Słownik Zarządzanie uprawnieniami Microsoft Entra
Ten słownik zawiera listę niektórych często używanych terminów w chmurze w Zarządzanie uprawnieniami Microsoft Entra. Te terminy ułatwiają użytkownikom zarządzania uprawnieniami nawigowanie po terminach specyficznych dla chmury i terminach ogólnych dotyczących chmury.
Często używane akronimy i terminy
Termin | Definicja |
---|---|
ACL | Lista kontroli dostępu. Lista plików lub zasobów zawierających informacje o tym, którzy użytkownicy lub grupy mają uprawnienia dostępu do tych zasobów lub zmodyfikować te pliki. |
ARN | Powiadomienie o zasobie platformy Azure |
System autoryzacji | CiEM obsługuje konta platformy AWS, subskrypcje platformy Azure, projekty GCP jako systemy autoryzacji |
Typ systemu autoryzacji | Każdy system, który zapewnia autoryzacje, przypisując uprawnienia do tożsamości, zasobów. Model CIEM obsługuje platformy AWS, Azure, GCP jako typy systemu autoryzacji |
Bezpieczeństwo w chmurze | Forma cyberbezpieczeństwa, która chroni dane przechowywane online na platformach przetwarzania w chmurze przed kradzieżą, wyciekiem i usunięciem. Obejmuje zapory, testy penetracyjne, zaciemnianie, tokenizację, wirtualne sieci prywatne (VPN) i unikanie publicznych połączeń internetowych. |
Magazyn w chmurze | Model usługi, w którym dane są przechowywane, zarządzane i tworzone zdalnie. Dostępne dla użytkowników za pośrednictwem sieci. |
CIAM | Zarządzanie dostępem do infrastruktury chmurowej |
CIEM | Zarządzanie upoważnieniami do infrastruktury chmurowej. Kolejna generacja rozwiązań wymuszających najmniejsze uprawnienia w chmurze. Rozwiązuje ona problemy z zabezpieczeniami natywnymi dla chmury związane z zarządzaniem dostępem do tożsamości w środowiskach chmury. |
CIS | Zabezpieczenia infrastruktury chmury |
CWP | Ochrona obciążeń w chmurze. Rozwiązanie zabezpieczeń skoncentrowane na obciążeniu, które jest przeznaczone dla unikatowych wymagań dotyczących ochrony obciążeń w nowoczesnych środowiskach przedsiębiorstwa. |
CNAPP | Ochrona aplikacji natywnej dla chmury. Zbieżność zarządzania stanem zabezpieczeń w chmurze (CSPM), ochrony obciążeń w chmurze (CWP), zarządzania upoważnieniami do infrastruktury chmury (CIEM) i brokera zabezpieczeń aplikacji w chmurze (CASB). Zintegrowane podejście do zabezpieczeń obejmujące cały cykl życia aplikacji natywnych dla chmury. |
CSPM | Zarządzanie stanem zabezpieczeń w chmurze. Rozwiązuje ryzyko naruszeń zgodności i błędów konfiguracji w środowiskach chmury przedsiębiorstwa. Ponadto koncentruje się na poziomie zasobów w celu zidentyfikowania odchyleń od ustawień zabezpieczeń najlepszych rozwiązań dotyczących ładu i zgodności w chmurze. |
CWPP | Platforma ochrony obciążeń w chmurze |
Zbierających | Jednostka wirtualna, która przechowuje konfigurację zbierania danych |
Delete — Zadanie | Zadanie wysokiego ryzyka, które umożliwia użytkownikom trwałe usunięcie zasobu. |
RED | Katalog przedsiębiorstwa |
Entitlement | Atrybut abstrakcyjny reprezentujący różne formy uprawnień użytkownika w wielu systemach infrastruktury i aplikacjach biznesowych. |
Zarządzanie upoważnieniami | Technologia, która przyznaje, rozpoznaje, wymusza, odwołuje i zarządza precyzyjnymi uprawnieniami dostępu (czyli autoryzacjami, uprawnieniami, uprawnieniami dostępu, uprawnieniami i regułami). Jego celem jest wykonanie zasad dostępu IT do danych, urządzeń i usług ustrukturyzowanych/nieustrukturyzowanych. Może być dostarczany przez różne technologie i często różni się między platformami, aplikacjami, składnikami sieciowymi i urządzeniami. |
Uprawnienia wysokiego ryzyka | Uprawnienia, które mogą powodować wyciek danych, zakłócenia i degradację usługi lub zmiany stanu zabezpieczeń. |
Zadanie wysokiego ryzyka | Zadanie, w którym użytkownik może spowodować wyciek danych, przerwy w działaniu usługi lub degradację usługi. |
Chmura hybrydowa | Czasami nazywane hybrydą chmury. Środowisko obliczeniowe, które łączy lokalne centrum danych (chmurę prywatną) z chmurą publiczną. Umożliwia udostępnianie danych i aplikacji między nimi. |
magazyn w chmurze hybrydowej | Chmura prywatna lub publiczna używana do przechowywania danych organizacji. |
ICM | Zarządzanie przypadkami zdarzeń |
IDENTYFIKATORY | Usługa wykrywania nieautoryzowanego dostępu |
Tożsamość | Tożsamość jest tożsamością człowieka (użytkownika) lub tożsamością obciążenia. Dla każdej chmury istnieją różne nazwy i typy tożsamości obciążeń. AWS: funkcja lambda (funkcja bezserwerowa), rola, zasób. Azure: funkcja platformy Azure (funkcja bezserwerowa), jednostka usługi. GCP: Funkcja w chmurze (funkcja bezserwerowa), konto usługi. |
Analiza tożsamości | Obejmuje podstawowe monitorowanie i korygowanie, nieaktywne i oddzielone wykrywanie i usuwanie kont oraz odnajdywanie uprzywilejowanych kont. |
Zarządzanie cyklem życia tożsamości | Obsługa tożsamości cyfrowych, ich relacji z organizacją i ich atrybutów podczas całego procesu od tworzenia do ostatecznej archiwizacji przy użyciu co najmniej jednego wzorca cyklu życia tożsamości. |
IGA | Zarządzanie tożsamościami i administrowanie nimi. Rozwiązania technologiczne, które przeprowadzają operacje zarządzania tożsamościami i zarządzania dostępem. Usługa IGA obejmuje narzędzia, technologie, raporty i działania zgodności wymagane do zarządzania cyklem życia tożsamości. Obejmuje ona każdą operację od tworzenia konta i kończenia obsługi administracyjnej użytkowników, certyfikacji dostępu i zarządzania hasłami przedsiębiorstwa. Analizuje ona zautomatyzowany przepływ pracy i dane z funkcji autorytatywnych źródeł, samoobsługowej aprowizacji użytkowników, ładu IT i zarządzania hasłami. |
Nieaktywna grupa | Nieaktywne grupy mają członków, którzy nie korzystali z udzielonych uprawnień w bieżącym środowisku (tj. koncie platformy AWS) w ciągu ostatnich 90 dni. |
Tożsamość nieaktywna | Nieaktywne tożsamości nie używały swoich udzielonych uprawnień w bieżącym środowisku (tj. koncie platformy AWS) w ciągu ostatnich 90 dni. |
ITSM | Zarządzanie zabezpieczeniami technologii informatycznych. Narzędzia umożliwiające organizacjom operacyjnym IT (menedżerom infrastruktury i operacji) lepsze wsparcie środowiska produkcyjnego. Ułatwianie zadań i przepływów pracy związanych z zarządzaniem i dostarczaniem usług IT wysokiej jakości. |
JEP | Wystarczy uprawnienia |
JIT | Dostęp just in Time można postrzegać jako sposób wymuszania zasady najniższych uprawnień w celu zapewnienia, że użytkownicy i tożsamości inne niż ludzkie otrzymują minimalny poziom uprawnień. Zapewnia również, że uprzywilejowane działania są prowadzone zgodnie z zasadami zarządzania dostępem do tożsamości (IAM), zarządzania usługami IT (ITSM) i privileged Access Management (PAM) z uprawnieniami i przepływami pracy. Strategia dostępu JIT umożliwia organizacjom utrzymanie pełnego dziennika inspekcji uprzywilejowanych działań, dzięki czemu mogą łatwo określić, kto lub co zyskało dostęp do jakich systemów, co zrobili w tym czasie i jak długo. |
Zasada najniższych uprawnień | Gwarantuje, że użytkownicy uzyskują dostęp tylko do określonych narzędzi, których potrzebują do wykonania zadania. |
Wiele dzierżaw | Pojedyncze wystąpienie oprogramowania i jego infrastruktury pomocniczej obsługuje wielu klientów. Każdy klient udostępnia aplikację programową, a także udostępnia pojedynczą bazę danych. |
OIDC | Połączenie OpenID. Protokół uwierzytelniania, który weryfikuje tożsamość użytkownika, gdy użytkownik próbuje uzyskać dostęp do chronionego punktu końcowego HTTPS. OIDC to ewolucyjny rozwój pomysłów zaimplementowanych wcześniej w usłudze OAuth. |
Zaaprowizowana aktywna tożsamość | Zaaprowizowane aktywne tożsamości nie korzystają ze wszystkich uprawnień, które zostały przyznane w bieżącym środowisku. |
PAM | Zarządzanie dostępem uprzywilejowanym. Narzędzia, które oferują co najmniej jedną z tych funkcji: odnajdywanie kont uprzywilejowanych i zarządzanie nimi oraz zarządzanie nimi w wielu systemach i aplikacjach; kontrola dostępu do uprzywilejowanych kont, w tym dostępu współużytkowanego i awaryjnego; losowe poświadczenia magazynu i zarządzanie nimi (hasło, klucze itp.) dla kont administracyjnych, usług i aplikacji; logowanie jednokrotne (SSO) w celu uzyskania dostępu uprzywilejowanego, aby zapobiec ujawnieniu poświadczeń; kontrolować, filtrować i organizować uprzywilejowane polecenia, akcje i zadania; zarządzanie poświadczeniami brokera i aplikacjami, usługami i urządzeniami w celu uniknięcia narażenia; oraz monitorowanie, rejestrowanie, inspekcja i analizowanie uprzywilejowanego dostępu, sesji i akcji. |
PASM | Uprzywilejowane konta są chronione przez przechowywanie poświadczeń. Dostęp do tych kont jest następnie obsługiwany dla użytkowników, usług i aplikacji. Funkcje zarządzania sesjami uprzywilejowanymi (PSM) ustanawiają sesje z możliwym wstrzyknięciem poświadczeń i pełnym rejestrowaniem sesji. Hasła i inne poświadczenia dla kont uprzywilejowanych są aktywnie zarządzane i zmieniane w określonych interwałach lub w przypadku wystąpienia określonych zdarzeń. Rozwiązania PASM mogą również zapewniać zarządzanie hasłami aplikacji do aplikacji (AAPM) i funkcje dostępu zdalnego z zerowym dostępem uprzywilejowanym dla pracowników IT i innych firm, które nie wymagają sieci VPN. |
PEDM | Określone uprawnienia są przyznawane w systemie zarządzanym przez agentów opartych na hoście do zalogowanych użytkowników. Narzędzia PEDM zapewniają kontrolę poleceń opartą na hoście (filtrowanie); kontrolki zezwalania, odmowy i izolowania aplikacji; i/lub podniesienie uprawnień. Ten ostatni jest w formie zezwalania na uruchamianie określonych poleceń z wyższym poziomem uprawnień. Narzędzia PEDM są wykonywane na rzeczywistym systemie operacyjnym na poziomie jądra lub procesu. Kontrola poleceń za pośrednictwem filtrowania protokołu jest jawnie wykluczona z tej definicji, ponieważ punkt kontroli jest mniej niezawodny. Narzędzia PEDM mogą również udostępniać funkcje monitorowania integralności plików. |
Uprawnienie | Prawa i uprawnienia. Akcja, która może być wykonywana na zasobie. Szczegóły podane przez użytkowników lub administratorów sieci definiujących prawa dostępu do plików w sieci. Kontrolki dostępu dołączone do zasobu dyktujące, które tożsamości mogą uzyskiwać do niego dostęp i jak. Uprawnienia są dołączane do tożsamości i umożliwiają wykonywanie określonych akcji. |
ZASOBNIK | Uprawnienie na żądanie. Typ dostępu JIT, który umożliwia tymczasowe podniesienie uprawnień, dzięki czemu tożsamości mogą uzyskiwać dostęp do zasobów według żądania, na podstawie czasu. |
Indeks pełzania uprawnień (PCI) | Liczba z zakresu od 0 do 100, która reprezentuje ryzyko związane z ryzykiem użytkowników z dostępem do uprawnień wysokiego ryzyka. PCI to funkcja użytkowników, którzy mają dostęp do uprawnień wysokiego ryzyka, ale nie korzystają z nich aktywnie. |
Zarządzanie zasadami i rolami | Zachowaj reguły, które zarządzają automatycznym przypisywaniem i usuwaniem praw dostępu. Zapewnia widoczność praw dostępu do wyboru w żądaniach dostępu, procesach zatwierdzania, zależnościach i niezgodności między prawami dostępu i nie tylko. Role to wspólny pojazd do zarządzania zasadami. |
Privilege | Uprawnienia do wprowadzania zmian w sieci lub komputerze. Zarówno osoby, jak i konta mogą mieć uprawnienia, a oba mogą mieć różne poziomy uprawnień. |
Konto uprzywilejowane | Poświadczenia logowania do serwera, zapory lub innego konta administracyjnego. Często określane jako konta administratora. Składa się z rzeczywistej nazwy użytkownika i hasła; te dwie rzeczy razem składają się na konto. Uprzywilejowane konto może wykonywać więcej czynności niż zwykłe konto. |
Eskalacja uprawnień | Tożsamości z eskalacją uprawnień mogą zwiększyć liczbę udzielonych uprawnień. Może to zrobić, aby potencjalnie uzyskać pełną kontrolę administracyjną nad kontem platformy AWS lub projektem GCP. |
Chmura publiczna | Usługi obliczeniowe oferowane przez dostawców innych firm za pośrednictwem publicznego Internetu, udostępniając je każdemu, kto chce ich używać lub kupować. Mogą być one bezpłatne lub sprzedawane na żądanie, co umożliwia klientom płacenie tylko za faktyczne zużycie cykli procesora CPU, pojemności lub przepustowości. |
Zasób | Każda jednostka korzystająca z możliwości obliczeniowych może uzyskać dostęp do użytkowników i usług w celu wykonywania akcji. |
Rola | Tożsamość IAM, która ma określone uprawnienia. Zamiast być jednoznacznie kojarzone z jedną osobą, rola jest przeznaczona do assumable przez każdego, kto go potrzebuje. Rola nie ma standardowych poświadczeń długoterminowych, takich jak hasło lub klucze dostępu skojarzone. |
SCIM | System zarządzania tożsamościami między domenami |
SIEM | Zarządzanie informacjami i zdarzeniami zabezpieczeń. Technologia, która obsługuje wykrywanie zagrożeń, zgodność i zarządzanie zdarzeniami zabezpieczeń za pośrednictwem zbierania i analizy (zarówno niemal w czasie rzeczywistym, jak i historycznych) zdarzeń zabezpieczeń, a także szerokiej gamy innych źródeł danych zdarzeń i kontekstowych. Podstawowe możliwości to szeroki zakres zbierania i zarządzania zdarzeniami dziennika, możliwość analizowania zdarzeń dzienników i innych danych w różnych źródłach oraz możliwości operacyjnych (takich jak zarządzanie zdarzeniami, pulpity nawigacyjne i raportowanie). |
SOAR | Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR). Technologie, które umożliwiają organizacjom wprowadzanie danych wejściowych z różnych źródeł (głównie z systemów zarządzania informacjami i zdarzeniami zabezpieczeń [SIEM] oraz stosowanie przepływów pracy dostosowanych do procesów i procedur. Te przepływy pracy można organizować za pośrednictwem integracji z innymi technologiami i zautomatyzować w celu osiągnięcia pożądanego wyniku i większej widoczności. Inne możliwości obejmują funkcje zarządzania przypadkami i zdarzeniami; możliwość zarządzania analizą zagrożeń, pulpitami nawigacyjnymi i raportowaniem; i analizy, które można zastosować w różnych funkcjach. Narzędzia SOAR znacznie zwiększają działania operacji zabezpieczeń, takie jak wykrywanie zagrożeń i reagowanie na nie, zapewniając pomoc wspomaganą maszynowo analitykom w celu poprawy wydajności i spójności osób i procesów. |
Superuzytkownik/Tożsamość super | Zaawansowane konto używane przez administratorów systemu IT, które może służyć do tworzenia konfiguracji w systemie lub aplikacji, dodawania lub usuwania użytkowników lub usuwania danych. Administratorzy i tożsamości otrzymują uprawnienia do wszystkich akcji i zasobów w bieżącym środowisku (tj. konto platformy AWS). |
Dzierżawa | Dedykowane wystąpienie usług i danych organizacji przechowywanych w określonej lokalizacji domyślnej. |
UUID | Unikatowy identyfikator uniwersalny. Etykieta 128-bitowa używana do obsługi informacji w systemach komputerowych. Używany jest również termin globalnie unikatowy identyfikator (GUID). |
Używane uprawnienia | Liczba uprawnień używanych przez tożsamość w ciągu ostatnich 90 dni. |
Zabezpieczenia zerowego zaufania | Trzy podstawowe zasady: jawna weryfikacja, naruszenie założeń i najmniej uprzywilejowany dostęp. |
ZTNA | Dostęp sieciowy o zerowym zaufaniu. Produkt lub usługa, która tworzy granicę dostępu logicznego opartego na tożsamości i kontekście wokół aplikacji lub zestawu aplikacji. Aplikacje są ukryte przed odnajdywaniem, a dostęp jest ograniczony za pośrednictwem brokera zaufania do zestawu nazwanych jednostek. Broker weryfikuje tożsamość, kontekst i przestrzeganie zasad określonych uczestników przed zezwoleniem na dostęp i zakazuje przenoszenia bocznego w innym miejscu w sieci. Usuwa zasoby aplikacji z publicznej widoczności i znacznie zmniejsza obszar powierzchni do ataku. |
Następne kroki
- Aby zapoznać się z omówieniem zarządzania uprawnieniami, zobacz Co Zarządzanie uprawnieniami Microsoft Entra?.