Sécurité des extensions - Meilleures pratiques de déploiement

Les informations suivantes s'adressent aux responsables et administrateurs informatiques, aux administrateurs de sites et de serveurs Tableau, ainsi qu'à toute personne intéressée par la gestion des extensions de tableaux de bord et la sécurité de ses données et de son activité. Les suggestions de déploiement s'adressent aux entreprises avec divers types d'utilisateurs actifs sur Tableau Desktop et Tableau Server ou Tableau Online.

 

Sécurité pour les extensions dans Tableau

Les extensions sont des applications Web qui peuvent être hébergées à l'intérieur de votre réseau ou à l'extérieur sur un serveur tiers, ou encore dans un environnement sécurisé en mode Sandbox et hébergé par Tableau. Les extensions peuvent interagir avec d'autres composants du tableau de bord et ont potentiellement accès aux données visibles et sous-jacentes du classeur (via une API bien définie). Tableau prend en charge deux types d'extensions :

Extensions réseau

Les extensions réseau sont hébergées sur des serveurs Web qui sont situés à l'intérieur ou à l'extérieur de votre réseau local et qui ont un accès complet au Web. Les extensions réseau peuvent se connecter à d'autres applications et services, offrant de nouvelles fonctionnalités à Tableau, telles que des visualisations de données personnalisées, la génération de langage naturel et des scénarios de réécriture sur les sources de données. Les extensions réseau bénéficient d'un accès complet au Web. Si elles peuvent offrir de riches fonctionnalités et expériences du fait de leur connexion à des ressources externes, elles doivent toutefois faire l'objet d'une évaluation approfondie avant leur déploiement ou leur adoption.

Extensions en mode Sandbox

Les extensions en mode Sandbox fonctionnent dans un environnement protégé sans accès à autre ressource ou service sur le Web. Les extensions en mode Sandbox hébergées par Tableau offrent une sécurité maximale et peuvent éliminer le risque que l'exfiltration des données. Pour se prémunir contre les cyber-attaques, l'environnement et le service d'hébergement des extensions en mode Sandbox ont fait l'objet de tests d'intrusion approfondis par un consultant tiers.

Vous pouvez utiliser les extensions en mode Sandbox et les extensions réseau dans Tableau Desktop, Tableau Server et Tableau Online. Tableau Server et Tableau Online offrent le contrôle le plus complet sur les extensions que vos utilisateurs peuvent exécuter.

Risques potentiels pour la sécurité avec les extensions réseau

Les extensions étant des applications Web, il est possible que l'extension réseau soit vulnérable à certains types d'attaques malveillantes, ce qui pourrait présenter un risque pour votre ordinateur ou vos données. Le projet Open Web Application Security Project(Le lien s’ouvre dans une nouvelle fenêtre) (OWASP) identifie chaque année les risques les plus critiques pour la sécurité des applications Web. Voici quelques-uns de ces risques :

  • Injection SQL
  • Scripts intersites (XSS)
  • Exposition de données sensibles

Ces risques pourraient compromettre l'extension si les développeurs de l'extension ne valident pas et ne traitent pas correctement les entrées utilisateur, ou s'ils génèrent des requêtes dynamiques pour accéder aux bases de données sensibles. Lorsque vous évaluez les extensions que vous voulez autoriser dans Tableau, assurez-vous de prendre en compte comment elles gèrent l'authentification, l'accès aux données ou les entrées utilisateur, et comment elles atténuent les risques de sécurité.

Atténuer les risques de sécurité posés par les extensions réseau

La première étape consiste à comprendre le fonctionnement d'une extension afin d'identifier les risques pour votre entreprise. Dans de nombreux cas, une extension de tableau de bord n'accède pas aux données sous-jacentes du classeur et l'ensemble du code JavaScript s'exécute dans le contexte du navigateur exécuté sur l'ordinateur de l'utilisateur. Dans ces cas, aucune donnée ne quitte l'ordinateur même si l'extension est éventuellement hébergée sur un site tiers extérieur à votre domaine. Certaines extensions vous permettent de connecter Tableau à d'autres applications que vous avez déjà déployées dans votre domaine.

Tableau fournit des mesures de sécurité et des exigences de sécurité pour les extensions. Ces fonctions sont activées pour Tableau Desktop, Tableau Server et Tableau Online.

  • Toutes les extensions doivent utiliser le protocole HTTP Secure (HTTPS).
  • Par défaut, toute personne utilisant un tableau de bord avec une extension réseau sera invitée à autoriser ou à refuser l'exécution de l'extension. L'extension doit demander l'autorisation si elle veut accéder aux données sous-jacentes.
  • Pour fonctionner sur Tableau Server ou Tableau Online, l'URL de l'extension réseau doit être ajoutée à une liste autorisée. L'administrateur de serveur gère cette liste pour Tableau Server ; l'administrateur de site gère cette liste pour Tableau Online.
  • Sur Tableau Server et Tableau Online, l'administrateur de serveur ou de site (respectivement) peut contrôler si l'invite apparaît pour chaque extension réseau.

Pour plus d'informations, consultez Gérer les extensions de tableau de bord dans Tableau Server.

Gérer les extensions à l'aide de Tableau

Les extensions permettent d'ajouter des fonctionnalités uniques aux tableaux de bord. Vous pouvez utiliser des extensions pour intégrer directement le tableau de bord avec des applications extérieures à Tableau. Les extensions ouvrent tout un monde de possibilités, mais il peut arriver que vous ayez besoin ou envie de garder le contrôle sur le déploiement des extensions dans votre entreprise. A cet égard, les extensions ne sont pas différentes de tout autre logiciel que vous avez l'intention d'utiliser. Avant de déployer des applications logicielles dans votre entreprise, vous devez tester et vérifier minutieusement que le logiciel fonctionne comme prévu et qu'il est sécurisé. Il en va de même pour les extensions.

Après avoir déterminé le niveau d'accès adapté à vos utilisateurs et identifié les extensions que vous voulez utiliser (ou inversement, les extensions que vous ne voulez pas utiliser), vous pouvez vous servir des commandes et fonctions de Tableau pour restreindre et gérer les extensions auxquelles les utilisateurs de tableau de bord ont accès.

Recommandations pour Tableau Desktop

Vous disposez d'une gamme d'options pour déployer Tableau Desktop dans votre entreprise. Vous pouvez autoriser l'accès sans restriction aux extensions en mode Sandbox ou réseau, ou vous pouvez imposer des limites et des restrictions sur qui peut accéder aux extensions et dans quelles circonstances.

Par défaut, les utilisateurs de Tableau Desktop ont un accès illimité aux extensions en mode Sandbox et réseau. Vous pouvez utiliser deux options lors de l'installation pour modifier les paramètres par défaut.

  • Désactiver toutes les extensions (DISABLEEXTENSIONS)
  • Désactiver les extensions réseau (DISABLENETWORKEXTENSIONS).

Remarque : vous pouvez modifier ces paramètres après l'installation de Tableau Desktop en modifiant le Registre (Windows) ou en exécutant un script (Mac) sur chaque ordinateur de bureau. Consultez Désactiver les extensions de tableau de bord.

Scénarios de déploiement

En utilisant les paramètres d'installation, vous pouvez déployer Tableau Desktop de plusieurs façons.

  • Autoriser toutes les extensions : dans ce scénario de déploiement, vous choisissez de faire confiance aux auteurs de tableaux de bord Tableau pour sélectionner les extensions en mode Sandbox et réseau qu'ils souhaitent utiliser. Si vous voulez donner aux utilisateurs de Tableau Desktop davantage de flexibilité, utilisez les paramètres d'installation par défaut. Avec les paramètres par défaut, les utilisateurs de Tableau Desktop ont un accès illimité aux extensions en mode Sandbox et réseau. Les paramètres par défaut sont : DISABLEEXTENSIONS=0 et DISABLENETWORKEXTENSIONS=0. Consultez Installer Tableau Desktop depuis la ligne de commande.

  • N'autoriser que les extensions en mode Sandbox : dans ce scénario, vous savez que les extensions en mode Sandbox sont sûres et vous souhaitez les autoriser, mais vous n'êtes pas sûr des extensions réseau et vous souhaitez empêcher leur utilisation. Pour désactiver la prise en charge les extensions réseau, définissez la propriété DISABLENETWORKEXTENSIONS (DISABLENETWORKEXTENSIONS=1). Conservez le paramètre par défaut pour l'activation des extensions (DISABLEEXTENSIONS=0). Consultez Installer Tableau Desktop depuis la ligne de commande.

  • Aucune extension autorisée : dans ce scénario, vous ne voulez pas autoriser les utilisateurs à utiliser des extensions de l'un ou l'autre type, qu'elles soient en réseau ou en mode Sandbox. Dans ce cas, désactivez la prise en charge de toutes les extensions à l'aide de la propriété DISABLEEXTENSIONS (DISABLEEXTENSIONS=1). Consultez Installer Tableau Desktop depuis la ligne de commande .

Utiliser une combinaison de paramètres Vous pouvez avoir certains utilisateurs qui requièrent et devraient avoir un accès illimité à toutes les extensions, et d'autres pour lesquels l'accès aux extensions en mode Sandbox est suffisant, et enfin un ensemble d'utilisateurs qui n'ont pas besoin du tout d'accès aux extensions. Comme les options d'extension sont définies par ordinateur de bureau, vous pouvez configurer votre déploiement pour des utilisateurs spécifiques et leurs cas d'utilisation.

Création Web : si Tableau Server ou Tableau Online est disponible pour vos utilisateurs, ils peuvent utiliser la création Web pour accéder aux extensions. Dans la création Web, les paramètres du serveur ou du site pour les extensions s'appliquent. Dans ce cas, les administrateurs de serveur et de site déterminent les extensions auxquelles les utilisateurs peuvent accéder. Les administrateurs peuvent utiliser les paramètres du serveur et du site pour restreindre l'accès aux extensions en mode Sandbox uniquement, ou pour restreindre l'accès aux extensions en mode Sandbox et aux extensions réseau qui ont été ajoutées à une liste sécurisée.

Recommandations pour Tableau Server et Tableau Online

Si vos utilisateurs ont accès à Tableau Server ou Tableau Online, vous pouvez utiliser les contrôles de sécurité intégrés pour limiter et restreindre les extensions pouvant être utilisées et dans quelles circonstances. Si vous avez désactivé les extensions sur Tableau Desktop, vous pouvez toujours autoriser les utilisateurs à ajouter des extensions dans la création Web, mais vous pouvez limiter le nombre d'extensions autorisées à celles que vous approuvez.

Faire confiance aux extensions en mode Sandbox et aux extensions réseau de la liste autorisée

Depuis Tableau 2019.4, seules les extensions en mode Sandbox sont autorisées à s'exécuter par défaut. Les extensions réseau ne sont pas autorisées sauf si elles ont été explicitement ajoutées à la liste autorisée. Les administrateurs peuvent ajouter des extensions réseau à la page des paramètres du site (Paramètres > Extensions > Activer des extensions spécifiques).

Remarque Pour que la liste autorisée devienne le comportement par défaut dans Tableau 2018.2 et Tableau 2018.3, vous devez modifier les paramètres du site. Dans la page des paramètres des extensions, sous Comportement par défaut des extensions, désactivez l'option Activer les extensions inconnues.... Dans Tableau Server 2019.1, Tableau 2019.2 et Tableau 2019.3, par défaut, aucune extension ne peut être exécutée si elle n'a pas été ajoutée à la liste autorisée.

Liste de contrôle pour la liste autorisée :

  • L'extension provient-elle d'une source que vous connaissez et en laquelle vous avez confiance ?
  • Vérifiez l'URL de l'extension. L'URL semble-t-elle suspecte ou contient-elle des noms de domaine douteux ?
  • L'extension nécessite-t-elle l'accès à des données complètes (données sous-jacentes) ou résumées ? Consultez Comprendre l'accès aux données.
  • Testez les extensions avant d'autoriser leur utilisation à grande échelle. Consultez Tester la sécurité des extensions. Consultez Tester la sécurité des extensions réseau.

Ajouter des extensions à la liste autorisée :

Bloquer l'exécution d'extensions spécifiques sur Tableau Server

Sur Tableau Server, vous pouvez bloquer des extensions spécifiques en ajoutant leur URL à la liste bloquée. Cette option est utile si vous avez plusieurs sites qui sont configurés différemment pour les extensions. Par exemple, si vous avez un site de test où vous voulez pouvoir tester des extensions internes ou tierces, vous avez peut-être activé le comportement par défaut pour les extensions, où les extensions ne figurant pas sur la liste sont autorisées à fonctionner à condition qu'elles n'accèdent pas aux données sous-jacentes dans le classeur. L'ajout d'une extension à la liste bloquée permet d'éviter qu'elle ne soit utilisée par inadvertance sur le site de test.

  • Ajoutez l'URL des extensions que vous ne voulez pas autoriser à la liste bloquée. Cette option est uniquement disponible pour Tableau Server. Consultez Bloquer des extensions spécifiques.

Désactiver des extensions pour un site

Par défaut, les extensions sont activées sur Tableau Server et Tableau Online. Sur Tableau Server, l'administrateur de serveur peut désactiver les extensions pour un site. Sur Tableau Online, l'administrateur de site peut désactiver les extensions pour le site. Sur Tableau Server, l'administrateur de serveur peut désactiver complètement les extensions, ce qui a pour effet de remplacer les paramètres du site. Vous ne devriez pas avoir à modifier ce paramètre sur le serveur ou pour le site, car vous pouvez contrôler les extensions réseau que vous souhaitez autoriser sur la liste autorisée, et vous pouvez contrôler les paramètres des extensions en mode Sandbox, qui sont autorisées par défaut.

Afficher ou masquer les invites utilisateur à exécuter les extensions réseau

Lorsque vous ajoutez une extension réseau à la liste autorisée, vous pouvez configurer si les utilisateurs voient les invites par défaut lorsqu'ils ajoutent une extension à un tableau de bord, ou lorsqu'ils interagissent avec une vue comportant une extension. L'invite fournit à l'utilisateur des détails sur l'extension réseau et indique si l'extension a accès aux données complètes. L'invite donne aux utilisateurs la possibilité d'autoriser ou d'interdire l'exécution de l'extension. Vous pouvez masquer cette invite aux yeux des utilisateurs, dans quel cas l'extension s'exécute immédiatement. Lorsqu'elles sont activées pour un site, les extensions en mode Sandbox sont autorisées par défaut et n'affichent pas d'invites utilisateur.

Désactiver les extensions en mode Sandbox

Depuis Tableau 2019.4, les extensions en mode Sandbox sont activées par défaut pour Tableau Server et Tableau Online. Les extensions en mode Sandbox fonctionnent dans un environnement protégé et sont hébergées par Tableau. Les administrateurs peuvent contrôler si les utilisateurs peuvent exécuter des extensions en mode Sandbox sur un site. Les extensions en mode Sandbox n'ont pas besoin d'être ajoutées à la liste autorisée. Lorsque les extensions en mode Sandbox sont autorisées, les utilisateurs peuvent librement ajouter des extensions en mode Sandbox aux tableaux de bord et peuvent ouvrir et utiliser des tableaux de bord contenant des extensions en mode Sandbox. Si vous devez bloquer une extension en mode Sandbox, un administrateur de serveur peut ajouter l'extension en mode Sandbox à une liste de blocage globale. Si vous devez désactiver complètement les extensions en mode Sandbox, vous pouvez modifier les paramètres par défaut du site. Si vous modifiez le paramètre par défaut pour les extensions en mode Sandbox, seules les extensions (y compris les extensions en mode Sandbox) qui figurent sur la liste autorisée seront autorisées à s'exécuter.

 

Merci de vos commentaires !