Erweiterungssicherheit - Bewährte Verfahren für die Bereitstellung

Die folgenden Informationen richten sich an IT-Verantwortliche und -Administratoren, Tableau Server- und Site-Administratoren sowie an alle, die an der Verwaltung von Dashboard-Erweiterungen und der Sicherheit ihrer Daten und ihres Geschäfts interessiert sind. Die Vorschläge für die Bereitstellung richten sich an Unternehmen, die eine Mischung aus Benutzern haben, die sich auf Tableau Desktop und Tableau Server oder Tableau Online befinden.

 

Sicherheit für Erweiterungen in Tableau

Erweiterungen sind Webanwendungen, die innerhalb Ihres Netzwerks, außerhalb auf einem Server eines Drittanbieters oder in einer sicheren, von Tableau gehosteten Sandbox-Umgebung gehostet werden können. Erweiterungen können mit anderen Komponenten im Dashboard interagieren und haben möglicherweise Zugriff auf die sichtbaren und die zugrunde liegenden Daten in der Arbeitsmappe (über eine wohldefinierte API).

Sandbox- und netzwerkfähige Erweiterungen

Tableau unterstützt zwei Arten von Erweiterungen: Netzwerkfähige Erweiterungen, die auf Webservern gehostet werden können, welche sich innerhalb oder außerhalb Ihres lokalen Netzwerks befinden und vollen Zugriff auf das Web haben, und Sandbox-Erweiterungen, die in einer geschützten Umgebung und ohne Zugriff auf eine andere Ressource oder einen anderen Dienst im Web ausgeführt werden.

Sandbox-Erweiterungen werden von Tableau gehostet und bieten die größte Sicherheit. Durch ihre Verwendung können bestimmte Risiken wie die Datenexfiltration entfallen. Netzwerkfähige Erweiterungen haben vollen Zugriff auf das Web, was bedeutet, dass sie zwar umfangreiche Funktionen und Erlebnisse bieten können, indem sie eine Verbindung zu externen Ressourcen herstellen können, aber vor der Bereitstellung oder Übernahme sorgfältig beurteilt werden sollten.

Sie können Sandbox- und netzwerkfähige Erweiterungen in Tableau Desktop, Tableau Server und Tableau Online verwenden. Tableau Server und Tableau Online bieten die größte Kontrolle über die Erweiterungen, die Ihre Benutzer ausführen können.

Potenzielle Sicherheitsrisiken mit netzwerkfähigen Erweiterungen

Da Erweiterungen Webanwendungen sind, besteht die Möglichkeit, dass eine netzwerkfähige Erweiterung für bestimmte Arten von bösartigen Angriffen anfällig sein könnte, was wiederum ein potentielles Risiko für Ihren Computer oder Ihre Daten darstellt. Das Open Web Application Security Project (OWASP, Sicherheitsprojekt für offene Webanwendungen) identifiziert jährlich die wichtigsten Sicherheitsrisiken für Webanwendungen. Zu diesen Risiken gehören unter anderem die folgenden:

  • SQL-Injektion
  • Site-übergreifendes Skripting (XSS)
  • Gefährdung von sensiblen Daten

Diese Risiken können die Erweiterung beeinträchtigen, wenn die Entwickler der Erweiterung Benutzereingaben nicht ordnungsgemäß validieren und verarbeiten oder wenn sie dynamische Abfragen für den Zugriff auf sensible Datenbanken generieren. Wenn Sie die Erweiterungen, die Sie in Tableau zulassen möchten, bewerten, sollten Sie sich überlegen, wie sie Authentifizierung, Datenzugriff oder Benutzereingaben verwalten und wie sie Sicherheitsrisiken minimieren.

Minimieren der Sicherheitsbedrohungen bei netzwerkfähigen Erweiterungen

Zu verstehen, was eine Erweiterung leistet, ist ein erster Schritt, um die Risiken für Ihr Unternehmen zu identifizieren. In vielen Fällen greift eine Dashboard-Erweiterung nicht auf die zugrunde liegenden Daten in der Arbeitsmappe zu und der gesamte JavaScript-Code wird im Kontext des Browsers ausgeführt, der auf dem Computer des Benutzers läuft. In diesen Fällen verlassen keine Daten den Computer, obwohl die Erweiterung möglicherweise auf einer Site eines Drittanbieters außerhalb Ihrer Domain gehostet wird. Einige Erweiterungen ermöglichen es Ihnen, Tableau mit anderen Anwendungen zu verbinden, die Sie bereits in Ihrer Domäne bereitgestellt haben.

Tableau bietet Sicherheitsmaßnahmen und Sicherheitsanforderungen für Erweiterungen. Diese sind für Tableau Desktop, Tableau Server und Tableau Online aktiviert.

  • Alle Erweiterungen müssen das HTTP Secure (HTTPS)-Protokoll verwenden.
  • Standardmäßig wird jeder, der ein Dashboard mit einer netzwerkfähigen Erweiterung verwendet, aufgefordert, das Ausführen der Erweiterungsberechtigung zu erlauben oder zu verweigern. Die Erweiterung muss eine Erlaubnis anfordern, wenn sie auf die zugrundeliegenden Daten zugreifen soll.
  • Um auf Tableau Server oder Tableau Online ausgeführt zu werden, muss die URL der netzwerkfähigen Erweiterung einer sicheren Liste hinzugefügt werden. Der Site-Administrator verwaltet diese Liste.
  • Auf Tableau Server und Tableau Online kann der Site-Administrator steuern, ob die Eingabeaufforderung für jede netzwerkfähige Erweiterung angezeigt wird.

Weitere Informationen dazu finden Sie unter Verwalten von Dashboarderweiterungen in Tableau Server.

Verwalten von Erweiterungen mit Tableau

Erweiterungen bieten die Möglichkeit, Dashboards mit einzigartigen Funktionen auszustatten. Mit Hilfe von Erweiterungen können Sie das Dashboard direkt in Anwendungen außerhalb von Tableau integrieren. Während Erweiterungen eine Vielzahl von Möglichkeiten eröffnen, gibt es Fälle, in denen Sie die Kontrolle darüber behalten müssen oder wollen, wie Erweiterungen in Ihrer Firma oder im Unternehmen eingesetzt werden. In dieser Hinsicht unterscheiden sich Erweiterungen nicht von jeder anderen Software, die Sie verwenden möchten. Bevor Sie Softwareanwendungen in Ihrem Unternehmen einsetzen, sollten Sie diese gründlich testen und überprüfen, ob die Software wie erwartet funktioniert und sicher ist. Das gleiche gilt für Erweiterungen.

Nachdem Sie festgelegt haben, welche Zugriffsebene Ihre Benutzer haben sollten, und die Erweiterungen identifiziert haben, die Sie verwenden möchten (oder umgekehrt die Erweiterungen, die Sie nicht verwenden möchten), können Sie die Steuerelemente und Funktionen in Tableau verwenden, um die Dashboard-Erweiterungen, auf die Benutzer Zugriff haben, einzuschränken und zu pflegen.

Empfehlungen für Tableau Desktop

Sie haben eine Reihe von Möglichkeiten, Tableau Desktop in Ihrem Unternehmen bereitzustellen. Sie können uneingeschränkten Zugriff auf Sandbox- und netzwerkfähige Erweiterungen gewähren, oder Sie können Beschränkungen und Einschränkungen dafür festlegen, wer unter welchen Umständen Zugriff auf Erweiterungen hat.

  • Alle Benutzer - Alle Tableau Desktop-Benutzer sind berechtigt, Erweiterungen zu verwenden. Wenn Sie Ihren Tableau Desktop-Benutzern die Wahl lassen möchten, welche Erweiterungen sie ausführen möchten, können Sie die Standardinstallationseinstellungen verwenden. Erweiterungen sind standardmäßig aktiviert. Tableau Desktop-Benutzer haben uneingeschränkten Zugriff auf Sandbox- und netzwerkfähige Erweiterungen. Wenn Sie aufgrund von Sicherheitsbedenken bezüglich netzwerkfähiger Erweiterungen Einschränkungen festlegen müssen, können Sie den Zugriff auf netzwerkfähige Erweiterungen deaktivieren, aber dennoch allen Benutzern erlauben, Sandbox-Erweiterungen auszuwählen.
  • Benutzer auswählen - Nur einige Benutzer von Tableau Desktop sind berechtigt, Erweiterungen zu verwenden. Andere können Web-Authoring verwenden, um auf Erweiterungen zuzugreifen, die von Server- und Site-Administratoren festgelegt wurden. Wenn Sie einschränken möchten, wer in Ihrer Organisation Zugriff auf Erweiterungen hat, und nur diesen Tableau Desktop-Benutzern die Wahl lassen, welche Erweiterungen sie ausführen wollen, können Sie die benutzerdefinierten Installationseinstellungen verwenden und diese verwenden, um Erweiterungen standardmäßig für die meisten Benutzer auszuschalten. Sie können Erweiterungen für die Benutzer von Tableau Desktop selektiv aktivieren. Sie können die Optionen weiter anpassen, indem Sie einigen Benutzern nur Zugriff auf Sandbox-Erweiterungen und anderen Benutzern den Zugriff auf Sandbox- und netzwerkfähige Erweiterungen gewähren.
  • Nur Web-Authoring - Erlauben Sie Benutzern nur, Erweiterungen auf Tableau Server und Tableau Online hinzuzufügen. Um Ihnen die größtmögliche Kontrolle darüber zu geben, auf welche Erweiterungen Benutzer Zugriff haben, können Sie die Erweiterungen für alle Tableau Desktop-Benutzer deaktivieren und dann Benutzern erlauben, Erweiterungen zu Dashboards auf Tableau Server oder Tableau Online mithilfe von Web-Authoring hinzuzufügen. In diesem Szenario können die Server- und Site-Administratoren bestimmen, auf welche Erweiterungen sie den Benutzern den Zugriff ermöglichen. Administratoren können die Server- und Standorteinstellungen verwenden, um den Zugriff auf Sandbox-Erweiterungen einzuschränken bzw. auf Sandbox-Erweiterungen und netzwerkfähige Erweiterungen einzuschränken, die einer sicheren Liste hinzugefügt wurden.

Selektive Aktivierung von Erweiterungen auf Tableau Desktop

Standardmäßig ermöglicht Tableau Desktop Erweiterungen und Tableau Desktop-Benutzer haben uneingeschränkten Zugriff auf Sandbox- und netzwerkfähige Erweiterungen. Sie können während der Installation Optionen verwenden, um die Standardeinstellung zu ändern und die Unterstützung für sämtliche Erweiterungen zu deaktivieren oder die Unterstützung für netzwerkfähige Erweiterungen zu deaktivieren. Sie können Erweiterungen auch nach der Installation mithilfe von Registrierungseinstellungen und Skripten deaktivieren.

  • Während der Tableau Desktop-Installation: Sie können die Unterstützung für alle Erweiterungen mithilfe der Eigenschaft DISABLEEXTENSIONS (DISABLEEXTENSIONS=1) deaktivieren. Siehe Installation von Tableau Desktop über die Befehlszeile
  • Während der Tableau Desktop-Installation: Sie können netzwerkfähige Erweiterungen mithilfe der Eigenschaft DISABLENETWORKEXTENSIONS (DISABLENETWORKEXTENSIONS=1) deaktivieren. Wenn Erweiterungen aktiviert sind, lässt diese Einstellung nur Sandbox-Erweiterungen zu. Siehe Installation von Tableau Desktop über die Befehlszeile

  • Nach der Installation: Sie können die Unterstützung für Erweiterungen auch nach der Installation deaktivieren, indem Sie die Registry (Windows) bearbeiten oder ein Skript (Mac) auf jedem Desktop ausführen. Siehe Dashboard-Erweiterungen deaktivieren.

Empfehlungen für Tableau Server und Tableau Online

Wenn Ihre Benutzer Zugriff auf Tableau Server oder Tableau Online haben, können Sie die integrierten Sicherheitskontrollen verwenden, um Beschränkungen und Einschränkungen für die Erweiterungen festzulegen, die verwendet werden können und unter welchen Umständen. Wenn Sie Erweiterungen in Tableau Desktop deaktiviert haben, können Sie Benutzern weiterhin erlauben, Erweiterungen im Web-Authoring hinzuzufügen, aber Sie können die Anzahl der Erweiterungen, die verwendet werden können, auf diejenigen beschränken, die Sie genehmigen.

Geben Sie Sandbox-Erweiterungen und netzwerkfähige Erweiterungen in der sicheren Liste als vertrauenswürdig an

Ab Tableau 2019.4 dürfen standardmäßig nur Sandbox-Erweiterungen, jedoch keine netzwerkfähigen Erweiterungen ausgeführt werden, es sei denn, sie wurden der sicheren Liste hinzugefügt. Benutzer können nur Sandbox- und netzwerkfähige Erweiterungen verwenden, die explizit auf der Einstellungsseite der Site aufgeführt sind (Einstellungen > Erweiterungen > Spezifische Erweiterungen aktivieren).

Hinweis Um die sichere Liste zum Standardverhalten in Tableau 2018.2 und Tableau 2018.3 zu machen, müssen Sie die Einstellungen für die Site ändern. Deaktivieren Sie auf der Seite Einstellungen für Erweiterungen unter Standardverhalten für Erweiterungendie Option Unbekannte Erweiterungen aktivieren... In Tableau Server 2019.1, Tableau 2019.2 und Tableau 2019.3 dürfen keine Erweiterungen ausgeführt werden, es sei denn, sie wurden der sicheren Liste hinzugefügt.

Checkliste für die sichere Liste:

  • Kommt die Erweiterung aus einer Quelle, die Sie kennen und der Sie vertrauen?
  • Überprüfen Sie die URL der Erweiterung. Sieht die URL verdächtig aus oder enthält sie zweifelhafte Domainnamen?
  • Benötigt die Erweiterung Zugriff auf vollständige (Basisdaten) oder zusammenfassende Daten? Siehe Grundlegendes zum Datenzugriff.
  • Testen Sie die Erweiterungen, bevor Sie eine breite Anwendung zulassen. Siehe Testen von Erweiterungen auf Sicherheit. Siehe Testen der Sicherheit netzwerkfähiger Erweiterungen.

Erweiterungen zur sicheren Liste hinzufügen:

Blockieren Sie die Ausführung bestimmter Erweiterungen auf Tableau Server

Auf Tableau Server können Sie bestimmte Erweiterungen blockieren, indem Sie deren URL zur Blockierliste hinzufügen. Dies ist nützlich, wenn Sie mehrere Sites haben, die für Erweiterungen unterschiedlich konfiguriert sind. Wenn Sie beispielsweise eine Testsite haben, auf der Sie interne oder externe Erweiterungen testen können möchten, haben Sie möglicherweise das Standardverhalten für Erweiterungen aktiviert, bei dem nicht aufgelistete Erweiterungen ausgeführt werden dürfen, sofern sie nicht auf die zugrunde liegenden Daten in der Arbeitsmappe zugreifen. Das Hinzufügen einer Erweiterung zur Sperrliste verhindert, dass sie versehentlich auf der Testsite verwendet wird.

  • Fügen Sie die URL der Erweiterungen, die Sie nicht zulassen möchten, zur Sperrliste hinzu. Diese Option ist nur auf Tableau Server verfügbar. Siehe Blockieren bestimmter Erweiterungen.

Ausschalten von Erweiterungen für eine Site

Standardmäßig sind Erweiterungen auf Tableau Server und Tableau Online aktiviert. Sowohl auf Tableau Server als auch auf Tableau Online kann der Site-Administrator die Erweiterungen für die Site deaktivieren. Der Serveradministrator kann Erweiterungen für Tableau Server deaktivieren, dies überschreibt die Site-Einstellungen. Sie sollten diese Einstellung nicht ändern müssen. Nur die Erweiterungen, die Sie der sicheren Liste hinzufügen, sind erlaubt. Wenn Sie die URL der Erweiterung nicht zur sicheren Liste hinzufügen, wird die Erweiterung nicht ausgeführt.

Ein- und Ausblenden von Benutzeraufforderungen zum Ausführen von netzwerkfähigen Erweiterungen

Wenn Sie eine netzwerkfähige Erweiterung zur sicheren Liste hinzufügen, können Sie konfigurieren, ob Benutzer standardmäßig Eingabeaufforderungen sehen, wenn sie die Erweiterung zu einem Dashboard hinzufügen oder wenn sie mit einer Ansicht interagieren, die die Erweiterung hat. In der Eingabeaufforderung erhalten Benutzer Details zu der Eingabeaufforderung und sie erfahren, ob die netzwerkfähige Erweiterung Zugriff auf die vollständigen Daten hat. Mithilfe der Eingabeaufforderung können Benutzer die Ausführung der Erweiterung zulassen oder verweigern. Sie können die Eingabeaufforderung für Benutzer ausblenden, wodurch die Erweiterung sofort ausgeführt werden kann. Wenn diese Option für eine Site aktiviert ist, sind Sandbox-Erweiterungen standardmäßig zulässig. In diesem Fall erfolgt keine Benutzeraufforderung.

Deaktivieren von Sandbox-Erweiterungen

Ab Tableau 2019.4 sind Sandbox-Erweiterungen standardmäßig für Tableau Server und Tableau Online aktiviert. Sandbox-Erweiterungen werden in einer geschützten Umgebung ausgeführt und von Tableau gehostet. Administratoren können festlegen, ob Benutzer die Möglichkeit haben sollen, Sandbox-Erweiterungen auf einer Site auszuführen. Sandbox-Erweiterungen müssen nicht zur sicheren Liste hinzugefügt werden. Wenn Sandbox-Erweiterungen zulässig sind, können Benutzer Sandbox-Erweiterungen frei zu Dashboards hinzufügen und Dashboards öffnen und verwenden, die Sandbox-Erweiterungen enthalten. Wenn Sie eine Sandbox-Erweiterung blockieren müssen, kann ein Serveradministrator die Sandbox-Erweiterung zu einer globalen Sperrliste hinzufügen. Wenn Sie Sandbox-Erweiterungen vollständig deaktivieren müssen, können Sie die Standardeinstellung für die Site ändern.

 

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.