Extensión de seguridad: práctica recomendada para la implementación

La siguiente información es para oficiales y administradores de TI, administradores de sitio y de Tableau Server, y cualquiera interesado en administrar extensiones de dashboard y la seguridad de sus datos y negocios. Las sugerencias de implementación están dirigidas a empresas con una mezcla de usuarios en Tableau Desktop y Tableau Server o Tableau Online.

 

Seguridad para extensiones en Tableau

Las extensiones son aplicaciones web que podrían alojarse dentro de su red o fuera de ella, en un servidor de terceros o en un entorno Sandbox seguro alojado por Tableau. Las extensiones pueden interactuar con otros componentes del dashboard y tienen acceso potencial a los datos visibles y subyacentes del libro de trabajo (a través de una API bien definida). Tableau admite dos tipos de extensiones:

Extensiones habilitadas por red

Las extensiones habilitadas por red están alojadas en servidores web ubicados dentro o fuera de su red local y tienen acceso total a la web. Las extensiones habilitadas por red pueden conectarse con otras aplicaciones y servicios, para ofrecer nuevas capacidades a Tableau dentro del dashboard, tales como visualizaciones de datos personalizadas, lenguaje natural y escritura en fuentes de datos. Las extensiones habilitadas por red tienen acceso total a la web, lo que significa que, aunque pueden ofrecer funciones y experiencias prácticas al conectarse a recursos externos, se deben evaluar cuidadosamente antes de su implementación o adopción.

Extensiones con Sandbox

Las extensiones con Sandbox se ejecutan en un entorno protegido sin acceso a ningún otro recurso o servicio en la web. Las extensiones con Sandbox están alojadas por Tableau y proporcionan la mayor seguridad y reducen ciertos riesgos como la filtración de datos. Para protegerse de los ciberataques, el entorno de las extensiones con Sandbox y el servicio de alojamiento se someten a extensas pruebas de penetración por parte de un consultor externo.

Puede utilizar extensiones con Sandbox y habilitadas por red en Tableau Desktop, Tableau Server y Tableau Online. Tableau Server y Tableau Online proporcionan el mayor control sobre las extensiones que sus usuarios pueden ejecutar.

Posibles riesgos de seguridad con las extensiones habilitadas por red

Como las extensiones son aplicaciones web, existe la posibilidad de que las habilitadas por red sean vulnerables a ciertos tipos de ataque malicioso, lo que podría suponer un riesgo para su equipo o sus datos. El Open Web Application Security Project(El enlace se abre en una ventana nueva) (OWASP) identifica anualmente los principales riesgos de seguridad de las aplicaciones web. Entre estos riesgos están los siguientes:

  • Inyección SQL
  • Scripting entre sitios (XSS)
  • Exposición de datos confidenciales

Estos riesgos podrían comprometer la extensión si los desarrolladores de la misma no validan y manejan adecuadamente las entradas de los usuarios, o si generan consultas dinámicas para acceder a bases de datos confidenciales. Cuando evalúe las extensiones que desea permitir en Tableau, asegúrese de considerar cómo gestionan la autenticación, el acceso a los datos o la entrada de usuarios, y cómo mitigan los riesgos de seguridad.

Mitigación de las amenazas de seguridad con extensiones habilitadas por red

Entender lo que hace una extensión es el primer paso para identificar los riesgos para su empresa. En muchos casos, una extensión de dashboard no tiene acceso a los datos subyacentes del libro de trabajo y todo el código JavaScript se ejecuta en el contexto del navegador que se ejecuta en el equipo del usuario. En estos casos, ningún dato sale del equipo aunque la extensión pueda estar alojada en un sitio de terceros fuera de su dominio. Algunas extensiones le permiten conectar Tableau con otras aplicaciones que ya tenga implementadas en el dominio.

Tableau proporciona medidas y requisitos de seguridad para las extensiones. Se habilitan para Tableau Desktop, Tableau Server y Tableau Online.

  • Todas las extensiones deben utilizar el protocolo HTTP Secure (HTTPS).
  • De manera predeterminada, a cualquiera que utilice un dashboard con una extensión habilitada por red se le pedirá que otorgue o deniegue a la extensión el permiso de ejecución. La extensión debe solicitar permiso si quiere acceder a los datos subyacentes.
  • Para que se ejecute en Tableau Server o Tableau Online, debe agregarse la URL de la extensión habilitada por red a una lista segura. El administrador del servidor gestiona esta lista para Tableau Server. El administrador del sitio gestiona esta lista para Tableau Online.
  • En Tableau Server y Tableau Online, el administrador de sitio o servidor puede controlar si aparece el aviso para cada extensión habilitada por red.

Para obtener más información, consulte Administrar extensiones de dashboard en Tableau Server.

Administrar extensiones usando Tableau

Las extensiones proporcionan una forma de dotar a los dashboards de funcionalidades exclusivas. Puede utilizarlas para integrar directamente el dashboard con aplicaciones ajenas a Tableau. Aunque las extensiones abren un mundo de posibilidades, hay casos en que necesita o desea mantener el control sobre cómo se implementan en su empresa. En este sentido, las extensiones no son diferentes de cualquier otro software que desee utilizar. Antes de implementar aplicaciones de software en su empresa, debe probarlas a fondo y verificar que funcionan del modo esperado y que son seguras. Lo mismo se aplica a las extensiones.

Después de determinar qué nivel de acceso deben tener sus usuarios e identificar las extensiones que desea utilizar (o, por el contrario, las extensiones que no desea que se utilicen), puede utilizar los controles y funcionalidades de Tableau para restringir y controlar las extensiones de dashboard a las que tienen acceso los usuarios.

Recomendaciones para Tableau Desktop

Dispone de varias opciones para implementar Tableau Desktop en su empresa. Puede permitir el acceso sin restricciones a extensiones con Sandbox y habilitadas por red, o puede poner límites y restringir quién tiene acceso a las extensiones y en qué circunstancias.

De forma predeterminada, los usuarios de Tableau Desktop tienen acceso ilimitado a las extensiones con Sandbox y habilitadas por red. Puede utilizar dos opciones durante la instalación para cambiar la configuración predeterminada.

  • Desactivar todas las extensiones (DISABLEEXTENSIONS)
  • Desactivar las extensiones habilitadas por red (DISABLENETWORKEXTENSIONS).

Nota: Después de la instalación de Tableau Desktop puede desactivar la compatibilidad con extensiones editando el Registro (Windows) o ejecutando un script (Mac) en cada Desktop. Consulte Desactivar las extensiones de dashboard.

Casos de implementación

Con la configuración de la instalación, puede implementar Tableau Desktop de varias maneras.

  • Permitir todas las extensiones: En este caso de implementación, usted elige confiar en los autores de los dashboards de Tableau para seleccionar las extensiones habilitadas por red y con Sandbox que quieran usar. Si quiere dar a los usuarios de Tableau Desktop la mayor flexibilidad, utilice la configuración de instalación predeterminada. Con la configuración predeterminada, los usuarios de Tableau Desktop tienen acceso ilimitado a las extensiones con Sandbox y habilitadas por red. La configuración predeterminada es: DISABLEEXTENSIONS=0 y DISABLENETWORKEXTENSIONS=0. Consulte Instalar Tableau Desktop desde la línea de comandos.

  • Permitir solo las extensiones con Sandbox: en este caso, sabe que las extensiones con Sandbox son seguras y quiere permitirlas, pero no está seguro de las extensiones habilitadas por red y quiere evitar su uso. Para desactivar las extensiones habilitadas por red, configure la propiedad DISABLENETWORKEXTENSIONS (DISABLENETWORKEXTENSIONS=1). Mantenga la configuración predeterminada para habilitar las extensiones (DISABLEEXTENSIONS=0). Consulte Instalar Tableau Desktop desde la línea de comandos.

  • No se admiten extensiones: en este caso, no quiere permitir que los usuarios usen extensiones de ninguno de estos tipos, habilitadas por red ni con Sandbox. En este caso, deshabilite la compatibilidad de todas las extensiones usando la propiedad DISABLEEXTENSIONS (DISABLEEXTENSIONS=1). Consulte Instalar Tableau Desktop desde la línea de comandos

Utilizar una combinación de configuraciones: es posible que algunos usuarios necesiten y deban tener acceso sin restricciones a todas las extensiones, y otros para los que sea suficiente acceder a las extensiones con Sandbox y, por último, un conjunto de usuarios que no necesitan ningún tipo de acceso a las extensiones. Dado que las opciones de extensión se establecen por dispositivo de escritorio, puede configurar su implementación de acuerdo con los usuarios y sus casos de uso.

Creación web : si Tableau Server o Tableau Online están disponibles para sus usuarios, pueden usar la creación web para acceder a las extensiones. En la creación web, se aplican las configuraciones del servidor o del sitio para las extensiones. En este escenario, los administradores del servidor y de sitio pueden determinar a qué extensiones tienen acceso los usuarios. Los administradores pueden utilizar la configuración del servidor y del sitio para restringir el acceso solo a las extensiones con Sandbox o para restringir el acceso a las extensiones del entorno de pruebas y a las extensiones habilitadas por red que se han añadido a una lista segura.

Recomendaciones para Tableau Server y Tableau Online

Si sus usuarios tienen acceso a Tableau Server o Tableau Online, puede utilizar los controles de seguridad integrados para limitar y restringir qué extensiones se pueden utilizar, y en qué circunstancias. Aunque haya desactivado las extensiones en Tableau Desktop, puede permitir a los usuarios que añadan extensiones mediante la creación web. En cualquier caso, podrá limitar este acceso a las extensiones que usted haya aprobado.

Extensiones con Sandbox de confianza y extensiones habilitadas por red de la lista segura

A partir de la versión 2019.4 de Tableau, solo las extensiones con Sandbox se pueden ejecutar de forma predeterminada. No se permiten extensiones habilitadas por red a menos que se hayan agregado a la lista segura. Los administradores pueden añadir extensiones habilitadas por red a la página de configuración del sitio (Configuración > Extensiones > Habilitarextensiones específicas).

Nota para que la lista segura sea el comportamiento predeterminado para extensiones en Tableau 2018.2 y Tableau 2018.3, debe cambiar la configuración del sitio. En la página de configuración Extensiones, en Comportamiento predeterminado para extensiones, desactive la opción Permitir extensiones desconocidas... De forma predeterminada, en Tableau Server 2019.1, 2019.2 y 2019.3, no se permite ejecutar ninguna extensión salvo que hayan agregado a la lista segura.

Lista de verificación para la lista segura:

Añadir extensiones a la lista segura:

Bloquear la ejecución en Tableau Server de extensiones específicas

En Tableau Server puede bloquear extensiones específicas añadiendo su URL a la lista de bloqueo. Resulta útil si tiene varios sitios con configuraciones distintas respecto a las extensiones. Por ejemplo, en un sitio de prueba en el que desea probar extensiones internas o de terceros puede tener habilitado el comportamiento predeterminado para las extensiones: podrán ejecutarse aquellas no incluidas en la lista, ya que no tendrán acceso a los datos subyacentes del libro de trabajo. Agregar una extensión a la lista de bloqueo evita que se utilice de forma inadvertida en el sitio de prueba.

  • Añada a la lista de bloqueo la URL de las extensiones que no desee permitir. Esta opción solo está disponible en Tableau Server. Consulte Bloquear extensiones específicas.

Desactivar extensiones para un sitio

De forma predeterminada, las extensiones están habilitadas en Tableau Server y Tableau Online. En Tableau Server, el administrador de sitio puede desactivar las extensiones para el sitio. En Tableau Online, el administrador de sitio puede desactivar las extensiones para el sitio. En Tableau Server, el administrador del servidor puede desactivar completamente las extensiones, lo que anula la configuración del sitio. No debería tener que cambiar esta configuración en el servidor o para el sitio, ya que puede controlar las extensiones habilitadas por red que desee permitir en la lista segura, y puede controlar la configuración de las extensiones con Sandbox, que están permitidas de forma predeterminada.

Mostrar u ocultar avisos a los usuarios para la ejecución de extensiones habilitadas por red

Cuando añade una extensión habilitada por red a la lista segura, puede configurar si los usuarios verán de manera predeterminada un mensaje cuando añadan una extensión al dashboard, o cuando interactúen con una vista que tiene la extensión. El mensaje indica a los usuarios detalles sobre la extensión habilitada por red y si esta tiene acceso datos completos. El mensaje permite a los usuarios permitir o denegar la ejecución de la extensión. Puede ocultar este mensaje a los usuarios para permitir que la extensión se ejecute de inmediato. Cuando se habilita para un sitio, las extensiones con Sandbox se permiten de forma predeterminada y no solicitan a los usuarios.

Desactivar las extensiones con Sandbox

A partir de Tableau 2019.4, las extensiones con Sandbox están habilitadas para Tableau Server y Tableau Online de forma predeterminada. Las extensiones con Sandbox se ejecutan en un entorno protegido y están alojadas en Tableau. Los administradores pueden controlar si permiten a los usuarios ejecutar extensiones con Sandbox en un sitio. No es necesario añadir las extensiones con Sandbox a la lista segura. Cuando se permiten las extensiones con Sandbox, los usuarios pueden añadir libremente extensiones con Sandbox a los dashboards y pueden abrir y utilizar aquellos dashboard que contengan extensiones con Sandbox. Si necesita bloquear una extensión con Sandbox, un administrador de servidor puede añadir la extensión con Sandbox a una lista global de bloqueos. Si necesita desactivar completamente las extensiones con Sandbox, puede cambiar la configuración predeterminada del sitio. Si cambia la configuración predeterminada de las extensiones con Sandbox, solo se podrán ejecutar las extensiones (incluidas las extensiones con Sandbox) que estén en la lista segura.

 

¡Gracias por sus comentarios!