Tillägg och säkerhet – bästa praxis för driftsättning


Följande information är till för IT-ansvariga och -administratörer, Tableau Server- och platsadministratörer samt alla som är intresserade av att hantera tillägg för instrumentpaneler och säkerheten gällande data och verksamheter. Förslagen för driftsättning är avsedda för företag som har en blandning av användare som använder Tableau Desktop och Tableau Server eller Tableau Cloud.

 

Säkerhet för tillägg i Tableau

Tillägg är webbapplikationer som kan finnas inom ett nätverk eller utanför på en tredjepartsserver eller i en säker begränsad miljö som Tableau hanterar. Tillägg kan interagera med andra komponenter i instrumentpanelen och kan potentiellt få tillgång till synliga och underliggande data i arbetsboken (via ett väldefinierat API). Tableau har stöd för två typer av tillägg:

Nätverksaktiverade tillägg

Nätverksaktiverade tillägg hanteras av webbservrar inom eller utanför ditt lokala nätverk och ha full tillgång till webben. Nätverksaktiverade tillägg kan ansluta till andra applikationer och tjänster samt erbjuder nya möjligheter för Tableau inuti instrumentpanelen, såsom anpassade datavisualiseringar, generering av naturligt tal och scenarier för återskrivning till datakällor. Nätverksaktiverade tillägg har full tillgång till webben. Detta innebär att, även om de kan erbjuda kompletta funktioner och upplevelser genom att ansluta till externa resurser, bör de noggrant utvärderas innan de driftsätts eller tas i bruk.

Tillägg i begränsat läge

Tillägg i begränsat läge körs i en skyddad miljö utan att ha tillgång till andra resurser eller tjänster på webben. Tillägg i begränsat läge hanteras av Tableau och erbjuder den största säkerheten samt eliminerar risken för extrahering av data. För att skydda mot cyberattacker har tillägg i begränsat läge och hanterade tjänster genomgått omfattande penetrationstester av en tredjepartskonsult.

Du kan använda tillägg i begränsat läge och nätverksaktiverade tillägg i Tableau Desktop, Tableau Server och Tableau Cloud. Tableau Server och Tableau Cloud ger den bästa kontrollen över de tillägg som användare kan köra.

Potentiella säkerhetsrisker med nätverksaktiverade tillägg

Då tillägg är webbapplikationer finns det risk för att ett nätverksaktiverat tillägg kan vara sårbart för vissa typer av skadliga attacker. Detta i sin tur kan utgöra risker för datorer eller data. Open Web Application Security Project(Länken öppnas i ett nytt fönster) (OWASP) identifierar årligen de mest kritiska säkerhetsriskerna för webbapplikationer. Dessa risker inkluderar följande:

  • SQL-injektion
  • Skript över flera webbplatser (XSS)
  • Exponering av känsliga data

Dessa risker kan äventyra tillägget om utvecklarna av det inte validerar och hanterar användarinmatningar på ett korrekt sätt eller om de genererar dynamiska frågor för att få åtkomst till känsliga databaser. När du utvärderar de tillägg som du vill ge åtkomst till i Tableau bör du överväga hur de hanterar autentisering, dataåtkomst eller användarinmatning samt hur de reducerar säkerhetsrisker.

Reducera säkerhetshoten med nätverksaktiverade tillägg

Att förstå vad ett tillägg gör är det första steg mot att identifiera riskerna för verksamheten. I många fall får inte ett tillägg för instrumentpaneler åtkomst till underliggande data i arbetsboken och all JavaScript-kod körs i webbläsaren som körs på användarens dator. I dessa fall lämnar stanna alla data kvar på datorn även om tillägget kan befinna sig på en tredje parts webbplats utanför din domän. Vissa tillägg låter dig länka Tableau med andra applikationer som redan har implementerats på din domän.

Tableau tillhandahåller säkerhetsåtgärder och säkerhetskrav för tillägg. Dessa är aktiverade för Tableau Desktop, Tableau Server och Tableau Cloud.

  • Alla tillägg måste använda protokollet HTTP Secure (HTTPS).
  • Som standard uppmanas alla som använder en instrumentpanel med ett nätverksaktiverat tillägg att tillåta eller neka tillägget att köras. Tillägget måste begära tillstånd om det behöver åtkomst till underliggande data.
  • För att kunna köras på Tableau Server eller Tableau Cloud måste webbadressen för det nätverksaktiverade tillägget läggas till i en godkännandelista. Serveradministratören hanterar den här listan för Tableau Server och platsadministratören hanterar listan för Tableau Cloud.
  • På Tableau Server och Tableau Cloud kan server- eller platsadministratören (respektive) kontrollera om uppmaningen visas för varje nätverksaktiverat tillägg.

Se Hantera tillägg för instrumentpaneler i Tableau Server för mer information.

Hantera tillägg med Tableau

Tillägg erbjuder ett sätt att lägga till unika funktioner till instrumentpaneler. Tillägg kan användas för att direkt integrera instrumentpanelen med program utanför Tableau. Medan tillägg öppnar upp flera möjligheter finns det tillfällen där du behöver eller vill bibehålla kontrollen över hur tillägg driftsätts i ditt företag eller verksamhet. På grund av detta skiljer sig inte tillägg från någon annan programvara som kan användas. Innan programvara driftsätts i företaget bör du noggrant testa och verifiera att den fungerar som förväntat och är säker. Detsamma gäller för tillägg.

När du har fastställt vilken åtkomstnivå användare ska ha och identifierat tilläggen som ska användas (eller omvänt, tilläggen som inte ska användas), kan du använda kontrollerna och funktionerna i Tableau för att begränsa och välja de tillägg för instrumentpaneler som användare har tillgång till.

Rekommendationer för Tableau Desktop

Ett rad olika alternativ finns tillgängliga för att driftsätta Tableau Desktop i ditt företag. Du kan tillåta obegränsad åtkomst till tillägg i begränsat läge och nätverksaktiverade tillägg. Alternativt kan du skapa gränser och restriktioner för vem som har tillgång till tillägg och under vilka omständigheter.

Som standard har användare av Tableau Desktop obegränsad tillgång till tillägg i begränsat läge och nätverksaktiverade tillägg. Du kan välja två alternativ under installationen för att ändra standardinställningarna.

  • Inaktivera alla tillägg (DISABLEEXTENSIONS)
  • Inaktivera nätverksaktiverade tillägg (DISABLENETWORKEXTENSIONS).

Obs! Du kan ändra dessa inställningar efter installationen av Tableau Desktop genom att redigera registret (Windows) eller köra ett skript (Mac) på varje dator. Se Inaktivera tillägg för instrumentpaneler.

Scenarier med driftsättning

Du kan använda installationsinställningarna för att driftsätta Tableau Desktop på flera olika sätt.

  • Tillåt alla tillägg – i det här scenariot med driftsättning kan du välja att lita på att skaparen av instrumentpanelen i Tableau väljer de tillägg i begränsat läge och nätverksaktiverade tillägg de vill använda. Använd standardinställningarna vid installationen för att ge användare av Tableau Desktop den största flexibiliteten. Med standardinställningen har användare av Tableau Desktop obegränsad tillgång till tillägg i begränsat läge och nätverksaktiverade tillägg. Standardinställningarna är: DISABLEEXTENSIONS=0 och DISABLENETWORKEXTENSIONS=0. Se Installera Tableau Desktop från kommandoraden.

  • Tillåt endast tillägg i begränsat läge – i det här scenariot är tillägg i begränsat läge garanterat säkra och du vill tillåta dem, men är inte säker på nätverksaktiverade tillägg och vill förhindra att de används. Sätt egenskapen DISABLENETWORKEXTENSIONS till (DISABLENETWORKEXTENSIONS=1) för att stänga av stödet för nätverksaktiverade tillägg. Behåll standardinställningen för att aktivera tillägg (DISABLEEXTENSIONS=0). Se Installera Tableau Desktop från kommandoraden.

  • Inga tillägg tillåts – i det här scenariot vill du inte tillåta användare att använda någon typ av tillägg, varken nätverksaktiverade tillägg eller tillägg i begränsat läge. Inaktivera i så fall stödet för alla tillägg med egenskapen DISABLEEXTENSIONS (DISABLEEXTENSIONS=1). Se Installera Tableau Desktop från kommandoraden.

Använd en kombination av inställningar – du kan ha vissa användare som behöver och bör ha obegränsad tillgång till alla tillägg. Andra användare kanske endast behöver tillgång till tillägg i begränsat läge och slutligen en uppsättning användare som inte behöver tillgång alls. Eftersom alternativen för tillägg ställs in per dator kan driftsättningen konfigureras för specifika användare och deras användningsfall.

Webbredigering – om Tableau Server eller Tableau Cloud finns tillgängliga för användare kan de använda webbredigering för att komma åt tillägg. Vid webbredigering tillämpas serverns eller webbplatsens inställningar för tillägg. I det här scenariot kan server- och platsadministratörer bestämma vilka tillägg som användare ska ha åtkomst till. Administratörer kan använda serverns eller webbplatsens inställningar för att begränsa åtkomsten till enbart tillägg i begränsat läge eller åtkomsten till tillägg i begränsat läge och nätverksaktiverade tillägg, som har lagts till i en godkännandelista.

Rekommendationer för Tableau Server och Tableau Cloud

Om användare har tillgång till Tableau Server eller Tableau Cloud kan de inbyggda säkerhetskontrollerna användas för att tillämpa gränser och restriktioner för vilka tillägg som kan användas, och under vilka omständigheter. Om tillägg har inaktiverats i Tableau Desktop kan du fortfarande tillåta användare att lägga till tillägg via webbredigering. Du kan dessutom begränsa antalet tillägg som kan användas till endast de som du godkänner.

Godkända tillägg i begränsat läge och nätverksaktiverade tillägg på godkännandelistan

Från och med Tableau 2019.4 tillåts endast att tillägg i begränsat läge körs som standard. Nätverksaktiverade tillägg tillåts inte om de inte har lagts till på godkännandelistan. Administratörer kan lägga till nätverksaktiverade tillägg via inställningssidan för webbplatsen (Inställningar > Tillägg > Aktivera specifika tillägg).

Obs! För att använda godkännandelistan som standardbeteende för tillägg i Tableau 2018.2 och Tableau 2018.3 måste inställningarna ändras för webbplatsen. Avmarkera alternativet Aktivera okända tillägg, på sidan Tilläggsinställningar, under Standardbeteende för tillägg. I Tableau Server 2019.1, Tableau 2019.2 och Tableau 2019.3 tillåts inga tillägg att köras som standard, om de inte har lagts till på godkännandelistan.

Kontrollista för godkännandelistan:

  • Kommer tillägget från en källa som du känner till och litar på?
  • Kontrollera tilläggets webbadress. Ser webbadressen misstänkt ut eller innehåller den tvivelaktig domännamn?
  • Kräver tillägget tillgång till fullständiga (underliggande data) eller sammanfattande data? Se Förstå dataåtkomst.
  • Testa tilläggen innan du tillåter en generell användning. Se Testa säkerheten i tillägg. Se Säkerhetstesta nätverksaktiverade tillägg.

Lägg till tillägg på godkännandelistan:

Blockera specifika tillägg från att köras på Tableau Server

På Tableau Server kan du blockera specifika tillägg genom att lägga till deras webbadress på lista över blockerade tillägg. Detta är användbart om du har flera webbplatser som är konfigurerade olika för tillägg. Om du till exempel har en testwebbplats där du vill kunna testa interna- eller tredjepartstillägg kan du ha standardbeteendet aktiverat för tillägg, där ej listade tillägg tillåts köras förutsatt att de inte har åtkomst till underliggande data i arbetsboken. Att placera ett tillägg på lista över blockerade tillägg förhindrar att det oavsiktligt används på testwebbplatsen.

  • Lägg till webbadressen för tilläggen som du inte vill tillåta på lista över blockerade tillägg. Det här alternativet är endast tillgängligt på Tableau Server. Se Blockera specifika tillägg.

Inaktivera tillägg för en webbplats

Som standard är tillägg aktiverade på Tableau Server och Tableau Cloud. På Tableau Server kan serveradministratören inaktivera tillägg för en specifik webbplats. På Tableau Cloud kan platsadministratören inaktivera tillägg för en specifik webbplats. På Tableau Server kan serveradministratören inaktivera tillägg helt vilket överskrider webbplatsinställningarna. Du ska inte behöva ändra den här inställningen på servern eller för webbplatsen. Detta då du kan kontrollera de nätverksaktiverade tilläggen som du vill tillåta på godkännandelistan och även inställningarna för tillägg i begränsat läge, som är tillåtna som standard .

Visa eller dölj uppmaningar till användare om att köra nätverksaktiverade tillägg

När du lägger till ett nätverksaktiverat tillägg på godkännandelistan kan du konfigurera om användare ska se uppmaningar som standard när de lägger till tillägget på en instrumentpanel eller när de interagerar med en vy som har tillägget. Uppmaningen informerar användare om det nätverksaktiverade tillägget och om tillägget har tillgång till fullständiga data. Uppmaningen ger användare möjligheten att välja om tillägget får köras eller inte. Du kan dölja uppmaningen för användare och låta tillägget köras direkt. När de är aktiverade för en webbplats, tillåts tillägg i begränsat läge som standard, och användare uppmanas inte.

Inaktivera tillägg i begränsat läge

Från och med Tableau 2019.4 är tillägg i begränsat läge aktiverade för Tableau Server och Tableau Cloud som standard. Tillägg i begränsat läge körs i en skyddad miljö och hanteras av Tableau. Administratörer kan kontrollera om de ska låta användare köra tillägg i begränsat läge på en webbplats. Tillägg i begränsat läge behöver inte läggas till på godkännandelistan. När tillägg i begränsat läge tillåts kan användare fritt lägga till dem på instrumentpaneler samt öppna och använda instrumentpaneler som innehåller tillägg i begränsat läge. Om du behöver blockera ett tillägg i begränsat läge kan en serveradministratör lägga till det på en global lista över blockerade tillägg. Om du helt behöver inaktivera tillägg i begränsat läge kan du ändra standardinställningen för webbplatsen. Om standardinställningen ändras för tillägg i begränsat läge kommer endast de (inklusive tillägg i begränsat läge) som finns på godkännandelistan att tillåtas köras.

 

Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!