安全強化檢查清單
以下清單提供關於提高安全性的建議(「強化」)Tableau Server 安裝。
要在 Linux 上尋找 Tableau Server?參閱安全強化檢查清單(連結在新視窗開啟)
安裝安全更新
Tableau Server 的最新版本和維護版本 (MR) 中包含安全更新。您將不能安裝安全更新為修補程式。反之,您必須升級到目前版本或 MR 才能為 Tableau Server 更新最新安全修補程式。
升級後,始終參考本主題的最新版本。目前版本已在主題 URL 中加入 /current/
。
舉例來說,美國版的 URL 為: https://help.tableau.com/current/server/zh-tw/security_harden.htm。
1.更新目前版本
建議您始終執行最新版本的 Tableau Server。此外,Tableau 會定期發佈 Tableau Server 的維護版本,其中包括已知資訊安全性漏洞的修復程式。(有關已知安全性漏洞的資訊,請參閱 Tableau 安全佈告欄頁面和 Salesforce 安全公告(連結在新視窗開啟)頁面。)我們建議您查看維護版本通知,以確定是否應安裝它們。
若要獲取 Tableau Server 的最新版本或維護版本,請造訪客戶入口網站(連結在新視窗開啟)頁面。
2.使用有效的信任的憑證設定 SSL/TLS
安全通訊端層 (SSL/TLS) 對於幫助保護與 Tableau Server 之間的通訊安全至關重要。使用有效的信任的憑證(不是自我簽署憑證)設定 Tableau Server,以便 Tableau Server、行動裝置和 Web 用戶端可以透過安全連線連線至頂端伺服器。有關詳情,請參閱SSL。
3.停用舊版本的 TLS
Tableau Server 使用 TLS 對元件之間以及與外部用戶端之間的多個連線進行驗證和加密。諸如瀏覽器、Tableau Desktop、Tableau Mobile 之類的外部用戶端透過 HTTPS 使用 TLS 連線到 Tableau。傳輸層安全性 (TLS) 是 SSL 的改良版本。事實上,舊版本的 SSL(SSL v2 和 SSL v3)不再被認為是足夠安全的通訊標準。因此,Tableau Server 不允許外部用戶端使用 SSL v2 或 SSL v3 通訊協定進行連線。
建議您允許外部用戶端使用 TLS v1.3 和 TLS v1.2 連線到 Tableau Server。
TLS v1.2 仍被視為安全的通訊協定,許多用戶端(包括 Tableau Desktop)尚不支援 TLS v1.3。
支援 TLS v1.3 的用戶端將交涉 TLS v1.3,即使伺服器支援 TLS v1.2。
以下 tsm 命令可啟用 TLS v1.2 和 v1.3(使用「all」參數),並(透過在給定通訊協定前面預置減號「-」字元)停用 SSL v2、SSL v3、TLS v1 和 TLS v1.1。目前並非所有 Tableau Server 的元件皆支援 TLS v1.3。
tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
tsm pending-changes apply
要修改管理 Tableau Server PostgreSQL 存放庫的 SSL 的通訊協議,請參見 pgsql.ssl.ciphersuite 。
還可以修改 Tableau Server 用於 SSL/TLS 工作階段的加密套件的預設清單。有關詳情,請參閱 tsm configuration set 選項中的 ssl.ciphersuite 部分。
4.為內部流量設定 SSL 加密
可以將 Tableau Server 設定為對 Postgres 存放庫和其他伺服器元件之間的所有流量進行加密。預設情況下,已為伺服器元件和存放庫之間的通訊停用了 SSL。我們建議對 Tableau Server 的所有執行個體甚至是對單一伺服器安裝啟用內部 SSL。啟用內部 SSL 對多節點部署尤其重要。請參閱針對內部 Postgres 通訊設定 SSL。
5.啟用防火牆保護
Tableau Server 旨在受保護的內部網路內部執行。
重要資訊:不要在 Internet 上或 DMZ 中執行 Tableau Server 或 Tableau Server 的任何組件。Tableau Server 必須在受 Internet 防火牆保護的公司網路內執行。我們建議為需要連線到 Tableau Server 的 Internet 用戶端設定反向代理解決方案。請參閱為 Tableau Server 設定 Proxy 與負載平衡器。
應在作業系統上啟用本機防火牆,以在單節點和多節點部署中保護 Tableau Sever。在 Tableau Server 的分散式(多節點)安裝中,節點之間的通訊未使用安全通訊。因此,您應該在託管 Tableau Server 的電腦上啟用防火牆。
若要防止被動攻擊者觀察節點之間的通訊,請設定隔離的虛擬 LAN 或其他網路層安全解決方案。
請參閱Tableau 服務管理員埠,瞭解 Tableau Server 需要哪些埠和服務。
6.限制存取伺服器電腦和重要目錄
Tableau Server 組態檔和記錄檔可能包含對攻擊者有價值的資訊。因此,請限制對正在執行 Tableau Server 的電腦的物理存取。此外,請確保只有經過授權且受信任的使用者才能存取 C:\ProgramData\Tableau
目錄中的 Tableau Server 檔案。
7.更新 Tableau Server 使用者執行身分帳戶
預設情況下,Tableau Server 在預定義的網路服務 (NT Authority\Network Service) Windows 帳戶下執行。在 Tableau Server 不需要連線到要求 Windows 驗證的外部資料來源的情況下,使用預設帳戶是可接受的。但是,如果您的使用者需要存取由 Active Directory 進行驗證的資料來源,請將使用者執行身分更新為網域帳戶。將用於使用者執行身分的帳戶的權限降至最低很重要。有關詳情,請參閱執行身分服務帳戶。
8.產生新的密碼和權杖
與存放庫或快取伺服器通訊的任何 Tableau Server 服務必須首先用秘密權杖進行驗證。祕密權杖是在 Tableau Server 安裝過程中產生的。在安裝過程中也會產生加密金鑰,內部 SSL 使用該金鑰對到 Postgres 存放庫的流量進行加密。
我們建議您在安裝 Tableau Server 後為您的部署產生新的加密金鑰。
這些安全資產可使用 tsm security regenerate-internal-tokens
命令重新產生。
執行以下命令:
tsm security regenerate-internal-tokens
tsm pending-changes apply
9.停用未使用的服務
若要儘量減小 Tableau Server 的攻擊面,請停用任何不需要的連線點。
JMX 服務
JMX 預設處於停用狀態。如果已啟用了 JMX 但未使用,則應該使用以下命令將其停用:
tsm configuration set -k service.jmx_enabled -v false
tsm pending-changes apply
10.驗證會話生命週期設定
預設情況下,Tableau Server 沒有絕對的會話超時。這意味著在未超過 Tableau Server 不活動超時的情況下瀏覽器用戶端(Web 製作)會話可以無限期地保持開啟狀態。預設不活動超時為 240 分鐘。
如果您的安全性原則需要絕對會話超時,則可以設定它。請務必將絕對工作階段超時設定為允許在組織中進行最長時間的擷取上傳或工作簿發佈操作範圍。如果將此會話超時設定得太低,將可能導致長時間操作的資料擷取和發佈失敗。
若要設定會話超時,請執行以下命令:
tsm configuration set -k wgserver.session.apply_lifetime_limit -v true
tsm configuration set -k wgserver.session.lifetime_limit -v value
,其中 value 是分鐘數。預設值是 1440,即 24 小時。
tsm configuration set -k wgserver.session.idle_limit -v value
,其中 value 是分鐘數。預設值為 240。
tsm pending-changes apply
連接用戶端的會話(Tableau Desktop、Tableau Mobile、Tableau Prep Builder、Bridge 語個人存取權杖)使用 OAuth 權杖,透過重新建立會話來保持使用者登入。 如果您希望所有 Tableau 用戶端作業完全受上述指令控制的瀏覽器式會話管理,可以停用此行為。參閱停用自動用戶端驗證。
11.為以檔案為基礎的資料來源設定伺服器允許清單
自 2023 年 10 月 Tableau Server 版本起,預設的基於檔案的存取行為已發生變更。先前,Tableau Server 允許獲授權的 Tableau Server 使用者建立使用伺服器上的檔案作為基於檔案資料來源的工作簿(如試算表)。對於 2023 年 10 月版本,必須使用此處所述的設定在 Tableau Server 上專門設定對儲存在 Tableau 或遠端共用上的檔案的存取。
此設定可讓您將執行身分服務帳戶的存取權限制為僅可存取您指定的目錄。
若要設定對共用檔案的存取權,必須設定允許清單功能。這使您可以將執行身分服務帳戶限制為僅可存取本機目錄路徑或託管資料檔案的共用目錄。
在執行 Tableau Server 的電腦上,確定將在其中託管資料來源檔案的目錄。
重要事項:確保您在此設定中指定的檔案路徑存在並且可由服務帳戶存取。
執行以下命令:
tsm configuration set -k native_api.allowed_paths -v "path"
,其中 path 是要新增到允許清單中的目錄。指定路徑的所有子目錄將都新增到允許清單中。必須在指定路徑中新增尾部反斜線。如果想要指定多個路徑,請用分號將它們分開,如此範例中所示:tsm configuration set -k native_api.allowed_paths -v "c:\datasources;\\HR\data\"
tsm pending-changes apply
12.為 Web 瀏覽器用戶端啟用 HTTP 嚴格傳輸安全性
HTTP 嚴格傳輸安全性 (HSTS) 是在 Web 應用程式服務(例如 Tableau Server)上設定的原則。當符合規定的瀏覽器遇到執行 HSTS 的 Web 應用程式時,那麼與服務的所有通訊都必須透過安全 (HTTPS) 連線來進行。主要瀏覽器支援 HSTS。
有關 HSTS 如何工作以及支援它的瀏覽器的詳情,請參閱「開啟 Web 應用程式安全專案」網頁、HTTP 嚴格傳輸安全性參考手冊(連結在新視窗開啟)。
若要啟用 HSTS,請在 Tableau Server 上執行以下命令:
tsm configuration set -k gateway.http.hsts -v true
預設情況下,會為一年(31536000 秒)期間設定 HSTS 原則。此時間段指定瀏覽器將透過 HTTPS 存取伺服器的時間量。您應考慮在初始推出 HSTS 期間設定最短時間。若要變更此時間段,請執行 tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>
。例如,若要將 HSTS 策略時間段設定為 30 天,請輸入 tsm configuration set -k gateway.http.hsts_options -v max-age=2592000
。
tsm pending-changes apply
13.停用來賓存取權限
Tableau Server 核心授權包括來賓使用者選項,您可以使用該選項允許組織中的任何使用者查看網頁中內嵌的 Tableau 檢視並與之交互。
在使用核心授權部署的 Tableau Server 上,來賓使用者存取權限預設情況下處於啟用狀態。
來賓存取權限僅允許使用者查看內嵌檢視。來賓使用者無法瀏覽 Tableau Server 介面或查看檢視的伺服器介面元素(例如使用者名、帳戶設定、註解等)。
如果您的組織使用核心授權部署了 Tableau Server,並且不需要來賓存取權限,則停用來賓存取權限。
您可以在伺服器或網站層級停用來賓存取權限。
您必須是伺服器管理員才能在伺服器或網站層級停用來賓帳戶。
若要在伺服器層級停用來賓存取權限,請執行以下操作:
在網站功能表中,按一下「管理所有網站」,然後按一下「設定」>「常規」。
對於「來賓存取」,清除「啟用來賓帳戶」核取方塊。
按一下「儲存」。
若要為網站停用來賓存取,請執行以下操作:
在網站功能表中,選取一個網站。
按一下「設定」,並在「設定」頁面上清除「啟用來賓帳戶」核取方塊。
有關詳情,請參閱來賓使用者。
14.將 referrer-policy HTTP 標頭設為「same-origin」
自 2019.2 之後的版本,Tableau Server 即加入可設定 Referrer-Policy HTTP 標頭行為的功能。此原則將依預設行為啟用,即對所有「視為安全」的連線包含原始 URL (no-referrer-when-downgrade
),其僅將原始參照位址資訊傳送至類似的連線(HTTP 至 HTTP),或傳送至更安全的連線(HTTP 至 HTTPS)。
不過,建議您將此值設為 same-origin
,如此會僅將參照位址資訊傳送至相同網站來源。網站以外的要求將不會收到參照位址資訊。
若要將 referrer-policy 更新為 same-origin
,請執行下列命令:
tsm configuration set -k gateway.http.referrer_policy -v same-origin
tsm pending-changes apply
有關設定其他標頭以提升安全性的詳情,請參閱 HTTP 回應標頭。
15.設定用於 SMTP 連線的 TLS
自 2019.4 開始,Tableau Server 提供的功能可設定用於 SMTP 連線的 TLS。Tableau Server 僅支援 STARTTLS(隨機或明確 TLS)。
Tableau Server 可以選擇性設定為連線至郵件伺服器。設定 SMTP 後,Tableau Server 可設為傳送電子郵件給系統管理員告知有關系統故障的資訊,並傳送電子郵件給伺服器使用者告知有關已訂閱檢視和資料驅動型通知的資訊。
為 SMTP 設定 TLS 的方式:
- 將相容憑證上傳至 Tableau Server。請參閱 tsm security custom-cert add。
- 使用 TSM CLI 設定 TLS 連線。
執行以下 TSM 命令,啟用和強制 TLS 連線至 SMTP 伺服器,以及啟用憑證驗證。
tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true
tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true
tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true
預設情況下,Tableau Server 將支援 TLS 1、1.1 和 1.2 版,但建議您指定 SMTP 伺服器支援的最新的 TLS 版本。
執行以下命令即可設定版本。有效的值包括
SSLv2Hello
、SSLv3
、TLSv1
、TLSv1.1
和TLSv1.2
。以下範例將 TLS 版本設為 1.2 版:tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"
有關其他 TLS 組態選項的詳情,請參閱設定 SMTP 設定。
- 重新啟動 Tableau Server 以套用變更。執行以下命令:
tsm pending-changes apply
16.為 LDAP 設定 SSL
如果您的 Tableau Server 部署設定為使用通用 LDAP 外部身分識別存放區,建議您設定 SSL 以保護 Tableau Server 和 LDAP 伺服器之間的驗證。請參閱設定到 LDAP 外部身分存放區的加密通道。
如果您的 Tableau Server 部署設定為使用 Active Directory,建議啟用 Kerberos 來保護驗證流量。請參閱 Kerberos。
17.非預設安裝位置的設定權限範圍
如果您將 Windows 版的 Tableau Server 安裝到非預設位置,我們建議您手動在自訂的安裝目錄中設定權限範圍來降低存取。
預設情況下,Tableau Server 將安裝在系統磁碟機上。安裝了 Windows 的磁碟機是系統磁碟機。大多數情況下,系統磁碟機為 C:\ 磁碟機。在這種預設情況下,Tableau Server 將安裝到以下目錄中:
C:\Program Files\Tableau\Tableau Server\packages
C:\ProgramData\Tableau\Tableau Server
但是,許多客戶安裝到非系統驅動程式或其他目錄上。如果在設定時選取其他安裝磁碟機或目錄位置,則 Tableau Server 的 data 目錄將安裝到相同路徑中。
若要在自訂安裝目錄上設定權限範圍,只有以下的帳戶在安裝資料夾或子資料夾上擁有相應權限。
設定此帳戶的權限: | 所需的權限 |
---|---|
用於安裝和升級 Tableau Server 的使用者帳戶 | 完全控制 |
用於運行執行 TSM 命令的使用者帳戶 | 完全控制 |
系統帳戶 | 完全控制 |
以服務帳戶、網路服務和本地服務執行 | 讀取和執行 |
在非預設位置安裝中可以找到設定這些權限的過程。
變更清單
Date | Change |
---|---|
May 2018 | Added clarification: Do not disable REST API in organizations that are running Tableau Prep. |
May 2019 | Added recommendation for referrer-policy HTTP header. |
June 2019 | Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See 更新功能 - 升級前須知事項. |
January 2020 | Added recommendation to configure TLS for SMTP. |
February 2020 | Added recommendation to configure SSL for LDAP server. |
May 2020 | Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning. |
August 2020 | Added scoped permissions for non-default installations on Windows |
October 2020 | Added TLS v1.3 as a default supported cipher. |
January 2021 | Added clarification: All products enabled by the Data Management license require REST API. |
February 2021 | Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality. |