El glosario de Administración de permisos de Microsoft Entra
Este glosario proporciona una lista de algunos de los términos de la nube que más se usan en Administración de permisos de Microsoft Entra. Estos términos permiten que los usuarios de Administración de permisos consulten términos específicos y genéricos de la nube.
Términos y acrónimos más usados
Término | Definición |
---|---|
ACL | Lista de control de acceso. Lista de archivos o recursos que contienen información sobre qué usuarios o grupos tienen permiso para acceder a esos recursos o modificar esos archivos. |
ARN | Notificación de recursos de Azure |
Sistema de autorización | CIEM admite cuentas de AWS, suscripciones de Azure y proyectos de GCP como sistemas de autorización. |
Tipo de sistema de autorización | Cualquier sistema que proporcione autorizaciones mediante la asignación de permisos a identidades y recursos. CIEM admite AWS, Azure y GCP como tipos de sistema de autorización. |
Seguridad en la nube | Una forma de ciberseguridad que protege los datos almacenados en línea en plataformas de informática en la nube frente robos, pérdidas y eliminaciones. Incluye firewalls, pruebas de penetración, ofuscación, tokenización, redes privadas virtuales (VPN) y opciones para evitar conexiones a Internet públicas. |
El almacenamiento en la nube | Modelo de servicio en el que los datos se mantienen, administran y se hace una copia de seguridad de forma remota. Está disponible para los usuarios a través de una red. |
CIAM | Administración de acceso a la infraestructura en la nube |
CIEM | Administración de derechos de la infraestructura en la nube. Esta es la próxima generación de soluciones con la que aplicar privilegios mínimos en la nube. Aborda los desafíos de seguridad nativos de la nube al gestionar la administración del acceso a identidades en entornos en la nube. |
CIS | Seguridad de la infraestructura en la nube |
CWP | Protección de cargas de trabajo en la nube. Es una solución de seguridad centrada en cargas de trabajo que tiene como destino los requisitos de protección únicos de las cargas de trabajo en entornos empresariales modernos. |
CNAPP | Protección de aplicaciones nativas de la nube. Convergencia de la administración de la posición de seguridad en la nube (CSPM), la protección de cargas de trabajo en la nube (CWP), la administración de derechos de infraestructura en la nube (CIEM) y el agente de seguridad de aplicaciones en la nube (CASB). Representa un enfoque de seguridad integrado que cubre todo el ciclo de vida de las aplicaciones nativas de la nube. |
CSPM | Administración de la posición de seguridad en la nube. Aborda los riesgos de infracciones en el cumplimiento y las configuraciones incorrectas en entornos empresariales en la nube. También se centra en el nivel de recursos dedicado a identificar desviaciones de la configuración de seguridad de los procedimientos recomendados para la gobernanza y el cumplimiento de la nube. |
CWPP | Plataforma de protección de cargas de trabajo en la nube |
Recopilador de datos | Entidad virtual que almacena la configuración de recopilación de datos. |
Delete (tarea) | Tarea de alto riesgo que permite a los usuarios eliminar permanentemente un recurso. |
ED | Directorio de empresa. |
Entitlement | Atributo abstracto que representa diferentes formas de permisos de usuario en una variedad de sistemas de infraestructura y aplicaciones empresariales. |
Administración de derechos | Tecnología que concede, resuelve, aplica, revoca y administra derechos de acceso específicos (es decir, autorizaciones, privilegios, derechos de acceso, permisos y reglas). Su finalidad es ejecutar directivas de acceso de TI a los datos, dispositivos y servicios estructurados o no estructurados. Se puede proporcionar mediante distintas tecnologías y a menudo es diferente entre plataformas, aplicaciones, componentes de red y dispositivos. |
Permiso de alto riesgo | Permisos que pueden provocar pérdida de datos, interrupción y degradación del servicio, o cambios en la posición de seguridad. |
Tarea de alto riesgo | Tarea en la que un usuario puede provocar la pérdida de datos, la interrupción del servicio o la degradación de este. |
Nube híbrida | A veces se denomina híbrido de nube. Es un entorno informático que combina un centro de datos local (una nube privada) con una nube pública. Permite compartir datos y aplicaciones entre ellas. |
almacenamiento de nube híbrida | Es una nube privada o pública que se usa para almacenar los datos de una organización. |
ICM | Administración de casos de incidentes |
IDS | Servicio de detección de intrusiones |
identidad | Una identidad es una identidad humana (usuario) o una identidad de carga de trabajo. Hay nombres y tipos diferentes de identidades de carga de trabajo para cada nube. AWS: función lambda (función sin servidor), rol, recurso. Azure: función de Azure (función sin servidor), entidad de servicio. GCP: función en la nube (función sin servidor), cuenta de servicio. |
Análisis de identidades | Incluye opciones de supervisión y corrección básicas, detección y eliminación de cuentas inactivas y huérfanas y detección de cuentas con privilegios. |
Administración del ciclo de vida de la identidad | Permite mantener las identidades digitales, sus relaciones con la organización y sus atributos durante todo el proceso, desde la creación hasta el archivado final, mediante uno o varios patrones de ciclo de vida de identidades. |
IGA | Gobernanza y administración de identidades. Soluciones tecnológicas que realizan operaciones de administración de identidades y gobernanza de acceso. IGA incluye las herramientas, las tecnologías, los informes y las actividades de cumplimiento necesarios para la administración del ciclo de vida de las identidades. También incluye todas las operaciones, desde la creación y finalización de cuentas hasta el aprovisionamiento de usuarios, la certificación de acceso y la administración de contraseñas empresariales. Se encarga de examinar el flujo de trabajo automatizado y los datos de las capacidades de orígenes autoritativos, el aprovisionamiento de usuarios de autoservicio, la gobernanza de TI y la administración de contraseñas. |
Grupo inactivo | Los grupos inactivos tienen miembros que no han usado sus permisos concedidos en el entorno actual (es decir, Cuenta de AWS) en los últimos 90 días. |
Identidad inactiva | Las identidades inactivas no han usado sus permisos concedidos en el entorno actual (es decir, la cuenta de AWS) los últimos 90 días. |
ITSM | Administración de seguridad de tecnologías de la información. Herramientas que permiten a las organizaciones que realizan operaciones de TI (administradores de infraestructura y operaciones) admitir mejor el entorno de producción. Permite facilitar las tareas y los flujos de trabajo asociados a la administración y entrega de servicios de TI de calidad. |
JEP | Solo los permisos suficientes. |
JIT | El acceso Just-In-Time se puede ver como una manera de aplicar el principio de privilegios mínimos para garantizar que los usuarios y las identidades no humanas reciben el nivel mínimo de privilegios. También garantiza que las actividades con privilegios se realicen de acuerdo con las directivas de administración de acceso de identidad (IAM) de una organización, la administración de servicios de TI (ITSM) y Privileged Access Management (PAM), con sus derechos y flujos de trabajo. La estrategia de acceso JIT permite a las organizaciones mantener una pista de auditoría completa de las actividades con privilegios, para que así puedan identificar fácilmente quién o qué ha obtenido acceso a qué sistemas, qué hizo en qué momento y durante cuánto tiempo. |
Privilegio mínimo | Garantiza que los usuarios solo obtengan acceso a las herramientas específicas que necesitan para completar una tarea. |
Multiinquilino | Una única instancia del software y su infraestructura de soporte técnico atiende a varios clientes. Cada cliente comparte la aplicación de software y también comparte una base de datos única. |
OIDC | OpenId Connect. Es un protocolo de autenticación que comprueba la identidad del usuario cuando un usuario intenta acceder a un punto de conexión HTTPS protegido. OIDC indica el desarrollo de ideas en constante evolución que se implementaron anteriormente en OAuth. |
Identidad activa sobreaprovisionada | Las identidades activas sobreaprovisionadas no usan todos los permisos que se les han concedido en el entorno actual. |
PAM | Privileged Access Management. Herramientas que ofrecen una o varias de estas características: detección, administración y control de cuentas con privilegios en varios sistemas y aplicaciones; control del acceso a cuentas con privilegios, incluido el acceso compartido y de emergencia; aleatorización, administración y almacenamiento de credenciales (contraseña, claves, etc.) para cuentas administrativas, de servicio y de aplicación; inicio de sesión único (SSO) para el acceso con privilegios para evitar que se revelen las credenciales; control, filtro y orquestación de comandos, acciones y tareas con privilegios; administración y agente de credenciales para aplicaciones, servicios y dispositivos para evitar la exposición; y supervisión, registro, auditoría y análisis del acceso, las sesiones y las acciones con privilegios. |
PASM | Las cuentas con privilegios están protegidas mediante el almacenamiento de sus credenciales. A continuación, el acceso a esas cuentas se negocia para usuarios humanos, servicios y aplicaciones. Las funciones de la administración de sesiones con privilegios (PSM) establecen sesiones que proporcionan la posibilidad de insertar credenciales y grabar una sesión completa. Las contraseñas y otras credenciales de las cuentas con privilegios se administran y se cambian activamente a intervalos definibles o tras la aparición de eventos específicos. Las soluciones PASM también pueden proporcionar la administración de contraseñas de aplicación a aplicación (AAPM) y las características de acceso con privilegios remotos de instalación cero para el personal de TI y terceros que no requieren una VPN. |
PEDM | Los agentes basados en host conceden privilegios específicos en el sistema administrado a los usuarios que han iniciado sesión. Las herramientas PEDM proporcionan un control de comandos basado en el host (filtrado), y también permiten, deniegan y aíslan los controles y la elevación de privilegios. La última opción permite que determinados comandos se ejecuten con un mayor nivel de privilegios. Las herramientas PEDM se ejecutan en un sistema operativo real en el nivel de kernel o de proceso. El control de comandos a través del filtrado de protocolos se excluye explícitamente de esta definición, ya que el punto de control es menos confiable. Las herramientas PEDM también pueden proporcionar características de supervisión de la integridad de los archivos. |
Permiso | Derechos y privilegios. Una acción que una identidad puede realizar en un recurso. Son detalles que dan los usuarios o administradores de red que definen los derechos de acceso a los archivos de una red. Estos controles de acceso están asociados a un recurso y dictan qué identidades pueden acceder a él y cómo. Los permisos se asocian a las identidades y son la capacidad de realizar determinadas acciones. |
POD | Permiso a petición. Es un tipo de acceso JIT que permite la elevación temporal de permisos, lo que hace posible que las identidades accedan a los recursos a petición durante un tiempo determinado. |
Índice de pérdida de permisos (PCI) | Es un número de 0 a 100 que representa el riesgo de los usuarios con acceso a privilegios de alto riesgo. PCI es una función de los usuarios que tienen acceso a privilegios de alto riesgo, pero que no los usan activamente. |
Administración de directivas y roles | Permite mantener reglas que rigen la asignación y eliminación automáticas de los derechos de acceso. Proporciona visibilidad de los derechos de acceso para la selección en solicitudes de acceso, procesos de aprobación, dependencias e incompatibilidades entre los derechos de acceso, etc. Los roles son un vehículo común para la administración de directivas. |
Privilegio | Autoridad para realizar cambios en una red o equipo. Tanto las personas como las cuentas pueden tener privilegios y ambos pueden tener distintos niveles de privilegios. |
Cuenta privilegiada | Es una credencial de inicio de sesión en un servidor, firewall u otra cuenta administrativa. A menudo se conocen como cuentas de administrador. Consta del nombre de usuario y la contraseña reales; estos dos aspectos juntos son la cuenta. Asimismo, una cuenta con privilegios puede hacer más cosas que una cuenta normal. |
Escalación de privilegios | Las identidades con escalación de privilegios pueden aumentar el número de permisos que se les han concedido. Pueden hacerlo para adquirir un control administrativo total de la cuenta de AWS o del proyecto de GCP. |
Nube pública | Son servicios informáticos que ofrecen proveedores de terceros a través de la red pública de Internet, por lo que están disponibles para cualquier persona que quiera usarlos o comprarlos. Pueden ser gratis o venderse a petición, lo que permite a los clientes pagar solo por uso los ciclos de CPU, el almacenamiento o el ancho de banda que consumen. |
Recurso | Los usuarios y servicios pueden acceder a cualquier entidad que use funcionalidades de proceso para realizar acciones. |
Rol | Identidad IAM que tiene permisos específicos. En lugar de estar asociado de forma única a una persona, un rol está pensado para que lo pueda asumir cualquier persona que lo necesite. Igualmente, un rol no tiene credenciales estándar a largo plazo, como una contraseña o claves de acceso asociadas. |
SCIM | System for Cross–domain Identity Management |
SIEM | Administración de eventos e información de seguridad. Tecnología que admite la detección de amenazas, el cumplimiento y la administración de incidentes de seguridad a través de la recopilación y el análisis (casi en tiempo real e histórico) de eventos de seguridad, así como una amplia variedad de otros orígenes de datos contextuales y de eventos. Las capacidades principales son un amplio ámbito de administración y recopilación de eventos de registro, la capacidad de analizar eventos de registro y otros datos entre orígenes dispares y capacidades operativas (como la administración de incidentes, paneles e informes). |
SOAR | Respuesta automatizada de orquestación de seguridad (SOAR). Son tecnologías que permiten a las organizaciones realizar entradas de diversos orígenes (principalmente de sistemas de información de seguridad y administración de eventos [SIEM]) y aplicar flujos de trabajo alineados con procesos y procedimientos. Estos flujos de trabajo se pueden orquestar mediante integraciones con otras tecnologías y automatizarse para lograr el resultado deseado y una mayor visibilidad. Otras capacidades incluyen características de administración de casos e incidentes, la capacidad de administrar la inteligencia sobre amenazas, los paneles y los informes, y la obtención de análisis que se pueden aplicar en varias funciones. Las herramientas de SOAR mejoran significativamente las actividades de operaciones de seguridad, como la detección de amenazas y la respuesta, al proporcionar asistencia con tecnología automática a los analistas humanos para permitirles mejorar la eficacia y la coherencia de personas y procesos. |
Superusuario y superidentidad | Es una cuenta extremadamente eficaz que usan los administradores del sistema de TI y que se puede usar para realizar configuraciones en un sistema o aplicación, agregar o quitar usuarios o eliminar datos. A todas las acciones y recursos del entorno actual se les conceden permisos de superusuarios e identidades (es decir, cuenta de AWS). |
Inquilino | Instancia dedicada de los servicios y los datos de la organización almacenados en una ubicación predeterminada específica. |
UUID | Identificador único universal. Es una etiqueta de 128 bits que se usa para obtener información en los sistemas informáticos. También se usa el término identificador único global (GUID). |
Permisos usados | Número de permisos usados por una identidad en los últimos 90 días. |
Seguridad de confianza cero | Comprende los tres principios fundamentales: verificación explícita, suposición de infracción y acceso con privilegios mínimos. |
ZTNA | Acceso de red de confianza cero. Es un producto o servicio que crea un límite de acceso lógico basado en identidades y un contexto alrededor de una aplicación o un conjunto de aplicaciones. Las aplicaciones están ocultas de la detección, y el acceso está restringido a través de un agente de confianza a un conjunto de entidades con nombre. El agente comprueba la identidad, el contexto y el cumplimiento de la directiva de los participantes especificados antes de permitir el acceso y prohíbe el movimiento lateral en otra parte de la red. También quita los recursos de la aplicación para que no sean visibles de forma pública y reduce significativamente el área de superficie para ataques. |
Pasos siguientes
- Para obtener información general sobre la Administración de permisos, consulte ¿Qué es la Administración de permisos de Microsoft Entra?