Słownik zarządzania uprawnieniami firmy Microsoft
Ten słownik zawiera listę niektórych często używanych terminów w chmurze w usłudze Microsoft Entra Permissions Management. Te terminy ułatwiają użytkownikom zarządzania uprawnieniami nawigowanie po terminach specyficznych dla chmury i terminach ogólnych dotyczących chmury.
Często używane akronimy i terminy
| Termin | Definicja |
|---|---|
| więzadło krzyżowe przednie (ACL) | Lista kontroli dostępu. Lista plików lub zasobów zawierających informacje o tym, którzy użytkownicy lub grupy mają uprawnienia dostępu do tych zasobów lub zmodyfikować te pliki. |
| ARN | Powiadomienie o zasobie platformy Azure |
| System autoryzacji | CiEM obsługuje konta platformy AWS, subskrypcje platformy Azure, projekty GCP jako systemy autoryzacji |
| Typ systemu autoryzacji | Każdy system, który zapewnia autoryzacje, przypisując uprawnienia do tożsamości, zasobów. Model CIEM obsługuje platformy AWS, Azure, GCP jako typy systemu autoryzacji |
| Zabezpieczenia chmury | Forma cyberbezpieczeństwa, która chroni dane przechowywane online na platformach przetwarzania w chmurze przed kradzieżą, wyciekiem i usunięciem. Obejmuje zapory, testy penetracyjne, zaciemnianie, tokenizację, wirtualne sieci prywatne (VPN) i unikanie publicznych połączeń internetowych. |
| Magazyn w chmurze | Model usługi, w którym dane są przechowywane, zarządzane i kopiowane zdalnie. Dostępne dla użytkowników za pośrednictwem sieci. |
| CIAM | Zarządzanie dostępem do infrastruktury chmurowej |
| CIEM | Zarządzanie upoważnieniami do infrastruktury chmurowej. Kolejna generacja rozwiązań wymuszających najmniejsze uprawnienia w chmurze. Rozwiązuje ona problemy z zabezpieczeniami natywnymi dla chmury związane z zarządzaniem dostępem do tożsamości w środowiskach chmury. |
| WNP | Zabezpieczenia infrastruktury chmury |
| CWP | Ochrona obciążeń w chmurze. Rozwiązanie zabezpieczeń skoncentrowane na obciążeniu, które jest przeznaczone dla unikatowych wymagań dotyczących ochrony obciążeń w nowoczesnych środowiskach przedsiębiorstwa. |
| CNAPP | Cloud-Native Ochrona aplikacji. Zbieżność zarządzania stanem zabezpieczeń w chmurze (CSPM), ochrony obciążeń w chmurze (CWP), zarządzania upoważnieniami do infrastruktury chmury (CIEM) i brokera zabezpieczeń aplikacji w chmurze (CASB). Zintegrowane podejście do zabezpieczeń obejmujące cały cykl życia aplikacji natywnych dla chmury. |
| CSPM | Zarządzanie stanem zabezpieczeń w chmurze. Rozwiązuje ryzyko naruszeń zgodności i błędów konfiguracji w środowiskach chmury przedsiębiorstwa. Ponadto koncentruje się na poziomie zasobów w celu zidentyfikowania odchyleń od najlepszych praktyk w zakresie zabezpieczeń dotyczących ładu i zgodności w chmurze. |
| CWPP | Platforma ochrony obciążeń w chmurze |
| Kolektor danych | Jednostka wirtualna, która przechowuje konfigurację zbierania danych |
| Usuń zadanie | Zadanie wysokiego ryzyka, które umożliwia użytkownikom trwałe usunięcie zasobu. |
| ED | Katalog przedsiębiorstwa |
| Uprawnienia | Atrybut abstrakcyjny reprezentujący różne formy uprawnień użytkownika w wielu systemach infrastruktury i aplikacjach biznesowych. |
| Zarządzanie upoważnieniami | Technologia, która przyznaje, rozpoznaje, wymusza, odwołuje i zarządza precyzyjnymi uprawnieniami dostępu (czyli autoryzacjami, uprawnieniami, uprawnieniami dostępu, uprawnieniami i regułami). Jego celem jest wykonanie zasad dostępu IT do danych, urządzeń i usług ustrukturyzowanych/nieustrukturyzowanych. Może być dostarczany przez różne technologie i często różni się między platformami, aplikacjami, składnikami sieciowymi i urządzeniami. |
| Uprawnienia wysokiego ryzyka | Uprawnienia, które mogą powodować wyciek danych, zakłócenia i degradację usługi lub zmiany stanu zabezpieczeń. |
| Zadanie wysokiego ryzyka | Zadanie, w którym użytkownik może spowodować wyciek danych, przerwy w działaniu usługi lub degradację usługi. |
| Chmura hybrydowa | Czasami nazywane chmurą hybrydową. Środowisko obliczeniowe, które łączy lokalne centrum danych (chmurę prywatną) z chmurą publiczną. Umożliwia udostępnianie danych i aplikacji między nimi. |
| magazyn w chmurze hybrydowej | Chmura prywatna lub publiczna używana do przechowywania danych organizacji. |
| ICM | Zarządzanie przypadkami zdarzeń |
| It is necessary to know the specific context of "IDS" to provide the most accurate translation. Based on the context we have, I'll proceed without suggesting an alternate translation without specific context indicating otherwise. | Usługa wykrywania nieautoryzowanego dostępu |
| Tożsamość | Tożsamość jest tożsamością człowieka (użytkownika) lub tożsamością obciążenia. Dla każdej chmury istnieją różne nazwy i typy tożsamości obciążeń. AWS: funkcja lambda (funkcja bezserwerowa), rola, zasób. Azure: funkcja platformy Azure (funkcja bezserwerowa), jednostka usługi. GCP: Funkcja w chmurze (funkcja bezserwerowa), konto usługi. |
| Analiza tożsamości | Obejmuje podstawowe monitorowanie i zaradzanie, wykrywanie i usuwanie nieaktywnych i osieroconych kont oraz odnajdywanie uprzywilejowanych kont. |
| Zarządzanie cyklem życia tożsamości | Obsługa tożsamości cyfrowych, ich relacji z organizacją i ich atrybutów podczas całego procesu od tworzenia do ostatecznej archiwizacji przy użyciu co najmniej jednego wzorca cyklu życia tożsamości. |
| IGA | Zarządzanie tożsamościami i administrowanie nimi. Rozwiązania technologiczne, które przeprowadzają operacje zarządzania tożsamościami i zarządzania dostępem. Usługa IGA obejmuje narzędzia, technologie, raporty i działania zgodności wymagane do zarządzania cyklem życia tożsamości. Obejmuje ona każdą operację od tworzenia i usuwania konta, przez udostępnianie użytkownikom, certyfikację dostępu, aż po zarządzanie hasłami przedsiębiorstwa. Analizuje ona zautomatyzowany przepływ pracy i dane z funkcjonalności autorytatywnych źródeł, samoobsługowego wdrażania użytkowników, zarządzania IT i zarządzania hasłami. |
| Nieaktywna grupa | Nieaktywne grupy mają członków, którzy nie korzystali z udzielonych uprawnień w bieżącym środowisku (tj. koncie platformy AWS) w ciągu ostatnich 90 dni. |
| Tożsamość nieaktywna | Tożsamości nieaktywne nie korzystały z nadanych im uprawnień w bieżącym środowisku (tj. koncie platformy AWS) w ciągu ostatnich 90 dni. |
| ITSM | Zarządzanie zabezpieczeniami technologii informatycznych. Narzędzia umożliwiające organizacjom operacyjnym IT (menedżerom infrastruktury i operacji) lepsze wsparcie środowiska produkcyjnego. Ułatwianie zadań i przepływów pracy związanych z zarządzaniem i dostarczaniem usług IT wysokiej jakości. |
| JeP | Wystarczy uprawnienia |
| JIT | Dostęp just in Time można postrzegać jako sposób wymuszania zasady najniższych uprawnień w celu zapewnienia, że użytkownicy i tożsamości inne niż ludzkie otrzymują minimalny poziom uprawnień. Zapewnia również, że uprzywilejowane działania są prowadzone zgodnie z politykami zarządzania dostępem do tożsamości (IAM), zarządzania usługami IT (ITSM) oraz zarządzania uprzywilejowanym dostępem (PAM), wraz z przypisanymi uprawnieniami i przepływami pracy. Strategia dostępu JIT umożliwia organizacjom utrzymanie pełnego dziennika inspekcji uprzywilejowanych działań, dzięki czemu mogą łatwo określić, kto lub co zyskało dostęp do jakich systemów, co zrobili w tym czasie i jak długo. |
| Najmniej uprzywilejowane | Gwarantuje, że użytkownicy uzyskują dostęp tylko do określonych narzędzi, których potrzebują do wykonania zadania. |
| Wielokontenancyjny | Pojedyncze wystąpienie oprogramowania i jego infrastruktury pomocniczej obsługuje wielu klientów. Każdy klient udostępnia aplikację programową, a także udostępnia pojedynczą bazę danych. |
| OIDC | OpenID Connect. Protokół uwierzytelniania, który weryfikuje tożsamość użytkownika, gdy użytkownik próbuje uzyskać dostęp do chronionego punktu końcowego HTTPS. OIDC to ewolucyjny rozwój pomysłów zaimplementowanych wcześniej w usłudze OAuth. |
| Nadmiarowa aktywna tożsamość | Nadmiarowo przydzielone aktywne tożsamości nie korzystają ze wszystkich uprawnień, które zostały im przyznane w bieżącym środowisku. |
| PAM | Zarządzanie dostępem uprzywilejowanym. Narzędzia, które oferują co najmniej jedną z tych funkcji: odnajdywanie, zarządzanie i kontrolowanie kont uprzywilejowanych w wielu systemach i aplikacjach; kontrola dostępu do uprzywilejowanych kont, w tym dostępu współużytkowanego i awaryjnego; losowe ustalanie, zarządzanie i przechowywanie poświadczeń (hasła, klucze itp.) dla kont administracyjnych, usługowych i aplikacyjnych; logowanie jednokrotne (SSO) w celu uzyskania dostępu uprzywilejowanego, aby zapobiec ujawnieniu poświadczeń; kontrolowanie, filtrowanie i orkiestracja uprzywilejowanych poleceń, działań i zadań; zarządzanie i pośredniczenie poświadczeniami do aplikacji, usług i urządzeń w celu uniknięcia narażenia; oraz monitorowanie, rejestrowanie, audyt i analizowanie uprzywilejowanego dostępu, sesji i działań. |
| PASM | Uprzywilejowane konta są chronione przez przechowywanie poświadczeń. Dostęp do tych kont jest następnie obsługiwany dla użytkowników, usług i aplikacji. Funkcje zarządzania sesjami uprzywilejowanymi (PSM) umożliwiają ustanawianie sesji z opcją wstrzyknięcia poświadczeń oraz pełnym nagrywaniem sesji. Hasła i inne poświadczenia dla kont uprzywilejowanych są aktywnie zarządzane i zmieniane w określonych interwałach lub w przypadku wystąpienia określonych zdarzeń. Rozwiązania PASM mogą również zapewniać zarządzanie hasłami aplikacji do aplikacji (AAPM) oraz funkcje zdalnego dostępu uprzywilejowanego bez instalacji dla pracowników IT i stron trzecich, które nie wymagają sieci VPN. |
| PEDM | Określone uprawnienia są przyznawane na zarządzanym systemie przez agentów bazujących na hoście zalogowanym użytkownikom. Narzędzia PEDM zapewniają kontrolę poleceń opartą na hoście (filtrowanie); kontrolki zezwalania, odmowy i izolowania aplikacji; i/lub podniesienie uprawnień. Ten drugi polega na umożliwieniu uruchamiania określonych poleceń z większymi uprawnieniami. Narzędzia PEDM są wykonywane na rzeczywistym systemie operacyjnym na poziomie jądra lub procesu. Kontrola poleceń za pośrednictwem filtrowania protokołu jest jawnie wykluczona z tej definicji, ponieważ punkt kontroli jest mniej niezawodny. Narzędzia PEDM mogą również udostępniać funkcje monitorowania integralności plików. |
| Pozwolenie | Prawa i uprawnienia. Akcja, którą tożsamość może wykonać na zasobie. Szczegóły podane przez użytkowników lub administratorów sieci definiujących prawa dostępu do plików w sieci. Kontrolki dostępu dołączone do zasobu dyktujące, które tożsamości mogą uzyskiwać do niego dostęp i jak. Uprawnienia są przypisywane tożsamościom i umożliwiają wykonywanie określonych czynności. |
| STRĄCZEK | Uprawnienie na żądanie. Typ dostępu JIT, który umożliwia tymczasowe podniesienie uprawnień, dzięki czemu tożsamości mogą uzyskiwać dostęp do zasobów na żądanie, w oparciu o określony czas. |
| Indeks stopniowego rozszerzania uprawnień (PCI) | Liczba z zakresu od 0 do 100, która reprezentuje ryzyko związane z ryzykiem użytkowników z dostępem do uprawnień wysokiego ryzyka. PCI to funkcja użytkowników, którzy mają dostęp do uprawnień wysokiego ryzyka, ale nie korzystają z nich aktywnie. |
| Zarządzanie zasadami i rolami | Zachowaj reguły, które zarządzają automatycznym przypisywaniem i usuwaniem praw dostępu. Zapewnia widoczność praw dostępu do wyboru w żądaniach dostępu, procesach zatwierdzania, zależnościach i niezgodności między prawami dostępu i nie tylko. Role to powszechne narzędzie w zarządzaniu zasadami. |
| Przywilej | Uprawnienia do wprowadzania zmian w sieci lub komputerze. Zarówno osoby, jak i konta mogą mieć uprawnienia, a oba mogą mieć różne poziomy uprawnień. |
| Konto uprzywilejowane | Dane logowania do serwera, zapory lub innego konta administracyjnego. Często określane jako konta administratora. Składa się z rzeczywistej nazwy użytkownika i hasła; te dwie rzeczy razem składają się na konto. Uprzywilejowane konto może wykonywać więcej czynności niż zwykłe konto. |
| Eskalacja uprawnień | Tożsamości podnoszące poziom uprawnień mogą zwiększyć liczbę swoich uprawnień. Może to zrobić, aby potencjalnie uzyskać pełną kontrolę administracyjną nad kontem platformy AWS lub projektem GCP. |
| Chmura publiczna | Usługi obliczeniowe oferowane przez dostawców innych firm za pośrednictwem publicznego Internetu, udostępniając je każdemu, kto chce ich używać lub kupować. Mogą być bezpłatne lub sprzedawane na żądanie, dzięki czemu klienci mogą płacić tylko za użycie cykli procesora CPU, przestrzeni dyskowej lub przepustowości, z której korzystają. |
| Zasób | Każda jednostka korzystająca z możliwości obliczeniowych może uzyskać dostęp do użytkowników i usług w celu wykonywania akcji. |
| Rola | Tożsamość IAM, która ma określone uprawnienia. Zamiast być jednoznacznie kojarzoną z jedną osobą, rola jest przeznaczona do objęcia przez każdego, kto jej potrzebuje. Rola nie ma standardowych poświadczeń długoterminowych, takich jak hasło lub klucze dostępu związane z nimi. |
| SCIM | System zarządzania tożsamościami między domenami |
| SIEM | Zarządzanie bezpieczeństwem informacji i zdarzeniami. Technologia, która obsługuje wykrywanie zagrożeń, zgodność i zarządzanie zdarzeniami zabezpieczeń za pośrednictwem zbierania i analizy (zarówno niemal w czasie rzeczywistym, jak i historycznych) zdarzeń zabezpieczeń, a także szerokiej gamy innych źródeł danych zdarzeń i kontekstowych. Podstawowe możliwości to szeroki zakres zbierania i zarządzania zdarzeniami dziennika, możliwość analizowania zdarzeń dzienników i innych danych w różnych źródłach oraz możliwości operacyjnych (takich jak zarządzanie zdarzeniami, pulpity nawigacyjne i raportowanie). |
| SZYBOWAĆ | Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR). Technologie, które umożliwiają organizacjom wprowadzanie danych wejściowych z różnych źródeł (głównie z systemów zarządzania informacjami i zdarzeniami zabezpieczeń [SIEM] oraz stosowanie przepływów pracy dostosowanych do procesów i procedur. Te przepływy pracy można organizować za pośrednictwem integracji z innymi technologiami i zautomatyzować w celu osiągnięcia pożądanego wyniku i większej widoczności. Inne możliwości obejmują funkcje zarządzania przypadkami i zdarzeniami; możliwość zarządzania analizą zagrożeń, pulpitami nawigacyjnymi i raportowaniem; i analizy, które można zastosować w różnych funkcjach. Narzędzia SOAR znacznie zwiększają działania operacji zabezpieczeń, takie jak wykrywanie zagrożeń i reagowanie na nie, zapewniając pomoc wspomaganą maszynowo analitykom w celu poprawy wydajności i spójności osób i procesów. |
| Superużytkownik/Super tożsamość | Zaawansowane konto używane przez administratorów systemu IT, które może służyć do tworzenia konfiguracji w systemie lub aplikacji, dodawania lub usuwania użytkowników lub usuwania danych. Superużytkownicy i tożsamości otrzymują uprawnienia do wszystkich akcji i zasobów w bieżącym środowisku (tj. konto AWS). |
| Najemca | Dedykowana instancja usług oraz dane organizacji, przechowywane w określonej domyślnej lokalizacji. |
| Identyfikator UUID | Unikatowy identyfikator uniwersalny. Etykieta 128-bitowa używana do obsługi informacji w systemach komputerowych. Używany jest również termin globalnie unikatowy identyfikator (GUID). |
| Używane uprawnienia | Liczba uprawnień używanych przez identyfikator w ciągu ostatnich 90 dni. |
| Zabezpieczenia zerowego zaufania | Trzy podstawowe zasady: jawna weryfikacja, naruszenie założeń i najmniej uprzywilejowany dostęp. |
| ZTNA | Dostęp sieciowy o zerowym zaufaniu. Produkt lub usługa, która tworzy granicę dostępu logicznego opartego na tożsamości i kontekście wokół aplikacji lub zestawu aplikacji. Aplikacje są ukryte przed odnajdywaniem, a dostęp jest ograniczony za pośrednictwem brokera zaufania do zestawu nazwanych jednostek. Broker weryfikuje tożsamość, kontekst i zgodność z polityką określonych uczestników przed zezwoleniem na dostęp i zakazuje ruchów lateralnych w innych miejscach w sieci. Usuwa zasoby aplikacji z publicznej widoczności i znacznie zmniejsza obszar powierzchni do ataku. |
Następne kroki
- Aby zapoznać się z omówieniem zarządzania uprawnieniami, zobacz Czym jest Zarządzanie uprawnieniami Microsoft Entra?.