Glosář Správa oprávnění Microsoft Entra
Tento glosář poskytuje seznam některých běžně používaných cloudových termínů v Správa oprávnění Microsoft Entra. Tyto termíny pomáhají uživatelům správy oprávnění procházet termíny specifické pro cloud a obecné podmínky cloudu.
Běžně používané zkratky a termíny
| Pojem | definice |
|---|---|
| ACL | Seznam řízení přístupu Seznam souborů nebo prostředků, které obsahují informace o tom, kteří uživatelé nebo skupiny mají oprávnění k přístupu k těmto prostředkům nebo ke změně těchto souborů. |
| ARN | Oznámení o prostředku Azure |
| Systém autorizace | CIEM podporuje účty AWS, předplatná Azure, projekty GCP jako systémy autorizace. |
| Typ systému autorizace | Jakýkoli systém, který poskytuje autorizaci tím, že přiřadí oprávnění identitám, prostředkům. CIEM podporuje AWS, Azure, GCP jako typy autorizačního systému. |
| Zabezpečení cloudu | Forma kybernetické bezpečnosti, která chrání data uložená online na platformách cloud computingu před krádeží, únikem a odstraněním. Zahrnuje brány firewall, penetrační testování, obfuskaci, tokenizaci, virtuální privátní sítě (VPN) a zabránění veřejným internetovým připojením. |
| Cloudové úložiště | Model služby, ve kterém se data spravují, spravují a zálohuje vzdáleně. K dispozici uživatelům přes síť. |
| CIAM | Správa přístupu ke cloudové infrastruktuře |
| CIEM | Správa nároků na cloudovou infrastrukturu Nová generace řešení pro vynucování nejnižších oprávnění v cloudu. Řeší problémy zabezpečení nativní pro cloud při správě správy přístupu k identitě v cloudových prostředích. |
| CIS | Zabezpečení cloudové infrastruktury |
| CWP | Ochrana cloudových úloh Řešení zabezpečení zaměřené na úlohy, které cílí na jedinečné požadavky na ochranu úloh v moderních podnikových prostředích. |
| CNAPP | Ochrana aplikací nativních pro cloud Konvergence správy stavu zabezpečení cloudu (CSPM), ochrany cloudových úloh (CWP), správy nároků na cloudovou infrastrukturu (CIEM) a zprostředkovatele zabezpečení cloudových aplikací (CASB). Integrovaný přístup zabezpečení, který pokrývá celý životní cyklus aplikací nativních pro cloud. |
| CSPM | Správa stavu zabezpečení cloudu Řeší rizika porušení dodržování předpisů a chybné konfigurace v podnikových cloudových prostředích. Zaměřuje se také na úroveň prostředků, která identifikuje odchylky od nastavení zabezpečení osvědčených postupů pro zásady správného řízení cloudu a dodržování předpisů. |
| CWPP | Platforma ochrany cloudových úloh |
| Kolektor dat | Virtuální entita, která ukládá konfiguraci shromažďování dat |
| Delete – úloha | Vysoce rizikový úkol, který uživatelům umožňuje trvale odstranit prostředek. |
| ED | Adresář organizace |
| Entitlement | Abstraktní atribut, který představuje různé formy uživatelských oprávnění v řadě systémů infrastruktury a obchodních aplikací. |
| Správa nároků | Technologie, která uděluje, řeší, vynucuje, odvolá a spravuje jemně odstupňovaná přístupová oprávnění (to znamená autorizace, oprávnění, přístupová práva, oprávnění a pravidla). Jejím účelem je spouštět zásady přístupu k IT strukturovaným nebo nestrukturovaným datům, zařízením a službám. Je možné ji doručovat různými technologiemi a často se liší napříč platformami, aplikacemi, síťovými komponentami a zařízeními. |
| Oprávnění s vysokým rizikem | Oprávnění, která mají potenciál způsobit únik dat, přerušení služeb a snížení výkonu nebo změny stavu zabezpečení. |
| Vysoce rizikový úkol | Úloha, ve které může uživatel způsobit únik dat, přerušení služeb nebo snížení výkonu služby. |
| Hybridní cloud | Někdy se označuje jako hybridní cloud. Výpočetní prostředí, které kombinuje místní datové centrum (privátní cloud) s veřejným cloudem. Umožňuje sdílení dat a aplikací mezi nimi. |
| hybridní cloudové úložiště | Privátní nebo veřejný cloud používaný k ukládání dat organizace. |
| ICM | Řízení případů incidentů |
| ID | Služba detekce neoprávněných vniknutí |
| Identita | Identita je identita lidské identity (uživatele) nebo identita úloh. Pro každý cloud existují různé názvy a typy identit úloh. AWS: Funkce Lambda (bezserverová funkce), role, prostředek. Azure: Funkce Azure (bezserverová funkce), instanční objekt. GCP: Cloudová funkce (bezserverová funkce), účet služby. |
| Analýza identit | Zahrnuje základní monitorování a nápravu, zjišťování a odebrání osamocených účtů a zjišťování privilegovaných účtů. |
| Správa životního cyklu identit | Udržujte digitální identity, jejich vztahy s organizací a jejich atributy během celého procesu od vytvoření až po případnou archivaci pomocí jednoho nebo více vzorů životního cyklu identity. |
| IGA | Zásady správného řízení a správa identit. Technologická řešení, která provádějí operace správy identit a řízení přístupu IGA zahrnuje nástroje, technologie, sestavy a aktivity dodržování předpisů vyžadované pro správu životního cyklu identit. Zahrnuje všechny operace od vytvoření a ukončení účtu až po zřizování uživatelů, certifikaci přístupu a správu podnikových hesel. Zkoumá automatizované pracovní postupy a data z možností autoritativních zdrojů, samoobslužného zřizování uživatelů, zásad správného řízení IT a správy hesel. |
| Neaktivní skupina | Neaktivní skupiny mají členy, kteří během posledních 90 dnů nepoužívali svá udělená oprávnění v aktuálním prostředí (tj. účtu AWS). |
| Neaktivní identita | Neaktivní identity během posledních 90 dnů nepoužívaly svá udělená oprávnění v aktuálním prostředí (tj. účtu AWS). |
| ITSM | Správa zabezpečení informačních technologií. Nástroje, které umožňují it provozním organizacím (správcům infrastruktury a provozu), aby lépe podporovaly produkční prostředí. Usnadnit úkoly a pracovní postupy spojené se správou a doručováním kvalitních IT služeb. |
| JEP | Jen dostatečná oprávnění |
| JIT | Přístup jen v čase se dá považovat za způsob, jak vynutit princip nejnižších oprávnění, aby se zajistilo, že uživatelům a jiným než lidským identitám bude udělena minimální úroveň oprávnění. Zajišťuje také, aby se privilegované aktivity prováděly v souladu se zásadami správy přístupu identit organizace (IAM), SPRÁVY IT služeb (ITSM) a privileged access Management (PAM) se svými nároky a pracovními postupy. Strategie přístupu JIT umožňuje organizacím udržovat úplný záznam auditu privilegovaných aktivit, aby mohli snadno identifikovat, kdo nebo co získal přístup k jakým systémům, co udělali v jaké době a jak dlouho. |
| Nejnižší možné oprávnění | Zajišťuje, aby uživatelé získali přístup pouze ke konkrétním nástrojům, které potřebují k dokončení úkolu. |
| Vícetenantové | Jedna instance softwaru a její podpůrná infrastruktura slouží více zákazníkům. Každý zákazník sdílí softwarovou aplikaci a také sdílí jednu databázi. |
| OIDC | OpenID Připojení. Ověřovací protokol, který ověřuje identitu uživatele, když se uživatel pokouší získat přístup k chráněnému koncovému bodu HTTPS. OIDC je vývojový vývoj nápadů implementovaných dříve v OAuth. |
| Nadměrně zřízená aktivní identita | Zřizované aktivní identity nepoužívají všechna oprávnění, která byla udělena v aktuálním prostředí. |
| PAM | Správa privilegovaného přístupu Nástroje, které nabízejí jednu nebo více těchto funkcí: zjišťování, správu a řízení privilegovaných účtů v několika systémech a aplikacích; řízení přístupu k privilegovaným účtům, včetně sdíleného a nouzového přístupu; randomizace, správa a trezor přihlašovací údaje (heslo, klíče atd.) pro účty pro správu, služby a aplikace; jednotné přihlašování (SSO) pro privilegovaný přístup, aby se zabránilo odhalení přihlašovacích údajů; řízení, filtrování a orchestrace privilegovaných příkazů, akcí a úkolů; spravovat a zprostředkovatelské přihlašovací údaje pro aplikace, služby a zařízení, aby se zabránilo expozici; a monitorujte, zaznamenejte, auditujte a analyzujte privilegovaný přístup, relace a akce. |
| PASM | Privilegované účty jsou chráněné trezorem svých přihlašovacích údajů. Přístup k těmto účtům se pak zprostředkuje pro lidské uživatele, služby a aplikace. Funkce správy privilegovaných relací (PSM) vytvářejí relace s možným injektářím přihlašovacích údajů a úplným záznamem relace. Hesla a další přihlašovací údaje pro privilegované účty se aktivně spravují a mění v definovatelných intervalech nebo při výskytu konkrétních událostí. Řešení PASM můžou také poskytovat správu hesel aplikací a aplikací (AAPM) a funkce vzdáleného privilegovaného přístupu bez instalace pro it pracovníky a třetí strany, které nevyžadují síť VPN. |
| PEDM | Konkrétní oprávnění jsou ve spravovaném systému udělena agenty založenými na hostitelích přihlášeným uživatelům. Nástroje PEDM poskytují řízení příkazů na základě hostitele (filtrování); povolit, odepřít a izolovat ovládací prvky; zvýšení oprávnění nebo zvýšení oprávnění. Druhá možnost je ve formě povolení spouštění konkrétních příkazů s vyšší úrovní oprávnění. Nástroje PEDM se spouštějí ve skutečném operačním systému na úrovni jádra nebo procesu. Řízení příkazů prostřednictvím filtrování protokolu je explicitně vyloučeno z této definice, protože bod řízení je méně spolehlivý. Nástroje PEDM mohou také poskytovat funkce monitorování integrity souborů. |
| Oprávnění | Práva a oprávnění. Akce, kterou může identita provést u prostředku. Podrobnosti poskytnuté uživateli nebo správci sítě, kteří definují přístupová práva k souborům v síti Řízení přístupu připojené k prostředku diktující, ke kterým identitám má přístup a jak. Oprávnění jsou připojená k identitám a umožňují provádět určité akce. |
| POD | Oprávnění na vyžádání Typ přístupu JIT, který umožňuje dočasné zvýšení oprávnění a umožňuje identitám přístup k prostředkům podle požadavku podle času. |
| Index plížení oprávnění (PCI) | Číslo od 0 do 100, které představuje vzniklé riziko uživatelů s přístupem k vysoce rizikovým oprávněním. PCI je funkce uživatelů, kteří mají přístup k vysoce rizikovým oprávněním, ale aktivně je nepoužívají. |
| Správa zásad a rolí | Udržujte pravidla, která řídí automatické přiřazení a odebrání přístupových práv. Poskytuje přehled o přístupových právech pro výběr v žádostech o přístup, schvalovacích procesech, závislostech a nekompatibility mezi přístupovými právy a dalšími možnostmi. Role jsou běžným vozidlem pro správu zásad. |
| Oprávnění | Autorita provádět změny v síti nebo počítači. Lidé i účty můžou mít oprávnění a oba můžou mít různé úrovně oprávnění. |
| Privilegovaný účet | Přihlašovací údaje k serveru, bráně firewall nebo jinému účtu správce. Často se označuje jako účty správců. Skládá se z skutečného uživatelského jména a hesla; tyto dvě věci společně tvoří účet. Privilegovaný účet může dělat víc věcí než běžný účet. |
| Eskalace oprávnění | Identity s eskalací oprávnění můžou zvýšit počet udělených oprávnění. Můžou to udělat, aby potenciálně získali úplnou kontrolu nad účtem AWS nebo projektem GCP. |
| Veřejný cloud | Výpočetní služby, které nabízejí poskytovatelé třetích stran přes veřejný internet, zpřístupňuje je komukoli, kdo je chce použít nebo koupit. Mohou se poskytovat zdarma nebo prodávat na vyžádání a umožňují zákazníkům platit jenom za využití procesorových cyklů, úložiště nebo šířky pásma, které spotřebují. |
| Prostředek | K jakékoli entitě, která používá výpočetní funkce, mají uživatelé a služby přístup k provádění akcí. |
| Role | Identita IAM, která má specifická oprávnění. Místo toho, aby byla jedinečně spojená s jednou osobou, je role určená pro každého, kdo ji potřebuje. Role nemá standardní dlouhodobé přihlašovací údaje, jako je heslo nebo přístupové klíče přidružené. |
| SCIM | Systém pro správu identit napříč doménou |
| SIEM | Informace o zabezpečení a správa událostí. Technologie, která podporuje detekci hrozeb, dodržování předpisů a správu incidentů zabezpečení prostřednictvím shromažďování a analýzy (téměř v reálném čase i historických) událostí zabezpečení a široké škály dalších zdrojů dat a kontextových dat. Základní funkce jsou širokým rozsahem shromažďování a správy událostí protokolu, schopnost analyzovat události protokolu a další data napříč různorodým zdroji a provozními možnostmi (jako je správa incidentů, řídicí panely a generování sestav). |
| STOUPAT | Orchestrace zabezpečení, automatizace a odezva (SOAR). Technologie, které organizacím umožňují přijímat vstupy z různých zdrojů (většinou ze systémů správy informací o zabezpečení a událostí [SIEM] a uplatňovat pracovní postupy odpovídající procesům a postupům. Tyto pracovní postupy je možné orchestrovat prostřednictvím integrací s jinými technologiemi a automatizovat, aby se dosáhlo požadovaného výsledku a lepší viditelnosti. Mezi další funkce patří funkce pro případ a řízení incidentů; schopnost spravovat analýzu hrozeb, řídicí panely a sestavy; a analýzy, které je možné použít napříč různými funkcemi. Nástroje SOAR výrazně zvyšují aktivity operací zabezpečení, jako je detekce hrozeb a reakce, tím, že poskytují lidské analytikům pomoc na počítači, aby zlepšily efektivitu a konzistenci lidí a procesů. |
| Superuživatel / super identita | Výkonný účet, který používají správci IT systémů, které můžou použít k vytváření konfigurací v systému nebo aplikaci, přidávání nebo odebírání uživatelů nebo odstraňování dat. Superuživatelé a identity mají udělená oprávnění ke všem akcím a prostředkům v aktuálním prostředí (tj. účtu AWS). |
| Tenant | Vyhrazená instance služeb a dat organizace uložených v určitém výchozím umístění. |
| UUID | Univerzální jedinečný identifikátor. 128bitový popisek používaný pro informace v počítačových systémech. Používá se také globálně jedinečný identifikátor (GUID). |
| Použitá oprávnění | Počet oprávnění používaných identitou za posledních 90 dnů. |
| Zabezpečení nulové důvěryhodnosti | Tři základní principy: explicitní ověřování, předpoklad porušení zabezpečení a nejméně privilegovaný přístup. |
| ZTNA | Přístup k síti s nulovou důvěryhodností. Produkt nebo služba, která vytváří hranici přístupu založené na identitě a kontextu kolem aplikace nebo sady aplikací. Aplikace jsou skryté před zjišťováním a přístup je omezen prostřednictvím zprostředkovatele důvěryhodnosti na sadu pojmenovaných entit. Zprostředkovatel ověří dodržování identity, kontextu a zásad určených účastníků před povolením přístupu a zakáže laterální přesun jinde v síti. Odebere prostředky aplikací z veřejné viditelnosti a výrazně snižuje prostor pro útok. |
Další kroky
- Přehled správy oprávnění najdete v tématu Co je Správa oprávnění Microsoft Entra?.