Tirer le meilleur parti de Data Transport Engine

Tirer le meilleur parti de Data Transport Engine

Si vous n’avez pas besoin des données, débarrassez-vous-en. Si elles sont sensibles, vérifiez qu’elles sont à l’emplacement adéquat et accessibles uniquement aux personnes qui en ont besoin. Les anciens fichiers coûtent de l’argent et présentent un risque. C’est la raison pour laquelle nous appliquons des politiques de conservation et de mise au rebut des données qui ne sont plus utiles.

Le Data Transport Engine (DTE) est un composant de la plate-forme de sécurité des données de Varonis qui vous permet d’automatiser de telles politiques au niveau du fichier ou du dossier afin que vous puissiez déplacer automatiquement les données à l’endroit adéquat.

 

Comment ça marche ?

DatAdvantage collecte des informations d’annuaire (utilisateurs et groupes de sécurité d’Active Directory et des comptes locaux), droits de système de fichiers (listes de contrôle d’accès, LCA), informations de classification sur les fichiers contenant des données à caractère personnel ou autres données sensibles, et un enregistrement des activités d’accès de tous les utilisateurs et comptes de service. Grâce à toutes ces informations, Varonis sait où sont vos données, qui y a accès, quels fichiers sont potentiellement sensibles et quels sont les éléments en cours d’utilisation (ou non, et par qui).

Avec le DTE, vous pouvez créer des règles de transport de fichier et de dossier en fonction de ces métadonnées afin que DTE déplace les fichiers vers un emplacement conforme à la règle. À titre d’exemple, pour satisfaire votre politique de conservation, vous pouvez déplacer automatiquement les fichiers qui n’ont pas été consultés (par un être humain !) depuis plus de sept ans. Vous pouvez aussi créer des règles en fonction du contenu afin que si une personne place un élément sensible à un endroit où il n’est pas censé se trouver, comme un site SharePoint ouvert, une règle de DTE le met automatiquement dans un emplacement sûr.

Quelques cas d’utilisation courants

Nettoyage des données obsolètes

Vous pouvez facilement configurer DTE pour qu’il supprime les données anciennes et, grâce aux fichiers stub qui sont encore présents, les utilisateurs ont toujours la possibilité d’accéder aux données archivées au besoin.

Nous avons vu une variante intéressante de cette utilisation chez un de nos clients. Celui-ci devait archiver une grande quantité de données en tenant compte d’une exception importante liée à des besoins de conformité : tout enregistrement financier remplissant certains critères ne devait pouvoir être déplacé ou modifié d’aucune façon. Il a utilisé DTE pour identifier et déplacer les enregistrements financiers spéciaux dans des dossiers séparés en appliquant un principe de dénomination unique. Il a ensuite créé sa politique de conservation automatisée en indiquant une clause permettant d’exclure ces dossiers de la portée de la règle.

Vous pouvez lancer manuellement des tâches de nettoyage des tâches obsolètes avec DTE ou configurer des règles de conservation automatisées qui analysent en permanence les données suffisamment anciennes pour être archivées.

 

Migration des données sensibles

Votre politique de sécurité peut déterminer l’emplacement où les données sensibles ou réglementées doivent être conservées (ou, au contraire, où elles ne doivent pas l’être) et quelles personnes doivent pouvoir y accéder (ou non). Les données des clients contenant des informations à caractère personnel ne peuvent être stockées, par exemple, dans des dossiers accessibles à tous les employés de l’entreprise, ou sur un disque personnel. Les règles de DTE pouvant utiliser les analyses de données sensibles de notre Data Classification Framework (DCF), vous pouvez déplacer les dossiers sensibles vers les emplacements où ils sont censés se trouver.

Un client est allé plus loin en améliorant la règle DTE de manière à modifier les droits des fichiers en cours de transfert. Les règles DTE peuvent en effet être configurées de façon à changer les droits pour que les données de destination soient davantage protégées que les données sources. Dans ce cas, la règle DTE a été définie de sorte qu’une fois les fichiers dans le dossier cible, les droits du système de fichiers soient remplacés par les droits hérités du dossier parent. Ceci simplifie leur sécurité et aide à s’assurer que les bonnes personnes ont accès aux données une fois qu’elles ont été déplacées.

Et si quelqu’un dépose un fichier sensible quelque part par accident ? Comme pour les données obsolètes, vous pouvez définir des règles DTE applicables aux données sensibles de façon à les mettre automatiquement en quarantaine à un endroit sûr.

 

Tout migrer, même d’un domaine à l’autre

Les migrations et consolidations peuvent s’avérer des projets colossaux, comme c’était le cas pour cet opérateur qui figure parmi nos clients, lequel est passé de plusieurs centaines de serveurs de fichiers Windows gérés individuellement à seulement quelques NAS. Au lieu d’avoir à migrer manuellement chacun des serveurs vers un stockage NAS puis à recréer tous les droits des systèmes de fichiers dans le domaine cible, le client a confié la tâche à DTE qui a géré automatiquement toute la procédure.

Dans ce cas, les règles de déplacement ont été configurées de sorte à redéfinir en même temps les droits des données sur les NAS cibles. Ce point est important si la migration s’effectue entre des domaines Active Directory, car si vous ne redéfinissez pas les droits des données, personne ne pourra plus y accéder en cas de disparition de l’ancien domaine. DTE recréera les groupes dans le nouveau domaine afin que vous puissiez aussi automatiser cet aspect de la procédure.

Vous voulez configurer des règles DTE dans votre système ? Découvrez comment procéder dans ce guide pratique ou cette vidéo. Si vous ne possédez pas DTE, contactez-nous afin de recevoir une licence d’essai qui vous permettra de voir comment ça marche.