Die folgenden Informationen richten sich an IT-Verantwortliche und -Administratoren, Tableau Server- und Site-Administratoren sowie an alle, die an der Verwaltung von Dashboard-Erweiterungen und der Sicherheit ihrer Daten und ihres Geschäfts interessiert sind. Die Vorschläge für die Bereitstellung richten sich an Unternehmen, die eine Mischung aus Benutzern haben, die sich auf Tableau Desktop und Tableau Server oder Tableau Online befinden.

 

Sicherheit für Erweiterungen in Tableau

Erweiterungen sind Webanwendungen, die innerhalb Ihres Netzwerks, außerhalb auf einem Server eines Drittanbieters oder in einer sicheren, von Tableau gehosteten Sandbox-Umgebung gehostet werden können. Erweiterungen können mit anderen Komponenten im Dashboard interagieren und haben möglicherweise Zugriff auf die sichtbaren und die zugrunde liegenden Daten in der Arbeitsmappe (über eine wohldefinierte API). Tableau unterstützt zwei Arten von Erweiterungen:

Netzwerkfähige Erweiterungen

Netzwerkfähige Erweiterungen werden auf Webservern gehostet, die sich innerhalb oder außerhalb Ihres lokalen Netzwerks befinden und vollen Zugriff auf das Web haben. Netzwerkfähige Erweiterungen können mit anderen Anwendungen und Diensten verbunden werden und bieten Tableau neue Funktionen innerhalb des Dashboards. Dazu zählen beispielsweise benutzerdefinierte Datenvisualisierungen, die Generierung natürlicher Sprache und Szenarien, in denen in Datenquellen zurückgeschrieben wird. Netzwerkfähige Erweiterungen haben vollen Zugriff auf das Web, was bedeutet, dass sie zwar umfangreiche Funktionen und Erlebnisse bieten können, indem sie eine Verbindung zu externen Ressourcen herstellen können, aber vor der Bereitstellung oder Übernahme sorgfältig beurteilt werden sollten.

Sandbox-Erweiterungen

Sandbox-Erweiterungen werden in einer geschützten Umgebung ohne Zugriff auf eine andere Ressource oder einen anderen Dienst im Web ausgeführt. Sandbox-Erweiterungen werden von Tableau gehostet, bieten die größte Sicherheit und schließen das Risiko der Datenexfiltration aus. Zum Schutz vor Cyberangriffen wurden die Umgebung für Sandbox-Erweiterungen und der Hosting-Dienst umfangreichen Penetrationstests durch einen Drittberater unterzogen.

Sie können Sandbox- und netzwerkfähige Erweiterungen in Tableau Desktop, Tableau Server und Tableau Online verwenden. Tableau Server und Tableau Online bieten die größte Kontrolle über die Erweiterungen, die Ihre Benutzer ausführen können.

Potenzielle Sicherheitsrisiken mit netzwerkfähigen Erweiterungen

Da Erweiterungen Webanwendungen sind, besteht die Möglichkeit, dass eine netzwerkfähige Erweiterung für bestimmte Arten von bösartigen Angriffen anfällig sein könnte, was wiederum ein potentielles Risiko für Ihren Computer oder Ihre Daten darstellt. Das Open Web Application Security Project(Link wird in neuem Fenster geöffnet) (OWASP, Sicherheitsprojekt für offene Webanwendungen) identifiziert jährlich die wichtigsten Sicherheitsrisiken für Webanwendungen. Zu diesen Risiken gehören unter anderem die folgenden:

  • SQL-Injektion
  • Site-übergreifendes Skripting (XSS)
  • Gefährdung von sensiblen Daten

Diese Risiken können die Erweiterung beeinträchtigen, wenn die Entwickler der Erweiterung Benutzereingaben nicht ordnungsgemäß validieren und verarbeiten oder wenn sie dynamische Abfragen für den Zugriff auf sensible Datenbanken generieren. Wenn Sie die Erweiterungen, die Sie in Tableau zulassen möchten, bewerten, sollten Sie sich überlegen, wie sie Authentifizierung, Datenzugriff oder Benutzereingaben verwalten und wie sie Sicherheitsrisiken minimieren.

Minimieren der Sicherheitsbedrohungen bei netzwerkfähigen Erweiterungen

Zu verstehen, was eine Erweiterung leistet, ist ein erster Schritt, um die Risiken für Ihr Unternehmen zu identifizieren. In vielen Fällen greift eine Dashboard-Erweiterung nicht auf die zugrunde liegenden Daten in der Arbeitsmappe zu und der gesamte JavaScript-Code wird im Kontext des Browsers ausgeführt, der auf dem Computer des Benutzers läuft. In diesen Fällen verlassen keine Daten den Computer, obwohl die Erweiterung möglicherweise auf einer Site eines Drittanbieters außerhalb Ihrer Domain gehostet wird. Einige Erweiterungen ermöglichen es Ihnen, Tableau mit anderen Anwendungen zu verbinden, die Sie bereits in Ihrer Domäne bereitgestellt haben.

Tableau bietet Sicherheitsmaßnahmen und Sicherheitsanforderungen für Erweiterungen. Diese sind für Tableau Desktop, Tableau Server und Tableau Online aktiviert.

  • Alle Erweiterungen müssen das HTTP Secure (HTTPS)-Protokoll verwenden.
  • Standardmäßig wird jeder, der ein Dashboard mit einer netzwerkfähigen Erweiterung verwendet, aufgefordert, das Ausführen der Erweiterungsberechtigung zu erlauben oder zu verweigern. Die Erweiterung muss eine Erlaubnis anfordern, wenn sie auf die zugrundeliegenden Daten zugreifen soll.
  • Um auf Tableau Server oder Tableau Online ausgeführt zu werden, muss die URL der netzwerkfähigen Erweiterung einer sicheren Liste hinzugefügt werden. Der Serveradministrator verwaltet diese Liste für Tableau Server. Der Site-Administrator verwaltet diese Liste für Tableau Online.
  • Auf Tableau Server und Tableau Online kann der Server- oder Site-Administrator (jeweils) steuern, ob die Eingabeaufforderung für jede netzwerkfähige Erweiterung angezeigt wird.

Weitere Informationen dazu finden Sie unter Verwalten von Dashboarderweiterungen in Tableau Server.

Verwalten von Erweiterungen mit Tableau

Erweiterungen bieten die Möglichkeit, Dashboards mit einzigartigen Funktionen auszustatten. Mit Hilfe von Erweiterungen können Sie das Dashboard direkt in Anwendungen außerhalb von Tableau integrieren. Während Erweiterungen eine Vielzahl von Möglichkeiten eröffnen, gibt es Fälle, in denen Sie die Kontrolle darüber behalten müssen oder wollen, wie Erweiterungen in Ihrer Firma oder im Unternehmen eingesetzt werden. In dieser Hinsicht unterscheiden sich Erweiterungen nicht von jeder anderen Software, die Sie verwenden möchten. Bevor Sie Softwareanwendungen in Ihrem Unternehmen einsetzen, sollten Sie diese gründlich testen und überprüfen, ob die Software wie erwartet funktioniert und sicher ist. Das gleiche gilt für Erweiterungen.

Nachdem Sie festgelegt haben, welche Zugriffsebene Ihre Benutzer haben sollten, und die Erweiterungen identifiziert haben, die Sie verwenden möchten (oder umgekehrt die Erweiterungen, die Sie nicht verwenden möchten), können Sie die Steuerelemente und Funktionen in Tableau verwenden, um die Dashboard-Erweiterungen, auf die Benutzer Zugriff haben, einzuschränken und zu pflegen.

Empfehlungen für Tableau Desktop

Sie haben eine Reihe von Möglichkeiten, Tableau Desktop in Ihrem Unternehmen bereitzustellen. Sie können uneingeschränkten Zugriff auf Sandbox- und netzwerkfähige Erweiterungen gewähren, oder Sie können Beschränkungen und Einschränkungen dafür festlegen, wer unter welchen Umständen Zugriff auf Erweiterungen hat.

Tableau Desktop-Benutzer haben standardmäßig uneingeschränkten Zugriff auf Sandbox- und netzwerkfähige Erweiterungen. Sie können während der Installation zwei Optionen verwenden, um die Standardeinstellungen zu ändern.

  • Sie können alle Erweiterungen (DISABLEEXTENSIONS) deaktivieren.
  • Sie können netzwerkfähige Erweiterungen (DISABLENETWORKEXTENSIONS) deaktivieren.

Hinweis: Sie können diese Einstellungen nach der Tableau Desktop-Installation ändern. Bearbeiten Sie dazu die Registrierung (Windows), oder führen Sie ein Skript (Mac) auf dem jeweiligen Desktop aus. Siehe Dashboard-Erweiterungen deaktivieren.

Bereitstellungsszenarien

Mithilfe der Installationseinstellungen können Sie Tableau Desktop auf verschiedene Weise bereitstellen.

  • Alle Erweiterungen zulassen: In diesem Bereitstellungsszenario legen Sie fest, dass Tableau-Dashboard-Autoren die gewünschten Sandbox- und netzwerkfähigen Erweiterungen verwenden dürfen. Wenn Sie Ihren Tableau Desktop-Benutzern die größtmögliche Flexibilität bieten möchten, verwenden Sie die Standardinstallationseinstellungen. Bei Verwendung der Standardeinstellungen haben Tableau Desktop-Benutzer uneingeschränkten Zugriff auf Sandbox- und netzwerkfähige Erweiterungen. Die Standardeinstellungen lauten: DISABLEEXTENSIONS=0 und DISABLENETWORKEXTENSIONS=0. Siehe Installation von Tableau Desktop über die Befehlszeile.

  • Nur Sandbox-Erweiterungen zulassen: In diesem Szenario wissen Sie, dass Sandbox-Erweiterungen sicher sind, und Sie möchten sie zulassen. Demgegenüber sind Sie sich in Bezug auf die netzwerkfähigen Erweiterungen unsicher und möchten deren Verwendung verhindern. Um die Unterstützung für netzwerkfähige Erweiterungen zu deaktivieren, legen Sie die Eigenschaft DISABLENETWORKEXTENSIONS (DISABLENETWORKEXTENSIONS=1) fest. Behalten Sie die Standardeinstellung für das Aktivieren von Erweiterungen (DISABLEEXTENSIONS=0) bei. Siehe Installation von Tableau Desktop über die Befehlszeile.

  • Keine Erweiterungen zulässig: In diesem Szenario sollen Benutzer weder netzwerkfähige noch Sandbox-Erweiterungen verwenden können. Deaktivieren Sie in diesem Fall die Unterstützung für alle Erweiterungen mithilfe der Eigenschaft DISABLEEXTENSIONS (DISABLEEXTENSIONS=1). Siehe Installation von Tableau Desktop über die Befehlszeile

Kombination der Einstellungen verwenden: Möglicherweise haben Sie einige Benutzer, die uneingeschränkten Zugriff auf alle Erweiterungen benötigen und haben sollten, und andere, für die der Zugriff auf Sandbox-Erweiterungen ausreicht, und schließlich eine Reihe von Benutzern, die überhaupt keinen Zugriff auf Erweiterungen benötigen. Da die Erweiterungsoptionen pro Desktop festgelegt sind, können Sie die Bereitstellung für bestimmte Benutzer und deren Anwendungsfälle konfigurieren.

Webdokumenterstellung: Wenn Tableau Server oder Tableau Online für Ihre Benutzer verfügbar sind, können sie die Webdokumenterstellung verwenden, um auf Erweiterungen zuzugreifen. Bei der Webdokumenterstellung gelten die Server- oder Websiteeinstellungen für Erweiterungen. In diesem Szenario können die Server- und Site-Administratoren bestimmen, auf welche Erweiterungen sie den Benutzern den Zugriff ermöglichen. Administratoren können die Server- und Standorteinstellungen verwenden, um den Zugriff auf Sandbox-Erweiterungen einzuschränken bzw. auf Sandbox-Erweiterungen und netzwerkfähige Erweiterungen einzuschränken, die einer sicheren Liste hinzugefügt wurden.

Empfehlungen für Tableau Server und Tableau Online

Wenn Ihre Benutzer Zugriff auf Tableau Server oder Tableau Online haben, können Sie die integrierten Sicherheitskontrollen verwenden, um Beschränkungen und Einschränkungen für die Erweiterungen festzulegen, die verwendet werden können und unter welchen Umständen. Wenn Sie Erweiterungen in Tableau Desktop deaktiviert haben, können Sie Benutzern weiterhin erlauben, Erweiterungen im Web-Authoring hinzuzufügen, aber Sie können die Anzahl der Erweiterungen, die verwendet werden können, auf diejenigen beschränken, die Sie genehmigen.

Geben Sie Sandbox-Erweiterungen und netzwerkfähige Erweiterungen in der sicheren Liste als vertrauenswürdig an

Ab Tableau 2019.4 dürfen standardmäßig nur Sandbox-Erweiterungen ausgeführt werden. Netzwerkfähige Erweiterungen sind nur dann zulässig, wenn sie der Positivliste hinzugefügt wurden. Administratoren können der Seite mit den Einstellungen für die Site (Einstellungen > Erweiterungen > Bestimmte Erweiterungen aktivieren) netzwerkfähige Erweiterungen hinzufügen.

Hinweis Um die sichere Liste zum Standardverhalten für Erweiterungen in Tableau 2018.2 und Tableau 2018.3 zu machen, müssen Sie die Einstellungen für die Site ändern. Deaktivieren Sie auf der Seite Einstellungen für Erweiterungen unter Standardverhalten für Erweiterungendie Option Unbekannte Erweiterungen aktivieren... In Tableau Server 2019.1, Tableau 2019.2 und Tableau 2019.3 dürfen standardmäßig keine Erweiterungen ausgeführt werden, es sei denn, sie wurden der sicheren Liste hinzugefügt.

Checkliste für die sichere Liste:

  • Kommt die Erweiterung aus einer Quelle, die Sie kennen und der Sie vertrauen?
  • Überprüfen Sie die URL der Erweiterung. Sieht die URL verdächtig aus oder enthält sie zweifelhafte Domainnamen?
  • Benötigt die Erweiterung Zugriff auf vollständige (Basisdaten) oder zusammenfassende Daten? Siehe Grundlegendes zum Datenzugriff.
  • Testen Sie die Erweiterungen, bevor Sie eine breite Anwendung zulassen. Siehe Testen von Erweiterungen auf Sicherheit. Siehe Testen der Sicherheit netzwerkfähiger Erweiterungen.

Erweiterungen zur sicheren Liste hinzufügen:

Blockieren Sie die Ausführung bestimmter Erweiterungen auf Tableau Server

Auf Tableau Server können Sie bestimmte Erweiterungen blockieren, indem Sie deren URL zur Blockierliste hinzufügen. Dies ist nützlich, wenn Sie mehrere Sites haben, die für Erweiterungen unterschiedlich konfiguriert sind. Wenn Sie beispielsweise eine Testsite haben, auf der Sie interne oder externe Erweiterungen testen können möchten, haben Sie möglicherweise das Standardverhalten für Erweiterungen aktiviert, bei dem nicht aufgelistete Erweiterungen ausgeführt werden dürfen, sofern sie nicht auf die zugrunde liegenden Daten in der Arbeitsmappe zugreifen. Das Hinzufügen einer Erweiterung zur Sperrliste verhindert, dass sie versehentlich auf der Testsite verwendet wird.

  • Fügen Sie die URL der Erweiterungen, die Sie nicht zulassen möchten, zur Sperrliste hinzu. Diese Option ist nur auf Tableau Server verfügbar. Siehe Blockieren bestimmter Erweiterungen.

Ausschalten von Erweiterungen für eine Site

Standardmäßig sind Erweiterungen auf Tableau Server und Tableau Online aktiviert. In Tableau Server kann der Serveradministrator Erweiterungen für eine Site deaktivieren. In Tableau Online kann der Site-Administrator Erweiterungen für die Site deaktivieren. In Tableau Server kann der Serveradministrator Erweiterungen vollständig deaktivieren, wodurch die Site-Einstellungen außer Kraft gesetzt werden. Sie sollten diese Einstellung nicht auf dem Server oder für die Site ändern müssen, da Sie die netzwerkfähigen Erweiterungen steuern können, die Sie in der sicheren Liste zulassen möchten, und Sie können die Einstellungen für Sandbox-Erweiterungen steuern, die standardmäßig zulässig sind.

Ein- und Ausblenden von Benutzeraufforderungen zum Ausführen von netzwerkfähigen Erweiterungen

Wenn Sie eine netzwerkfähige Erweiterung zur sicheren Liste hinzufügen, können Sie konfigurieren, ob Benutzer standardmäßig Eingabeaufforderungen sehen, wenn sie die Erweiterung zu einem Dashboard hinzufügen oder wenn sie mit einer Ansicht interagieren, die die Erweiterung hat. In der Eingabeaufforderung erhalten Benutzer Details zu der Eingabeaufforderung und sie erfahren, ob die netzwerkfähige Erweiterung Zugriff auf die vollständigen Daten hat. Mithilfe der Eingabeaufforderung können Benutzer die Ausführung der Erweiterung zulassen oder verweigern. Sie können die Eingabeaufforderung für Benutzer ausblenden, wodurch die Erweiterung sofort ausgeführt werden kann. Wenn diese Option für eine Site aktiviert ist, sind Sandbox-Erweiterungen standardmäßig zulässig. In diesem Fall erfolgt keine Benutzeraufforderung.

Deaktivieren von Sandbox-Erweiterungen

Ab Tableau 2019.4 sind Sandbox-Erweiterungen standardmäßig für Tableau Server und Tableau Online aktiviert. Sandbox-Erweiterungen werden in einer geschützten Umgebung ausgeführt und von Tableau gehostet. Administratoren können festlegen, ob Benutzer die Möglichkeit haben sollen, Sandbox-Erweiterungen auf einer Site auszuführen. Sandbox-Erweiterungen müssen nicht zur sicheren Liste hinzugefügt werden. Wenn Sandbox-Erweiterungen zulässig sind, können Benutzer Sandbox-Erweiterungen frei zu Dashboards hinzufügen und Dashboards öffnen und verwenden, die Sandbox-Erweiterungen enthalten. Wenn Sie eine Sandbox-Erweiterung blockieren müssen, kann ein Serveradministrator die Sandbox-Erweiterung zu einer globalen Sperrliste hinzufügen. Wenn Sie Sandbox-Erweiterungen vollständig deaktivieren müssen, können Sie die Standardeinstellung für die Site ändern. Wenn Sie die Standardeinstellung für Sandbox-Erweiterungen ändern, dürfen nur die Erweiterungen (einschließlich Sandbox-Erweiterungen), die sich auf der sicheren Liste befinden, ausgeführt werden.

 

Vielen Dank für Ihr Feedback!