Udostępnij za pośrednictwem


Słownik Zarządzanie uprawnieniami Microsoft Entra

Ten słownik zawiera listę niektórych często używanych terminów w chmurze w Zarządzanie uprawnieniami Microsoft Entra. Te terminy ułatwiają użytkownikom zarządzania uprawnieniami nawigowanie po terminach specyficznych dla chmury i terminach ogólnych dotyczących chmury.

Często używane akronimy i terminy

Termin Definicja
ACL Lista kontroli dostępu. Lista plików lub zasobów zawierających informacje o tym, którzy użytkownicy lub grupy mają uprawnienia dostępu do tych zasobów lub zmodyfikować te pliki.
ARN Powiadomienie o zasobie platformy Azure
System autoryzacji CiEM obsługuje konta platformy AWS, subskrypcje platformy Azure, projekty GCP jako systemy autoryzacji
Typ systemu autoryzacji Każdy system, który zapewnia autoryzacje, przypisując uprawnienia do tożsamości, zasobów. Model CIEM obsługuje platformy AWS, Azure, GCP jako typy systemu autoryzacji
Bezpieczeństwo w chmurze Forma cyberbezpieczeństwa, która chroni dane przechowywane online na platformach przetwarzania w chmurze przed kradzieżą, wyciekiem i usunięciem. Obejmuje zapory, testy penetracyjne, zaciemnianie, tokenizację, wirtualne sieci prywatne (VPN) i unikanie publicznych połączeń internetowych.
Magazyn w chmurze Model usługi, w którym dane są przechowywane, zarządzane i tworzone zdalnie. Dostępne dla użytkowników za pośrednictwem sieci.
CIAM Zarządzanie dostępem do infrastruktury chmurowej
CIEM Zarządzanie upoważnieniami do infrastruktury chmurowej. Kolejna generacja rozwiązań wymuszających najmniejsze uprawnienia w chmurze. Rozwiązuje ona problemy z zabezpieczeniami natywnymi dla chmury związane z zarządzaniem dostępem do tożsamości w środowiskach chmury.
CIS Zabezpieczenia infrastruktury chmury
CWP Ochrona obciążeń w chmurze. Rozwiązanie zabezpieczeń skoncentrowane na obciążeniu, które jest przeznaczone dla unikatowych wymagań dotyczących ochrony obciążeń w nowoczesnych środowiskach przedsiębiorstwa.
CNAPP Ochrona aplikacji natywnej dla chmury. Zbieżność zarządzania stanem zabezpieczeń w chmurze (CSPM), ochrony obciążeń w chmurze (CWP), zarządzania upoważnieniami do infrastruktury chmury (CIEM) i brokera zabezpieczeń aplikacji w chmurze (CASB). Zintegrowane podejście do zabezpieczeń obejmujące cały cykl życia aplikacji natywnych dla chmury.
CSPM Zarządzanie stanem zabezpieczeń w chmurze. Rozwiązuje ryzyko naruszeń zgodności i błędów konfiguracji w środowiskach chmury przedsiębiorstwa. Ponadto koncentruje się na poziomie zasobów w celu zidentyfikowania odchyleń od ustawień zabezpieczeń najlepszych rozwiązań dotyczących ładu i zgodności w chmurze.
CWPP Platforma ochrony obciążeń w chmurze
Zbierających Jednostka wirtualna, która przechowuje konfigurację zbierania danych
Delete — Zadanie Zadanie wysokiego ryzyka, które umożliwia użytkownikom trwałe usunięcie zasobu.
RED Katalog przedsiębiorstwa
Entitlement Atrybut abstrakcyjny reprezentujący różne formy uprawnień użytkownika w wielu systemach infrastruktury i aplikacjach biznesowych.
Zarządzanie upoważnieniami Technologia, która przyznaje, rozpoznaje, wymusza, odwołuje i zarządza precyzyjnymi uprawnieniami dostępu (czyli autoryzacjami, uprawnieniami, uprawnieniami dostępu, uprawnieniami i regułami). Jego celem jest wykonanie zasad dostępu IT do danych, urządzeń i usług ustrukturyzowanych/nieustrukturyzowanych. Może być dostarczany przez różne technologie i często różni się między platformami, aplikacjami, składnikami sieciowymi i urządzeniami.
Uprawnienia wysokiego ryzyka Uprawnienia, które mogą powodować wyciek danych, zakłócenia i degradację usługi lub zmiany stanu zabezpieczeń.
Zadanie wysokiego ryzyka Zadanie, w którym użytkownik może spowodować wyciek danych, przerwy w działaniu usługi lub degradację usługi.
Chmura hybrydowa Czasami nazywane hybrydą chmury. Środowisko obliczeniowe, które łączy lokalne centrum danych (chmurę prywatną) z chmurą publiczną. Umożliwia udostępnianie danych i aplikacji między nimi.
magazyn w chmurze hybrydowej Chmura prywatna lub publiczna używana do przechowywania danych organizacji.
ICM Zarządzanie przypadkami zdarzeń
IDENTYFIKATORY Usługa wykrywania nieautoryzowanego dostępu
Tożsamość Tożsamość jest tożsamością człowieka (użytkownika) lub tożsamością obciążenia. Dla każdej chmury istnieją różne nazwy i typy tożsamości obciążeń. AWS: funkcja lambda (funkcja bezserwerowa), rola, zasób. Azure: funkcja platformy Azure (funkcja bezserwerowa), jednostka usługi. GCP: Funkcja w chmurze (funkcja bezserwerowa), konto usługi.
Analiza tożsamości Obejmuje podstawowe monitorowanie i korygowanie, nieaktywne i oddzielone wykrywanie i usuwanie kont oraz odnajdywanie uprzywilejowanych kont.
Zarządzanie cyklem życia tożsamości Obsługa tożsamości cyfrowych, ich relacji z organizacją i ich atrybutów podczas całego procesu od tworzenia do ostatecznej archiwizacji przy użyciu co najmniej jednego wzorca cyklu życia tożsamości.
IGA Zarządzanie tożsamościami i administrowanie nimi. Rozwiązania technologiczne, które przeprowadzają operacje zarządzania tożsamościami i zarządzania dostępem. Usługa IGA obejmuje narzędzia, technologie, raporty i działania zgodności wymagane do zarządzania cyklem życia tożsamości. Obejmuje ona każdą operację od tworzenia konta i kończenia obsługi administracyjnej użytkowników, certyfikacji dostępu i zarządzania hasłami przedsiębiorstwa. Analizuje ona zautomatyzowany przepływ pracy i dane z funkcji autorytatywnych źródeł, samoobsługowej aprowizacji użytkowników, ładu IT i zarządzania hasłami.
Nieaktywna grupa Nieaktywne grupy mają członków, którzy nie korzystali z udzielonych uprawnień w bieżącym środowisku (tj. koncie platformy AWS) w ciągu ostatnich 90 dni.  
Tożsamość nieaktywna Nieaktywne tożsamości nie używały swoich udzielonych uprawnień w bieżącym środowisku (tj. koncie platformy AWS) w ciągu ostatnich 90 dni.
ITSM Zarządzanie zabezpieczeniami technologii informatycznych. Narzędzia umożliwiające organizacjom operacyjnym IT (menedżerom infrastruktury i operacji) lepsze wsparcie środowiska produkcyjnego. Ułatwianie zadań i przepływów pracy związanych z zarządzaniem i dostarczaniem usług IT wysokiej jakości.
JEP Wystarczy uprawnienia
JIT Dostęp just in Time można postrzegać jako sposób wymuszania zasady najniższych uprawnień w celu zapewnienia, że użytkownicy i tożsamości inne niż ludzkie otrzymują minimalny poziom uprawnień. Zapewnia również, że uprzywilejowane działania są prowadzone zgodnie z zasadami zarządzania dostępem do tożsamości (IAM), zarządzania usługami IT (ITSM) i privileged Access Management (PAM) z uprawnieniami i przepływami pracy. Strategia dostępu JIT umożliwia organizacjom utrzymanie pełnego dziennika inspekcji uprzywilejowanych działań, dzięki czemu mogą łatwo określić, kto lub co zyskało dostęp do jakich systemów, co zrobili w tym czasie i jak długo.
Zasada najniższych uprawnień Gwarantuje, że użytkownicy uzyskują dostęp tylko do określonych narzędzi, których potrzebują do wykonania zadania.
Wiele dzierżaw Pojedyncze wystąpienie oprogramowania i jego infrastruktury pomocniczej obsługuje wielu klientów. Każdy klient udostępnia aplikację programową, a także udostępnia pojedynczą bazę danych.
OIDC Połączenie OpenID. Protokół uwierzytelniania, który weryfikuje tożsamość użytkownika, gdy użytkownik próbuje uzyskać dostęp do chronionego punktu końcowego HTTPS. OIDC to ewolucyjny rozwój pomysłów zaimplementowanych wcześniej w usłudze OAuth.
Zaaprowizowana aktywna tożsamość Zaaprowizowane aktywne tożsamości nie korzystają ze wszystkich uprawnień, które zostały przyznane w bieżącym środowisku.
PAM Zarządzanie dostępem uprzywilejowanym. Narzędzia, które oferują co najmniej jedną z tych funkcji: odnajdywanie kont uprzywilejowanych i zarządzanie nimi oraz zarządzanie nimi w wielu systemach i aplikacjach; kontrola dostępu do uprzywilejowanych kont, w tym dostępu współużytkowanego i awaryjnego; losowe poświadczenia magazynu i zarządzanie nimi (hasło, klucze itp.) dla kont administracyjnych, usług i aplikacji; logowanie jednokrotne (SSO) w celu uzyskania dostępu uprzywilejowanego, aby zapobiec ujawnieniu poświadczeń; kontrolować, filtrować i organizować uprzywilejowane polecenia, akcje i zadania; zarządzanie poświadczeniami brokera i aplikacjami, usługami i urządzeniami w celu uniknięcia narażenia; oraz monitorowanie, rejestrowanie, inspekcja i analizowanie uprzywilejowanego dostępu, sesji i akcji.
PASM Uprzywilejowane konta są chronione przez przechowywanie poświadczeń. Dostęp do tych kont jest następnie obsługiwany dla użytkowników, usług i aplikacji. Funkcje zarządzania sesjami uprzywilejowanymi (PSM) ustanawiają sesje z możliwym wstrzyknięciem poświadczeń i pełnym rejestrowaniem sesji. Hasła i inne poświadczenia dla kont uprzywilejowanych są aktywnie zarządzane i zmieniane w określonych interwałach lub w przypadku wystąpienia określonych zdarzeń. Rozwiązania PASM mogą również zapewniać zarządzanie hasłami aplikacji do aplikacji (AAPM) i funkcje dostępu zdalnego z zerowym dostępem uprzywilejowanym dla pracowników IT i innych firm, które nie wymagają sieci VPN.
PEDM Określone uprawnienia są przyznawane w systemie zarządzanym przez agentów opartych na hoście do zalogowanych użytkowników. Narzędzia PEDM zapewniają kontrolę poleceń opartą na hoście (filtrowanie); kontrolki zezwalania, odmowy i izolowania aplikacji; i/lub podniesienie uprawnień. Ten ostatni jest w formie zezwalania na uruchamianie określonych poleceń z wyższym poziomem uprawnień. Narzędzia PEDM są wykonywane na rzeczywistym systemie operacyjnym na poziomie jądra lub procesu. Kontrola poleceń za pośrednictwem filtrowania protokołu jest jawnie wykluczona z tej definicji, ponieważ punkt kontroli jest mniej niezawodny. Narzędzia PEDM mogą również udostępniać funkcje monitorowania integralności plików.
Uprawnienie Prawa i uprawnienia. Akcja, która może być wykonywana na zasobie. Szczegóły podane przez użytkowników lub administratorów sieci definiujących prawa dostępu do plików w sieci. Kontrolki dostępu dołączone do zasobu dyktujące, które tożsamości mogą uzyskiwać do niego dostęp i jak. Uprawnienia są dołączane do tożsamości i umożliwiają wykonywanie określonych akcji.
ZASOBNIK Uprawnienie na żądanie. Typ dostępu JIT, który umożliwia tymczasowe podniesienie uprawnień, dzięki czemu tożsamości mogą uzyskiwać dostęp do zasobów według żądania, na podstawie czasu.
Indeks pełzania uprawnień (PCI) Liczba z zakresu od 0 do 100, która reprezentuje ryzyko związane z ryzykiem użytkowników z dostępem do uprawnień wysokiego ryzyka. PCI to funkcja użytkowników, którzy mają dostęp do uprawnień wysokiego ryzyka, ale nie korzystają z nich aktywnie.
Zarządzanie zasadami i rolami Zachowaj reguły, które zarządzają automatycznym przypisywaniem i usuwaniem praw dostępu. Zapewnia widoczność praw dostępu do wyboru w żądaniach dostępu, procesach zatwierdzania, zależnościach i niezgodności między prawami dostępu i nie tylko. Role to wspólny pojazd do zarządzania zasadami.
Privilege Uprawnienia do wprowadzania zmian w sieci lub komputerze. Zarówno osoby, jak i konta mogą mieć uprawnienia, a oba mogą mieć różne poziomy uprawnień.
Konto uprzywilejowane Poświadczenia logowania do serwera, zapory lub innego konta administracyjnego. Często określane jako konta administratora. Składa się z rzeczywistej nazwy użytkownika i hasła; te dwie rzeczy razem składają się na konto. Uprzywilejowane konto może wykonywać więcej czynności niż zwykłe konto.
Eskalacja uprawnień Tożsamości z eskalacją uprawnień mogą zwiększyć liczbę udzielonych uprawnień. Może to zrobić, aby potencjalnie uzyskać pełną kontrolę administracyjną nad kontem platformy AWS lub projektem GCP.
Chmura publiczna Usługi obliczeniowe oferowane przez dostawców innych firm za pośrednictwem publicznego Internetu, udostępniając je każdemu, kto chce ich używać lub kupować. Mogą być one bezpłatne lub sprzedawane na żądanie, co umożliwia klientom płacenie tylko za faktyczne zużycie cykli procesora CPU, pojemności lub przepustowości.
Zasób Każda jednostka korzystająca z możliwości obliczeniowych może uzyskać dostęp do użytkowników i usług w celu wykonywania akcji.
Rola Tożsamość IAM, która ma określone uprawnienia. Zamiast być jednoznacznie kojarzone z jedną osobą, rola jest przeznaczona do assumable przez każdego, kto go potrzebuje. Rola nie ma standardowych poświadczeń długoterminowych, takich jak hasło lub klucze dostępu skojarzone.
SCIM System zarządzania tożsamościami między domenami
SIEM Zarządzanie informacjami i zdarzeniami zabezpieczeń. Technologia, która obsługuje wykrywanie zagrożeń, zgodność i zarządzanie zdarzeniami zabezpieczeń za pośrednictwem zbierania i analizy (zarówno niemal w czasie rzeczywistym, jak i historycznych) zdarzeń zabezpieczeń, a także szerokiej gamy innych źródeł danych zdarzeń i kontekstowych. Podstawowe możliwości to szeroki zakres zbierania i zarządzania zdarzeniami dziennika, możliwość analizowania zdarzeń dzienników i innych danych w różnych źródłach oraz możliwości operacyjnych (takich jak zarządzanie zdarzeniami, pulpity nawigacyjne i raportowanie).
SOAR Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR). Technologie, które umożliwiają organizacjom wprowadzanie danych wejściowych z różnych źródeł (głównie z systemów zarządzania informacjami i zdarzeniami zabezpieczeń [SIEM] oraz stosowanie przepływów pracy dostosowanych do procesów i procedur. Te przepływy pracy można organizować za pośrednictwem integracji z innymi technologiami i zautomatyzować w celu osiągnięcia pożądanego wyniku i większej widoczności. Inne możliwości obejmują funkcje zarządzania przypadkami i zdarzeniami; możliwość zarządzania analizą zagrożeń, pulpitami nawigacyjnymi i raportowaniem; i analizy, które można zastosować w różnych funkcjach. Narzędzia SOAR znacznie zwiększają działania operacji zabezpieczeń, takie jak wykrywanie zagrożeń i reagowanie na nie, zapewniając pomoc wspomaganą maszynowo analitykom w celu poprawy wydajności i spójności osób i procesów.
Superuzytkownik/Tożsamość super Zaawansowane konto używane przez administratorów systemu IT, które może służyć do tworzenia konfiguracji w systemie lub aplikacji, dodawania lub usuwania użytkowników lub usuwania danych. Administratorzy i tożsamości otrzymują uprawnienia do wszystkich akcji i zasobów w bieżącym środowisku (tj. konto platformy AWS).
Dzierżawa Dedykowane wystąpienie usług i danych organizacji przechowywanych w określonej lokalizacji domyślnej.
UUID Unikatowy identyfikator uniwersalny. Etykieta 128-bitowa używana do obsługi informacji w systemach komputerowych. Używany jest również termin globalnie unikatowy identyfikator (GUID).
Używane uprawnienia Liczba uprawnień używanych przez tożsamość w ciągu ostatnich 90 dni.
Zabezpieczenia zerowego zaufania Trzy podstawowe zasady: jawna weryfikacja, naruszenie założeń i najmniej uprzywilejowany dostęp.
ZTNA Dostęp sieciowy o zerowym zaufaniu. Produkt lub usługa, która tworzy granicę dostępu logicznego opartego na tożsamości i kontekście wokół aplikacji lub zestawu aplikacji. Aplikacje są ukryte przed odnajdywaniem, a dostęp jest ograniczony za pośrednictwem brokera zaufania do zestawu nazwanych jednostek. Broker weryfikuje tożsamość, kontekst i przestrzeganie zasad określonych uczestników przed zezwoleniem na dostęp i zakazuje przenoszenia bocznego w innym miejscu w sieci. Usuwa zasoby aplikacji z publicznej widoczności i znacznie zmniejsza obszar powierzchni do ataku.

Następne kroki