Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Optimale Ausnutzung der Data Transport Engine

Geschrieben von Brian Vecci | Oct 2, 2017 9:10:00 AM

Wenn Sie sie nicht brauchen, werden Sie sie los. Wenn sie sensibel sind, sorgen Sie dafür, dass sie am richtigen Ort liegen und nur für die Personen zugänglich sind, die sie benötigen. Alte Dateien sind teuer und riskant, weshalb wir mit Aufbewahrungs- und Entsorgungsrichtlinien regeln, was mit Daten zu geschehen hat, die wir nicht mehr benötigen.

Die Data Transport Engine (DTE) ist eine Komponente der Datensicherheitsplattform von Varonis, mit der sie derartige Richtlinien auf Datei- oder Ordnerebene automatisieren, damit Sie Daten automatisch dorthin bewegen können, wo sie liegen sollen.

 

 

Wie funktioniert das?

DatAdvantage sammelt Directory-Informationen (Benutzer und Sicherheitsgruppen von Active Directory und lokalen Konten), Dateisystem-Berechtigungen (Zugriffskontrolllisten oder ACLs), Klassifizierungsinformationen darüber, welche Dateien personenbezogene oder andere sensiblen Daten enthalten, und ein Protokoll über Aktivitäten aller Benutzer und Servicekonten. Mit all diesen Informationen weiß Varonis, wo Ihre Daten sind, wer auf sie zugreifen kann, welche Dateien möglicherweise sensibel sind und genau was genutzt wird (oder nicht, und von wem).

Mit der DTE können Sie Transportregeln für Dateien und Ordner auf der Basis dieser Metadaten erstellen, so dass die DTE passend zu dieser Regel Dateien von einem Ort an den anderen verschiebt. Zum Beispiel können Sie Dateien, auf die mehr als sieben Jahre keine Person mehr zugegriffen hat, in Übereinstimmung mit Ihrer Aufbewahrungsrichtlinie, verschieben. Sie können außerdem inhaltsorientierte Regeln erstellen, so dass an einem nicht angemessenen Ort wie z. B. einer offenen SharePoint-Site abgelegte sensible Daten automatisch durch eine DTE-Regel an einen sicheren Ort verschoben werden.

Was sind typische Anwendungsfälle?

Bereinigen von veralteten Daten

Das Einstellen der DTE auf das Bereinigen veralteter Daten ist einfach, und durch das Anlegen von Verknüpfungen können Benutzer im Bedarfsfall weiterhin auf archivierte Daten zugreifen.

Ein Kunde entwickelte eine interessante Variante. Er musste eine große Datenmenge archivieren – mit einer wichtigen Ausnahme: alle Finanzaufzeichnungen, die bestimmte Kriterien erfüllten, durften aufgrund eines Compliance-Problems auf keinen Fall verändert oder verschoben werden. Der Kunde nutzte die DTE, um diese besonderen Finanzaufzeichnungen zu identifizieren und in separaten Ordnern mit einem eindeutigen Bezeichnungsschema abzulegen. Danach erstellte er eine Klausel in seiner automatischen Aufbewahrungsrichtlinie, derzufolge diese Ordner vom Geltungsbereich der Aufbewahrungsregeln ausgenommen wurden.

Sie können die Bereinigung veralteter Daten manuell mit der DTE durchführen oder automatische Aufbewahrungsregeln konfigurieren, die ununterbrochen nach Daten mit einem Alter suchen, das eine Archivierung bedingt.

Migration sensibler Daten

Ihre Sicherheitsrichtlinie kann vorschreiben, wo sensible oder aufsichtsrechtlich relevante Daten abgelegt werden müssen (oder wo sie nicht abgelegt werden dürfen) und wer auf sie zugreifen darf (oder wer nicht). Kundendaten mit personenbezogenen Daten dürfen nicht in Ordnern liegen, auf die zum Beispiel jeder im Unternehmen zugreifen kann, oder etwa auf persönlichen Festplatten. Weil die DTE-Regeln auf die Erkenntnisse über sensible Daten auf unserem Data Classification Framework (DCF) zugreifen können, können Sie sensible Dateien dorthin verschieben, wo sie sein sollen.

Ein Kunde ging noch einen Schritt weiter und erweiterte die DTE-Regel derart, dass die Berechtigungen für die übertragenen Dateien geändert wurden. DTE-Regeln können so eingerichtet werden, dass Berechtigungen geändert werden, wodurch die Zieldaten sicherer sind als die Ursprungsdaten. In diesem Fall wurde die DTE-Regel so festgelegt, dass bei den Dateien, sobald sie im Zielordner lagen, die Systemberechtigungen mit den Einstellungen des übergordneten Ordners überschrieben wurden. Dadurch wurde die Sicherheit beim Kunden vereinfacht, und nur die richtigen Personen konnten nach dem Verschieben der Daten auf diese zugreifen.

Aber was geschieht, wenn jemand sensible Daten aus Versehen an einem falschen Ort ablegt? Genau wie bei veralteten Daten können Sie für sensible Daten gültige DTE-Regeln einrichten, die sensible Daten automatisch an einem sicheren Ort verschieben.

Komplettmigration, auch über Domänengrenzen hinweg

Migrationen und Konsolidierungen können gewaltige Projekte sein, wie im Fall eines unserer großen Telekom-Kunden, der seine Infrastruktur von Hunderten individuell verwalteten Windows-Remote-Servern auf eine kleine Anzahl sehr großer NAS-Geräte umstellte. Anstatt jeden Server manuell in das NAS zu migrieren und dann sämtliche Dateisystem-Berechtigungen in der Ziel-Domäne erneut zu erstellen, hat die DTE den gesamten Prozess automatisch gesteuert.

In diesem Fall wurden die Verschiebungsregeln so eingerichtet, dass eine Neuzuteilung von Daten-Berechtigungen auch auf den Ziel-NAS-Geräten erfolgte. Das ist bei Migrationen zwischen Active-Directory-Domänen wichtig, weil nach dem Wegfall der alten Domäne niemand mehr auf irgendetwas zugreifen kann, wenn die Daten-Berechtigungen nicht neu zugeteilt wurden. Die DTE bildet in der neuen Domäne die Gruppen nach, so dass Sie diesen Teil des Prozesses auch automatisieren können.

Sie möchten die DTE-Regeln selbst einrichten? Informationen finden Sie in dieser Anleitung und im Video. Wenn Sie nicht die DTE bislang nicht nutzen, fragen Sie uns nach einer Testlizenz, um ihre Möglichkeiten kennenzulernen.