Erweiterungssicherheit - Bewährte Verfahren für die Bereitstellung

Die folgenden Informationen richten sich an IT-Verantwortliche und -Administratoren, Tableau Server- und Site-Administratoren sowie an alle, die an der Verwaltung von Dashboard-Erweiterungen und der Sicherheit ihrer Daten und ihres Geschäfts interessiert sind. Die Vorschläge für die Bereitstellung richten sich an Unternehmen, die eine Mischung aus Benutzern haben, die sich auf Tableau Desktop und Tableau Server oder Tableau Online befinden.

 

Sicherheit für Erweiterungen in Tableau

Erweiterungen sind Webanwendungen, die innerhalb Ihres Netzwerks oder außerhalb auf einem Server eines Drittanbieters gehostet werden können. Erweiterungen können mit anderen Komponenten im Dashboard interagieren und haben möglicherweise Zugriff auf die sichtbaren und die zugrunde liegenden Daten in der Arbeitsmappe (über eine wohldefinierte API). Tableau unterstützt Erweiterungen in Tableau Desktop, Tableau Server und Tableau Online. Tableau Server und Tableau Online bieten die größte Kontrolle über die Erweiterungen, die Ihre Benutzer ausführen können.

Mögliche Sicherheitsrisiken

Da Erweiterungen Webanwendungen sind, besteht die Möglichkeit, dass die Erweiterung für bestimmte Arten von bösartigen Angriffen anfällig sein könnte, was wiederum ein Risiko für Ihren Computer oder Ihre Daten darstellen könnte. Das Open Web Application Security Project (OWASP, Sicherheitsprojekt für offene Webanwendungen) identifiziert jährlich die wichtigsten Sicherheitsrisiken für Webanwendungen. Zu diesen Risiken gehören unter anderem die folgenden:

  • SQL-Injektion
  • Site-übergreifendes Skripting (XSS)
  • Gefährdung von sensiblen Daten

Diese Risiken können die Erweiterung beeinträchtigen, wenn die Entwickler der Erweiterung Benutzereingaben nicht ordnungsgemäß validieren und verarbeiten oder wenn sie dynamische Abfragen für den Zugriff auf sensible Datenbanken generieren. Wenn Sie die Erweiterungen, die Sie in Tableau zulassen möchten, bewerten, sollten Sie sich überlegen, wie sie Authentifizierung, Datenzugriff oder Benutzereingaben verwalten und wie sie Sicherheitsrisiken minimieren.

Eindämmung der Sicherheitsbedrohungen

Zu verstehen, was eine Erweiterung leistet, ist ein erster Schritt, um die Risiken für Ihr Unternehmen zu identifizieren. In vielen Fällen greift eine Dashboard-Erweiterung nicht auf die zugrunde liegenden Daten in der Arbeitsmappe zu und der gesamte JavaScript-Code wird im Kontext des Browsers ausgeführt, der auf dem Computer des Benutzers läuft. In diesen Fällen verlassen keine Daten den Computer, obwohl die Erweiterung möglicherweise auf einer Site eines Drittanbieters außerhalb Ihrer Domain gehostet wird. Einige Erweiterungen ermöglichen es Ihnen, Tableau mit anderen Anwendungen zu verbinden, die Sie bereits in Ihrer Domäne bereitgestellt haben.

Tableau bietet Sicherheitsmaßnahmen und Sicherheitsanforderungen für Erweiterungen. Diese sind für Tableau Desktop, Tableau Server und Tableau Online aktiviert.

  • Alle Erweiterungen müssen das HTTP Secure (HTTPS)-Protokoll verwenden.
  • Standardmäßig wird jeder, der ein Dashboard mit einer Erweiterung verwendet, aufgefordert, das Ausführen der Erweiterungsberechtigung zu erlauben oder zu verweigern. Die Erweiterung muss eine Erlaubnis anfordern, wenn sie auf die zugrundeliegenden Daten zugreifen soll.
  • Ab 2019.1 muss die URL der Erweiterung einer sicheren Liste hinzugefügt werden, um auf Tableau Server oder Tableau Online ausgeführt zu werden. Der Site-Administrator verwaltet diese Liste.
  • Auf Tableau Server und Tableau Online kann der Site-Administrator steuern, ob die Eingabeaufforderung für jede Erweiterung angezeigt wird.

Weitere Informationen dazu finden Sie unter Verwalten von Dashboarderweiterungen in Tableau Server.

Verwalten von Erweiterungen mit Tableau

Erweiterungen bieten die Möglichkeit, Dashboards mit einzigartigen Funktionen auszustatten. Mit Hilfe von Erweiterungen können Sie das Dashboard direkt in Anwendungen außerhalb von Tableau integrieren. Während Erweiterungen eine Vielzahl von Möglichkeiten eröffnen, gibt es Fälle, in denen Sie die Kontrolle darüber behalten müssen oder wollen, wie Erweiterungen in Ihrer Firma oder im Unternehmen eingesetzt werden. In dieser Hinsicht unterscheiden sich Erweiterungen nicht von jeder anderen Software, die Sie verwenden möchten. Bevor Sie Softwareanwendungen in Ihrem Unternehmen einsetzen, sollten Sie diese gründlich testen und überprüfen, ob die Software wie erwartet funktioniert und sicher ist. Das gleiche gilt für Erweiterungen.

Nachdem Sie festgelegt haben, welche Zugriffsebene Ihre Benutzer haben sollten, und die Erweiterungen identifiziert haben, die Sie verwenden möchten (oder umgekehrt die Erweiterungen, die Sie nicht verwenden möchten), können Sie die Steuerelemente und Funktionen in Tableau verwenden, um die Dashboard-Erweiterungen, auf die Benutzer Zugriff haben, einzuschränken und zu pflegen.

Empfehlungen für Tableau Desktop

Sie haben eine Reihe von Möglichkeiten, Tableau Desktop in Ihrem Unternehmen bereitzustellen. Sie können uneingeschränkten Zugriff auf Erweiterungen von Drittanbietern gewähren, oder Sie können Beschränkungen und Einschränkungen dafür festlegen, wer unter welchen Umständen Zugriff auf Erweiterungen hat.

  • Alle Benutzer - Alle Tableau Desktop-Benutzer sind berechtigt, Erweiterungen zu verwenden. Wenn Sie Ihren Tableau Desktop-Benutzern die Wahl lassen möchten, welche Erweiterungen sie ausführen möchten, können Sie die Standardinstallationseinstellungen verwenden. Ab Tableau 2018.2 sind Erweiterungen standardmäßig aktiviert. Tableau Desktop-Benutzer haben uneingeschränkten Zugriff auf Erweiterungen von Drittanbietern.
  • Benutzer auswählen - Nur einige Benutzer von Tableau Desktop sind berechtigt, Erweiterungen zu verwenden. Andere können Web-Authoring verwenden, um auf Erweiterungen zuzugreifen, die von Server- und Site-Administratoren festgelegt wurden. Wenn Sie einschränken möchten, wer in Ihrer Organisation Zugriff auf Erweiterungen hat, und nur diesen Tableau Desktop-Benutzern die Wahl lassen, welche Erweiterungen sie ausführen wollen, können Sie die benutzerdefinierten Installationseinstellungen verwenden und diese verwenden, um Erweiterungen standardmäßig für die meisten Benutzer auszuschalten. Sie können Erweiterungen für die Benutzer von Tableau Desktop selektiv aktivieren.
  • Nur Web-Authoring - Erlauben Sie Benutzern nur, Erweiterungen auf Tableau Server und Tableau Online hinzuzufügen. Um Ihnen die größtmögliche Kontrolle darüber zu geben, auf welche Erweiterungen Benutzer Zugriff haben, können Sie die Erweiterungen für alle Tableau Desktop-Benutzer deaktivieren und dann Benutzern erlauben, Erweiterungen zu Dashboards auf Tableau Server oder Tableau Online mithilfe von Web-Authoring hinzuzufügen. In diesem Szenario können die Server- und Site-Administratoren bestimmen, auf welche Erweiterungen sie den Benutzern den Zugriff ermöglichen.

Selektive Aktivierung von Erweiterungen auf Tableau Desktop

Standardmäßig unterstützt Tableau Desktop Erweiterungen und Tableau Desktop-Benutzer haben uneingeschränkten Zugriff auf Erweiterungen. Sie können während der Installation Optionen verwenden, um die Standardeinstellung zu ändern und die Unterstützung für Erweiterungen auszuschalten. Sie können Erweiterungen auch nach der Installation mithilfe von Registrierungseinstellungen und Skripten deaktivieren.

  • Während der Installation können Sie die Unterstützung für Erweiterungen während der Tableau-Desktop-Installation über die DISABLEEXTENSIONS Eigenschaft (DISABLEEXTENSIONS=1) deaktivieren. Siehe Installation von Tableau Desktop über die Befehlszeile
  • Nach der Installation Sie können die Unterstützung für Erweiterungen auch nach der Installation deaktivieren, indem Sie die Registry (Windows) bearbeiten oder ein Skript (Mac) auf jedem Desktop ausführen. Siehe Dashboard-Erweiterungen deaktivieren.

Empfehlungen für Tableau Server und Tableau Online

Wenn Ihre Benutzer Zugriff auf Tableau Server oder Tableau Online haben, können Sie die integrierten Sicherheitskontrollen verwenden, um Beschränkungen und Einschränkungen für die Erweiterungen festzulegen, die verwendet werden können und unter welchen Umständen. Wenn Sie Erweiterungen in Tableau Desktop deaktiviert haben, können Sie Benutzern weiterhin erlauben, Erweiterungen im Web-Authoring hinzuzufügen, aber Sie können die Anzahl der Erweiterungen, die verwendet werden können, auf diejenigen beschränken, die Sie genehmigen.

Vertrauenswürdige Erweiterungen auf der sicheren Liste

Ab Tableau Server 2019.1 dürfen keine Erweiterungen ausgeführt werden, es sei denn, sie wurden der sicheren Liste hinzugefügt. Benutzer können nur Erweiterungen für Dashboards verwenden, die explizit auf der Einstellungsseite der Site aufgeführt sind (Einstellungen > Erweiterungen > Spezifische Erweiterungen aktivieren).

Hinweis Um die sichere Liste zum Standardverhalten in Tableau 2018.2 und Tableau 2018.3 zu machen, müssen Sie die Einstellungen für die Site ändern. Deaktivieren Sie auf der Seite Einstellungen für Erweiterungen unter Standardverhalten für Erweiterungendie Option Unbekannte Erweiterungen aktivieren...

Checkliste für die sichere Liste:

  • Kommt die Erweiterung aus einer Quelle, die Sie kennen und der Sie vertrauen?
  • Überprüfen Sie die URL der Erweiterung. Sieht die URL verdächtig aus oder enthält sie zweifelhafte Domainnamen?
  • Benötigt die Erweiterung Zugriff auf vollständige (Basisdaten) oder zusammenfassende Daten? Siehe Grundlegendes zum Datenzugriff.
  • Testen Sie die Erweiterungen, bevor Sie eine breite Anwendung zulassen. Siehe Testen von Erweiterungen auf Sicherheit. Siehe Testen von Erweiterungen auf Sicherheit.

Erweiterungen zur sicheren Liste hinzufügen:

Blockieren Sie die Ausführung bestimmter Erweiterungen auf Tableau Server

Auf Tableau Server können Sie bestimmte Erweiterungen blockieren, indem Sie deren URL zur Blockierliste hinzufügen. Dies ist nützlich, wenn Sie mehrere Sites haben, die für Erweiterungen unterschiedlich konfiguriert sind. Wenn Sie beispielsweise eine Testsite haben, auf der Sie interne oder externe Erweiterungen testen können möchten, haben Sie möglicherweise das Standardverhalten für Erweiterungen aktiviert, bei dem nicht aufgelistete Erweiterungen ausgeführt werden dürfen, sofern sie nicht auf die zugrunde liegenden Daten in der Arbeitsmappe zugreifen. Das Hinzufügen einer Erweiterung zur Sperrliste verhindert, dass sie versehentlich auf der Testsite verwendet wird.

  • Fügen Sie die URL der Erweiterungen, die Sie nicht zulassen möchten, zur Sperrliste hinzu. Diese Option ist nur auf Tableau Server verfügbar. Siehe Blockieren bestimmter Erweiterungen.

Ausschalten von Erweiterungen für eine Site

Standardmäßig sind Erweiterungen auf Tableau Server und Tableau Online aktiviert. Sowohl auf Tableau Server als auch auf Tableau Online kann der Site-Administrator die Erweiterungen für die Site deaktivieren. Der Serveradministrator kann Erweiterungen für Tableau Server deaktivieren, dies überschreibt die Site-Einstellungen. Sie sollten diese Einstellung nicht ändern müssen. Nur die Erweiterungen, die Sie der sicheren Liste hinzufügen, sind erlaubt. Wenn Sie die URL der Erweiterung nicht zur sicheren Liste hinzufügen, wird die Erweiterung nicht ausgeführt.

Ein- und Ausblenden von Benutzeraufforderungen zum Ausführen von Erweiterungen

Wenn Sie eine Erweiterung zur sicheren Liste hinzufügen, können Sie konfigurieren, ob Benutzer standardmäßig Eingabeaufforderungen sehen, wenn sie eine Erweiterung zu einem Dashboard hinzufügen oder wenn sie mit einer Ansicht interagieren, die eine Erweiterung hat. In der Eingabeaufforderung erhalten Benutzer Details zu der Eingabeaufforderung und sie erfahren, ob die Erweiterung Zugriff auf die vollständigen Daten hat. Mithilfe der Eingabeaufforderung können Benutzer die Ausführung der Erweiterung zulassen oder verweigern. Sie können die Eingabeaufforderung für Benutzer ausblenden, wodurch die Erweiterung sofort ausgeführt werden kann.

Deaktivieren des Standardverhaltens für Erweiterungen

Tableau Server und Tableau Online haben eine weitere Option, um die Ausführung von Erweiterungen zu ermöglichen. Administratoren können steuern, ob das Standardverhalten (oder die Richtlinie) für Erweiterungen aktiviert werden soll. Wenn diese Option aktiviert ist, ist das Standardverhalten, dass Erweiterungen, die sich noch nicht in der sicheren Liste befinden, zulässig sind, vorausgesetzt, dass keine vollständigen Daten angefordert werden. Benutzer werden Eingabeaufforderungen sehen, die um die Berechtigung zum Ausführen dieser Erweiterungen bitten.

In Tableau 2018.2 und 2018.3 wurde dieses Standardverhalten aktiviert. Wenn Sie diese Option nicht deaktivieren, dürfen Erweiterungen, die nicht auf einer sicheren Liste stehen, ausgeführt werden, vorausgesetzt, dass sie nicht auf vollständige Daten zugreifen.

Unter bestimmten Umständen sollten Sie das Standardverhalten für eine Site aktivieren. Wenn Sie beispielsweise eine Site haben, die Sie für das Testen reservieren, möchten Sie vielleicht die Flexibilität haben, Erweiterungen verwenden zu können, ohne sie vorher in die sichere Liste aufnehmen zu müssen. Es gibt einige Erweiterungen, die nicht direkt auf Daten zugreifen, sondern die Einstellung steuern oder Filter und Parameter löschen. Die Aktivierung des Standardverhaltens erleichtert die Verwendung dieser Erweiterungen. Es öffnet jedoch die Tür für andere Erweiterungen, also nutzen Sie diese Option vorsichtig.

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedbacks. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.