Системы управления доступом к неструктурированным данным (DAG)

Системы контроля и управления доступом к неструктурированным данным (Data Access Governance) — это класс средств защиты, позволяющих управлять доступом к разрозненным данным, а также внедрять процессы управления такими данными. Системы DAG особенно актуальны в настоящее время, когда организации ежедневно работают с большим количеством разрозненных данных, таких как каталоги на файловых серверах, внешних и внутренних облачных хранилищах, каталоги в Microsoft Exchange и другие. При этом количество таких данных постоянно увеличивается, а за их безопасностью необходимо непрерывно следить. Штатные средства разграничения доступа, которые встроены в операционные системы, не всегда способны справляться с большими массивами данных, а распределенность инфраструктуры не позволяет оперативно производить мониторинг прав доступа сотрудников.

Существуют и другие наименования решений, предоставляющих возможность контролировать и управлять данными: UDM, или Unstructured Data Management, а также DSG, или Data Security Governance. При этом они выполняют одинаковые задачи и относятся к классу систем DCAP, или Data-Centric Audit and Protection, которые являются более укрупненным понятием.

Системы DAG позволяют решать следующие задачи:

• Получать консолидированную информацию о правах пользователей в операционных системах Windows, Linux, Unix, а также в других корпоративных ресурсах. Другими словами, сотрудники ИТ-подразделений всегда смогут обратиться к ресурсу для того, чтобы выяснить, кому назначены права доступа к данным, проверить, как пользователи получили этот доступ, должны ли они его иметь, а также кем было утверждено предоставление таких прав.
• Автоматизировать процесс получения доступа к разрозненным или неструктурированным данным.
• Применять методологию группового доступа к общим файлам, папкам и сетевым ресурсам.
• Производить контроль и управление изменениями разрешений доступа к данным. Такая функция полезна в случае проведения аудита или процедуры оценки соответствия, так как системы DAG позволяют отследить изменения прав доступа в рамках замкнутого рабочего процесса, предоставляя обоснованные подтверждения и доказательства принятых в компании процессов.
• Производить проверки работоспособности и выполнения политик доступа к данным. Все политики, принятые в организации и касающиеся управления доступом к неструктурированным данным, будут отслеживаться автоматизированными средствами.
• Управлять рисками, возникающими в процессе предоставления доступа к данным.

Системы DAG в процессе эксплуатацию осуществляют сбор и анализ метаданных, на основе которых принимают решения. В процессе анализа метаданные проходят классификацию и делятся на категории. Для того чтобы система DAG получила информацию о пользователях, ей необходимо предоставить доступ к каталогам Active Directory, LDAP-каталогам, NIS и данным из SharePoint.

В качестве контролируемых объектов обычно выступают файловые и сетевые хранилища информации, порталы компаний, электронная почта. Системы DAG способны выявлять аномальную активность и реализовывать принципы предоставления минимальных прав доступа пользователей.