -v "path"
, där path (sökväg) är mappen som ska läggas till i godkännandelistan. Alla underkataloger för den angivna sökvägen kommer att läggas till i godkännandelistan. Du måste lägga till ett omvänt snedstreck längst bak i den angivna sökvägen. Om du vill ange flera sökvägar ska de avgränsas med semikolon, som i det här exemplet:tsm configuration set -k native_api.allowed_paths -v "c:\datasources;\\HR\data\"
tsm pending-changes apply
12. Aktivera HTTP Strict Transport Security för webbläsarklienter
HTTP Strict Transport Security (HSTS) är en policy som konfigureras för webbprogramtjänster, som Tableau Server. När en kompatibel webbläsare stöter på ett webbprogram som kör HSTS måste alla kommunikation med tjänsten ske via en säker anslutning (HTTPS). HSTS stöds av de vanligaste webbläsarna.
Mer information om hur HSTS fungerar och vilka webbläsare som har stöd för det finns på OWASP:s webbplats (Open Web Application Security Project) i HTTP Strict Transport Security Cheat Sheet(Länken öppnas i ett nytt fönster).
Om du vill aktivera HSTS kör du följande kommandon på Tableau Server:
tsm configuration set -k gateway.http.hsts -v true
Som standard är HSTS-policyn inställd på ett år (31 536 000 sekunder). Den här tidsperioden anger hur länge webbläsaren ansluter till servern via HTTPS. Du bör överväga att ange en kort maximal åldersgräns under den inledande distributionen av HSTS. Om du vill ändra den här tidsgränsen kör du tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>
. Om du till exempel vill ange tidsperioden för HSTS-policyn till 30 dagar anger du tsm configuration set -k gateway.http.hsts_options -v max-age=2592000
.
tsm pending-changes apply
13. Inaktivera gäståtkomst
Kärnbaserade licenser för Tableau Server inkluderar en gästanvändare, med vilken en användare i organisationen kan se och interagera med Tableau-vyer som bäddats in på webbsidor.
Gästanvändaråtkomst är aktiverat som standard när Tableau Server driftsätts med kärnbaserad licensiering.
Med gäståtkomst kan användarna se inbäddade vyer. Gästanvändare kan inte bläddra i Tableau Server-gränssnittet eller se servergränssnittets element i vyn, till exempel användarnamn, kontoinställningar, kommentarer och så vidare.
Om organisationen har driftsatt Tableau Server med kärnlicenser och gäståtkomst inte behövs inaktiverar du gäståtkomsten.
Du kan inaktivera gäståtkomst på server- eller platsnivå.
Du måste vara serveradministratör för att inaktivera gästkontot på antingen server- eller platsnivå.
Så här inaktiverar du gäståtkomst på servernivå:
Klicka på Hantera alla platser på platsmenyn och klicka sedan på Inställningar > Allmänt.
Vid Gäståtkomst avmarkerar du kryssrutan Aktivera gäståtkomst.
Klicka på Spara.
Så här inaktiverar du gäståtkomst för en plats:
Välj en plats på platsmenyn.
Klicka på Inställningar och avmarkera kryssrutan Aktivera gäståtkomst på sidan Inställningar.
Mer information finns i Gästanvändare.
14. Ange HTTP-huvudet referrer-policy som 'same-origin’
Från och med 2019.2 inkluderar Tableau Server en funktion som kan konfigurera beteende för HTTP-rubriker för hänvisningspolicy. Den här policyn aktiveras med ett standardbeteende som inkluderar ursprungs-URL för alla ”säkra” anslutningar (no-referrer-when-downgrade
), som skickar information om ursprungshänvisare enbart till likadana anslutningar (HTTP till HTTP) eller sådana som är säkrare (HTTP till HTTPS).
Du bör dock ange det här värdet som same-origin
, vilket bara skickar information om hänvisare till ursprung inom samma plats. Begäranden från utanför platsen får ingen hänvisarinformation.
Om du vill uppdatera hänvisningspolicyn till same-origin
kör du följande kommandon:
tsm configuration set -k gateway.http.referrer_policy -v same-origin
tsm pending-changes apply
Mer information om hur du konfigurerar fler sidhuvuden för att förstärka säkerheten finns i HTTP-svarsrubriker.
15. Konfigurera TLS för SMTP-anslutningar
Från och med 2019.4 inkluderar Tableau Server en funktion för konfiguration av TLS för SMTP-anslutningar. Tableau Server har endast stöd för STARTTLS (opportunistisk eller explicit TLS).
Du kan också konfigurera Tableau Server att ansluta till en e-postserver. Efter SMTP-konfigurationen kan Tableau Server konfigureras att skicka mejl till serveradministratörerna om systemfel och till serveranvändarna om prenumerationsvyer och datadrivna aviseringar.
Så här konfigurerar du TLS för SMTP:
- Ladda upp ett kompatibelt certifikat till Tableau Server. Läs mer i tsm security custom-cert add.
- Konfigurera TLS-anslutningen med TSM CLI.
Kör följande TSM-kommandon för att aktivera och tvinga fram TLS-anslutningar till SMTP-servern och för att aktivera certifikatverifiering.
tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true
tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true
tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true
Tableau Server har som standard stöd för TLS versions 1, 1.1 och 1.2, men du bör ange den senaste TLS-versionen som SMTP-servern har stöd för.
Kör följande kommando för att ange version. Giltiga värden är
SSLv2Hello
,SSLv3
,TLSv1
,TLSv1.1
samtTLSv1.2
. I följande exempel anges TLS-versionen som version 1.2:tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"
Mer information om andra alternativ för TLS-konfiguration finns i Konfigurera SMTP-inställningar.
- Starta om Tableau Server för att använda ändringarna. Kör följande kommando:
tsm pending-changes apply
16. Konfigurera SSL för LDAP
Om Tableau Server-driftsättningen har konfigurerats för att använda ett allmänt, externt LDAP-identitetsregister bör du konfigurera SSL för att skydda autentiseringen mellan Tableau Server och LDAP-servern. Läs mer i Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.
Om Tableau Server-driftsättningen har konfigurerats för att använda Active Directory bör du aktivera Kerberos för att skydda autentiseringstrafiken. Läs mer i avsnittet om Kerberos.
17. Begränsa behörigheter för andra installationsplatser än standardplatserna
Om du installerar Tableau Server för Windows på en annan plats än standardplatsen bör du begränsa behörigheterna manuellt för den anpassade installationskatalogen för att begränsa åtkomsten.
Som standard installeras Tableau Server på systemenheten. Enheten där Windows är installerat är systemenheten. I de flesta fall är systemenheten C:\ -enheten. I det här standardfallet installeras Tableau Server i följande kataloger:
C:\Program Files\Tableau\Tableau Server\packages
C:\ProgramData\Tableau\Tableau Server
Många kunder installerar emellertid på andra enheter än systemenheten eller i en annan katalog. Om du valde en annan installationsenhet eller -katalog under installationen installeras datakatalogen för Tableau Server på samma plats.
För att begränsa behörigheterna för den anpassade installationskatalogen bör bara följande konton ha motsvarande behörigheter för installationsmappen och alla undermappar:
Ange behörigheter för det här kontot: | Behörigheter som krävs |
---|---|
Det användarkonto som används för att installera och uppgradera Tableau Server | Fullständig kontroll |
Det användarkonto som används för att köra TSM-kommandon | Fullständig kontroll |
Systemkonto | Fullständig kontroll |
Kör som tjänst-konto, nätverkstjänst och lokal tjänst | Läs och kör |
Du kan läsa om hur du anger de här behörigheterna i Installera på en plats som inte är standard.
Ändringslista
Date | Change |
---|---|
May 2018 | Added clarification: Do not disable REST API in organizations that are running Tableau Prep. |
May 2019 | Added recommendation for referrer-policy HTTP header. |
June 2019 | Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Vad har ändrats – bra att veta innan du uppgraderar. |
January 2020 | Added recommendation to configure TLS for SMTP. |
February 2020 | Added recommendation to configure SSL for LDAP server. |
May 2020 | Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning. |
August 2020 | Added scoped permissions for non-default installations on Windows |
October 2020 | Added TLS v1.3 as a default supported cipher. |
January 2021 | Added clarification: All products enabled by the Data Management license require REST API. |
February 2021 | Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality. |