확장 프로그램 보안 - 배포를 위한 최상의 방법

다음 정보는 IT 임원과 관리자, Tableau 서버 및 사이트 관리자, 대시보드 및 비주얼리제이션 확장 프로그램의 관리와 데이터 및 비즈니스의 보안에 관심이 있는 모든 사용자를 위한 것입니다. 배포를 위한 제안 사항은 Tableau Desktop 및 Tableau Server 또는 Tableau Cloud 기반의 사용자가 혼합되어 있는 회사를 대상으로 합니다.

 

Tableau의 확장 프로그램을 위한 보안

확장 프로그램은 네트워크 내부 또는 외부의 타사 서버에서 호스팅되거나 Tableau에서 호스팅하는 안전한 샌드박스형 환경에서 호스팅될 수 있는 웹 응용 프로그램입니다. 확장 프로그램은 대시보드의 다른 구성 요소와 상호 작용할 수 있으며 잠재적으로 (명확히 정의된 API를 통해) 통합 문서의 가시적인 기초 데이터에 액세스할 수 있습니다. Tableau는 두 가지 유형의 확장 프로그램을 지원합니다.

네트워크 지원 확장 프로그램

네트워크 지원 확장 프로그램은 로컬 네트워크 내부 또는 외부에 위치한 웹 서버에서 호스팅되며 웹에 대한 전체 액세스 권한을 가집니다. 네트워크 지원 확장 프로그램은 다른 응용 프로그램 및 서비스와 연결할 수 있습니다. 네트워크 지원 확장 프로그램은 새로운 유형의 데이터 시각화, 자연어 생성, 쓰기 저장(write-back) 시나리오 지원 등 새로운 기능을 Tableau에 제공합니다. 네트워크 지원 확장 프로그램은 웹에 대한 전체 액세스 권한을 가지므로 외부 리소스에 연결할 수 있어 풍부한 기능과 경험을 제공할 수 있지만 배포하거나 채택하기 전에 평가해야 합니다.

샌드박스형 확장 프로그램

샌드박스형 확장 프로그램은 웹에서 다른 리소스 또는 서비스에 액세스하지 않고 보호된 환경에서 실행됩니다. 샌드박스형 확장 프로그램은 Tableau에서 호스팅되며 가장 안전한 보안을 제공하고 데이터 폭증의 위험을 제거합니다. 사이버 공격을 차단할 수 있는지 확인하기 위해 샌드박스형 확장 프로그램 환경 및 호스팅 서비스는 타사 컨설턴트에 의해 광범위한 침투 테스트를 받습니다.

샌드박스형 확장 프로그램과 네트워크 지원 확장 프로그램은 Tableau Desktop, Tableau Server 및 Tableau Cloud에서 사용할 수 있습니다. Tableau Server 및 Tableau Cloud는 사용자가 실행할 수 있는 확장 프로그램에 대한 대부분의 제어 기능을 제공합니다.

네트워크 지원 확장 프로그램의 잠재적인 보안 위험

네트워크 지원 확장 프로그램은 웹 응용 프로그램이기 때문에 특정 유형의 악의적인 공격에 확장 프로그램이 취약해져 컴퓨터 또는 데이터가 위험에 처할 수 있습니다. OWASP(Open Web Application Security Project(링크가 새 창에서 열림))에서는 매년 가장 심각한 웹 응용 프로그램 보안 위험을 식별합니다. 이러한 위험에는 다음이 포함됩니다.

  • SQL 삽입
  • XSS(사이트 간 스크립팅)
  • 중요 데이터 노출

이러한 위험은 확장 프로그램 개발자가 사용자 입력을 올바르게 확인하여 처리하지 못하거나 동적 쿼리를 생성하여 중요 데이터베이스에 액세스하는 경우 확장 프로그램을 손상시킬 수 있습니다. Tableau에서 허용하려는 확장 프로그램을 평가할 때 확장 프로그램이 인증, 데이터 액세스 또는 사용자 입력을 관리하는 방법과 보안 위험을 완화하는 방법을 고려해야 합니다.

네트워크 지원 확장 프로그램의 보안 위협 완화

확장 프로그램이 수행하는 기능을 이해하는 것은 기업의 위험을 식별하기 위한 첫 번째 단계입니다. 대부분의 경우 대시보드 또는 비주얼리제이션 확장 프로그램은 통합 문서의 기초 데이터에 액세스하지 않으며 모든 JavaScript 코드는 사용자의 컴퓨터에서 실행되는 브라우저의 컨텍스트에서 실행됩니다. 이러한 경우 확장 프로그램이 도메인 외부의 타사 사이트에서 호스팅되는 경우에도 컴퓨터에서 나가는 데이터가 없습니다. 일부 확장 프로그램에서는 이미 도메인에 배포한 다른 응용 프로그램과 Tableau를 연결할 수 있습니다.

Tableau는 확장 프로그램에 대한 보안 수단과 보안 요구 사항을 제공하며, 이러한 요구 사항을 Tableau Desktop, Tableau Server 및 Tableau Cloud에 사용할 수 있습니다.

  • 모든 확장 프로그램은 HTTPS(HTTP Secure) 프로토콜을 사용해야 합니다.
  • 기본적으로 네트워크 지원 확장 프로그램이 포함된 대시보드를 사용하는 모든 사용자에게 확장 프로그램 실행을 허용할 사용 권한을 묻는 메시지가 표시됩니다. 확장 프로그램이 기초 데이터에 액세스하는 경우 사용 권한을 요청해야 합니다.
  • Tableau Server 또는 Tableau Cloud에서 네트워크 지원 확장 프로그램을 실행하려면 확장 프로그램의 URL을 허용 목록에 추가해야 합니다. 서버 관리자는 Tableau Server에서 이 목록을 관리하고, 사이트 관리자는 Tableau Cloud에서 이 목록을 관리합니다.
  • Tableau Server 및 Tableau Cloud에서 서버 또는 사이트 관리자는 (각각) 네트워크 지원 확장 프로그램에 대해 프롬프트를 표시할지 여부를 제어할 수 있습니다.

자세한 내용은 Tableau Server에서 대시보드 및 비주얼리제이션 확장 프로그램 관리를 참조하십시오.

Tableau를 사용하여 확장 프로그램 관리

확장 프로그램은 대시보드에 고유한 기능을 추가하고 워크시트에 새 비주얼리제이션을 추가하는 방법을 제공합니다. 확장 프로그램을 사용하여 대시보드를 Tableau 외부의 응용 프로그램과 직접 통합할 수 있습니다. 확장 프로그램은 가능성의 세계를 열지만 회사 또는 기업에 확장 프로그램을 배포하는 방식의 제어를 유지 관리할 필요성이나 요구가 있을 수 있습니다. 이 점에 있어서 확장 프로그램은 사용하려는 다른 소프트웨어와 다르지 않습니다. 회사에 소프트웨어 응용 프로그램을 배포하기 전에 해당 소프트웨어가 예상대로 작동하고 안전한지 철저히 테스트하고 확인해야 합니다. 확장 프로그램에서도 마찬가지입니다.

먼저, 사용자에게 어느 수준의 액세스 권한을 부여해야 하는지 결정하고 사용하려는 확장 프로그램(또는 반대로 사용하지 않으려는 확장 프로그램)을 식별합니다. 그런 다음 Tableau 내의 컨트롤과 기능을 사용하여 사용자가 액세스할 수 있는 대시보드 및 비주얼리제이션 확장 프로그램을 제한하고 선별합니다.

Tableau Desktop 권장 사항

다양한 옵션을 통해 회사에 Tableau Desktop을 배포할 수 있습니다. 샌드박스형 확장 프로그램과 네트워크 지원 확장 프로그램에 대한 무제한 액세스를 허용하거나 확장 프로그램에 액세스할 수 있는 사용자와 액세스 조건에 대한 한계 및 제한을 설정할 수 있습니다.

기본적으로 Tableau Desktop 사용자는 샌드박스형 확장 프로그램과 네트워크 지원 확장 프로그램에 무제한 액세스할 수 있습니다. 설치 중에 두 옵션을 사용하여 기본 설정을 변경할 수 있습니다.

  • 모든 확장 프로그램 해제(DISABLEEXTENSIONS)
  • 네트워크 지원 확장 프로그램 해제(DISABLENETWORKEXTENSIONS).

참고: Tableau Desktop 설치 후에 각 Desktop에서 레지스트리를 편집(Windows)하거나 스크립트를 실행(Mac)하여 이러한 설정을 변경할 수 있습니다. 자세한 내용은 대시보드 확장 프로그램 해제를 참조하십시오.

배포 시나리오

설치 설정을 사용하면 여러 방법으로 Tableau Desktop을 배포할 수 있습니다.

  • 모든 확장 프로그램 허용 - 이 배포 시나리오에서는 Tableau 작성자를 신뢰하도록 선택하여 사용할 샌드박스형 확장 프로그램과 네트워크 지원 확장 프로그램을 선택할 수 있습니다. Tableau Desktop 사용자에게 최대한의 유연성을 제공하려는 경우 기본 설치 설정을 사용합니다. 기본 설정을 사용하면 Tableau Desktop 사용자는 샌드박스형 확장 프로그램과 네트워크 지원 확장 프로그램에 무제한 액세스할 수 있습니다. 기본 설정은 DISABLEEXTENSIONS=0DISABLENETWORKEXTENSIONS=0입니다. 자세한 내용은 명령줄에서 Tableau Desktop 설치를 참조하십시오.

  • 샌드박스형 확장 프로그램만 허용 - 이 시나리오에서는 샌드박스형 확장 프로그램이 안전하다는 것을 알고 있고 사용을 허용하고 싶지만 네트워크 지원 확장 프로그램은 확신이 없어 사용하지 못하게 하고 싶습니다. 네트워크 지원 확장 프로그램에 대한 지원을 해제하려면 DISABLENETWORKEXTENSIONS 속성을 설정합니다(DISABLENETWORKEXTENSIONS=1). 확장 사용에 대한 기본 설정을 유지합니다(DISABLEEXTENSIONS=0). 자세한 내용은 명령줄에서 Tableau Desktop 설치를 참조하십시오.

  • 확장 프로그램 허용 안 함 - 이 시나리오에서는 사용자에게 네트워크 지원 또는 샌드박스형 확장 프로그램을 사용하도록 허용하지 않습니다. 이 경우 DISABLEEXTENSIONS 속성을 사용하여 모든 확장 프로그램에 대한 지원을 해제합니다(DISABLEEXTENSIONS=1). 자세한 내용은 명령줄에서 Tableau Desktop 설치를 참조하십시오.

설정 조합 사용 일부 사용자는 모든 확장 프로그램에 무제한 액세스해야 하고 다른 사용자들은 샌드박스형 확장 프로그램에 대한 액세스로 충분하며 나머지 사용자들은 확장 프로그램에 대한 액세스가 전혀 필요하지 않을 수 있습니다. 확장 프로그램 옵션은 데스크톱별로 설정되기 때문에 특정 사용자와 해당 사용 사례에 대한 배포를 구성할 수 있습니다.

웹 작성 - 사용자가 Tableau Server 또는 Tableau Cloud를 사용할 수 있는 경우 웹 작성을 사용하여 확장 프로그램에 액세스할 수 있습니다. 웹 작성에서는 확장 프로그램의 서버 또는 사이트 설정이 적용됩니다. 이 시나리오에서 서버 및 사이트 관리자는 사용자가 액세스할 수 있도록 허용할 확장 프로그램을 결정할 수 있습니다. 관리자는 서버 및 사이트 설정을 사용하여 샌드박스형 확장 프로그램에만 액세스하도록 제한하거나 허용 목록에 추가된 샌드박스형 확장 프로그램 및 네트워크 지원 확장 프로그램에 액세스하도록 제한할 수 있습니다.

Tableau Server 및 Tableau Cloud 권장 사항

사용자가 Tableau Server 또는 Tableau Cloud에 액세스할 수 있는 경우 기본 제공 보안 컨트롤을 사용하여 사용할 수 있는 확장 프로그램과 확장 프로그램을 사용할 수 있는 조건에 대한 한계 및 제한을 설정할 수 있습니다. Tableau Desktop에서 확장 프로그램을 해제한 경우에도 여전히 사용자가 웹 작성에서 확장 프로그램을 추가하도록 허용할 수 있지만 사용할 수 있는 확장 프로그램을 승인한 확장 프로그램으로 제한할 수 있습니다.

허용 목록에 있는 샌드박스형 확장 프로그램 및 네트워크 지원 확장 프로그램 신뢰

Tableau 2019.4부터 기본적으로 샌드박스형 확장 프로그램만 실행하도록 허용됩니다. 네트워크 지원 확장 프로그램은 허용 목록에 추가되지 않는 한 실행하도록 허용되지 않습니다. 관리자는 사이트의 설정 페이지에 네트워크 지원 확장 프로그램을 추가할 수 있습니다(설정 > 확장 프로그램 > 특정 확장 프로그램 사용).

참고 Tableau 2018.2 및 Tableau 2018.3에서 허용 목록을 확장 프로그램에 대한 기본 동작으로 만들려면 사이트의 설정을 변경해야 합니다. 확장 설정 페이지의 확장에 대한 기본 동작에서 알 수 없는 확장 실행... 옵션을 선택 취소하십시오. Tableau Server 2019.1, Tableau 2019.2 및 Tableau 2019.3에서는 기본적으로 허용 목록에 추가되어 있지 않는 한 확장 프로그램을 실행하도록 허용되지 않습니다.

허용 목록에 대한 검사 목록:

  • 확장 프로그램이 알고 있고 신뢰할 수 있는 원본에서 제공됩니까?
  • 확장 프로그램의 URL을 확인하십시오. URL이 의심스럽거나 모호한 도메인 이름을 포함합니까?
  • 확장 프로그램에 전체(기초 데이터) 또는 요약 데이터에 대한 액세스가 필요합니까? 데이터 액세스 이해를 참조하십시오.
  • 광범위한 사용을 허용하기 전에 확장 프로그램을 테스트하십시오. 확장 프로그램의 보안 테스트를 참조하십시오. 네트워크 지원 확장 프로그램의 보안 테스트를 참조하십시오.

허용 목록에 확장 프로그램 추가:

Tableau Server에서 특정 확장 프로그램이 실행되지 않도록 차단

Tableau Server에서 차단 목록에 확장 프로그램의 URL을 추가하여 특정 확장 프로그램을 차단할 수 있습니다. 이 기능은 확장 프로그램에 대해 서로 다르게 구성된 여러 사이트가 있는 경우 유용합니다. 예를 들어, 내부 또는 타사 확장 프로그램을 테스트할 수 있게 하려는 테스트 사이트가 있는 경우 목록에 없는 확장 프로그램이 통합 문서의 기초 데이터에 액세스하지 않는 한 실행되도록 허용하는 기본 동작을 확장 프로그램에 대해 설정할 수 있습니다. 차단 목록에 확장 프로그램을 추가하면 실수로 테스트 사이트에서 사용되는 것을 방지할 수 있습니다.

  • 허용하지 않으려는 확장 프로그램의 URL을 차단 목록에 추가하십시오. 이 옵션은 Tableau Server에서만 사용할 수 있습니다. 자세한 내용은 특정 확장 프로그램 차단을 참조하십시오.

사이트의 확장 프로그램 해제

기본적으로 확장 프로그램은 Tableau Server 및 Tableau Cloud에서 사용하도록 설정됩니다. Tableau Server에서 서버 관리자는 사이트의 확장 프로그램을 해제할 수 있습니다. Tableau Cloud에서 사이트 관리자는 사이트의 확장 프로그램을 해제할 수 있습니다. Tableau Server에서 서버 관리자는 확장 프로그램을 완전히 해제할 수 있으며, 사이트 설정을 재정의할 수 있습니다. 허용하려는 네트워크 지원 확장 프로그램은 허용 목록에서 제어할 수 있기 때문에 서버 또는 사이트에서 이 설정을 변경할 필요가 없습니다. 기본적으로 허용되는 샌드박스형 확장 프로그램의 설정을 제어할 수도 있습니다.

  • 사이트(Tableau Server, Tableau Cloud)에서 확장 프로그램을 사용하지 않도록 설정하려면 사용자가 사이트에서 확장 프로그램을 실행할 수 있게 하는 사이트 설정을 변경하십시오. 자세한 내용은 확장 프로그램 및 데이터 액세스 제어를 참조하십시오.

네트워크 지원 확장 프로그램을 실행하기 위한 사용자 프롬프트 표시 또는 숨기기

네트워크 지원 확장 프로그램을 허용 목록에 추가할 때 사용자가 확장 프로그램을 대시보드에 추가하거나 확장 프로그램이 있는 뷰와 상호 작용하는 경우 기본적으로 사용자에게 메시지를 표시할지 여부를 구성할 수 있습니다. 이 메시지는 사용자에게 네트워크 지원 확장 프로그램에 대한 세부 정보와 확장 프로그램이 전체 데이터에 액세스하는지 여부를 알려 줍니다. 또한 확장 프로그램 실행을 허용하거나 거부하는 기능도 제공합니다. 확장 프로그램이 즉시 실행될 수 있도록 사용자에게 이 메시지를 표시하지 않을 수 있습니다. 사이트에서 사용하도록 설정한 경우 샌드박스형 확장 프로그램은 기본적으로 허용되며 사용자에게 확인하지 않습니다.

샌드박스형 확장 프로그램 해제

Tableau 2019.4부터 샌드박스형 확장 프로그램은 Tableau Server 및 Tableau Cloud에서 기본적으로 사용하도록 설정됩니다. 샌드박스형 확장 프로그램은 보호된 환경에서 실행되며 Tableau가 호스팅합니다. 관리자는 사이트에서 사용자에게 샌드박스형 확장 프로그램을 실행하도록 허용할지 여부를 제어할 수 있습니다. 샌드박스형 확장 프로그램은 허용 목록에 추가할 필요가 없습니다. 샌드박스형 확장 프로그램이 허용되는 경우 사용자는 샌드박스형 확장 프로그램을 자유롭게 대시보드에 추가할 수 있으며 샌드박스형 확장 프로그램이 포함된 대시보드를 열고 사용할 수 있습니다. 샌드박스형 확장 프로그램을 차단해야 하는 경우 서버 관리자는 샌드박스형 확장 프로그램을 글로벌 차단 목록에 추가할 수 있습니다. 샌드박스형 확장 프로그램을 완전히 해제해야 하는 경우 사이트의 기본 설정을 변경할 수 있습니다. 샌드박스형 확장 프로그램의 기본 설정을 변경한 경우 허용 목록에 있는 확장 프로그램(샌드박스형 확장 프로그램 포함)만 실행하도록 허용됩니다.

 

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!