CONSEILS DE PROS : MEILLEURES PRATIQUES DE GESTION DES GRANDES QUANTITES DE DONNEES PARTAGEES

Dans notre série « Conseils de pros », nous présenterons des entretiens menés avec des professionnels de l’informatique. Ce sont des administrateurs et des gestionnaires responsables de la sécurité, de l’accès et du contrôle des données d’origine humaine, la composante numérique en croissance rapide dans les entreprises aujourd’hui. Dans cette première publication, nous avons récemment parlé avec l’un de nos clients à propos de la gestion des grands partages de fichiers et des permissions.

Q : Combien d’utilisateurs avez-vous ?

R : Environ 40 000.

Quelle est la structure de votre domaine ?

Nous avons 3 forêts de 5 domaines chacune, avec des approbations entre domaines de forêts différentes.

 Quel volume de données partagées CIFS gérez-vous ?

Nous avons environ 1,5 pétaoctet de données partagées sur CIFS.

Cela représente beaucoup de données. Combien avez-vous de dossiers comportant des autorisations uniques dans votre environnement ?

Nous comptons maintenant 5 500 dossiers et 2 000 propriétaires de données accordant environ 1 600 autorisations et effectuant approximativement 1 000 révocations chaque mois. Chaque dossier avec autorisations uniques contenant des données relatives à l’activité est géré par un propriétaire au moyen de DataPrivilege.

Où et comment appliquez-vous les permissions de partage (par opposition aux autorisations NTFS) ?

Les permissions de partage sont définies de manière à ce que les administrateurs aient un accès complet et les utilisateurs authentifiés un accès en modification. Le véritable contrôle est effectué au moyen des autorisations NTFS.

Avez-vous des partages imbriqués (exception faite des partages administratifs) ?

Oui. Parfois, il peut y avoir des partages imbriqués liés à l’activité et cela peut entraîner des confusions, car il existe plusieurs chemins d’accès logiques pour le même chemin physique.

Pourquoi existent-ils ?

 Parfois, les utilisateurs finaux souhaitent disposer d’un chemin logique plus court. De plus, en étant plus direct, vous masquez des informations non pertinentes dont les utilisateurs finaux n’ont pas besoin.

Quel est le processus de création d’un nouveau partage ?

Les partages sont créés à la demande de l’utilisateur final, et font l’objet d’un processus d’approbation.

Avez-vous des propriétaires de partages ?

 Non, nous effectuons uniquement le suivi de la propriété des dossiers eux-mêmes.

Comment gérez-vous la collaboration interservices ?

Nous créons des dossiers et des partages en cas de besoin. Chaque projet dispose de son site ou de ses dossiers dédiés. Lorsque les utilisateurs partagent simplement quelques fichiers, ils emploient parfois le courrier électronique. Dans le cas d’un projet, ils demandent un site SharePoint ou un dossier partagé.

Parlons des autorisations NTFS. À quel niveau bloquez-vous l’héritage ?

Nous bloquons l’héritage sur tous les dossiers comportant des autorisations uniques. Chaque dossier de base ou sous-dossier administré voit son héritage bloqué.

Pourquoi ?

Comme nous déléguons le contrôle d’accès au personnel d’exploitation par l’intermédiaire de groupes administrés, il serait trop difficile pour les utilisateurs de distinguer les groupes où les permissions sont héritées et ceux où elles sont directement appliquées. Tout dossier possédant des autorisations uniques doit être protégé dans notre environnement. Les dossiers ne présentent jamais de mélange d’autorisations directes et héritées.

Comment avez-vous atteint ce stade ?

Nous avons identifié de manière programmée chaque dossier unique et tous les groupes et permissions qui leur étaient appliqués. Ensuite, nous avons désactivé l’héritage et appliqué directement les permissions à tous les groupes qui se trouvaient sur leurs listes de contrôle d’accès.

Puis, nous avons ajouté de nouveaux groupes (groupes DataPrivilege) avec les mêmes masques que les groupes d’origine, et ajouté tous les utilisateurs des anciens groupes correspondants. Ensuite, nous avons supprimé les anciens groupes de la liste de contrôle d’accès. Il ne restait plus que les groupes DP pour chaque dossier administré.

Qui décide qu’un sous-dossier doit être protégé ou recevoir des autorisations uniques ?

Idéalement, le propriétaire du dossier en décide.

Quels masques de permissions utilisez-vous ?

En général, nous utilisons deux masques pour les groupes non-administrateurs : lecture + exécution et lecture + écriture.

Utilisez-vous AGLP/UGLY ?

Pour les dossiers partagés, par défaut, nous utilisons ALP, mais si le propriétaire le demande et accepte les risques potentiels, nous utilisons également AGLP.

Utilisez-vous des groupes de domaines locaux/globaux/universels ?

Nous utilisons des groupes globaux ou universels pour le G d’AGLP.

Comment traitez-vous les droits de traversée ?

Nous laissons DataPrivilege le faire à notre place. Les droits de traversée sont automatiquement définis jusqu’au partage administratif.

Rencontrez-vous des problèmes de taille de jeton Kerberos ? Si tel est le cas, que faites-vous ?

Cela s’est déjà produit. Nous avons augmenté la taille admissible des jetons. Nous avons également supprimé les utilisateurs qui se trouvaient à la fois dans les groupes lecture et modification pour le même dossier. Maintenant, quand cela se produit, nous collaborons avec les utilisateurs pour supprimer les appartenances redondantes. Il est intéressant de constater que la grande majorité des fautifs se trouvent dans les services technologiques.

Par exemple, certains groupes du centre de services ont reçu des permissions pour de nombreux dossiers et ces personnes ont eu des problèmes de taille de jetons.

Comment traitez-vous les lecteurs mappés ?

C’est l’un de nos plus grands défis en ce qui concerne les utilisateurs finaux, et notre fléau. La quantité de travail à fournir pour trouver la partition de sauvegarde de quelqu’un est ridicule.

Ils sont gérés par des scripts de connexion. Le centre de services a une façon de déterminer quel est le script de connexion reçu par un utilisateur et en déduit ses mappages.

Utilisez-vous DFS ?

Oui, pour la réplication et pour les espaces de noms logiques.

Avez-vous déjà ajouté des utilisateurs aux listes de contrôle d’accès ?

Non.

Quels seraient vos principaux conseils pour la conception d’une infrastructure de partage de fichiers ?

1. Vous devez avoir des propriétaires et des processus de gestion du cycle de vie pour tout. Si les propriétaires peuvent gérer ce qu’il faut par eux-mêmes, l’infrastructure évoluera dans le bon sens.

2. Quand tout est visible et géré par les propriétaires, les choses sont beaucoup plus rationnelles et les utilisateurs finaux sont mieux informés des décisions de la hiérarchie.

3. La stratégie de communication avec les utilisateurs finaux est essentielle. Une des plus grandes leçons que nous avons apprises est la suivante : lorsque vous déployez le libre-service, il est préférable de le présenter comme une possibilité plutôt que de l’imposer. Si vous le présentez comme un moyen d’obtenir l’accès plus rapidement, les utilisateurs l’adopteront plus facilement et en seront plus satisfaits.

4. Si vous utilisez AGLP, faites-le uniquement lorsque les groupes globaux existent déjà pour les besoins de l’activité. Ne les créez pas juste pour suivre le modèle AGLP. Si vous commencez à appliquer AGLP partout, vous vous retrouverez avec des groupes globaux en tant que groupes de ressources, et vous finirez par avoir un groupe local de domaine pour chaque domaine

The post CONSEILS DE PROS : MEILLEURES PRATIQUES DE GESTION DES GRANDES QUANTITES DE DONNEES PARTAGEES appeared first on Varonis Français.