自從公司資料的遺失與內部竊盜佔據頭版以來,你的職能力便被用來調查這些科技與途徑,以避免讓你的機構成為下一個受害者。在你的調查中,你發現了許多可能的解決方案,例如在數據的周圍設立規則,以避免數據被遺留在網路上或鎖定個人檔案。更棒的是,你甚至可以鎖定物理設備或記憶卡,即便資料被竊,至少於其上的資料無法被存取。
那麼,這些方案當中,何者才能將資料遺失的風險降至最低呢?可能這些都是,不過在不同的層面,因為該問題是多方面的。(如:包含電子郵件、印出或以USB隨身碟在內等許多方式,可能讓敏感數據從公司被帶走。)困難之處在於,要推出一項包含敏感數據與每項物理設備的廣度技術,需要一段時間才能實現。
那麼,當下有什麼我們能做的嗎?
大部分的非結構化數據聚集在檔案伺服器與數據中心。而數據正是經由該處通往使用者裝置。由源頭來保護數據,才是能明顯降低數據遺失與濫用的根源首步。本白皮書陳述了Varonis保護數據的方式。Varonis集中想法於數據管理上面,是以一種全面的方式來看待、管控與審核所有關於非結構化數據存取的方式。關於數據保護與全面的資料管控的「10大要點」,將在以下的討論中細述。防止資料遺失 10 大要點 Varonis Systems, Inc.
檔案伺服器,是數據保護的第一道防衛
設想一下,你大多數的數據,也就是80%~90%的數據都存放在檔案伺服器中。現在,再想想你是怎麼管控這些伺服器的存取。大部分的機構都會發現自己身在過度寬鬆的存取控管中。在機構中,雇員的來去是相當頻繁的,而職稱、所負的責任與計畫小組的更動亦相當快速。上述的現象都造成了授權存取的量多過於撤銷,因此幾乎不可能以手動控管來跟上這些改變。結果便是導致在檔案伺服器中的大多數資料夾,超過70%在存取上被過度訂閱。藉者修復管理檔案服務器的零碎存取,你可以顯著減少數據濫用出現在你的環境中的可能性。
任何能減少數據遺失與濫用的程式,都必須以正確且合理的存取控管。確保隨時都只有正確的人才能讀取正確的數據,不但能夠減少濫用的機會,還可以讓隨後的防禦機制與保護技術的損失更具成本效益且能佈署的更踏實。如果包含機密檔案的資料夾,能被「任何人」或眾多的個體開啟,那麼,(1)任何人便可存取並濫用該數據。(2)
必須針對每個存取的人進行監視與審核─但這點其實滯礙難行。
務實的數據保護方式:數據管控
基本上,數據檔案存取控管是有缺陷的。檔案伺服器的授權機制並沒有提供管理者能力,去讓他們能清楚決定哪位使用者可以存取哪個檔案、頻率有多頻繁、或為了哪項商業目的。這代表了,位於檔案伺服器中的文件、表格、簡報與其他的非建構數據,都暴露在過度寬鬆與無效的存取風險中。
- 有效且可擴展的數據存取控管
- 增加並統一數據保護
- 減少成本開銷與數據控管的複雜度
- 對數據使用的全面而細緻的審核
10大要點
當考量到使用何項技術來實現你的數據管理目標的時候,針對數據保護的10大要點來衡量該方案是相當重要的。該十大重點為:可視度、控管、審核、安全性、性能、可擴展性、易於安裝、易於使用、易於整合以及低成本。此外,任何能控管非結構性數據存取的系統,都必須持續且準確運作。關於該10大要點的詳細敘述如下:
可視度
任何關於非結構數據管理與控管的解決方案,都必須將數據存取設定清晰地表示出來,因為他們在現有的網路中已經被定義了。該可視方式必須以集合且可被搜索的方式顯現:
l 包含它們的群組成員在內的所有使用者、活動目錄屬性與數據授權
l 在檔案伺服器中的資料夾與子資料夾,對該資料夾所有身在該領域中的使者與使用群組,便如同微軟的NTFS權限一般
l 以使用者名稱、群組名稱或資料夾/資料名稱,來過濾允許懷疑的視圖
l 在活動目錄中(即使用者成員中)與檔案伺服器中(即新數據、被刪除之數據、重新命名之數據等)自動更新視圖以反應更動或新數據
控管
任何關於管理非結構性數據的解決方案,都必須包含所有能辨識、測試、制定與反向檔案及資料夾授權的機制。該系統需具體的提供:
l 能直接「推動」或提交存取權限更動給檔案伺服器。該機制應包含一選項─能以系統管理者干預或經由清單自動更動的方式來明確推動更改
l 具有預測能力,也就是所謂的sandbox防衛機制。以模擬的方式來實現資料夾的授權更動,以決定什麼、或有任何可能將會影響到存取。舉例來說,在sandbox中,系統應該能允許撤銷一整個群組的權限。系統應該清楚的指出何位合法的使用者將會受到負面影響,並在即時推動變更時考慮減輕該狀況
審核
一項詳細的審核必須包含各方面的數據使用。資訊的展現必須輕易做到全面性與可搜尋性。具體的審核報告應如下所述:
l Active Directory目錄使用者給所有的檔案的指定動作(例如: 開啟、刪除、重新命名)
l 所有存取的存取類型(即開啟、刪除、重新命名)
l 資料夾的所有存取行動
l 敏感資料夾的所有存取細節
l 所有不活躍的使用者
l 所有不活躍的數據集
l 所有管理上的更動,包含管理者所做的安全配置改變
l 可以手動方式搜尋的審核報告,其保留時間不可短於12個月
l 上列的訊息清單應可以不同的方式製作成報告,並可被列印出
l 必須能自動排定欲遞交給用戶的報告傳送時間
l 審核訊息應支援複雜的布爾數值(Boolen)搜尋(如:「and」與「or」等)搜尋條件
安全性
一個適合非建構性數據的系統,需要提供自動化的方式來撤銷數據授權。具體的系統需求如下:
l 以存取指定數據集的使用者的名稱來辨識何人應該被撤銷
l 當活動目錄與檔案伺服器上出現更動時,重新估算撤銷者
l 在強制於伺服器上宣布建議撤銷之前,提供工具以進行測試
l 提供大於三個9(99.9%)之正確撤銷
性能
任何為非結構性數據管理所準備的解決方案,都不應該阻礙檔案伺服器、使用者存取體驗或業務流量的執行。具體而言,系統不應該要求Windows審核,以做到傳遞其核對數據管控之核心功能。
規模
因為大多數的機構,都會隨時間增加額外的檔案伺服器,使得非建構性數據快速增加。因此,系統必須提供成長的空間。數據管控的解決方案,必須能每12個月便要擴展容量,以容納倍增的非結構性數據。
易於安裝
一個實際的數據保護解決方案,不可打擾業務運轉或交易流量。該解決方案需要能迅速安裝(例:在五個工作天內),且不需特別的專業服務,且不需指派專們的IT人員。
易於使用
解決方案應該不需要特別的異地訓練才能執行。任何需要的訓練,應該都很簡單,且由販賣商便能現場教授。當然,用戶介面應該能做到操作者能憑直覺操作的程度。
易於整合
數據保護解決方案需要支援廣泛的檔案伺服器與儲存裝置,包括Windows Sever2003與來自帶領NAS廠商的網路附加儲存裝置(NAS)。
低成本
數據保護的解決方案,必須能證明在時間與資源節約上的量化優勢。請確定在下列區域中找到這些通常是需要高密度手動的自動化選項:
l 數據權限撤銷
l 數據審核報告生成
l 數據權限審查
l 辨識陳舊數據
l 辨識數據業務擁有者
l 數據遷移
結論
Varonis Systems是一間集中在數據管控方面的軟體公司。我們針對保護非結構性數據的的軟體解決方案,包含10大要點,可準確顯示出何人存取了數據、個體們如何使用他們的權限,且誰的存取應被撤銷。
此外,當目錄或檔案伺服器上出現更動時,Varonis會進行動態調整,好讓存取控管所分享的數據能永遠符合正當性且基於業務需求。隨著Varonis的裝載,便可供應數據遺失保護的基本程序:限制哪些數據可以連接筆電、印表機與USB隨身碟。依此,進一步保護數據的努力,便可通過過濾、加密等的方式被集中在那些有價值、敏感且被積極存取的項目上。
關於Varonis
今日,在全面、可操縱的數據控管解決方案上,Varonis代理商可說是最尖端的創新者與解決方案提供者。該公司的裝置橫跨全球金融服務、健康管理、能源、製造與科技產業的領導者。以專利申請中技術與高精確性的分析平台為基礎,Varonis軟體解決方案提供機構們遍及數據的完整的可視度與控管,並常保只有正確的使用者才能存取正確的數據。
沒有留言:
張貼留言