GUIDE DE PLANIFICATION POUR LES MIGRATIONS DE DONNEES

Contenu du Livre Blanc Introduction....................................................................1 Les Migrations De Donnees Aujourd’hui : Une Migration Simple Est-Elle Vraiment Simple?.........2 Attraper la Fenêtre.....................................................2 Si Cet Exemple Est Une Migration Simple, A Quoi Faut-Il S’attendre Pour Une Migration Complexe ?.......3 Risques De La Migration...............................................4 Disponibilité ..............................................................4

GUIDE DE PLANIFICATION POUR LES MIGRATIONS DE DONNEES Introduction Quatre-vingt pour cent des données stockées par les entreprises ne sont pas structurées, par quoi il faut entendre qu’elles ne sont pas stockées dans des entrepôts structurés tels que des bases de données. Les données non structurées sont composées de fichiers de traitement de texte, de feuilles de calcul, de présentations, de fichiers audio et vidéo et d’autres fichiers généralement stockés sur des serveurs de fichiers, des serveurs NAS, des intranets (par exemple SharePoint) et dans des messages email. Ces plateformes sont par conséquent devenues les principaux entrepôts d’informations essentielles telles que business

Confidentialité............................................................4

plans, informations financières, projets, plans directeurs et données de

Intégrité......................................................................4

ressources humaines.

Adoption.....................................................................5

Ni les données ni l'infrastructure de l'entreprise ne sont statiques. Les

Une Nouvelle Approche.................................................5

données vieillissent et doivent être archivées ou déplacées sur de l’espace de stockage bon marché. Les serveurs et les logiciels vieillissent

À Propos Du Moteur De Transport

et doivent également être remplacés ou mis à niveau. Les entreprises

De Donnees Varonis......................................................6

elles-mêmes changent : les équipes se déplacent, les sociétés fusionnent

À Propos De Varonis.....................................................7

ou se fractionnent et de nouvelles sociétés sont acquises. En plus de ces événements ponctuels, il est en permanence nécessaire de déplacer (ou supprimer) les données, par exemple lorsqu’une entreprise décide que les employés ne doivent pas stocker de fichiers musicaux sur les équipements NAS, ou lorsque la réglementation, les règles internes ou la législation définissent comment et où les données doivent être stockées. Dans toutes ces situations, et dans bien d’autres, les données doivent être déplacées rapidement et de façon sûre, et cette responsabilité incombe naturellement au département informatique. Malheureusement, le déplacement des données n’a pas été jusqu’ici chose facile. De fait, déplacer des données de telle façon que les utilisateurs ne subissent pas ou peu d’indisponibilité, que les données aillent où elles doivent aller et que les bonnes données soient accessibles aux bonnes personnes (et seulement à celles-ci) une fois déplacées, peut se révéler une vraie épreuve pour les nerfs. Cette présentation technique examine certains des défis auxquels un département informatique est confronté lorsqu’il doit procéder à une migration et à un archivage de données. Elle fournit un guide de planification de migration répondant à ces défis, et présente une nouvelle approche du problème utilisant les métadonnées et l’automatisation.

GUIDE DE PLANIFICATION POUR LES MIGRATIONS DE DONNEES

Les Migrations De Donnees Aujourd’hui : Une Migration Simple Est-Elle Vraiment Simple? Prenons un exemple très simple de migration de données : vous souhaitez remplacer votre vieux serveur Windows ou serveur NAS par un nouveau. Le nouveau serveur appartiendra au même domaine, et pour simplifier les choses, on supposera que la version du système d’exploitation et du système de fichiers sont exactement les mêmes. Facile, n’est-ce pas ? En réalité, même cet exemple simple n’est pas aussi évident qu’il y paraît. Attraper la Fenêtre D’abord, la copie de données d’un serveur à l’autre prend du temps. Le temps nécessaire dépend de la vitesse du réseau (bande passante et latence), de la vitesse des serveurs (E/S disque, etc.) et du protocole utilisé (par exemple, FTP est plus rapide que CIFS). À moins que vous ayez la chance (et la malchance) d’être le seul à travailler alors que le reste de votre entreprise profite de vacances prolongées, vous allez devoir copier les données pendant un laps temps durant lequel personne ne fait de changements (situation peu probable) ou vous allez devoir copier les fichiers de façon incrémentielle. Sinon, vos données sources seront différentes de vos données cibles. La plupart des fichiers seront intacts, mais les fichiers qui ont été mis à jour ou modifiés pendant la copie peuvent ne pas parvenir au nouveau serveur dans l’état désiré. Ensuite, les fichiers et les dossiers eux-mêmes ne sont pas les seuls éléments stockés sur un serveur de fichiers : il y a également beaucoup de métadonnées. En plus des horodatages et des informations de créateur/propriétaire, il faut prendre en compte les importantes métadonnées de permissions qui figurent dans les listes de contrôle d’accès. Malheureusement, les listes de contrôle d’accès ne sont pas copiées lorsque vous faites une copie réseau normale avec CIFS ou FTP. C’est pourquoi la plupart des responsables informatiques ont soit cherché des utilitaires copiant les permissions, soit écrit leurs propres scripts dans ce but, en espérant que ceux-ci fonctionnent correctement et que les listes de contrôle d’accès ne soient pas corrompues au cours du processus. La recréation des permissions à partir de zéro est une possibilité, mais elle peut prendre un peu plus de temps qu’on ne le penserait. Un téraoctet ordinaire contient environ 50 000 dossiers. De ces dossiers, environ 5 %, soit 2 500, ont une liste de contrôle d’accès unique. Une liste de contrôle d’accès (ACL) ordinaire contient 3 à 5 groupes de sécurité, et un groupe ordinaire peut contenir entre 5 et 50 utilisateurs, ainsi que d’autres groupes qui contiennent encore d'autres utilisateurs et groupes. Supposons que chaque liste de contrôle d’accès nécessite 5 minutes de travail pour recréer tous les groupes : il faudra compter plus de 200 heures de travail par téraoctet. Un autre élément à prendre en compte est qu’il est en général souhaitable de prévenir les utilisateurs que leurs données sont déplacées pour qu’ils soient préparés à une possible perturbation. Or souvent, le département informatique découvre qu’il est difficile de savoir à qui sont les données qu’il déplace. En effet, il n’existe pas de propriétaire des données enregistré ni de piste d’audit d’accès pour déterminer qui utilise réellement les données (si quelqu’un les utilise). Sans une piste d’audit complète et facilement consultable de l’activité d’accès, il peut être très difficile pour les entreprises de déterminer qui accède aux données qu’elles déplacent, qui en est responsable, et qui il convient d’aviser lorsque les données doivent être déplacées. Sans une piste d’audit, il est également difficile de déterminer les données qui ne sont pas utilisées du tout. Identifier les données obsolètes peut aider à accélérer notablement les migrations. Après tout, les données auxquelles personne n’a accédé pendant longtemps peuvent sans doute être reléguées sur des bandes magnétiques voire détruites de façon responsable (la destruction comporte des avantages, comme vous le confirmera votre département juridique).

GUIDE DE PLANIFICATION POUR LES MIGRATIONS DE DONNEES

Enfin, pour assurer une migration en douceur, les entreprises doivent s’assurer que les mappages de lecteurs, les liens DFS et/ou les enregistrements DNS sont mis à jour pour que les clients puissent se connecter à la nouvelle plateforme une fois le déplacement terminé. Si des clients se connectent par erreur à l’ancien serveur, vous devrez trouver et copier toutes les données qu’ils auraient créées ou modifiées et espérer que personne d’autre n’a modifié les mêmes fichiers entretemps sur le nouveau serveur. N’oubliez pas non plus que si de nouvelles appartenances à des groupes ont été créées pendant le déplacement, les utilisateurs devront se ré-identifier avec Active Directory (pour que leur jeton d’accès soit mis à jour). De nombreuses organisations programmeront pour cette raison une réinitialisation de la machine en même temps que la migration. Si Cet Exemple Est Une Migration Simple, A Quoi Faut-Il S’attendre Pour Une Migration Complexe ? Les migrations deviennent un peu plus compliquées lorsque le déplacement se fait d’un domaine à l’autre, et beaucoup plus compliquées lorsqu’il se fait d’une plateforme à l’autre. La migration entre plateformes est plus compliquée non seulement parce que le protocole pour accéder à la plateforme peut être différent (CIFS, NFS, HTTP/S), mais aussi parce que les listes de contrôle d’accès sont structurées différemment, et que les groupes mentionnés par ces listes peuvent être différents (groupes SharePoint, groupes Active Directory, groupes LDAP). Lors du déplacement de données d’un serveur dans le domaine Active Directory A vers un serveur dans le domaine Active Directory B, les groupes locaux de domaine doivent être pris en considération. Comme « seuls les groupes avec portée universelle peuvent être déplacés d’un domaine vers un autre »1, toute référence faite dans une liste de contrôle d’accès à un groupe local de domaine du domaine A doit être mise à jour. Si votre entreprise a suivi la norme Microsoft AGLP/UGLY2 en matière de permissions, vous devrez probablement recréer de nombreux groupes. Il existe plusieurs outils (par exemple ADMT et icacls) qui peuvent aider à recréer des groupes et des permissions, mais ils nécessitent un certain travail de configuration et de nombreux tests pour donner les résultats escomptés.3 Bien que la gestion de l’accès aux données revienne à associer des ensembles de personnes à des ensembles de données et à spécifier les actions autorisées (lecture, écriture, etc.), chaque plateforme définit ces associations un peu différemment. Le déplacement de données entre plateformes nécessite de « traduire » ces mécanismes de contrôle d’accès. Lors du déplacement de données depuis des partages de fichiers SharePoint, par exemple, les permissions NTFS doivent être traduites en permissions et en niveaux de permissions SharePoint. De même les groupes Active Directory doivent être appliqués aux ACL SharePoint correspondantes ou de nouveaux groupes SharePoint doivent être créés, avec les bons groupes et utilisateurs. Ces traductions doivent être faites manuellement ou avec des solutions tierces. Chaque plateforme a sa propre structure et ses propres jeux de règles en matière de permissions. Le partage de fichiers Windows utilise des permissions de partage et NTFS qui se réfèrent généralement à des groupes Active Directory. Microsoft Exchange a des permissions de boîte email et de partage qui se réfèrent à des groupes Active Directory. Les systèmes UNIX ont des permissions NFS et POSIX qui se réfèrent à des utilisateurs et à des groupes contenus localement dans NIS ou LDAP. Lors du déplacement manuel de données entre plateformes, la plupart des entreprises ont eu besoin de consulter des spécialistes des plateformes source et cible pour s’assurer que les permissions demeuraient cohérentes pendant le déplacement.

1 http://technet.microsoft.com/en-us/library/cc781251(v=ws.10) 2 Les listes de contrôle d’accès contiennent des groupes locaux de domaine, les groupes locaux de domaine contiennent des groupes globaux du domaine, et les groupes globaux du domaine contiennent vos comptes utilisateur. 3 Vous trouverez un exemple de discussion ici : http://forums.whirlpool.net.au/archive/1612687

GUIDE DE PLANIFICATION POUR LES MIGRATIONS DE DONNEES

Une fois que tous les détails techniques de la traduction des permissions entre plateformes ont été mis au point, reste le problème de la traduction sémantique. En effet, « Groupe_Finance » dans le domaine A sur un serveur Windows peut signifier autre chose que « Groupe_Finance » dans le domaine B sur un site SharePoint. Risques De La Migration On peut distinguer quatre principaux types de risque lors d’une migration de données : • Disponibilité • Confidentialité • Intégrité • Adoption Disponibilité Comme nous l’avons vu plus haut, la préservation de la disponibilité pendant et après une migration dépend du timing, de la précision de la copie, et de ce que les utilisateurs savent comment accéder aux données sur le nouveau système, que ce soit par le biais d’une formation, de la mise à jour de mappages de lecteurs ou d’une autre manière. Voici les principales questions à se poser pour préserver la disponibilité : • Combien de temps la copie des données elle-même prendra-t-elle ? • Les utilisateurs auront-ils besoin d’accéder aux données pendant que celles-ci sont copiées, et si oui, comment leurs changements seront-ils assimilés dans la nouvelle plateforme ? • Comment les permissions seront-elles maintenues de façon que tout accès nécessaire soit encore possible après la migration ? • Les utilisateurs devront-ils se déconnecter et se reconnecter pour rafraîchir leur jeton d’accès ? Confidentialité Chaque fois qu’une entreprise effectue une migration de données, un des plus grands risques est que des données confidentielles soient rendues accessibles à de trop nombreuses personnes. Ce problème se présente souvent lors du regroupement d’un grand nombre de petits serveurs en un petit nombre de plus grands serveurs. Comme la séparation des serveurs offre en elle-même un certain contrôle d’accès (les utilisateurs ont besoin d’un chemin UNC accessible, etc.), l’excès de permissions sur de tels serveurs a des conséquences relativement limitées. Une fois que les données de ces serveurs sont déplacées sur un serveur plus grand accessible à un plus grand nombre de personnes, cependant, ces failles de permissions exposent soudainement les données à beaucoup plus de gens. Par exemple, les dossiers sur le serveur RH qui étaient accessibles au groupe Tout le monde n’étaient probablement accessibles qu’aux collaborateurs des RH. Ce même dossier sur un serveur NAS centralisé, cependant, peut soudainement être accessible à l’ensemble de l’entreprise. (Pour en savoir plus sur les problèmes liés aux groupes à accès global, voir : http://blog.varonis.com/fixing-the-open-shares-problem/) Intégrité Une migration est un échec si les fichiers, les dossiers et les métadonnées ne parviennent pas intacts à leur destination. Pour le contenu lui-même, de nombreux protocoles disposent d’un contrôle d’erreur intégré, mais cela ne fait pas de mal de le compléter avec un contrôle d’intégrité par CRC ou hachage (MD5, SHA-256, etc.). Comme nous l’avons dit ci-dessus, les métadonnées et les permissions nécessitent traditionnellement la création de scripts ou l’utilisation d’outils de reporting tiers.

GUIDE DE PLANIFICATION POUR LES MIGRATIONS DE DONNEES

On peut être découragé par la perspective de vérifier une valeur de hachage ou des permissions sur tous les fichiers. Une autre possibilité est de tester un échantillon aléatoire de fichiers pour déterminer s’il y a des problèmes d’intégrité. Plus l’échantillon est grand, plus vous avez de chances que votre échantillon soit représentatif de l’état de l’ensemble complet. Si vous pouvez vous permettre de conserver les données d’origine à disposition pendant un certain temps, cette solution peut être acceptable. Adoption Une fois que toutes vos données ont été déplacées dans leur nouvel emplacement et que les permissions ont été définies, tout est réglé, n’est-ce pas ? Pas exactement. Comment savoir si les gens utilisent effectivement la nouvelle plateforme ? Comment être sûr que personne n’utilise l’ancienne plateforme après le déplacement ? Si vous disposez d’une solution pour auditer l’accès aux données, prévoyez de l’utiliser pour vous assurer de l’adoption par les utilisateurs. Malheureusement, la plupart des plateformes de stockage (même les plus récentes) ne comprennent pas de sous-systèmes d’audit, et il sera donc difficile de répondre à ces deux questions. À ce stade, vous avez le choix entre 4 options : • « Éteindre » l’ancienne plateforme et attendre les appels à l’assistance technique • Permettre l’accès à l’ancienne plateforme en lecture uniquement pendant un certain temps, puis l’éteindre • Accepter que vous allez à partir de maintenant devoir maintenir deux espaces de stockage de données • Investir dans une solution qui fournit un audit pour les deux plateformes (par exemple la technologie de cadre de métadonnées) Une Nouvelle Approche La fonction principale de la plupart des plateformes de collaboration est de permettre aux gens de partager du contenu (fichiers, emails, etc.) avec d’autres gens, rapidement, efficacement et en toute sécurité. Tant que les fichiers sont facilement accessibles et disponibles pour les bonnes personnes et qu’ils sont stockés de façon sûre, connaître les serveurs et les plateformes qui hébergent ces fichiers est de peu d’importance pour les utilisateurs finaux. Pour la communauté des utilisateurs finaux, une migration de données est (ou devrait être) un événement qui a lieu dans les coulisses. Pour le département informatique, au contraire, les migrations de données sont des événements particulièrement saillants : garder les données disponibles, confidentielles et cohérentes pendant un déplacement a toujours nécessité une très grande attention. Un échec dans la planification, l’exécution ou la vérification peut entraîner une indisponibilité du système, une exposition des données ou une incohérence dans celles-ci. Cette situation peut maintenant être dépassée. Les plateformes de collaboration les plus utilisées (serveurs de fichiers, email, intranets) connectent les mêmes éléments fondamentaux : des gens et des contenus (fichiers et emails) par le biais de groupes et de conteneurs logiques (dossiers, sites, boîtes email, etc.). La technologie de cadre de métadonnées permet de recueillir, normaliser et unifier les métadonnées provenant de ces plateformes courantes de collaboration. En combinant un cadre de métadonnées avec un moteur de transport de données capable de déplacer données et métadonnées d’un serveur à l’autre ou d’une plateforme à l’autre, il n’est pas seulement plus simple d’identifier les données à déplacer, mais le mouvement lui-même des données et des métadonnées peut être automatisé, de façon que les bonnes données se retrouvent au bon endroit avec le bon niveau d’accès. En combinant un cadre de métadonnées et un moteur de transport, les permissions et les groupes ne peuvent pas seulement être « traduits » entre plateformes et domaines sans intervention humaine. Ils peuvent également être améliorés pour que les groupes

GUIDE DE PLANIFICATION POUR LES MIGRATIONS DE DONNEES

d’accès globaux soient automatiquement supprimés et que les permissions excessives soient révoquées. De plus, les fonctions de simulation permettent aux administrateurs informatiques de réaliser une exécution « à blanc » pour voir à quoi ressembleront la nouvelle hiérarchie et les nouvelles permissions, et quels utilisateurs seront touchés de façon problématique, avant de démarrer le déplacement des données. À Propos Du Moteur De Transport De Donnees Varonis Que l’on utilise des processus manuels ou des utilitaires rudimentaires, la migration et l’archivage de données a pendant longtemps été un cauchemar et une activité exigeant un temps considérable. Il a toujours été possible de définir tout à fait clairement ce que l’on attend d’une migration, mais assurer que ce que l’on attend se produit effectivement a toujours nécessité une quantité massive de planification, de tests, de réglages, de vérification voire une certaine dose de chance. En exploitant le système de fichiers, les permissions, l’activité d’accès et les métadonnées de contenu présents sur les partages de fichiers UNIX et Windows ainsi que les boîtes email et dossiers publics Exchange, Varonis Metadata Framework fournit la vision nécessaire pour rendre les migrations de données plus efficaces et plus sûres. Vous saurez en particulier quelles sont les données actives ou obsolètes, quel contenu peut être sensible ou réglementé, et quelles permissions peuvent être excessives ou inopérantes. Ensuite, grâce à ce moteur de règles et ce mécanisme de programmation intelligent, le Varonis Data Transport Engine (DTE) permet à l’équipe informatique de définir des critères dynamiques pour identifier les données qui doivent être déplacées, où elles doivent aller, quand elles doivent être déplacées, si les permissions doivent rester les mêmes ou être modifiées (améliorées). Enfin, le DTE exécute la migration automatiquement, de bout en bout. Le DTE automatise tous le travail pénible : copie des données et métadonnées tout en respectant les fenêtres de maintenance et autres contraintes de programmation ; synchronisation automatique de la source et de la destination avec copies incrémentielles même si les données sources sont encore en cours d’utilisation ; traduction des permissions entre plateformes et entre domaines ; rapports sur l’avancement à chaque étape. Comme le moteur DTE est construit sur le cadre Varonis Metadata Framework, vous pouvez être sûr que toutes les données sont gérées et protégées, que seules les personnes autorisées y ont accès, que toute utilisation est surveillée et que les violations sont signalées, avant et après le déplacement. Vous saurez quels utilisateurs utilisent joyeusement votre nouveau serveur ou votre nouvelle plateforme pour collaborer avec leurs données, et lesquels n’ont pas lu le message qui leur a été envoyé à ce sujet. Avec le moteur Varonis Data Transport Engine, le département informatique dispose enfin d’un système intelligent auquel on peut dire en quoi consiste la migration idéale, et qui prend en charge tous les détails préoccupants à votre place. Dites adieu aux weekends de travail et aux nuits blanches : décrivez simplement la migration que vous souhaitez obtenir, simulez-la avant de l’exécuter, et l’automatisation la réalisera, rapidement et en toute sécurité.

GUIDE DE PLANIFICATION POUR LES MIGRATIONS DE DONNEES

À Propos De Varonis Varonis est le principal innovateur et fournisseur de solutions de gouvernance de données non structurées et semi structurée. Le siège social de Varonis est situé à New York et des bureaux régionaux existent en Europe, Asie et Amérique du Sud. En se basant sur une technologie brevetée et sur un moteur d’analyse de haute qualité, les solutions Varonis fournissent aux organisations une visibilité et un contrôle total sur leurs données en s’assurant à tout moment que les utilisateurs ont accès aux seules données dont ils ont besoin. Varonis permet à la collaboration digitale d’être sécurisée, pratique et efficace, offrant à tous les membres d’une entreprise la possibilité de créer et partager du contenu avec ses collaborateurs, tout en rassurant l’entreprise sur l’efficacité de la protection et de la gestion des données. Elue parmi les "Fast 50 Reader Favorites" sur FastCompany.com, gagnante des prix "Innovation", "Product or Service of the Year" et "Best Network Security" décernés par SC Magazine, la solution Varonis a été mise en place dans plus de 4500 entreprises. Varonis, le logo Varonis, DatAdvantage®, DataPrivilege® et l’IDU Classification Framework® sont des marques commerciales déposées de Varonis® Systems aux États-Unis et/ou dans d’autres pays, et Metadata Framework™, DatAnywhere™, et Data Transport Engine™ sont en cours d’enregistrement aux Etats-Unis et/ou dans d’autres pays. Tous les autres noms de produit et d’entreprise et toutes les marques mentionnés dans ce document appartiennent à leurs propriétaires respectifs et ne sont mentionnés qu’à des fins d’identification.

ESSAYEZ GRATUITEMENT

OU

DEMANDEZ UNE DEMO

EN QUELQUES HEURES D’INSTALLATION ...vous pouvez instantanément effectuer une vérification des autorisations: les autorisations d'accès aux fichiers et aux dossiers en fonction des groupes et des utilisateurs. Vous pouvez même générer des rapports. EN QUELQUES JOURS D’INSTALLATION …Varonis DatAdvantage va commencer à identifier les utilisateurs accédant a quelles données et de quelles manière. EN 3 SEMAINES D’INSTALLATION …Varonis® DatAdvantage® va fournir des recommandations fiables pour limiter l’accès aux fichiers et dossiers aux seuls utilisateurs qui en ont la nécessité.

Siège mondial

Europe, Moyen-Orient et Afrique

EUROPE DE L’OUEST

1250 Broadway, 31st Floor New York, NY 10001 Téléphone: 877-292-8767 [email protected]

55 Old Broad Street London, United Kingdom EC2M 1RX Téléphone: +44(0)20 3402 6044 [email protected]

4, rue Villaret de Joyeuse 75017 Paris – France Téléphone: +33 (0)1 82 88 90 96 [email protected]