实施全面的 SaaS 备份
Posted: Thu Feb 20, 2025 6:54 am
当我们讨论通过影子管理员进行权限提升时,我们描述了这样一种场景:用户由于不知道自己的管理员级权限而意外删除了整个数据库。并非所有影子管理员造成的数据丢失都会如此严重,但无论根本原因或结果如何,您的补救措 纳米比亚 WhatsApp 号码 施都是一样的:查看您的备份。
您确实有 SaaS 数据的备份,对吗?
即使您的 SaaS 备份数据包含影子管理员,您仍然可以将这些数据隔离在孤立的环境中,执行所需的缓解工作,然后将固定数据重新投入生产。希望您为 SaaS 数据选择的备份解决方案也具有自动恢复功能 - 没有人愿意花费大量时间管理您希望上传的 CSV 或 JSON 文件,并将您的实例恢复到上一个良好状态。
同侪职责分工
如果您有多个 IT 管理员或 DevOps 工程师负责维护您的 SaaS 应用和环境,请考虑尽可能分离他们的职责和权限。通过鼓励管理员监视彼此的行为,他们将能够更好地识别现有的影子管理员并阻止在影子爆发期间创建新的影子管理员。
拆分个人账户和管理账户
假设您的组织中只有一个团队使用特定的 SaaS 应用。该团队包括一名副总裁级员工,他需要 SaaS 的管理权限以确保其员工能够有效工作。与其授予他们日常使用的帐户的完整管理权限,不如考虑为他们提供两个帐户,让特权更高的帐户仅用于商定和记录的操作。
拆分账户及其预期用途可让您为每个账户设置不同的监控级别。虽然他们的普通用户账户被锁定且风险较低,但您可以密切关注管理员级别的替代方案,以防出现异常。
构建权限图来可视化影子管理网络
当被要求描绘组织的用户、管理员和权限网络时,您可能会想到一张错综复杂的蜘蛛网。实际上,它可能更像是一个“戈尔迪之结”。
在探索 GCP 权限时,Estep 使用图形数据帮助人们回答一个看似复杂的问题:“您知道所有用户都可以做什么吗?”他的解决方案通过 GCP API 收集数据,然后映射用户、GCP 环境结构、服务帐户及其相关权限,以帮助 IT 管理员和 DevOps 工程师更轻松地了解哪些用户充当影子管理员。
Silverfort采用了类似的解决方案,将每个帐户表示为一个节点,将每个权限表示为它们之间的边。
您确实有 SaaS 数据的备份,对吗?
即使您的 SaaS 备份数据包含影子管理员,您仍然可以将这些数据隔离在孤立的环境中,执行所需的缓解工作,然后将固定数据重新投入生产。希望您为 SaaS 数据选择的备份解决方案也具有自动恢复功能 - 没有人愿意花费大量时间管理您希望上传的 CSV 或 JSON 文件,并将您的实例恢复到上一个良好状态。
同侪职责分工
如果您有多个 IT 管理员或 DevOps 工程师负责维护您的 SaaS 应用和环境,请考虑尽可能分离他们的职责和权限。通过鼓励管理员监视彼此的行为,他们将能够更好地识别现有的影子管理员并阻止在影子爆发期间创建新的影子管理员。
拆分个人账户和管理账户
假设您的组织中只有一个团队使用特定的 SaaS 应用。该团队包括一名副总裁级员工,他需要 SaaS 的管理权限以确保其员工能够有效工作。与其授予他们日常使用的帐户的完整管理权限,不如考虑为他们提供两个帐户,让特权更高的帐户仅用于商定和记录的操作。
拆分账户及其预期用途可让您为每个账户设置不同的监控级别。虽然他们的普通用户账户被锁定且风险较低,但您可以密切关注管理员级别的替代方案,以防出现异常。
构建权限图来可视化影子管理网络
当被要求描绘组织的用户、管理员和权限网络时,您可能会想到一张错综复杂的蜘蛛网。实际上,它可能更像是一个“戈尔迪之结”。
在探索 GCP 权限时,Estep 使用图形数据帮助人们回答一个看似复杂的问题:“您知道所有用户都可以做什么吗?”他的解决方案通过 GCP API 收集数据,然后映射用户、GCP 环境结构、服务帐户及其相关权限,以帮助 IT 管理员和 DevOps 工程师更轻松地了解哪些用户充当影子管理员。
Silverfort采用了类似的解决方案,将每个帐户表示为一个节点,将每个权限表示为它们之间的边。