概述
本文旨在說明
Varonis 產品如何協助簡化 Microsoft SharePoint 移轉,及其如何在資料移動後協助維持資料的正確管理與保護。
SharePoint 中通常保存著極重要的敏感內容,但其存取控制機制雖然精密,卻不擅於分析與評估。同時,SharePoint 鮮少記錄或追蹤存取活動。這意味著,許多不應具備存取權限的人能存取重要資訊,而員工也可以在不被發現的情況下存取它們。
如果您已經部署 SharePoint,爆炸性成長的內部網路內容可能會迫使您不得不尋求管理龐大資訊量的方法。
Varonis DatAdvantage for SharePoint 能夠自動針對SharePoint 的存取控制進行計算與分析、記錄所有存取活動,並識別資料可能的擁有者。IDU Classification Framework(
個資) 則可新增與內容相關的情報、識別包含PII 或其他敏感資料的檔案,並將這份情報與存取控制和活動進行關聯。
如果您正在考慮部署 SharePoint,並且希望尋找移轉共用檔案資料的方法,我們可以提供解答。Varonis Data Transport Engine 可使用 metadata,將共用檔案的未結構化資料自動移轉至 SharePoint 伺服器,讓組織能夠根據使用情況、檔案類型、敏感性以及其他 metadata,更高效率地選擇應該移轉的資料,並在移轉期間轉譯及最佳化權限。移轉完成後,Varonis Data Governance Suite 會接著提供必要的自動化運作,以確保 SharePoint 內容可以持續受到管理及保護。
管理及保護您的SHAREPOINT 內容
企業中的未結構化資料通常儲存在 SharePoint、共用檔案以及 Exchange 伺服器中。雖然這些平台的階級結構與存取控制清單不盡相同,但核心要素都是一樣的:資料、使用者與群組。Varonis 解決方案能夠找出上述各個平台的 metadata並加以整合,以對應員工、資料物件、內容以及使用情況之間的功能關係。接著透過情報彙整與圖形顯示功能,讓企業能夠有系統地刪除過度開放的權限、減少敏感資料外洩風險、整合資料與事業單位和資料擁有者、監控所有資料,並針對權限的不當使用提出警示。Varonis 產品在觀察資料使用情況後,還可識別不使用的資料-可安全封存或刪除的過時資料,由 Data Transport Engine 於適當時
機自動移動或刪除。
如要詳閱管理 SharePoint 和檔案系統使用者產生資料的成功案例,請點選以下
連結:
http://www.varonis.com/customers/customer-success/ philip-morrisinternational.html
使用 VARONIS 搭配SHAREPOINT 部署的專案計劃
此專案計劃係以下列假設為前提:
• 一部或多部 CIFS 檔案伺服器 (Windows 檔案伺服器或支援的 NAS 裝置),含有您希望移至 SharePoint 網站的大量資訊
• CIFS 檔案伺服器與目的地 SharePoint 網站皆已啟用,並可使用相同的邏輯網路進行存取 (兩者可能位在不同的子網路上)
• CIFS 伺服器的使用率相當頻繁
階段一:
部署 Varonis (1 天)
階段二:
蒐集 metadata (4 – 6 週)
階段三:
移轉前清理 (視資料量而定,通常為 1 個月)
階段四:
移轉 (視資料量而定,通常為 1 個月)
階段五:
監控 (持續)
階段一:
部署 Varonis DatAdvantage、IDU Clasification Framework 以及Data Transport Engine
第一步可先安裝 Varonis DatAdvantage (Windows、SharePoint、Exchange 和/ 或 Directory Services 版本) 以及 IDU Classification Framework (選擇性安裝)軟體,讓管理員開始著手進行存取控制清理和資料識別與排定優先順序的程序。
一般安裝通常僅需數小時至一個工作天即可完成。
在安裝過程中,應由 DatAdvantage 「監控」來源 CIFS 伺服器和 SharePoint 目的地網站。請選取任一應使用 IDU Classification Framework 識別的受規範內容或其他內容 (如要自動識別和 PCI 相關的資料,請在分類組態畫面中選取 PCI 規則)。
階段二:
蒐集 metadata
DatAdvantage 會立即開始搜集檔案系統和存取控制清單資訊、使用者與群組資訊 (儲存於使用中目錄等) 、內容資訊以及存取活動。幾個小時後,管理員便可使用 DatAdvantage 針對未結構化資料提供的互動式地圖,顯示權限並找出如全域存取 (如利用 everyone、授權使用者等身分) 和存取控制套用不一致的情形,這些都是移轉前必須先解決的重要問題。
DatAdvantage 也將開始分類資料並追蹤使用者活動,包括每一位使用者對每一個檔案所進行的開啟、建立、刪除、移動以及修改動作。幾天之後,便可看見分類成果-標示出敏感資料,指出潛在的資料外洩層面。
幾週之後,Varonis 便可掌握使用與未使用資料、以及常用與不常用之使用者的動向,並計算應降低哪些使用者的存取權限,然後提出建議。Varonis 也允許管理員模擬存取控制變更,以根據活動記錄測試變更-以避免在其修復期間造成服務中斷。
階段三:
移轉前清理
在此階段中,IT 管理員應根據事業單位與資料擁有者區分資料,修復或模擬修復存取控制方面的問題,並針對以下項目製作報告:
1. 公開的敏感資料
2. 可由全域存取群組存取的資料夾
3. 權限
4. 過時資料
建立這些報告是 Varonis DatAdvantage 的標準功能。
權限清理以及讓資料和業務間產生對應,是 SharePoint 移轉過程的重要步驟,因為這些動作能讓管理員在移轉期間和事業單位和資料擁有者進行協調,先清理未經授權的權限,再將此資訊移至 SharePoint,接著修復敏感資料外洩問題。
建議資料擁有者應針對有權存取資訊者執行初次權限檢閱,並於移轉後定期重複此一程序 (使用 DatAdvantage 內建的資料導向權限報告即可輕鬆完成)。
即使在蒐集資料幾週後,Varonis 仍然能夠將觀察到的存取活動與其他 metadata(例如:檔案修改與最後一次存取時間) 進行關聯,以識別未使用的資料集。IT 管理員可考慮將這些資料集封存歸檔或降低其移轉的優先順序。
階段四:
將資料移至 SharePoint
大多數中型企業皆擁有容量高達數 TB 的資料儲存裝置,在只有手動處理與原始公用程式時,資料的移轉和封存一直是耗時費力的夢魘。在移轉期間,組織通常能清楚地描述要求,但若要確定要求真正實現,則需要絞盡腦汁地規劃、測試、焦慮地等待、驗證,然後祈禱一切順利。
Varonis Data Transport Engine (DTE) 搭載商業智慧規則與排程機制,允許 IT 人員設定動態準則,以識別應該要移動的資料、資料的終止位置、資料移動時機、根據自動化建議與模擬變更決定權限之維持或變更,然後以端對端方式自動執行移轉。Varonis Data Transport Engine (DTE) 能夠將一切繁重的工作自動化:複製資料與 metadata,同時遵守維護視窗及其他排程限制;即便來源資料仍在使用中,仍可漸進式地複製以自動同步化來源與目的地;最後會轉譯跨平台和網域的權限,並報告過程中每一個步驟的進度。
階段五:
監控
有了 Varonis Metadata Framework,您可以確定所有資料皆受到管理及保護,而且唯有相關人員才擁有資料之存取權限,資料的任何使用操作皆受到監控-如在資料操作前後發現不當使用,則會加以標記。您將可得知有哪些使用者正在高興地使用新的伺服器或平台處理資料,以及有哪些使用者尚未閱讀備忘錄。
之後,Varonis 便會建議設定資料導向的訂閱,讓 SharePoint 網站擁有者能夠定期收到以下報告:
• 擁有網站以及負責管理群組之權限變更
• 存取統計數據
• 敏感資料活動
• 過時資料
此外,還可針對需要即刻展開調查的特定活動,向安全性負責人、SEIM 解決方案和 / 或資料擁有者傳送使用者行為警示與即時警示。
結論
在移轉至 SharePoint 前,使用 Varonis Data Governance Suite 識別並刪除管理問題,組織便可確保資料將會受到足夠的保護,而且在整個移轉過程中,具適當權限的相關負責人都將參與其中。部署 Varonis Data Transport Engine之後,組織便具備了商業智慧系統,可瞭解理想的移轉狀況,並為您處理所有瑣碎耗時的細節作業。可以向週末輪班以及熬夜加班說再見了-只要說明您想要的移轉情況、在提交前進行模擬,便可快速且安全地自動完成移轉。於移轉之後,組織可以維持在最低特殊權限模型,以確保所有的資料使用都受到監控,並可標記不當使用的情形。
