Sécurité des extensions - Meilleures pratiques de déploiement
Les informations suivantes s’adressent aux responsables et administrateurs informatiques, aux administrateurs de sites et de serveurs Tableau, ainsi qu’à toute personne intéressée par la gestion des extensions de tableau de bord et de visualisation et la sécurité de ses données et de son activité. Les suggestions de déploiement s’adressent aux entreprises avec divers types d’utilisateurs actifs sur Tableau Desktop et Tableau Server ou Tableau Cloud.
Sécurité pour les extensions dans Tableau
Les extensions sont des applications Web qui peuvent être hébergées à l’intérieur de votre réseau ou à l’extérieur sur un serveur tiers, ou encore dans un environnement sécurisé en mode Sandbox et hébergé par Tableau. Les extensions peuvent interagir avec d’autres composants du tableau de bord et ont potentiellement accès aux données visibles et sous-jacentes du classeur (via une API bien définie). Tableau prend en charge deux types d’extensions :
Extensions réseau
Les extensions réseau sont hébergées sur des serveurs Web qui sont situés à l’intérieur ou à l’extérieur de votre réseau local et qui ont un accès complet au Web. Les extensions réseau peuvent se connecter avec d’autres applications et services. Les extensions réseau ajoutent de nouvelles fonctionnalités à Tableau, comme les nouveaux types de visualisation de données, la génération de langage naturel et la prise en charge de scénarios d’écriture différée. Les extensions réseau bénéficient d’un accès complet au Web. Si elles peuvent offrir de riches fonctionnalités et expériences du fait de leur connexion à des ressources externes, elles doivent toutefois faire l’objet d’une évaluation avant leur déploiement ou leur adoption.
Extensions en mode Sandbox
Les extensions en mode Sandbox fonctionnent dans un environnement protégé sans accès à aucune autre ressource ou aucun service sur le Web. Les extensions en mode Sandbox hébergées par Tableau offrent une sécurité maximale et peuvent éliminer le risque que l’exfiltration des données. Pour se prémunir contre les cyber-attaques, l’environnement et le service d’hébergement des extensions en mode Sandbox ont fait l’objet de tests d’intrusion approfondis par un consultant tiers.
Vous pouvez utiliser les extensions en mode Sandbox et les extensions réseau dans Tableau Desktop, Tableau Server et Tableau Cloud. Tableau Server et Tableau Cloud offrent le contrôle le plus complet sur les extensions que vos utilisateurs peuvent exécuter.
Risques potentiels pour la sécurité avec les extensions réseau
Les extensions étant des applications Web, il est possible qu’une extension réseau soit vulnérable à certains types d’attaques malveillantes, ce qui pourrait présenter un risque pour votre ordinateur ou vos données. Le projet Open Web Application Security Project(Le lien s’ouvre dans une nouvelle fenêtre) (OWASP) identifie chaque année les risques les plus critiques pour la sécurité des applications Web. Voici quelques-uns de ces risques :
- Injection SQL
- Scripts intersites (XSS)
- Exposition de données sensibles
Ces risques pourraient compromettre l’extension si les développeurs de l’extension ne valident pas et ne traitent pas correctement les entrées utilisateur, ou s’ils génèrent des requêtes dynamiques pour accéder aux bases de données sensibles. Lorsque vous évaluez les extensions que vous voulez autoriser dans Tableau, assurez-vous de prendre en compte comment elles gèrent l’authentification, l’accès aux données ou les entrées utilisateur, et comment elles atténuent les risques de sécurité.
Atténuer les risques de sécurité posés par les extensions réseau
La première étape consiste à comprendre le fonctionnement d’une extension afin d’identifier les risques pour votre entreprise. Souvent, l’extension d’un tableau de bord ou d’une visualisation n’accède pas aux données sous-jacentes du classeur et l’ensemble du code JavaScript s’exécute dans le contexte du navigateur exécuté sur l’ordinateur de l’utilisateur. Dans ces cas, aucune donnée ne quitte l’ordinateur même si l’extension est éventuellement hébergée sur un site tiers extérieur à votre domaine. Certaines extensions vous permettent de connecter Tableau à d’autres applications que vous avez déjà déployées dans votre domaine.
Tableau fournit des mesures de sécurité et des exigences de sécurité pour les extensions. Ces exigences sont activées pour Tableau Desktop, Tableau Server et Tableau Cloud.
- Toutes les extensions doivent utiliser le protocole HTTP Secure (HTTPS).
- Par défaut, toute personne utilisant un tableau de bord avec une extension réseau sera invitée à autoriser l’exécution de l’extension. L’extension doit demander l’autorisation si elle doit accéder aux données sous-jacentes.
- Pour fonctionner sur Tableau Server ou Tableau Cloud, l’URL de l’extension réseau doit être ajoutée à une liste autorisée. L’administrateur de serveur gère cette liste pour Tableau Server; l’administrateur de site gère cette liste pour Tableau Cloud.
- Sur Tableau Server et Tableau Cloud, l’administrateur de serveur ou de site (respectivement) peut contrôler si l’invite apparaît pour chaque extension réseau.
Pour plus d’informations, consultez Gérer les extensions de tableau de bord et de visualisation dans Tableau Server.
Gérer les extensions à l’aide de Tableau
Les extensions permettent d’ajouter des fonctionnalités uniques aux tableaux de bord et de nouvelles visualisation aux classeurs. Vous pouvez utiliser des extensions pour intégrer directement le tableau de bord avec des applications extérieures à Tableau. Les extensions ouvrent tout un monde de possibilités, mais il peut arriver que vous ayez besoin ou envie de garder le contrôle sur le déploiement des extensions dans votre entreprise. A cet égard, les extensions ne sont pas différentes de tout autre logiciel que vous avez l’intention d’utiliser. Avant de déployer des applications logicielles dans votre entreprise, vous devez tester et vérifier minutieusement que le logiciel fonctionne comme prévu et qu’il est sécurisé. Il en va de même pour les extensions.
Déterminez d’abord le niveau d’accès que vos utilisateurs devraient avoir et identifiez les extensions que vous souhaitez utiliser (ou à l’inverse, les extensions que vous ne souhaitez pas utiliser). Puis, utilisez les contrôles et les fonctionnalités de Tableau pour restreindre et organiser les extensions de tableau de bord et de visualisation auxquels les utilisateurs ont accès.
- Avez-vous besoin de restreindre qui peut ajouter ou utiliser des extensions dans Tableau Desktop? Consultez Recommandations pour Tableau Desktop
- Avez-vous besoin de restreindre ou de contrôler les extensions auxquelles vos utilisateurs ont accès? Consultez Recommandations pour Tableau Server et Tableau Cloud.
Recommandations pour Tableau Desktop
Vous disposez d’une gamme d’options pour déployer Tableau Desktop dans votre entreprise. Vous pouvez autoriser l’accès sans restriction aux extensions en mode Sandbox ou réseau, ou vous pouvez imposer des limites et des restrictions sur qui peut accéder aux extensions et dans quelles circonstances.
Par défaut, les utilisateurs de Tableau Desktop ont un accès illimité aux extensions en mode Sandbox et réseau. Vous pouvez utiliser deux options lors de l’installation pour modifier les paramètres par défaut.
- Désactiver toutes les extensions (
DISABLEEXTENSIONS
) - Désactiver les extensions réseau (
DISABLENETWORKEXTENSIONS
).
Remarque : vous pouvez modifier ces paramètres après l’installation de Tableau Desktop en modifiant le Registre (Windows) ou en exécutant un script (Mac) sur chaque ordinateur de bureau. Consultez Désactiver les extensions de tableau de bord.
Scénarios de déploiement
En utilisant les paramètres d’installation, vous pouvez déployer Tableau Desktop de plusieurs façons.
Autoriser toutes les extensions : dans ce scénario de déploiement, vous choisissez de faire confiance aux auteurs Tableau pour sélectionner les extensions de bac à sable et réseau qu’ils souhaitent utiliser. Si vous voulez donner aux utilisateurs de Tableau Desktop davantage de flexibilité, utilisez les paramètres d’installation par défaut. Avec les paramètres par défaut, les utilisateurs de Tableau Desktop ont un accès illimité aux extensions en mode Sandbox et réseau. Les paramètres par défaut sont :
DISABLEEXTENSIONS=0
etDISABLENETWORKEXTENSIONS=0
. Consultez Installer Tableau Desktop depuis la ligne de commande.N’autoriser que les extensions en mode Sandbox : dans ce scénario, vous savez que les extensions en mode Sandbox sont sûres et vous souhaitez les autoriser, mais vous n’êtes pas sûr des extensions réseau et vous souhaitez empêcher leur utilisation. Pour désactiver la prise en charge les extensions réseau, définissez la propriété
DISABLENETWORKEXTENSIONS
(DISABLENETWORKEXTENSIONS=1
). Conservez le paramètre par défaut pour l’activation des extensions (DISABLEEXTENSIONS=0
). Consultez Installer Tableau Desktop depuis la ligne de commande.Aucune extension autorisée : dans ce scénario, vous ne voulez pas autoriser les utilisateurs à utiliser des extensions de l’un ou l’autre type, qu’elles soient en réseau ou en mode Sandbox. Dans ce cas, désactivez la prise en charge de toutes les extensions à l’aide de la propriété
DISABLEEXTENSIONS
(DISABLEEXTENSIONS=1
). Consultez Installer Tableau Desktop depuis la ligne de commande .
Utiliser une combinaison de paramètres Vous pouvez avoir certains utilisateurs qui requièrent et devraient avoir un accès illimité à toutes les extensions, et d’autres pour lesquels l’accès aux extensions en mode Sandbox est suffisant, et enfin un ensemble d’utilisateurs qui n’ont pas besoin du tout d’accès aux extensions. Comme les options d’extension sont définies par ordinateur de bureau, vous pouvez configurer votre déploiement pour des utilisateurs spécifiques et leurs cas d’utilisation.
Création Web : si Tableau Server ou Tableau Cloud est disponible pour vos utilisateurs, ils peuvent utiliser la création Web pour accéder aux extensions. Dans la création Web, les paramètres du serveur ou du site pour les extensions s’appliquent. Dans ce cas, les administrateurs de serveur et de site déterminent les extensions auxquelles les utilisateurs peuvent accéder. Les administrateurs peuvent utiliser les paramètres du serveur et du site pour restreindre l’accès aux extensions en mode Sandbox uniquement, ou pour restreindre l’accès aux extensions en mode Sandbox et aux extensions réseau qui ont été ajoutées à une liste sécurisée.
Recommandations pour Tableau Server et Tableau Cloud
Si vos utilisateurs ont accès à Tableau Server ou Tableau Cloud, vous pouvez utiliser les contrôles de sécurité intégrés pour limiter et restreindre les extensions pouvant être utilisées et dans quelles circonstances. Si vous avez désactivé les extensions sur Tableau Desktop, vous pouvez toujours autoriser les utilisateurs à ajouter des extensions dans la création Web, mais vous pouvez limiter le nombre d’extensions autorisées à celles que vous approuvez.
Faire confiance aux extensions en mode Sandbox et aux extensions réseau de la liste autorisée
Depuis Tableau 2019.4, seules les extensions en mode Sandbox sont autorisées à s’exécuter par défaut. Les extensions réseau ne sont pas autorisées sauf si elles ont été ajoutées à la liste d’autorisations. Les administrateurs peuvent ajouter des extensions réseau à la page des paramètres du site (Paramètres > Extensions > Activer des extensions spécifiques).
Remarque : Pour que la liste d’autorisations soit utilisée par défaut dans les extensions de Tableau 2018.2 et Tableau 2018.3, vous devez modifier les paramètres du site. Dans la page des paramètres des extensions, sous Comportement par défaut des extensions, désactivez l’option Activer les extensions inconnues.... Dans Tableau Server 2019.1, Tableau 2019.2 et Tableau 2019.3, par défaut, aucune extension ne peut être exécutée si elle n’a pas été ajoutée à la liste d’autorisations.
Liste de contrôle pour la liste autorisée :
- L’extension provient-elle d’une source que vous connaissez et en laquelle vous avez confiance?
- Vérifiez l’URL de l’extension. L’URL semble-t-elle suspecte ou contient-elle des noms de domaine douteux?
- L’extension nécessite-t-elle l’accès à des données complètes (données sous-jacentes) ou résumées? Consultez Comprendre l’accès aux données.
- Testez les extensions avant d’autoriser leur utilisation à grande échelle. Consultez Tester la sécurité des extensions. Consultez Tester la sécurité des extensions réseau.
Ajouter des extensions à la liste autorisée :
Bloquer l’exécution d’extensions spécifiques sur Tableau Server
Sur Tableau Server, vous pouvez bloquer des extensions spécifiques en ajoutant leur URL à la liste bloquée. Cette option est utile si vous avez plusieurs sites qui sont configurés différemment pour les extensions. Par exemple, si vous avez un site de test où vous voulez pouvoir tester des extensions internes ou tierces, vous avez peut-être activé le comportement par défaut pour les extensions, où les extensions ne figurant pas sur la liste sont autorisées à fonctionner à condition qu’elles n’accèdent pas aux données sous-jacentes dans le classeur. L’ajout d’une extension à la liste de termes bloqués permet d’éviter qu’elle ne soit utilisée par inadvertance sur le site de test.
- Ajoutez l’URL des extensions que vous ne voulez pas autoriser à la liste de termes bloqués. Cette option est uniquement disponible pour Tableau Server. Consultez Bloquer des extensions spécifiques.
Désactiver des extensions pour un site
Par défaut, les extensions sont activées sur Tableau Server et Tableau Cloud. Sur Tableau Server, l’administrateur de serveur peut désactiver les extensions pour un site. Sur Tableau Cloud, l’administrateur de site peut désactiver les extensions pour le site. Sur Tableau Server, l’administrateur de serveur peut désactiver complètement les extensions, ce qui a pour effet de remplacer les paramètres du site. Vous ne devriez pas avoir à modifier ce paramètre sur le serveur ou pour le site, car vous pouvez contrôler les extensions réseau que vous souhaitez autoriser à l’aide de la liste d’autorisations. Vous pouvez également contrôler les paramètres des extensions de bac à sable, qui sont autorisées par défaut.
- Pour désactiver les extensions sur un site (Tableau Server, Tableau Cloud), modifiez les paramètres du site qui permettent aux utilisateurs d’exécuter des extensions sur le site. Consultez Contrôler les extensions et l’accès aux données.
Afficher ou masquer les invites utilisateur à exécuter les extensions réseau
Lorsque vous ajoutez une extension réseau à la liste autorisée, vous pouvez configurer si les utilisateurs voient les invites par défaut lorsqu’ils ajoutent une extension à un tableau de bord, ou lorsqu’ils interagissent avec une vue comportant une extension. L’invite fournit à l’utilisateur des détails sur l’extension réseau et indique si l’extension a accès aux données complètes. L’invite donne aux utilisateurs la possibilité d’autoriser ou d’interdire l’exécution de l’extension. Vous pouvez masquer cette invite aux yeux des utilisateurs, dans quel cas l’extension s’exécute immédiatement. Lorsqu’elles sont activées pour un site, les extensions en mode Sandbox sont autorisées par défaut et n’affichent pas d’invites utilisateur.
Désactiver les extensions en mode Sandbox
Depuis Tableau 2019.4, les extensions en mode Sandbox sont activées par défaut pour Tableau Server et Tableau Cloud. Les extensions en mode Sandbox fonctionnent dans un environnement protégé et sont hébergées par Tableau. Les administrateurs peuvent contrôler si les utilisateurs peuvent exécuter des extensions en mode Sandbox sur un site. Les extensions en mode Sandbox n’ont pas besoin d’être ajoutées à la liste autorisée. Lorsque les extensions en mode Sandbox sont autorisées, les utilisateurs peuvent librement ajouter des extensions en mode Sandbox aux tableaux de bord et peuvent ouvrir et utiliser des tableaux de bord contenant des extensions en mode Sandbox. Si vous devez bloquer une extension en mode Sandbox, un administrateur de serveur peut ajouter l’extension en mode Sandbox à une liste de blocage globale. Si vous devez désactiver complètement les extensions en mode Sandbox, vous pouvez modifier les paramètres par défaut du site. Si vous modifiez le paramètre par défaut des extensions de bac à sable, seules les extensions (y compris les extensions de bac à sable) qui figurent sur la liste d’autorisations seront autorisées à s’exécuter.