Segurança de extensão - Práticas recomendadas para implantação
As informações a seguir são destinadas aos diretores de TI e administradores, ao Tableau Server e aos administradores de site e qualquer pessoa interessada em gerenciar e visualização extensões de painel e a segurança de seus dados e negócios. As sugestões de implantação destinam-se a empresas que têm uma mistura de usuários que estão no Tableau Desktop e Tableau Server ou no Tableau Cloud.
Segurança para extensões no Tableau
Extensões são aplicativos Web que podem ser hospedados na rede, em um servidor de terceiros ou em um ambiente de área restrita hospedado pelo Tableau. As extensões podem interagir com outros componentes no painel e possivelmente têm acesso aos dados visíveis e subjacentes na pasta de trabalho (por meio de uma API bem definida). O Tableau suporta dois tipos de extensões:
Extensões habilitadas para rede
As extensões habilitadas para rede estão hospedadas nos servidores da Web localizados dentro ou fora da rede local e têm acesso total à Web. Extensões habilitadas para rede podem se conectar a outros aplicativos e serviços. As extensões habilitadas para rede oferecem novos recursos ao Tableau, como novos tipos de visualizações de dados, geração de linguagem natural e suporte para cenários de write-back. As extensões habilitadas para rede têm acesso total à Web, o que significa que, embora possam oferecer recursos e experiências avançadas ao se conectarem a recursos externos, elas devem ser avaliadas antes da implantação ou adoção.
Extensões de área restrita
Extensões de área restrita executadas em um ambiente protegido, sem acesso a qualquer outro recurso ou serviço na Web. As extensões de área restrita são hospedadas pelo Tableau, fornecem mais segurança e eliminam o risco de exfiltração de dados. Para proteger contra ataques digitais, o ambiente de extensões de área restrita e o serviço de hospedagem foram submetidos a testes de penetração abrangentes aplicados por um consultor de terceiros.
É possível usar extensões de área restrita e habilitadas para rede no Tableau Desktop, no Tableau Server e no Tableau Cloud. O Tableau Server e o Tableau Cloud fornecem o maior controle sobre as extensões que seus usuários podem executar.
Possíveis riscos de segurança com extensões habilitadas para rede
Como as extensões são aplicativos Web, há a possibilidade de que uma extensão habilitada para rede possa estar vulnerável a certos tipos de ataques mal-intencionados, que, por sua vez, poderiam apresentar um risco para o computador ou dados. O Projeto Aberto de Segurança em Aplicações Web(O link abre em nova janela) (OWASP) identifica anualmente os riscos de segurança de aplicações da Web mais críticos. Tais riscos são:
- Injeção de SQL
- Script entre sites (XSS)
- Exposição de dados confidenciais
Esses riscos podem comprometer a extensão se os desenvolvedores não validarem e manipularem corretamente as entradas do usuário ou se gerarem consultas dinâmicas para acessar bancos de dados confidenciais. À medida que você avalia as extensões que deseja permitir no Tableau, considere como elas gerenciam a autenticação, o acesso a dados ou a entrada do usuário e como eles reduzem os riscos de segurança.
Redução de ameaças à segurança com extensões habilitadas para rede
Entender o que uma extensão faz é a primeira etapa para identificar os riscos à sua empresa. Muitas vezes, um painel ou extensão de visualização não acessa os dados subjacentes na pasta de trabalho e todo o código JavaScript é executado no contexto do navegador em execução no computador do usuário. Nesses casos, nenhum dado deixa o computador, mesmo que a extensão possa ser hospedada em um site de terceiros fora do seu domínio. Algumas extensões permitem que você conecte o Tableau a outros aplicativos já implantados em seu domínio.
O Tableau fornece medidas e requisitos de segurança para extensões. Esses requisitos estão habilitados para o Tableau Desktop, Tableau Server e Tableau Cloud.
- Todas as extensões devem usar o protocolo HTTP Secure (HTTPS).
- Por padrão, qualquer pessoa que usar um painel com uma extensão habilitada para rede será avisada e solicitada permissão de extensão para execução. A extensão deve solicitar permissão se for acessar dados subjacentes.
- Para executar no Tableau Server ou Tableau Cloud, a URL da extensão habilitada para rede deve ser adicionada a uma lista de permissões. O administrador do servidor gerencia essa lista para o Tableau Server. O administrador de site gerencia essa lista para o Tableau Cloud.
- No Tableau Server e no Tableau Cloud, o administrador do servidor ou de site (respectivamente) pode controlar se o prompt é exibido para cada extensão habilitada para rede.
Para obter mais informações, consulte Gerenciar extensões de painel e visualização no Tableau Server.
Gerenciar extensões usando o Tableau
As extensões fornecem uma maneira de adicionar recursos exclusivos a painéis e novas visualizações à planilhas. É possível usar extensões para integrar diretamente o painel a aplicativos fora do Tableau. Apesar de as extensões abrirem um mundo de possibilidades, há instâncias em que você precisa ou deseja manter o controle de como extensões são implantadas na sua empresa. Com isso em consideração, as extensões não são diferentes de qualquer outro software que você pretende utilizar. Antes de implantar aplicativos de software na sua empresa, você deve testar e verificar se o software funciona conforme esperado e é seguro. O mesmo ocorre nas extensões.
Primeiro, determine qual nível de acesso seus usuários devem ter e identifique as extensões que deseja usar (ou, inversamente, as extensões que não deseja usar). Em seguida, use os controles e recursos do Tableau para restringir e selecionar o painel e as extensões de visualização aos quais os usuários têm acesso.
- É necessário restringir quem pode adicionar ou usar extensões no Tableau Desktop? Consulte Recomendações para o Tableau Desktop
- É necessário restringir ou controlar as extensões as quais seus usuários têm acesso? Consulte Recomendações para o Tableau Server e Tableau Cloud.
Recomendações para o Tableau Desktop
Há uma variedade de opções para implantar o Tableau Desktop na sua empresa. Você pode permitir acesso irrestrito a extensões de área restrita e habilitadas para rede ou impor limites e restrições de quem tem acesso a extensões e em que circunstâncias.
Por padrão, os usuários do Tableau Desktop têm acesso irrestrito a extensões de área restrita e habilitadas para rede. Você pode usar duas opções durante a instalação para alterar as configurações padrão.
- Desative todas as extensões (
DISABLEEXTENSIONS
) - Desative as extensões habilitadas para rede
DISABLENETWORKEXTENSIONS
().
Observação: é possível alterar essas configurações após a instalação do Tableau Desktop ao editar o Registro (Windows) ou executar um script (Mac) em cada Área de trabalho. Consulte Desativar extensões do painel.
Cenários de implantação
Usando as configurações de instalação, é possível implantar o Tableau Desktop de várias maneiras.
Permitir todas as extensões - neste cenário de implantação, você opta por confiar nos autores do Tableau para selecionar as extensões de área restrita e habilitadas para rede que eles querem usar. Se você quiser capacitar os usuários do Tableau Desktop com a maior flexibilidade, use as configurações de instalação padrão. Usando as configurações padrão, os usuários do Tableau Desktop têm acesso irrestrito a extensões de área restrita e habilitadas para rede. As configurações padrão são:
DISABLEEXTENSIONS=0
eDISABLENETWORKEXTENSIONS=0
. Consulte Instalar o Tableau Desktop a partir da linha de comando.Permitir apenas extensões de área restrita - neste cenário, você sabe que as extensões de área restrita são seguras e deseja permiti-las, mas não tem certeza sobre as extensões habilitadas para rede e quer impedir seu uso. Para desativar o suporte das extensões habilitadas para rede, defina a propriedade
DISABLENETWORKEXTENSIONS
(DISABLENETWORKEXTENSIONS=1
). Mantenha a configuração padrão para permitir extensões (DISABLEEXTENSIONS=0
). Consulte Instalar o Tableau Desktop a partir da linha de comando.Extensões são permitidas - neste cenário, você não deseja permitir que os usuários usem extensões de qualquer tipo, habilitadas para rede ou de área restrita. Nesse caso, desative o suporte para todas as extensões usando a propriedade
DISABLEEXTENSIONS
(DISABLEEXTENSIONS=1
). Consulte Instalar o Tableau Desktop a partir da linha de comando
Usar uma combinação de configurações - você pode ter alguns usuários que precisam e devem ter acesso irrestrito a todas as extensões, e outros para os quais o acesso a extensões de área restrita é suficiente e, por fim, um conjunto de usuários que não precisam de acesso a extensões de jeito nenhum. Como as opções de extensão são definidas de acordo com a área de trabalho, você pode configurar a implantação para usuários específicos e seus casos de uso.
Criação na Web - se o Tableau Server ou o Tableau Cloud estiver disponível para os usuários, eles podem usar a Web para acessar as extensões. Na criação na Web, aplicam-se as configurações do servidor ou site para extensões. Nesse cenário, os administradores de servidor e de site podem determinar quais extensões os usuários podem acessar. Os administradores podem usar as configurações do servidor e do site para restringir o acesso apenas a extensões de área restrita ou para restringir o acesso a extensões de área restrita e extensões habilitadas para rede que foram adicionadas a uma lista de permissões.
Recomendações para o Tableau Server e Tableau Cloud
Se os usuários tiverem acesso ao Tableau Server ou ao Tableau Cloud, você poderá usar os controles de segurança internos para determinar limites e restrições nas extensões que podem ser usadas e em quais circunstâncias. Se você desativou as extensões no Tableau Desktop, ainda poderá permitir que os usuários adicionem extensões na criação da Web, mas você pode limitar o número de extensões que podem ser usadas para apenas aqueles que aprova.
Extensões de área restrita e extensões habilitadas para rede confiáveis na lista de permissões
A partir do Tableau 2019.4, é permitido executar apenas extensões de área restrita por padrão. As extensões habilitadas para rede não são permitidas, a menos que tenham sido adicionadas à lista de permissões. Os administradores podem adicionar extensões habilitadas para rede à página de configurações do site (Configurações > Extensões > Ativar extensões específicas).
Observação : para tornar a lista de permissões o comportamento padrão das extensões no Tableau 2018.2 e no Tableau 2018.3, altere as configurações do site. Na página Configurações de extensões, em Comportamento padrão de extensões, desmarque a opção Habilitar extensões desconhecidas... No Tableau Server 2019.1, no Tableau 2019.2 e no Tableau 2019.3, por padrão, nenhuma extensão pode ser executada a menos que tenha sido adicionada à lista de permissões.
Verificação para a lista segura:
- A extensão vem de uma fonte que você conhece e confia?
- Verifique a URL da extensão. A URL parece suspeita ou contém nomes de domínio duvidosos?
- A extensão requer acesso a dados completos (dados subjacentes) ou de resumo? Consulte Entenda o acesso aos dados.
- Teste as extensões antes de permitir amplo uso. Consulte Testar extensões para segurança. Consulte Testar a segurança das extensões habilitadas para rede.
Adicione extensões à lista segura:
Bloquear extensões específicas de serem executadas no Tableau Server
No Tableau Server, você pode bloquear extensões específicas adicionando a URL à lista de bloqueios. Isso é útil se você tiver vários sites configurados de maneiras diferentes para extensões. Por exemplo, se você tiver um site de teste onde deseja testar extensões internas ou de terceiros, talvez tenha habilitado o comportamento padrão para extensões, onde extensões não listadas têm permissão para serem executadas se elas não acessarem os dados subjacentes na pasta de trabalho. Adicionar uma extensão à lista de bloqueios impedirá que ela seja usada inadvertidamente no site de teste.
- Adicione a URL das extensões que não deseja permitir à lista bloqueada. Essa opção está disponível apenas no Tableau Prep. Consulte Bloquear extensões específicas.
Desativar extensões em um site
Por padrão, as extensões estão habilitadas no Tableau Server e no Tableau Cloud. No Tableau Server, o administrador do servidor pode desativar as extensões de um site. No Tableau Cloud, o administrador de site pode desativar as extensões do site. No Tableau Server, o administrador do servidor pode desativar completamente as extensões, o que substitui as configurações do site. Não é necessário alterar essa configuração no servidor ou no site, pois você pode controlar as extensões habilitadas para rede que deseja permitir na lista de permissões. Você também pode controlar as configurações das extensões em sandbox, que são permitidas por padrão.
- Para desabilitar as extensões em um site (Tableau Server, Tableau Cloud), altere as configurações do site que permitem aos usuários executar extensões no site. Consulte Controlar as extensões e o acesso aos dados.
Mostrar ou ocultar prompts de usuário para executar extensões habilitadas para rede
Ao adicionar uma extensão habilitada para rede à lista de permissões, é possível configurar se os usuários veem os prompts por padrão ao adicionar a extensão a um painel ou ao interagir com uma exibição que possui a extensão. O prompt apresenta detalhes da extensão habilitada para rede aos usuários, além de se ela possui acesso aos dados completos. O prompt dá aos usuários a capacidade de permitir ou negar que a extensão seja executada. Você pode ocultar esse prompt de usuários, permitindo que a extensão seja executada imediatamente. Quando ativadas para um site, as extensões de área restrita são permitidas por padrão e não avisam os usuários.
Desativar extensões de área restrita
A partir do Tableau 2019.4, as extensões de área restrita são habilitadas para o Tableau Server e para o Tableau Cloud por padrão. As extensões de área restrita são executadas em um ambiente protegido e são hospedadas pelo Tableau. Os administradores podem controlar se devem permitir que os usuários executem extensões de área restrita em um site. As extensões de área restrita não precisam ser adicionadas à lista de permissões. Quando as extensões de área restrita são permitidas, os usuários podem adicionar extensões de área restrita livremente aos painéis, além de abrir e usar os painéis que contêm extensões de área restrita. Se for necessário bloquear uma extensão de área restrita, um administrador do servidor pode adicionar a extensão de área restrita a uma lista de bloqueio global. Se for necessário desativar as extensões de área restrita completamente, você pode alterar a configuração padrão do site. Se você alterar a configuração padrão para extensões de área restrita, será permitida a execução apenas das extensões (incluindo extensões de área restrita) que estão na lista de permissões.