Sicurezza delle estensioni - Procedure consigliate per la distribuzione

Le seguenti informazioni sono destinate a funzionari e amministratori IT, amministratori del sito e dei server di Tableau e a chiunque sia interessato alla gestione delle estensioni di dashboard e alla sicurezza dei dati e dell’azienda. I suggerimenti per la distribuzione sono pensati per le aziende che includono un insieme misto di utenti di Tableau Desktop e Tableau Server o Tableau Cloud.

 

Sicurezza per le estensioni in Tableau

Le estensioni sono applicazioni Web che possono essere ospitate all’interno della rete, al suo esterno su un server di terze parti oppure in un ambiente in modalità sandbox ospitato da Tableau. Le estensioni possono interagire con altri componenti della dashboard e, potenzialmente, avere accesso ai dati visibili e sottostanti della cartella di lavoro (attraverso un’API ben definita). Tableau supporta due tipi di estensioni:

Estensioni abilitate alla rete

Le estensioni abilitate alla rete sono ospitate su server Web che si trovano all’interno o all’esterno della tua rete locale e hanno accesso completo al Web. Le estensioni abilitate alla rete possono connettersi con altre applicazioni e servizi, offrendo nuove funzionalità a Tableau all’interno della dashboard, come scenari con visualizzazione di dati personalizzati, generazione di linguaggio naturale e scrittura nell’origine dati. Le estensioni abilitate alla rete dispongono di accesso completo al Web, pertanto, pur essendo in grado di offrire funzionalità ed esperienze avanzate grazie alla possibilità di connettersi a risorse esterne, devono essere attentamente valutate prima della distribuzione o dell’adozione.

Estensioni in modalità sandbox

Le estensioni in modalità sandbox vengono eseguite in un ambiente protetto senza alcun accesso ad altre risorse o servizi sul Web. Le estensioni in modalità sandbox sono ospitate da Tableau, offrono la massima sicurezza e possono eliminare i rischi di esfiltrazione dei dati. Per garantire la protezione contro gli attacchi informatici, l’ambiente delle estensioni in modalità sandbox e il servizio di hosting sono stati sottoposti ad approfonditi test di penetrazione da parte di un consulente di terze parti.

È possibile utilizzare le estensioni in modalità sandbox e abilitate alla rete in Tableau Desktop, Tableau Server e Tableau Cloud. Tableau Server e Tableau Cloud offrono il massimo controllo sulle estensioni possibile per gli utenti.

Potenziali rischi per la sicurezza con le estensioni abilitate alla rete

Poiché le estensioni sono applicazioni Web, le estensioni abilitate alla rete sono potenzialmente vulnerabili ad alcuni tipi di attacchi, i quali a loro volta potrebbero presentare un rischio per computer o dati. Open Web Application Security Project(Il collegamento viene aperto in una nuova finestra) (OWASP) identifica annualmente i rischi più critici per la sicurezza delle applicazioni Web. Tali rischi includono quanto segue:

  • Iniezione SQL
  • Cross-site scripting (XSS)
  • Esposizione di dati sensibili

Questi rischi potrebbero compromettere l’estensione se gli sviluppatori non convalidano e gestiscono correttamente gli input degli utenti o se generano query dinamiche per accedere a database sensibili. Nel valutare quali estensioni introdurre in Tableau, tieni conto di come gestiscono l’autenticazione, l’accesso ai dati o l’input degli utenti e di come riducono i rischi per la sicurezza.

Mitigare i rischi per la sicurezza con le estensioni abilitate alla rete

Capire cosa fa un’estensione è un primo passo per identificare i rischi per la tua azienda. In molti casi, un’estensione di dashboard non accede ai dati sottostanti nella cartella di lavoro e tutto il codice JavaScript viene eseguito nel contesto del browser in esecuzione sul computer dell’utente. In questi casi, nessun dato abbandona il computer, anche se l’estensione potrebbe essere ospitata su un sito di terze parti al di fuori del tuo dominio. Alcune estensioni ti consentono di connettere Tableau ad altre applicazioni già distribuite nel tuo dominio.

Tableau fornisce misure e requisiti di sicurezza per le estensioni. Questi sono abilitati per Tableau Desktop, Tableau Server e Tableau Cloud.

  • Tutte le estensioni devono utilizzare il protocollo HTTP Secure (HTTPS).
  • Per impostazione predefinita, a chiunque utilizzi una dashboard con un’estensione abilitata alla rete viene richiesto di consentire o negare l’autorizzazione all’esecuzione dell’estensione. L’estensione deve richiedere l’autorizzazione se dovrà accedere ai dati sottostanti.
  • Per essere eseguito su Tableau Server o Tableau Cloud, l’URL dell’estensione abilitata alla rete deve essere aggiunto a un elenco sicuro. L’amministratore del server gestisce questo elenco per Tableau Server, mentre l’amministratore del sito lo gestisce per Tableau Cloud.
  • In Tableau Server e Tableau Cloud, l’amministratore del server o del sito (rispettivamente) può controllare se la richiesta appare per ogni estensione abilitata alla rete.

Per ulteriori informazioni, consulta Gestire le estensioni di dashboard in Tableau Server.

Gestire le estensioni utilizzando Tableau

Le estensioni offrono una soluzione per aggiungere caratteristiche uniche alle dashboard. Puoi utilizzare le estensioni per integrare direttamente la dashboard con applicazioni esterne a Tableau. Per quanto le estensioni offrano una marea di possibilità, in alcuni casi potrebbe essere necessario mantenere il controllo della distribuzione delle estensioni nella tua azienda. Da questo punto di vista, le estensioni non sono diverse da qualsiasi altro software che intendi utilizzare. Prima di distribuire applicazioni software nella tua azienda, devi testare e verificare con cura che il software funzioni come previsto e sia sicuro. Lo stesso vale per le estensioni.

Dopo aver determinato il livello di accesso degli utenti e identificato le estensioni che desideri utilizzare (o, al contrario, quelle che non desideri utilizzare), puoi utilizzare i controlli e le funzioni di Tableau per limitare e curare le estensioni di dashboard a cui hanno accesso gli utenti.

Suggerimenti per Tableau Desktop

Hai a disposizione una serie di opzioni per distribuire Tableau Desktop nella tua azienda. Puoi consentire l’accesso illimitato alle estensioni in modalità sandbox e abilitate alla rete o porre limiti e restrizioni su chi ha accesso alle estensioni e in quali circostanze.

Per impostazione predefinita, gli utenti di Tableau Desktop hanno accesso illimitato alle estensioni in modalità sandbox e abilitate alla rete. Durante l’installazione, puoi utilizzare due opzioni per modificare le impostazioni predefinite.

  • Disattivare tutte le estensioni (DISABLEEXTENSIONS)
  • Disattivare le estensioni abilitate alla rete (DISABLENETWORKEXTENSIONS).

Nota: puoi modificare queste impostazioni dopo l’installazione di Tableau Desktop modificando il Registro di sistema (Windows) o eseguendo uno script (Mac) su ogni desktop. Vedi Disattivare le estensioni della dashboard.

Scenari di distribuzione

Utilizzando le impostazioni di installazione, puoi distribuire Tableau Desktop in diversi modi.

  • Consentire tutte le estensioni - In questo scenario di distribuzione, scegli di affidarti agli autori dei dashboard Tableau, che potranno selezionare le estensioni in modalità sandbox e abilitate alla rete che desiderano utilizzare. Se vuoi offrire agli utenti di Tableau Desktop la massima flessibilità, utilizza le impostazioni di installazione predefinite. Utilizzando le impostazioni predefinite, gli utenti di Tableau Desktop hanno accesso illimitato alle estensioni in modalità sandbox e abilitate alla rete. Le impostazioni predefinite sono: DISABLEEXTENSIONS=0 e DISABLENETWORKEXTENSIONS=0. Consulta Installare Tableau Desktop dalla riga di comando.

  • Consentire solo le estensioni in modalità sandbox - In questo scenario, sai che le estensioni in modalità sandbox sono sicure e desideri consentirle, ma non sei certo delle estensioni abilitate alla rete e vuoi impedirne l’utilizzo. Per disattivare il supporto per le estensioni abilitate alla rete, imposta la proprietà DISABLENETWORKEXTENSIONS (DISABLENETWORKEXTENSIONS=1). Mantieni l’impostazione predefinita per abilitare le estensioni (DISABLEEXTENSIONS=0). Consulta Installare Tableau Desktop dalla riga di comando.

  • Non consentire alcuna estensione - In questo scenario, non vuoi consentire agli utenti di utilizzare alcun tipo di estensione, abilitata alla rete o in modalità sandbox. In questo caso, disattiva il supporto per tutte le estensioni utilizzando la proprietà DISABLEEXTENSIONS (DISABLEEXTENSIONS=1). Consulta Installare Tableau Desktop dalla riga di comando.

Usare una combinazione di impostazioni - Potresti avere alcuni utenti che devono avere un accesso illimitato a tutte le estensioni, altri per cui è sufficiente l’accesso alle estensioni in modalità sandbox e infine un gruppo di utenti che non hanno bisogno di accedere alle estensioni. Poiché le opzioni di estensione sono impostate per ogni desktop, puoi configurare la distribuzione per utenti specifici e per i relativi scenari di utilizzo.

Web authoring - Se Tableau Server o Tableau Cloud sono disponibili per gli utenti, questi possono utilizzare il Web authoring per accedere alle estensioni. Nel Web authoring si applicano le impostazioni del server o del sito per le estensioni. In questo scenario, gli amministratori del server e del sito possono determinare a quali estensioni consentire l’accesso agli utenti. Gli amministratori possono utilizzare le impostazioni del server e del sito per limitare l’accesso solo alle estensioni in modalità sandbox oppure per limitare l’accesso alle estensioni in modalità sandbox e alle estensioni abilitate alla rete che sono state aggiunte a un elenco sicuro.

Suggerimenti per Tableau Server e Tableau Cloud.

Se i tuoi utenti hanno accesso a Tableau Server o Tableau Cloud, puoi utilizzare i controlli di sicurezza integrati per porre limiti e restrizioni sulle estensioni da utilizzare e in quali circostanze. Se hai disattivato le estensioni su Tableau Desktop, puoi sempre permettere agli utenti di aggiungere estensioni nella creazione Web, ma puoi limitare l’utilizzo solo a quelle approvate da te.

Impostare come attendibili le estensioni in modalità sandbox e abilitate alla rete nell’elenco sicuro

A partire da Tableau 2019.4, solo le estensioni in modalità sandbox sono consentite per impostazione predefinita. Non sono consentite estensioni abilitate alla rete, a meno che non siano state aggiunte all’elenco sicuro. Gli amministratori possono aggiungere le estensioni abilitate alla rete nella pagina delle impostazioni del sito (Impostazioni > Estensioni > Abilita estensioni specifiche).

Nota: per rendere l’elenco sicuro il comportamento predefinito per le estensioni in Tableau 2018.2 e Tableau 2018.3, modifica le impostazioni del sito. Nella pagina delle impostazioni delle estensioni, in Comportamento predefinito per le estensioni, deseleziona l’opzione Abilita estensioni sconosciute. In Tableau Server 2019.1, Tableau 2019.2 e Tableau 2019.3, per impostazione predefinita, nessuna estensione può essere eseguita se non è stata aggiunta all’elenco sicuro.

Elenco di controllo per l’elenco di sicurezza:

  • L’estensione proviene da un’origine che conosci e di cui ti fidi?
  • Controlla l’URL dell’estensione. L’URL ha un aspetto strano o contiene nomi di dominio dubbi?
  • L’estensione richiede l’accesso a dati completi (sottostanti) o a dati di riepilogo? Vedi Comprendere l’accesso ai dati.
  • Testa le estensioni prima di consentirne un uso esteso. Consulta Test per la sicurezza delle estensioni. Consulta Testare la sicurezza delle estensioni abilitate alla rete.

Aggiungere estensioni all’elenco sicuro:

Bloccare l’esecuzione di estensioni specifiche su Tableau Server

Su Tableau Server puoi bloccare estensioni specifiche aggiungendo il loro URL all’elenco di blocco. Questo è utile se hai più siti configurati in modo diverso per le estensioni. Per esempio, se disponi di un sito di prova per testare le estensioni interne o di terze parti, potresti aver abilitato il comportamento predefinito per le estensioni, dove le estensioni non elencate possono essere eseguite se non accedono ai dati sottostanti nella cartella di lavoro. L’aggiunta di un’estensione all’elenco di blocco ne impedirà l’utilizzo involontario sul sito di prova.

  • Aggiungi l’URL delle estensioni indesiderate all’elenco di blocco. Questa opzione è disponibile solo in Tableau Server. Vedi Blocca estensioni specifiche.

Disattivare le estensioni per un sito

Per impostazione predefinita, le estensioni sono abilitate su Tableau Server e Tableau Cloud. In Tableau Server, l’amministratore del server può disattivare le estensioni per un sito. In Tableau Cloud, l’amministratore del sito può disattivare le estensioni per il sito. In Tableau Server, l’amministratore del server può disattivare completamente le estensioni, sostituendo le impostazioni del sito. Non è necessario modificare questa impostazione sul server o per il sito, in quanto puoi controllare le estensioni abilitate alla rete che vuoi consentire nell’elenco sicuro. Inoltre, puoi controllare le impostazioni per le estensioni in modalità sandbox, che sono consentite per impostazione predefinita.

Mostrare o nascondere i prompt utente per eseguire le estensioni abilitate alla rete

Quando aggiungi un’estensione abilitata alla rete all’elenco sicuro, puoi determinare se gli utenti vedono i prompt per impostazione predefinita quando aggiungono l’estensione a una dashboard o quando interagiscono con una vista dotata dell’estensione. Il prompt indica agli utenti i dettagli dell’estensione abilitata alla rete e se l’estensione ha accesso ai dati completi. Il prompt consente agli utenti di consentire o negare l’esecuzione dell’estensione. Puoi nascondere questo prompt agli utenti, consentendo l’esecuzione immediata dell’estensione. Quando sono abilitate per un sito, le estensioni in modalità sandbox sono consentite per impostazione predefinita e non visualizzano prompt agli utenti.

Disattivare le estensioni in modalità sandbox

A partire da Tableau 2019.4, le estensioni in modalità sandbox sono abilitate per impostazione predefinita per Tableau Server e Tableau Cloud. Le estensioni in modalità sandbox vengono eseguite in un ambiente protetto e sono ospitate da Tableau. Gli amministratori possono scegliere se consentire agli utenti di eseguire le estensioni in modalità sandbox in un sito. Le estensioni in modalità sandbox non hanno bisogno di essere aggiunte all’elenco sicuro. Quando le estensioni in modalità sandbox sono consentite, gli utenti possono aggiungere liberamente le estensioni in modalità sandbox alle dashboard e sono in grado di aprire e utilizzare le dashboard che contengono le estensioni in modalità sandbox. Se è necessario bloccare un’estensione in modalità sandbox, un amministratore del server può aggiungere l’estensione in modalità sandbox a un elenco di blocco globale. Se è necessario disattivare completamente le estensioni in modalità sandbox, è possibile modificare l’impostazione predefinita per il sito. Se modifichi l’impostazione predefinita per le estensioni in modalità sandbox, potranno essere eseguite solo le estensioni (incluse le estensioni in modalità sandbox) che sono presenti nell’elenco sicuro.

 

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!