Tillägg och säkerhet – bästa praxis för driftsättning

Följande information är till för IT-ansvariga och -administratörer, Tableau Server- och platsadministratörer samt alla som är intresserade av att hantera tillägg för instrumentpaneler och visualiseringar och säkerhet för data och verksamheter. Förslagen för driftsättning är avsedda för företag som har en blandning av användare som använder Tableau Desktop och Tableau Server eller Tableau Cloud.

 

Säkerhet för tillägg i Tableau

Tillägg är webbapplikationer som kan finnas inom ett nätverk eller utanför på en tredjepartsserver eller i en säker begränsad miljö som Tableau hanterar. Tillägg kan interagera med andra komponenter i instrumentpanelen och kan potentiellt få tillgång till synliga och underliggande data i arbetsboken (via ett väldefinierat API). Tableau har stöd för två typer av tillägg:

Nätverksaktiverade tillägg

Nätverksaktiverade tillägg hanteras av webbservrar inom eller utanför ditt lokala nätverk och ha full tillgång till webben. Nätverksaktiverade tillägg kan ansluta till andra program och tjänster. Nätverksaktiverade tillägg tillför nya funktioner till Tableau, till exempel nya datavisualiseringar, generering av naturligt språk och stöd för tillbakaskrivningsscenarier. Nätverksaktiverade tillägg har full tillgång till webben. De erbjuder omfattande funktioner och upplevelser eftersom de kan ansluta till externa resurser, men de bör utvärderas innan de driftsätts eller tas i bruk.

Tillägg i begränsat läge

Tillägg i begränsat läge körs i en skyddad miljö utan att tillgång till andra resurser eller tjänster på webben. Tillägg i begränsat läge hanteras av Tableau och erbjuder den största säkerheten samt eliminerar risken för extrahering av data. För att skydda mot cyberattacker har tillägg i begränsat läge och hanterade tjänster genomgått omfattande penetrationstester av en tredjepartskonsult.

Du kan använda tillägg i begränsat läge och nätverksaktiverade tillägg i Tableau Desktop, Tableau Server och Tableau Cloud. Tableau Server och Tableau Cloud ger den bästa kontrollen över de tillägg som användare kan köra.

Potentiella säkerhetsrisker med nätverksaktiverade tillägg

Eftersom tillägg är webbprogram finns det risk för att ett nätverksaktiverat tillägg kan vara sårbart för vissa typer av skadliga attacker. Detta kan i sin tur utgöra en risk för era datorer eller data. Open Web Application Security Project(Länken öppnas i ett nytt fönster) (OWASP) identifierar årligen de mest kritiska säkerhetsriskerna för webbapplikationer. Dessa risker inkluderar följande:

  • SQL-injektion
  • Skript över flera webbplatser (XSS)
  • Exponering av känsliga data

Dessa risker kan äventyra tillägget om utvecklarna inte validerar och hanterar användarinmatningar på ett korrekt sätt eller om de genererar dynamiska frågor för att komma åt känsliga databaser. När du utvärderar de tillägg som du vill ge åtkomst till i Tableau bör du överväga hur de hanterar autentisering, dataåtkomst eller användarinmatning samt hur de reducerar säkerhetsrisker.

Reducera säkerhetshoten med nätverksaktiverade tillägg

Att förstå vad ett tillägg gör är det första steg mot att identifiera riskerna för verksamheten. I många fall kan ett tillägg för instrumentpaneler eller visualiseringar inte komma åt underliggande data i arbetsboken och all JavaScript-kod körs i webbläsaren på användarens dator. I dessa fall lämnar stanna alla data kvar på datorn även om tillägget kan befinna sig på en tredje parts webbplats utanför din domän. Vissa tillägg låter dig länka Tableau med andra applikationer som redan har implementerats på din domän.

Tableau tillhandahåller säkerhetsåtgärder och säkerhetskrav för tillägg. De här kraven är aktiverade för Tableau Desktop, Tableau Server och Tableau Cloud.

  • Alla tillägg måste använda protokollet HTTP Secure (HTTPS).
  • Som standard uppmanas alla som använder en instrumentpanel med ett nätverksaktiverat tillägg att tillåta att tillägget körs. Tillägget måste begära tillstånd om det behöver komma åt underliggande data.
  • För att kunna köras på Tableau Server eller Tableau Cloud måste webbadressen för det nätverksaktiverade tillägget läggas till i en godkännandelista. Serveradministratören hanterar den här listan för Tableau Server och platsadministratören hanterar listan för Tableau Cloud.
  • På Tableau Server och Tableau Cloud kan server- eller platsadministratören (respektive) kontrollera om uppmaningen visas för varje nätverksaktiverat tillägg.

Se Hantera instrumentpanels- och visualiseringstillägg i Tableau Server för mer information.

Hantera tillägg med Tableau

Tillägg är ett sätt att lägga till unika funktioner i instrumentpaneler och nya visualiseringar i arbetsblad. Tillägg kan användas för att direkt integrera instrumentpanelen med program utanför Tableau. Medan tillägg öppnar upp flera möjligheter finns det tillfällen där du behöver eller vill bibehålla kontrollen över hur tillägg driftsätts i ditt företag eller verksamhet. På grund av detta skiljer sig inte tillägg från någon annan programvara som kan användas. Innan programvara driftsätts i företaget bör du noggrant testa och verifiera att den fungerar som förväntat och är säker. Detsamma gäller för tillägg.

Bestäm först vilken åtkomstnivå användarna ska ha och identifiera de tillägg du vill använda (eller omvänt, de tillägg du inte vill använda). Använd sedan kontrollerna och funktionerna i Tableau för att begränsa och strukturera de tillägg för instrumentpaneler och visualiseringar som användarna har tillgång till.

Rekommendationer för Tableau Desktop

Ett rad olika alternativ finns tillgängliga för att driftsätta Tableau Desktop i ditt företag. Du kan tillåta obegränsad åtkomst till tillägg i begränsat läge och nätverksaktiverade tillägg. Alternativt kan du skapa gränser och restriktioner för vem som har tillgång till tillägg och under vilka omständigheter.

Som standard har användare av Tableau Desktop obegränsad tillgång till tillägg i begränsat läge och nätverksaktiverade tillägg. Du kan välja två alternativ under installationen för att ändra standardinställningarna.

  • Inaktivera alla tillägg (DISABLEEXTENSIONS)
  • Inaktivera nätverksaktiverade tillägg (DISABLENETWORKEXTENSIONS).

Obs! Du kan ändra dessa inställningar efter installationen av Tableau Desktop genom att redigera registret (Windows) eller köra ett skript (Mac) på varje dator. Se Inaktivera tillägg för instrumentpaneler.

Scenarier med driftsättning

Du kan använda installationsinställningarna för att driftsätta Tableau Desktop på flera olika sätt.

  • Tillåt alla tillägg – i det här driftsättningsscenariot väljer du att lita på att Tableau-utvecklarna väljer de tillägg i begränsat läge och nätverksaktiverade tillägg de vill använda. Använd standardinställningarna vid installationen för att ge användare av Tableau Desktop den största flexibiliteten. Med standardinställningen har användare av Tableau Desktop obegränsad tillgång till tillägg i begränsat läge och nätverksaktiverade tillägg. Standardinställningarna är: DISABLEEXTENSIONS=0 och DISABLENETWORKEXTENSIONS=0. Se Installera Tableau Desktop från kommandoraden.

  • Tillåt endast tillägg i begränsat läge – i det här scenariot är tillägg i begränsat läge garanterat säkra och du vill tillåta dem, men är inte säker på nätverksaktiverade tillägg och vill förhindra att de används. Sätt egenskapen DISABLENETWORKEXTENSIONS till (DISABLENETWORKEXTENSIONS=1) för att stänga av stödet för nätverksaktiverade tillägg. Behåll standardinställningen för att aktivera tillägg (DISABLEEXTENSIONS=0). Se Installera Tableau Desktop från kommandoraden.

  • Inga tillägg tillåts – i det här scenariot vill du inte tillåta användare att använda någon typ av tillägg, varken nätverksaktiverade tillägg eller tillägg i begränsat läge. Inaktivera i så fall stödet för alla tillägg med egenskapen DISABLEEXTENSIONS (DISABLEEXTENSIONS=1). Se Installera Tableau Desktop från kommandoraden.

Använd en kombination av inställningar – du kan ha vissa användare som behöver och bör ha obegränsad tillgång till alla tillägg. Andra användare kanske endast behöver tillgång till tillägg i begränsat läge och slutligen en uppsättning användare som inte behöver tillgång alls. Eftersom alternativen för tillägg ställs in per dator kan driftsättningen konfigureras för specifika användare och deras användningsfall.

Webbredigering – om Tableau Server eller Tableau Cloud finns tillgängliga för användare kan de använda webbredigering för att komma åt tillägg. Vid webbredigering tillämpas serverns eller webbplatsens inställningar för tillägg. I det här scenariot kan server- och platsadministratörer bestämma vilka tillägg som användare ska ha åtkomst till. Administratörer kan använda serverns eller webbplatsens inställningar för att begränsa åtkomsten till enbart tillägg i begränsat läge eller åtkomsten till tillägg i begränsat läge och nätverksaktiverade tillägg, som har lagts till i en godkännandelista.

Rekommendationer för Tableau Server och Tableau Cloud

Om användare har tillgång till Tableau Server eller Tableau Cloud kan de inbyggda säkerhetskontrollerna användas för att tillämpa gränser och restriktioner för vilka tillägg som kan användas, och under vilka omständigheter. Om tillägg har inaktiverats i Tableau Desktop kan du ändå tillåta användare att lägga till tillägg via webbredigering. Du kan dessutom begränsa antalet tillägg som kan användas till endast de som du godkänner.

Godkända tillägg i begränsat läge och nätverksaktiverade tillägg på godkännandelistan

Från och med Tableau 2019.4 tillåts endast att tillägg i begränsat läge körs som standard. Nätverksaktiverade tillägg tillåts inte om de inte har lagts till på godkännandelistan. Administratörer kan lägga till nätverksaktiverade tillägg via inställningssidan för webbplatsen (Inställningar > Tillägg > Aktivera specifika tillägg).

Obs! Om du vill att godkännandelistan används som standardbeteende för tillägg i Tableau 2018.2 och Tableau 2018.3 måste du ändra inställningarna för platsen. Avmarkera alternativet Aktivera okända tillägg, på sidan Tilläggsinställningar, under Standardbeteende för tillägg. I Tableau Server 2019.1, Tableau 2019.2 och Tableau 2019.3 är det som standard inte tillåtet att köra tillägg, om de inte har lagts till i godkännandelistan.

Kontrollista för godkännandelistan:

  • Kommer tillägget från en källa som du känner till och litar på?
  • Kontrollera tilläggets webbadress. Ser webbadressen misstänkt ut eller innehåller den tvivelaktig domännamn?
  • Kräver tillägget tillgång till fullständiga (underliggande data) eller sammanfattande data? Se Förstå dataåtkomst.
  • Testa tilläggen innan du tillåter en generell användning. Se Testa säkerheten i tillägg. Se Säkerhetstesta nätverksaktiverade tillägg.

Lägg till tillägg på godkännandelistan:

Blockera specifika tillägg från att köras på Tableau Server

På Tableau Server kan du blockera specifika tillägg genom att lägga till deras webbadress på lista över blockerade tillägg. Detta är användbart om du har flera webbplatser som är konfigurerade olika för tillägg. Om du till exempel har en testwebbplats där du vill kunna testa interna- eller tredjepartstillägg kan du ha standardbeteendet aktiverat för tillägg, där ej listade tillägg tillåts köras förutsatt att de inte har åtkomst till underliggande data i arbetsboken. Om du lägger till ett tillägg i blockeringslistan förhindrar du att det används oavsiktligt på testplatsen.

  • Lägg till URL:en för tillägg som du inte vill tillåta i blockeringslistan. Det här alternativet är endast tillgängligt på Tableau Server. Se Blockera specifika tillägg.

Inaktivera tillägg för en webbplats

Som standard är tillägg aktiverade på Tableau Server och Tableau Cloud. På Tableau Server kan serveradministratören inaktivera tillägg för en specifik webbplats. På Tableau Cloud kan platsadministratören inaktivera tillägg för en specifik webbplats. På Tableau Server kan serveradministratören inaktivera tillägg helt vilket överskrider webbplatsinställningarna. Du ska inte behöva ändra den här inställningen på servern eller för platsen, eftersom du kan styra vilka nätverksaktiverade tillägg du vill tillåta i godkännandelistan. Du kan också styra inställningarna för tillägg i begränsat läge, som tillåts som standard.

  • Ändra webbplatsinställningarna som låter användare köra tillägg på en webbplats för att inaktivera dem på webbplatsen (Tableau Server och Tableau Cloud). Se Styra tillägg och åtkomst till data.

Visa eller dölj uppmaningar till användare om att köra nätverksaktiverade tillägg

När du lägger till ett nätverksaktiverat tillägg på godkännandelistan kan du konfigurera om användare ska se uppmaningar som standard när de lägger till tillägget på en instrumentpanel eller när de interagerar med en vy som har tillägget. Uppmaningen informerar användare om det nätverksaktiverade tillägget och om tillägget har tillgång till fullständiga data. Uppmaningen ger användare möjligheten att välja om tillägget får köras eller inte. Du kan dölja uppmaningen för användare och låta tillägget köras direkt. När de är aktiverade för en webbplats, tillåts tillägg i begränsat läge som standard, och användare uppmanas inte.

Inaktivera tillägg i begränsat läge

Från och med Tableau 2019.4 är tillägg i begränsat läge aktiverade för Tableau Server och Tableau Cloud som standard. Tillägg i begränsat läge körs i en skyddad miljö och hanteras av Tableau. Administratörer kan kontrollera om de ska låta användare köra tillägg i begränsat läge på en webbplats. Tillägg i begränsat läge behöver inte läggas till på godkännandelistan. När tillägg i begränsat läge tillåts kan användare fritt lägga till dem på instrumentpaneler samt öppna och använda instrumentpaneler som innehåller tillägg i begränsat läge. Om du behöver blockera ett tillägg i begränsat läge kan en serveradministratör lägga till det på en global lista över blockerade tillägg. Om du helt behöver inaktivera tillägg i begränsat läge kan du ändra standardinställningen för webbplatsen. Om du ändrar standardinställningen för tillägg i begränsat läge kommer endast de som finns på godkännandelistan (inklusive tillägg i begränsat läge) att tillåtas köras.

 

Tack för din feedback!Din feedback har skickats in. Tack!