Das Microsoft Entra Permissions Management-Glossar
Dieses Glossar enthält eine Liste einiger der häufig verwendeten Cloudbegriffe in microsoft Entra Permissions Management. Mit diesen Begriffen können Benutzer der Berechtigungsverwaltung durch cloudspezifische Ausdrücke und cloudgenerische Ausdrücke navigieren.
Häufig verwendete Akronyme und Begriffe
| Begriff | Definition |
|---|---|
| ACL | Zugriffskontrollliste. Eine Liste von Dateien oder Ressourcen, die Informationen enthalten, über die Benutzer oder Gruppen über die Berechtigung zum Zugriff auf diese Ressourcen verfügen oder diese Dateien ändern können. |
| ARN | Azure-Ressourcenbenachrichtigung |
| Autorisierungssystem | CIEM unterstützt AWS-Konten, Azure-Abonnements, GCP-Projekte als Autorisierungssysteme |
| Autorisierungssystemtyp | Jedes System, das die Autorisierungen bereitstellt, indem er die Berechtigungen den Identitäten, Ressourcen zuweist. CIEM unterstützt AWS, Azure, GCP als Autorisierungssystemtypen |
| Cloudsicherheit | Eine Form der Cybersicherheit, die Daten schützt, die online auf Cloud Computing-Plattformen vor Diebstahl, Lecks und Löschung gespeichert sind. Umfasst Firewalls, Penetrationstests, Verschleierung, Tokenisierung, virtuelle private Netzwerke (VPN) und das Vermeiden öffentlicher Internetverbindungen. |
| Cloudspeicher | Ein Dienstmodell, in dem Daten aus der Ferne verwaltet, gepflegt und gesichert werden. Für Benutzer über ein Netzwerk verfügbar. |
| CIAM | Verwaltung des Cloudinfrastrukturzugriffs |
| CIEM | Verwaltung von Cloudinfrastrukturberechtigungen. Die nächste Generation von Lösungen zum Erzwingen der geringsten Rechte in der Cloud. Es behandelt cloudeigene Sicherheitsprobleme beim Verwalten der Identitätszugriffsverwaltung in Cloudumgebungen. |
| CIS | Cloudinfrastruktursicherheit |
| CWP | Cloud-Workloadschutz. Eine workloadorientierte Sicherheitslösung, die auf die einzigartigen Schutzanforderungen von Workloads in modernen Unternehmensumgebungen abzielt. |
| CNAPP | Cloud-Native Anwendungsschutz. Die Konvergenz von Cloud Security Posture Management (CSPM), Cloud Workload Protection (CWP), Cloud Infrastructure Entitlement Management (CIEM) und Cloud Application Security Broker (CASB). Ein integrierter Sicherheitsansatz, der den gesamten Lebenszyklus von cloudeigenen Anwendungen abdeckt. |
| CSPM | Verwaltung des Sicherheitsstatus von Cloud-Diensten. Behebt Risiken von Complianceverletzungen und Fehlkonfigurationen in Unternehmenscloudumgebungen. Konzentriert sich außerdem auf die Ressourcenebene, um Abweichungen von den Best Practice-Sicherheitseinstellungen für Cloud-Governance und Compliance zu identifizieren. |
| CWPP | Cloud-Workload-Schutzplattform |
| Datensammler | Virtuelle Entität, die die Konfiguration der Datensammlung speichert |
| Aufgabe löschen | Ein Vorgang mit hohem Risiko, mit dem Benutzer eine Ressource endgültig löschen können. |
| ED | Enterprise-Verzeichnis |
| Anspruch | Ein abstraktes Attribut, das verschiedene Formen von Benutzerberechtigungen in einer Reihe von Infrastruktursystemen und Geschäftsanwendungen darstellt. |
| Berechtigungsverwaltung | Technologie, die differenzierte Zugriffsberechtigungen gewährt, aufgelöst, erzwingt, widerruft und verwaltet (d. a. Autorisierungen, Berechtigungen, Zugriffsrechte, Berechtigungen und Regeln). Ihr Zweck ist es, IT-Zugriffsrichtlinien für strukturierte/unstrukturierte Daten, Geräte und Dienste auszuführen. Sie kann von unterschiedlichen Technologien bereitgestellt werden und ist häufig über Plattformen, Anwendungen, Netzwerkkomponenten und Geräte hinweg unterschiedlich. |
| Berechtigung mit hohem Risiko | Berechtigungen, die das Potenzial haben, Datenlecks, Dienstunterbrechungen und Beeinträchtigungen oder Änderungen im Sicherheitsstatus zu verursachen. |
| Vorgang mit hohem Risiko | Eine Aufgabe, bei der ein Benutzer Datenlecks, Dienstunterbrechungen oder Dienstbeeinträchtigungen verursachen kann. |
| Hybride Cloud | Manchmal auch als Cloudhybrid bezeichnet. Eine Computerumgebung, die ein lokales Rechenzentrum (eine private Cloud) mit einer öffentlichen Cloud kombiniert. Sie ermöglicht die Gemeinsame Nutzung von Daten und Anwendungen. |
| Hybrid-Cloudspeicher | Eine private oder öffentliche Cloud, die zum Speichern der Daten einer Organisation verwendet wird. |
| ICM | Vorfallmanagement |
| IDS | Angriffserkennungsdienst |
| Identität | Eine Identität ist eine menschliche Identität (Benutzer) oder Arbeitsauslastungsidentität. Es gibt unterschiedliche Namen und Arten von Workloadidentitäten für jede Cloud. AWS: Lambda-Funktion (serverlose Funktion), Rolle, Ressource. Azure: Azure-Funktion (serverlose Funktion), Dienstprinzipal. GCP: Cloud-Funktion (serverlose Funktion), Dienstkonto. |
| Identitätsanalyse | Umfasst grundlegende Überwachung und Wartung, ruhende und verwaiste Kontoerkennung und -entfernung sowie die Ermittlung privilegierter Konten. |
| Identitätslebenszyklusverwaltung | Verwalten Sie digitale Identitäten, ihre Beziehungen mit der Organisation und ihre Attribute während des gesamten Prozesses von der Erstellung bis hin zur späteren Archivierung, indem Sie ein oder mehrere Identitätslebenszyklusmuster verwenden. |
| IGA | Identitätssteuerung und Verwaltung. Technologielösungen, die Identitätsverwaltungs- und Zugriffsgovernance-Vorgänge durchführen. IGA umfasst die Tools, Technologien, Berichte und Complianceaktivitäten, die für die Identitätslebenszyklusverwaltung erforderlich sind. Er umfasst jeden Vorgang von der Kontoerstellung und -beendigung bis hin zur Benutzerbereitstellung, Zugriffszertifizierung und Unternehmenskennwortverwaltung. IGA prüft automatisierte Workflows und Daten der Funktionen für autoritative Quellen, Self-Service-Benutzerbereitstellung, IT-Governance und Kennwortverwaltung. |
| Inaktive Gruppe | Inaktive Gruppen haben Mitglieder, die ihre erteilten Berechtigungen in der aktuellen Umgebung (z. B. AWS-Konto) in den letzten 90 Tagen nicht verwendet haben. |
| Inaktive Identität | Inaktive Identitäten haben ihre erteilten Berechtigungen in der aktuellen Umgebung (d. h. AWS-Konto) in den letzten 90 Tagen nicht verwendet. |
| ITSM | Verwaltung der Informationssicherheitstechnologie. Tools, mit denen IT-Betriebsorganisationen (Infrastruktur- und Betriebsmanager) die Produktionsumgebung besser unterstützen können. Erleichtern Sie die Aufgaben und Workflows, die mit der Verwaltung und Bereitstellung von qualitativ hochwertigen IT-Diensten verbunden sind. |
| JEP | Nur genügend Berechtigungen |
| JIT | Just in Time Access kann als Eine Möglichkeit gesehen werden, das Prinzip der geringsten Rechte durchzusetzen, um sicherzustellen, dass Benutzern und nicht-menschlichen Identitäten die mindeste Berechtigungsstufe zugewiesen sind. Außerdem wird sichergestellt, dass privilegierte Aktivitäten gemäß den Richtlinien für Identity Access Management (IAM), IT Service Management (ITSM) und Privileged Access Management (PAM) sowie deren Berechtigungen und Workflows durchgeführt werden. JIT-Zugriffsstrategie ermöglicht Es Organisationen, einen vollständigen Überwachungspfad privilegierter Aktivitäten aufrechtzuerhalten, damit sie leicht erkennen können, wer oder was Zugriff auf welche Systeme erhalten hat, was sie zu welchem Zeitpunkt getan haben und wie lange. |
| Ansatz der geringsten Rechte | Stellt sicher, dass Benutzer nur Zugriff auf die spezifischen Tools erhalten, die sie zum Ausführen einer Aufgabe benötigen. |
| Mehrinstanzenfähig | Eine einzelne Instanz der Software und ihrer unterstützenden Infrastruktur dient mehreren Kunden. Jeder Kunde teilt die Softwareanwendung und teilt auch eine einzelne Datenbank. |
| OIDC | OpenID Connect. Ein Authentifizierungsprotokoll, das die Benutzeridentität überprüft, wenn ein Benutzer versucht, auf einen geschützten HTTPS-Endpunkt zuzugreifen. OIDC ist eine evolutionäre Entwicklung von Ideen, die früher in OAuth implementiert wurden. |
| Überdimensionierte aktive Identitäten | Überbereitgestellte aktive Identitäten verwenden nicht alle Berechtigungen, die sie in der aktuellen Umgebung erhalten haben. |
| PAM | Verwaltung des privilegierten Zugriffs. Tools, die eine oder mehrere dieser Funktionen bieten: Entdecken, Verwalten und Steuern privilegierter Konten auf mehreren Systemen und Anwendungen; Steuern des Zugriffs auf privilegierte Konten, einschließlich freigegebenem und Notfallzugriff; Anmeldeinformationen (Kennwörter, Schlüssel usw.) für Verwaltungs-, Dienst- und Anwendungskonten randomisieren, verwalten und in einem Tresor speichern; einmaliges Anmelden (Single Sign-On, SSO) für privilegierten Zugriff, um zu verhindern, dass Anmeldeinformationen offengelegt werden; Steuern, Filtern und Koordinieren privilegierter Befehle, Aktionen und Aufgaben; Anmeldeinformationen für Anwendungen, Dienste und Geräte verwalten und vermitteln, um Gefährdungen zu vermeiden; und überwachen, aufzeichnen, überprüfen und analysieren privilegierten Zugriff, Sitzungen und Aktionen. |
| PASM | Privileged Account and Session Management (Verwaltung privilegierter Konten und Sitzungen). Privilegierte Konten werden durch die Einrichtung von Tresoren für die zugehörigen Anmeldeinformationen geschützt. Der Zugriff auf diese Konten erfolgt dann für menschliche Benutzer, Dienste und Anwendungen über einen Broker. Funktionen des Privileged Session Management (PSM) richten Sitzungen mit möglicher Einbindung von Anmeldeinformationen und vollständiger Sitzungsaufzeichnung ein. Kennwörter und andere Anmeldeinformationen für privilegierte Konten werden aktiv verwaltet und in definierbaren Intervallen oder beim Auftreten bestimmter Ereignisse geändert. PASM-Lösungen können auch Anwendungs-zu-Anwendung-Kennwortverwaltung (Application-to-Application Password Management, AAPM) und Zero-Install Remote Privileged Access-Features für IT-Mitarbeiter und Drittanbieter bereitstellen, die kein VPN erfordern. |
| PEDM | Bestimmte Berechtigungen werden auf dem verwalteten System von hostbasierten Agents für angemeldete Benutzer gewährt. PEDM-Tools bieten hostbasierte Befehlskontrolle (Filterung); Zulassen, Verweigern und Isolieren von Anwendungen; und/oder Rechteerhöhung. Letzteres erfolgt in der Form, dass bestimmte Befehle mit höheren Berechtigungen ausgeführt werden können. PEDM-Tools werden auf dem tatsächlichen Betriebssystem auf Kernel- oder Prozessebene ausgeführt. Befehlssteuerung durch Protokollfilterung wird explizit von dieser Definition ausgeschlossen, da der Kontrollmechanismus weniger zuverlässig ist. PEDM-Tools können auch Features zur Dateiintegritätsüberwachung bereitstellen. |
| Erlaubnis | Rechte und Berechtigungen. Eine Aktion, die eine Identität für eine Ressource ausführen kann. Details von Benutzern oder Netzwerkadministratoren, die Zugriffsrechte für Dateien in einem Netzwerk definieren. Zugriffssteuerungen, die an eine Ressource angefügt sind und angeben, welche Identitäten darauf zugreifen können und wie. Berechtigungen werden Identitäten zugeordnet und sind die Möglichkeit, bestimmte Aktionen auszuführen. |
| POD | Genehmigung auf Abruf. Ein Typ von JIT-Zugriff, der die temporäre Erhöhung von Berechtigungen ermöglicht, sodass Identitäten auf Ressourcen auf Anforderungs-, zeitgesteuerte Basis zugreifen können. |
| Permissions Creep Index (PCI) | Eine Zahl von 0 bis 100, die das entstandene Risiko von Benutzern mit Zugriff auf Hochrisikoberechtigungen darstellt. PCI ist eine Funktion von Benutzern, die Zugriff auf Hochrisikoberechtigungen haben, sie aber nicht aktiv verwenden. |
| Richtlinien- und Rollenverwaltung | Regeln verwalten, die die automatische Zuweisung und Entfernung von Zugriffsrechten regeln. Bietet Sichtbarkeit von Zugriffsrechten für die Auswahl in Zugriffsanforderungen, Genehmigungsprozessen, Abhängigkeiten und Inkompatibilitäten zwischen Zugriffsrechten und mehr. Rollen sind eine gängige Methode zur Richtlinienverwaltung. |
| Privileg | Die Autorität, Änderungen an einem Netzwerk oder Computer vorzunehmen. Sowohl Personen als auch Konten können über Berechtigungen verfügen, und beide können unterschiedliche Berechtigungsstufen haben. |
| Privilegiertes Konto | Anmeldeinformationen für einen Server, eine Firewall oder ein anderes Administratorkonto. Häufig als Administratorkonten bezeichnet. Bestehend aus dem tatsächlichen Benutzernamen und Kennwort; Diese beiden Dinge bilden zusammen das Konto. Ein privilegiertes Konto darf mehr Aktionen ausführen als ein normales Konto. |
| Rechteausweitung | Identitäten mit Rechteausweitung können die Anzahl der Berechtigungen erhöhen, die ihnen erteilt wurden. Sie können dies tun, um potenziell die vollständige administrative Kontrolle über das AWS-Konto oder das GCP-Projekt zu erlangen. |
| Public Cloud | Computing-Dienste, die von Drittanbietern über das öffentliche Internet angeboten werden, machen sie für jeden verfügbar, der sie nutzen oder kaufen möchte. Sie können kostenlos oder bei Bedarf verkauft werden, sodass Kunden nur pro Nutzung für die CPU-Zyklen, den Speicher oder die von ihnen verbrauchte Bandbreite bezahlen können. |
| Ressource | Jede Entität, die Computefunktionen verwendet, kann von Benutzern und Diensten aufgerufen werden, um Aktionen auszuführen. |
| Rolle | Eine IAM-Identität, die über bestimmte Berechtigungen verfügt. Anstatt einer Person eindeutig zugeordnet zu werden, soll eine Rolle von jedem, der sie benötigt, alssumierbar sein. Eine Rolle verfügt standardmäßig nicht über langfristig geltende Anmeldeinformationen (z. B. ein Kennwort oder Zugriffsschlüssel). |
| SCIM | System für domänenübergreifende Identitätsverwaltung |
| SIEM | Security Information & Event Management (Verwaltung von sicherheitsrelevanten Informationen und Ereignissen). Technologie, die die Bedrohungserkennung, Compliance- und Sicherheitsvorfallverwaltung durch die Sammlung und Analyse (sowohl in Echtzeit als auch historisch) von Sicherheitsereignissen sowie eine Vielzahl anderer Ereignis- und Kontextdatenquellen unterstützt. Die Kernfunktionen sind ein breites Spektrum an Protokollereignissammlung und -verwaltung, die Möglichkeit, Protokollereignisse und andere Daten über verschiedene Quellen hinweg zu analysieren, sowie operative Funktionen (z. B. Vorfallverwaltung, Dashboards und Berichterstellung). |
| SOAR | Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR). Technologien, die Es Organisationen ermöglichen, Eingaben aus verschiedenen Quellen (hauptsächlich aus Sicherheitsinformations- und Ereignisverwaltungssystemen )zu übernehmen und Workflows anzuwenden, die an Prozesse und Verfahren ausgerichtet sind. Diese Workflows können über Integrationen mit anderen Technologien koordiniert und automatisiert werden, um das gewünschte Ergebnis und eine größere Sichtbarkeit zu erzielen. Weitere Funktionen umfassen Fall- und Vorfallverwaltungsfeatures; die Möglichkeit, Bedrohungserkennung, Dashboards und Berichte zu verwalten; und Analysen, die über verschiedene Funktionen hinweg angewendet werden können. SOAR-Tools verbessern sicherheitsrelevante Aktivitäten wie Bedrohungserkennung und -reaktion erheblich, indem maschinengestützte Unterstützung für menschliche Analysten bereitgestellt wird, um die Effizienz und Konsistenz von Personen und Prozessen zu verbessern. |
| Super-Benutzer/ Super-Identität | Ein leistungsfähiges Konto, das von IT-Systemadministratoren verwendet wird, die verwendet werden können, um Konfigurationen für ein System oder eine Anwendung vorzunehmen, Benutzer hinzuzufügen oder zu entfernen oder Daten zu löschen. Superbenutzern und Identitäten werden Berechtigungen für alle Aktionen und Ressourcen in der aktuellen Umgebung (z. B. AWS-Konto) erteilt. |
| Mieter | Eine dedizierte Instanz der Dienste und Organisationsdaten, die an einem bestimmten Standardspeicherort gespeichert sind. |
| UUID | Universell eindeutiger Bezeichner. Eine 128-Bit-Bezeichnung, die für Informationen in Computersystemen verwendet wird. Der Begriff GUID (Globally Unique Identifier) wird ebenfalls verwendet. |
| Verwendete Berechtigungen | Die Anzahl der Berechtigungen, die in den letzten 90 Tagen von einer Identität verwendet werden. |
| Zero-Trust-Sicherheit | Die drei grundlegenden Prinzipien: explizite Überprüfung, Annahme von Sicherheitsverletzungen und am wenigsten privilegierten Zugriff. |
| ZTNA | Zero-Trust-Netzwerkzugriff. Ein Produkt oder dienst, das eine identitäts- und kontextbasierte, logische Zugriffsgrenze um eine Anwendung oder einen Satz von Anwendungen erstellt. Die Anwendungen werden von der Ermittlung ausgeblendet, und der Zugriff wird über einen Vertrauensbroker auf eine Reihe benannter Entitäten beschränkt. Der Broker überprüft die Identitäts-, Kontext- und Richtlinientreue der angegebenen Teilnehmer, bevor der Zugriff gewährt wird und die laterale Bewegung an anderer Stelle im Netzwerk untersagt wird. Es entfernt Anwendungsressourcen aus der öffentlichen Sichtbarkeit und reduziert den Oberflächenbereich für Angriffe erheblich. |
Nächste Schritte
- Eine Übersicht über Permissions Management finden Sie unter Was ist Microsoft Entra Permissions Management?