White Paper: 10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut)
INHALTE DIESES WHITE PAPERS
10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut)
Überblick ....................................................... 1 Die zehn Must Do’s für die IT-Abteilung .. 2 Data Owner identif izieren........................... 2
ÜBERBLICK Wenn es um den Schutz von Tabellen, Dokumenten, Bilder und anderen
Entfernen von globalen Gruppenzugriffsrechten (ACLs) wie "Jeder" ....................................................... 2 Durchführen von Datenzugriffsrechts(ACL) Überprüfungen................................. 2
Daten
auf
Dateiservern
geht,
geben
viele
Unternehmen freimütig zu, dass ihre derzeitigen Prozesse und Risikoprofile nicht gerade ideal sind. Doch leider sind es die ITMitarbeiter - und nicht die für die Daten verantwortlichen Personen - die viele der Entscheidungen bezüglich
Entziehen von ungenutzten und unbefugten Berechtigungen....................... 2
Berechtigungen,
Auditieren von Berechtigungsänderungen......................... 3
Mitarbeiter nicht über den entsprechenden geschäftlichen
Auditieren von Änderungen bei Gruppenzugehörigkeiten............................ 3
semi-strukturierter Daten verfügen, können sie nur nach bestem Wissen einschätzen, wie sie jeden Datensatz managen
Auditieren des Datenzugangs .................... 3
und schützen sollen. Bis aber Unternehmen beginnen, die
Daten priorisieren....................................... 3
Entscheidungsverantwortung
Sicherheitsgruppen und Daten miteinander abgleichen.............................. 3 Sperren, Löschen oder Archivieren von veralteten, nicht benutzten Daten........ 3
Die zehn IT Must-Do´s? Kein Problem mit
angemessener
Verwendung
und
angemessener Zugangsüberprüfung treffen. Weil die ITKontext rund um die wachsenden Volumen unstrukturierter und
hin
zu
den
Business
Data
Ownern zu verlagern, liegt es an der IT-Abteilung, Regeln dafür aufzustellen, wer auf was in gemeinsamen Dateisystemen Zugriff
hat,
und
diese
Strukturen
über
wachsende
Datenmengen und wechselnde Nutzerrollen hinweg aktuell zu halten.
Varonis .......................................................... 4 Über das Varonis® Metadata Framework™ ........................................................................ 4 Varonis ® Data Governance Suite.............. 5 Varonis DatAdvantage® für Windows......... 5 Varonis DatAdvantage® für UNIX/Linux ..... 5 Varonis DatAdvantage® für SharePoint...... 5 ®
Varonis DataPrivilege ................................ 6 Varonis IDU Classification Framework® ......................... 6 Erfahren Sie mehr........................................ 7
10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut) Varonis Sy stems, Inc.
identifizieren.............................................. 2 2. Entfernen von globalen Gruppenzugriffsrechten (ACLs) wie
1
White Paper: 10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut)
Überblick - Fortsetzung
Das "Least Privilege" - Prinzip ist eine weithin akzeptierte Richtlinie beim Managen von Zugangsbeschränkungen - nur diejenigen, für die eine unternehmerische Notwendigkeit besteht, auf Informationen zuzugreifen, sollten dies auch können. Jedoch ist es für die meisten Unternehmen fast unmöglich, dieses "Least Privilege"-Modell durchzusetzen, da viel zu schnell neue Daten generiert werden und es zahlreiche Personalwechsel gibt; sogar in kleinen Unternehmen übersteigen die wachsenden Datenmengen und die Geschwindigkeit o rganisationeller Änderungen die Möglichkeiten der IT-Abteilung, Access Control Lists (ACLs) und Gruppenzugehörigkeiten aktuell zu halten. Im Idealfall sollten Unternehmen danach streben, einige der weiter unten angeführten Managementaufgaben zu automatisie ren, so dass ihre Zugangsbeschränkungsprozesse den Bedürfnissen des Unternehmens angepasst und als Teil einer täglichen Datenmanagementroutine durchgeführt werden können. Nichtsdestotrotz kommen hier nun die zehn Must -Do´s zur Maximierung des Schutzes unstrukturierter Daten. DIE ZEHN MUST-DO´ S FÜR DIE IT-ABTEILUNG 1. Data Owner identifizieren Die IT-Abteilung sollte eine aktuelle Liste der Data Business Owner und der Ordner und SharePoint Sites in ihrer Verantwortung führen. Durch das "Bereithalten" dieser Liste kann die IT-Abteilung einige der vorher identifizierten Aufgaben vorantreiben, wie z.B. das Bestätigen des Entzugs und der Überprüfung von Zugriffsrechten und das Identifizieren von Daten zur Archivierung. Das Endergebnis ist ein merklicher Anstieg in der Genauigkeit von Datenzugriffsberechtigungen und somit auch der des Datenschutzes. 2. Entfernen von globalen Gruppenzugriffsrechten (ACLs) wie "Jeder" Es ist nicht unüblich, dass Ordner in gemeinsamen Laufwerken Zugriffsberechtigungen haben, die "Je dem" oder allen "Domain Usern" (also fast allen) Zugriff auf die darin enthaltenen Daten geben. Dadurch entsteht ein erhebliches Sicherheitsrisiko, da alle Daten, die in diesem Ordner abgelegt werden, diese "ungeschützten" Zugriffsrechte übernehmen
und denjenigen, die
Daten
in diesen
weithin
zugänglichen
Ordnern ablegen, die
laschen
Zugangsbeschränkungen womöglich nicht bewusst sind. Der globale Zugriff auf Ordner sollte entfernt und ersetzt werden durch Regelungen, die nur denjenigen Gruppen, die ihn brauchen, den Zugang erlauben. 3. Durchführen von Datenzugriffsrechts- (ACL) Überprüfungen Jede Datei und jeder Ordner auf einem Windows oder Unix Dateisystem hat eingerichtete Zugangsbeschränkungen, die bestimmen, welche User Zugang zu den Daten haben und wie dieser aussieht ( z.B. Lesen, Schreiben, Ausführen, Auflisten). Diese Beschränkungen müssen regelmäßig überprüft werden und die Einstellungen müssen dokumentiert werden, damit Ihre Richtigkeit von den Datenverantwortlichen und Auditoren der Sicherheitsrich tlinien werden kann. 4. Entziehen von ungenutzten und unbefugten Berechtigungen User mit Zugang zu Daten, welche sie nicht für ihre Arbeit benötigen, stellen ein Sicherheitsrisiko für Unternehmen dar. Die meisten Nutzer benötigen nur Zugang zu einem Bruchteil der Daten, die auf Dateiservern abgelegt sind. Es ist wichtig, ungenutzte Berechtigungen zu überprüfen und dann zu entfernen oder zu entziehen.
10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut) Varonis Sy stems, Inc.
2
White Paper: 10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut)
DIE ZEHN MUST-DO´ S FÜR DIE IT-ABTEILUNG - Fortsetzung
5. Auditieren von Berechtigungsänderungen Access Control Lists sind der grundlegende, bereits vorhandene Beschränkungsmechanismus, um Daten vor Verlust, Fälschung und Offenlegung zu schützen. Die IT-Abteilung muss dazu fähig sein, Änderungen bei Datenzugangsbeschränkungen - speziell bei Ordnern mit hochsensiblen Daten- zu registrieren und diese zu melden. Wenn der Zugang falsch erteilt wurde oder ohne einen geschäftlichen Grund erweitert wurde, müssen die IT -Abteilung und die Data Business Owner schnell benachrichtigt werden und die Möglichkeit haben, die Situation zu korrigieren. 6. Auditieren von Änderungen bei Gruppenzugehörigkeiten Directory Groups sind die primären Einheiten in Acces Control Lists (Acti ve Directory, LDAP, NIS, etc.); die Zugehörigkeit gestattet einem den Zugang zu unstrukturierten Date n (sowie zu vielen Anwendungen, VPN Gateways, etc.). User werden täglich zu existierenden und neu geschaffenen Gruppen hinzugefügt. Ohne einen Audit -Trail davon, wer zu diesen Gruppen hinzugefügt und entfernt wird, ist es unmöglich, Zugangsbeschränkungspro zesse duchzuführen. Im Idealfall sollte die Gruppenzugehörigkeit vom Verantwortlichen für die Daten oder Ressourcen, auf welche die Gruppe Zugriff verschafft, autorisiert und überprüft werden. 7. Auditieren von Datenzugriffen Ein effektives Management jeglicher Datenmenge ist unmöglich ohne ein Zugriffsverzeichnis. Solange jemand die Datennutzung nicht zuverlässig beobachten kann, kann er auch ihren unsachgemäßen Gebrauch, Missbrauch oder Nichtgebrauch nicht beobachten. Auch wenn die IT-Abteilung die User im Unternehmen fragen könnte, ob sie den jeweiligen Datensatz benutzt haben, wären sie nicht in der Lage, korrekt zu antworten - Das Ausmaß der typischen Zugriffsaktivitäten eines Users übersteigt das menschliche Erinnerungsvermögen bei weitem. Ohne eine Au fzeichnung der Datennutzung kann man den richtigen Unternehmensverantwortlichen für den jeweiligen Datensatz nicht herausfinden, und weder der nicht auffindbare Owner noch die IT-Abteilung kann sachkundige Entscheidungen zum Schutz, zur Archivierung oder zum Löschen dieser Daten treffen. 8. Daten klassifizieren Auch wenn alle Daten geschützt werden sollten, müssen manchen Daten um einiges dringender geschützt werden als andere. Mittels Data Ownern, Datenzugriffsmustern und Datenklassifizierungstechnologie s ollten Daten, die als sensibel, vertraulich oder intern angesehen werden, entsprechend gekennzeichnet, geschützt und regelmäßig überprüft werden. 9. Sicherheitsgruppen und Daten miteinander abgleichen Immer wenn jemand in eine Gruppe aufgenommen wird, bekommt er Zugang zu allen im Dateisystem befindlichen Ordnern, welche die Gruppe auf ihrer ACL (Zugangsbeschränkungsliste) listen. Leider haben Unternehmen völlig die Übersicht darüber verloren, welche Dateiordner welche Active Directory, LD AP, SharePoint od er NIS Gruppen enthalten. Diese Unsicherheit untergräbt jedes Projekt zur Überprüfung von Zugangsbeschränkungen, jede rollenbasierte Zugangsbeschränkungs (RBAC)-Initiative. Bei der rollenbasierten Zugangsbeschränkung hat jede Rolle eine Liste von zugehörigen Gruppen, in die der User eingeordnet wird, wenn er diese Rolle zugewiesen bekommt. Es ist unmöglich, die Rolle mit den richtigen Daten abzugleichen, wenn das Unternehmen nicht überprüfen kann, zu welchen Daten eine Gruppe Zugang gewährt. 10. Sperren, Löschen oder Archivieren von veralteten, nicht benutzten Daten Nicht alle Daten, die auf gemeinsamen Laufwerken und dem Netzwerk angeschlossenen Speichermedien liegen, sind im aktiven Gebrauch. Durch das Archivieren von veralteten oder ungenutzten Dateien in einem Offline-Speicher oder das 10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut) Varonis Sy stems, Inc.
3
White Paper: 10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut)
Löschen dieser Daten, kümmert sich die IT-Abteilung darum, den Rest der Daten einfacher managen zu können und macht gleichzeitig wertvolle Ressourcen frei. DIE 10 IT-MUST-DO´S? KEIN PROBLEM MIT VARONIS Varonis® DatAdvantage® automatisiert diese 10 IT Must-Do´s. DatAdvantage bringt die Transparenz und das automatisierte Audit, das Sie brauchen, um festzustellen, wer Zugriff auf Ihre unstrukturierten Daten hat, wer tatsächlich auf sie zugreift, wer Zugriff haben sollte und welche Daten wahrscheinlich sensibel sind. Kontinuierlich aktualisierte Informationen, die direkt aus Ihrer Umgebung generiert werden (ohne Einfluss auf die Performance Ihrer Server) und Ihnen die einzelnen User, die Gruppen, zu denen sie gehören, jeden Ordne r auf Ihren Datei- und SharePoint Servern und jeden Datenzugriff - öffnen, löschen, umbenennen etc. - für jeden User zeigen. Alle Zugriffsberechtigungs - und Gruppenänderungen werden registriert und können an den Data Owner zur ersten Genehmigung und/oder Überprüfung gesendet werden. Klicken Sie auf einen Ordner, um genau zu sehen, wer Zugriff hat auf ihn, was für eine Art von Zugangsberechtigung er oder sie hat - lesen, schreiben, ausführen etc. .und wo deren Zugangsberechtigungen herkamen. Varonis DatAdvan tage zeigt Ihnen das Datenzugriffsverhalten im Detail und macht Vorschläge, wessen Zugriffsberechtigungen gefahrlos widerrufen werden können. Ist der Owner erst einmal mittels der Zugriffsaktivitäten und Analysen in DatAdvantage identifiziert, kann der Owner automatisch in die Autorisierungsentscheidungen und -überprüfungen mit DataPrivilege miteinbezogen werden. ÜBER DAS VARONIS® METADATA FRAMEWORK™ Kontinuierlicher, anpassbarer Datenschutz und Datenmanagement verlangen nach einer Technologie, die dazu entwickelt wurde, mit einem stetig wachsenden Volumen und einer stetig wachsenden Komplexität fertig zu werden - ein Metadata Framework. Vier Arten von Metadaten sind entscheidend für die Data Governance:
User- und Gruppeninformationen - aus dem Active Directory, LDAP, NIS, SharePoint, etc.
Informationen zu Berechtigungen - wissen, wer auf welche Daten in welchen Containern Zugriff ha t
Zugriffsaktivitäten - wissen, welche User auf welche Daten tatsächlich zugreifen, wann sie es getan haben und was sie getan haben
Hinweise auf sensible Inhalte - wissen, welche Dateien sensible und wichtige Inhalte haben, und wo diese sich befinden
Das Varonis® Metadata Framework™ sammelt im HIntergrund diese kritischen Metadaten, generiert Metadaten, wo diese noch nicht existieren (z.B. mit Dateisystemfilter- und Inhaltsüberprüfungstechnologien), bereitet sie auf, normalisiert sie, analysiert sie, speichert sie und zeigt sie IT-Administratoren auf einer interaktiven, dynamischen Oberfläche an. Sind die Data Owner erst einmal identifiziert, sind sie berechtigt, sachkundige Autorisierungs - und Berechtigungsüberprüfungsentscheidungen mittels eines konfiguri erbaren internetbasierten Interface zu treffen, welche dann ausgeführt werden - ganz ohne Mehrkosten für die IT oder manuelle Backend -Prozesse. Die Varonis Data Governance Suite passt sich gegenwärtigen und zukünftigen Anforderungen an und nutzt dabei die Standard-Computerinfrastrukturen, auch wenn die Anzahl an funktionalen Verbindungen zwischen Metadateneinheiten exponentiell weiter wächst. Neue Betriebssysteme und Metadatenströme werden nahtlos ins Varonis Framework mit seinen produktiven Methoden, die es zum Datenmanagement und -schutz bietet, eingebettet.
10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut) Varonis Sy stems, Inc.
4
White Paper: 10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut)
VARONIS® DATA GOVERNANCE SUITE Varonis bietet ein komplettes Metadata Framework und eine integrierte Produktsuite zum Managen unstrukturierter Daten auf Dateiservern, NAS Devices und (semi-strukturierten) SharePoint Servern an. Varonis DatAdvantage, DataPrivilege, und das IDU Classification Framework geben Unternehmen die Möglichkeit, Geschäftsdaten effektiv zu managen mittels entscheidungsrelevanter Informationen, der Automatisierung komplexer IT-Aufgaben und eines hochentwickelten Workflow-Managements. Varonis DatAdvantage® für Windows Varonis DatAdvantage® für UNIX/Linux Varonis DatAdvantage® für SharePoint DatAdvantage bietet eine alleinige Oberfläche, über welche Administratoren Data Governance Ak ti vitäten durchführen können. Transparenz
Vollständige bi-direktionale Ansicht der Berechtigungsstrukturen von unstrukturierten und semi -strukturierten Dateisystemen:
Zeigt Daten, die für jeden User oder jede Gruppe zugänglich sind und
User und Gruppen mit Zugriffsberechtigungen auf jeden Ordner oder jede SharePoint Site
User und Gruppeninformationen von Directory Services werden direkt verbunden mit Datei - und OrdnerZugangsbeschränkungsdaten
Kompletter Audit-Trail
Nutzbarer Audit-Trail von jeder Dateibewegung auf beobachteten Servern
Detaillierte Informationen über jedes Dateiereignis in einer normalisierten Datenbank, die durchsuchbar und sortierbar ist
Das Sammeln von Daten, durchgeführt mit minimaler Auswirkung auf den Dateiserver und ohne die Notwendigkeit von nativem Windows - oder Unix-Auditing
Empfehlungen und Simulationen
Entscheidungsrelevante Informationen darüber, wo überflüssige Berechtigungen und Gruppenmitgliedschaften gefahrlos entfernt werden können, ohne den Geschäftsprozess zu beeinflussen
Simulierte Zugangsberechtigungsänderungen ohne Einfluss auf produktive Umgebungen
Identifkation des Data Owners
Die statistische Analyse von Useraktivitäten identifiziert effektiv die Data Owner
Automatisierte Reports beziehen Data Owner in Data Governance Prozesse mit ein
Vereinfacht das wechselseitige Einbeziehen des Data Owners via DataPrivilege
10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut) Varonis Sy stems, Inc.
5
White Paper: 10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut)
VARONIS® DATAPRIVILEGE® DataPrivilege automatisiert den Data Governance Prozess, indem es ein System für User und Data Owner bereitstellt, in welchem diese direkt in die Zugriffsüberprüfungs - und Autorisierungs -Workflows mit einbezogen werden. Eine konfigurierbare internetbasierte Oberfläche für Data Owner, MItarbeiter und IT-Administratoren automatisiert Datenzugriffsanfragen, Autorisierungen von Änderungen durch Owner und die IT-Abteilung, automatisierten Berechtigungsüberprüfungen und die Automatisierung der Umsetzung von geschäftlichen Datenrichtlinen ( z.B Ethical Walls). Eine kompletter Audit-Trail stellt sicher, dass Data Governance Richtlinien In Kraft si nd und beachtet werden. Automatisierte Berechtigungsüberprüfungen
Data Owner erhalten planmäßige Aufforderungen zur Zugriffsberechtigungsüberprüfung mit Vorschlägen für das Entfernen von Zugriffsberechtigungen (generiert von DatAdvantage)
Die Überprüfungen können entsprechend der Geschäftsrichtlinien geplant werden
Der Workflow bei Zugangsbeschränkungen
User können den Zugang zu Daten- und Gruppenressourcen direkt beantragen, wenn sie den Grund und die Dauer angeben
Data Owner und andere Interessensgruppen werden automatisch in den Autorisierungsprozess mit einbezogen
Berechtigungsänderungen werden automatisch durchgeführt, sobald die Genehmigungsbedingungen erfüllt sind
Der Entzug von Berechtigungen wird automatisch zum angegeben Verfallsdatum ausgeführt
Implementierung von Geschäftsrichtlinien
Mehrere Autorisierungsgrade sorgen für die automatisierte Implem entierung von Geschäfts - und IT-DataGovernance-Richtlinien
Die Ethical Wall Funktion unterstützt Datenzugangsrichtlinien
Komplettes Self-Service Portal
Data Owner können auf Wunsch Zugriffsberechtigungen auf ihre Daten und Gruppen sehen und managen, ohne dafür einen erweiterten Zugang zu benötigen
Data Owner können auf Wunsch Zugriffsaktivitäten und Statistiken zu ihren Daten sehen
Kompletter Audit-Trail und Reporting
Alle Workflow-Ereignisse werden zu Audit- und Reportingzwecken aufgezeichnet, was die Durchsetzung von Governance-Praktiken belegen kann
Autorisierungen, Berechtigungsüberprüfungen und andere Management Reports liefern den Nachweis, dass Prozesse eingehalten werden
VARONIS® IDU CLASSIFICATION FRAMEWORK® Das Varonis IDU Classification Framework ermöglicht Unternehmen Einsicht in den Inhalt von Daten und gibt Informationen dazu, wo sich sensible Daten innerhalb ihres Dateisystems befinden. Durc h die Integration von Dateiklassifizierungsinformationen - generiert entweder von der beinhalteten Klassifizierungsmaschine oder vom Klassifizierungsprodukt eines Drittanbieters - in den Rest der Varonis Metadaten im DatAdvantage Interface, liefert das IDU Framework die Entscheidungsgrundlage für die Data Governance, auch mittels eines priorisierten Reports über diejenigen Ordner mit den weitreichendsten Zugriffsrechten UND den sensibelsten Daten.
10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut) Varonis Sy stems, Inc.
6
White Paper: 10 Dinge, welche die IT-Abteilung tun sollte (aber nicht tut)
Varonis® IDU Classif ication Framework® - Fortsetzung
Informationen zur Entscheidungsfindung
Klassifizerungsinformationen geben Einsicht in geschäftsrelevante Inhalte innerhalb des Varonis IDUs
Unternehmen können sehen, wo ihre sensibelsten Daten zu offen liegen und erhalten entscheidungsrelevante Empfehlungen dazu, wo dieser Zugang beschränkt werden kann
Erweiterbare Architektur
Die beinhaltete Datenklassifizierungsmaschine stellt eine wirkungsvolle und flexible Methode dar, sensible Daten durch regelmäßige Begriffs - und Wörterbuchsuche zu klassifizieren
Das IDU Classification Framework kann auch Inhaltsklassifikationen von Klassifizierungs - und DLP-Produkten von Drittanbietern integrieren und damit die Fähigkeiten beider Systeme erweitern
intelligent, schnell
Echtes schrittweises Scannen wird erreicht mit DatAdvantage Echtzeitdaten zu allen Dateierstellungen und Dateiänderungen - nur neue Daten werden klassifiziert
Lefert schnelle Time-to-Value Ergebnisse, die einen klaren Lösungsweg oder "Nächste Schritte" vorgeben
Liefert ungemein viel schneller Ergebnisse als herkömmliche Ansätze
Nutzt die existierende Infrastruktur
Kann entweder die eingebaute Klassifizierungsmaschine nutzen oder die bereits installierten
Nutzt die einzigartige, durch das Varonis Intelligent Data Use (IDU) Framework geschaffene Metadatenebene
Arbeitet auf der Basis des Varonis IDU Frameworks, ganz ohne zusätzliche Server oder Speicherplatz zu brauchen
Die Ergebnisse fließen bei Varonis DatAdvantage und Varonis DataPrivilege (in Zukunft) mit ein
Einfache, wirkungsvolle Klassifizierungsregeln
Die Regeln berücksichtigen eine Kombination aus Inhalts - UND Metadatenbedingungen (z.B. Kombinationen von Erzeuger, zugreifendem Nutzer und Zugriffsberechtigung)
Priorisierung basiert auf Varonis Metadaten (z.B. vorrangiges Scannen der ungeschütztesten Ordner) Dateien werden durchsucht nach Schlüsselwörtern, Begriffen und/oder regelmäßigen Ausdrucksmustern
Dynamischer/selbstaktualisierender Wörterbuchabgleich möglich
ERFAHREN SIE MEHR
[email protected]
WELTWEITE ZENTRALE st
1250 Broadway , 31 Floor New Y ork, NY 10001 Telef on: +1-877-292-8767 sales@v aronis.com
EUROPA, NAHER OSTEN UND AFRIKA 55 Old Broad Street London, United Kingdom EC2M 1RX Telef on: 020 3402 6044 sales-europe@v aronis.com
