Глоссарий управления разрешениями Microsoft Entra
Этот глоссарий содержит список некоторых часто используемых облачных терминов в службе управления разрешениями Microsoft Entra. Эти термины помогают пользователям управления разрешениями перемещаться через облачные термины и облачные универсальные термины.
Часто используемые акронимы и термины
| Срок | Определение |
|---|---|
| ACL | Список управления доступом. Список файлов или ресурсов, содержащих сведения о том, какие пользователи или группы имеют разрешение на доступ к этим ресурсам или изменить эти файлы. |
| ARN | Уведомление о ресурсах Azure |
| Система авторизации | CIEM поддерживает учетные записи AWS, подписки Azure, проекты GCP в качестве систем авторизации |
| Тип системы авторизации | Любая система, предоставляющая авторизации путем назначения разрешений личностям и ресурсам. CIEM поддерживает AWS, Azure, GCP в качестве типов системы авторизации |
| Облачная безопасность | Форма кибербезопасности, которая защищает данные, хранящиеся в сети на облачных вычислительных платформах, от кражи, утечки и удаления. Включает брандмауэры, тестирование на проникновение, скрытие, токенизацию, виртуальные частные сети (VPN) и избегание общедоступных подключений к Интернету. |
| Облачное хранилище | Модель службы, в которой данные хранятся, управляются и сохраняются удаленно. Доступно пользователям по сети. |
| CIAM | Управление доступом к облачной инфраструктуре |
| CIEM | Управление правами облачной инфраструктуры. Следующее поколение решений для применения минимальных привилегий в облаке. Он рассматривает проблемы облачной безопасности, связанные с управлением удостоверениями и доступом в облачных средах. |
| СНГ | Безопасность облачной инфраструктуры |
| CWP | Защита облачных рабочих нагрузок. Решение безопасности, ориентированное на рабочую нагрузку, которое предназначено для уникальных требований к защите рабочих нагрузок в современных корпоративных средах. |
| CNAPP | Cloud-Native Защита приложений. Конвергенция управления безопасностью облака (CSPM), защита облачных рабочих нагрузок (CWP), управление правами на инфраструктуру облака (CIEM) и брокер безопасности облачных приложений (CASB). Интегрированный подход к безопасности, охватывающий весь жизненный цикл облачных приложений. |
| CSPM | Управление состоянием безопасности в облаке. Устраняет риски нарушений соответствия требованиям и неправильных конфигураций в корпоративных облачных средах. Кроме того, основное внимание уделяется уровню ресурсов для выявления отклонений от параметров безопасности для управления облаком и соответствия требованиям. |
| CWPP | Платформа защиты облачных рабочих нагрузок |
| Сборщик данных | Виртуальная сущность, которая хранит конфигурацию сбора данных |
| Удаление задачи | Задача с высоким риском, позволяющая пользователям окончательно удалять ресурс. |
| ЭД | Корпоративный каталог |
| Право | Абстрактный атрибут, представляющий различные формы разрешений пользователей в различных системах инфраструктуры и бизнес-приложениях. |
| Управление правами | Технология, которая предоставляет, разрешает, применяет, отменяет и администрирует точные права доступа (т. е. авторизацию, привилегии, права доступа, разрешения и правила). Его целью является выполнение политик доступа к ИТ-службам для структурированных и неструктурированных данных, устройств и служб. Он может быть доставлен различными технологиями и часто отличается между платформами, приложениями, сетевыми компонентами и устройствами. |
| Разрешение высокого риска | Разрешения, которые могут привести к утечке данных, нарушению работы службы и ухудшению состояния безопасности. |
| Задача высокого риска | Задача, в которой пользователь может вызвать утечку данных, нарушение работы службы или снижение службы. |
| Гибридное облако | Иногда называется облачной гибридной средой. Вычислительная среда, которая объединяет локальный центр обработки данных (частное облако) с общедоступным облаком. Это позволяет совместно использовать данные и приложения. |
| гибридное облачное хранилище | Частное или общедоступное облако, используемое для хранения данных организации. |
| ICM | Управление инцидентами |
| ИДЕНТИФИКАТОРЫ | Служба обнаружения вторжений |
| Идентичность | Идентификатор может быть идентификатором человека (пользователя) или рабочей нагрузки. Разные имена и типы идентификаторов рабочей нагрузки существуют для каждого облака. AWS: Лямбда-функция (бессерверная функция), роль, ресурс. Azure: функция Azure (бессерверная функция), субъект-служба. GCP: облачная функция (бессерверная функция), учетная запись службы. |
| Аналитика идентификаций | Включает базовый мониторинг и исправление, обнаружение и удаление неактивных учетных записей, а также обнаружение привилегированных учетных записей. |
| Управление жизненным циклом удостоверений | Сохраняйте цифровые удостоверения, их отношения с организацией и их атрибуты во время всего процесса создания до конечной архивации, используя один или несколько шаблонов жизненного цикла идентификации. |
| IGA | Управление и администрирование идентификацией. Технологические решения, которые проводят операции управления удостоверениями и управления доступом. IGA включает средства, технологии, отчеты и действия соответствия требованиям, необходимые для управления жизненным циклом удостоверений. Она включает в себя каждую операцию от создания и завершения учетной записи до подготовки пользователей, сертификации доступа и управления корпоративными паролями. Он рассматривает автоматизированный рабочий процесс и данные из надежных источников возможностей, самостоятельной подготовки пользователей, управления ИТ-клиентами и управления паролями. |
| Неактивная группа | Неактивные группы имеют участников, которые не использовали свои предоставленные разрешения в текущей среде (т. е. учетная запись AWS) за последние 90 дней. |
| Неактивная личность | Неактивные удостоверения не использовали предоставленные разрешения в текущей среде (т. е. учетная запись AWS) за последние 90 дней. |
| Управление ИТ-услугами (ITSM) | Управление безопасностью информационных технологий. Средства, позволяющие ИТ-организациям (инфраструктуре и диспетчерам операций) лучше поддерживать рабочую среду. Упрощайте задачи и рабочие процессы, связанные с управлением и доставкой качественных ИТ-служб. |
| JEP | Достаточно разрешений |
| JIT | JIT-доступ можно рассматривать как способ принудительного применения принципа наименьшей привилегии, чтобы гарантировать, что пользователи и нечеловеческие сущности получают минимальный уровень привилегий. Он также гарантирует, что привилегированные действия выполняются в соответствии с политиками управления доступом к удостоверениям организации (IAM), управления ИТ-службами (ITSM) и управления привилегированным доступом (PAM), включая предоставленные права и рабочие процессы. Стратегия доступа JIT позволяет организациям поддерживать полный путь аудита привилегированных действий, чтобы они могли легко определить, кто или что получил доступ к каким системам, что они сделали в какое время, и как долго. |
| Наименьшие привилегии | Гарантирует, что пользователи получают доступ только к конкретным инструментам, которые им необходимы для выполнения задачи. |
| Многопользовательская архитектура | Один экземпляр программного обеспечения и его вспомогательной инфраструктуры обслуживает несколько клиентов. Каждый клиент предоставляет доступ к приложению программного обеспечения, а также предоставляет общий доступ к одной базе данных. |
| OIDC | OpenID Connect. Протокол проверки подлинности, который проверяет удостоверение пользователя, когда пользователь пытается получить доступ к защищенной конечной точке HTTPS. OIDC является эволюционным развитием идей, реализованных ранее в OAuth. |
| Избыточно предоставленное активное удостоверение | Избыточно наделённые активные идентификаторы не используют все предоставленные им разрешения в текущей среде. |
| ПЭМ | Управление привилегированным доступом. Средства, которые предлагают одну или несколько из следующих функций: обнаружение, управление и контроль над привилегированными учетными записями в нескольких системах и приложениях; управление доступом к привилегированным учетным записям, включая общий и аварийный доступ; рандомизация, управление и хранение в защищенном хранилище учетных данных (пароли, ключи и т. д.) для административных, служебных и учетных записей приложений; единый вход для привилегированного доступа, чтобы предотвратить отображение учетных данных; управление, фильтрация и оркестрация привилегированных команд, действий и задач; управление и передача учетных данных для приложений, служб и устройств, чтобы избежать их утечки; а также мониторинг, запись, аудит и анализ привилегированного доступа, сеансов и действий. |
| PASM | Привилегированные учетные записи защищены посредством безопасного хранения их учетных данных. Затем доступ к этим учетным записям осуществляется с помощью брокера для пользователей, служб и приложений. Функции управления привилегированными сеансами (PSM) устанавливают сеансы с возможным внедрением учетных данных и полной записью сеансов. Пароли и другие учетные данные для привилегированных учетных записей активно управляются и изменяются с определяемыми интервалами или при возникновении определенных событий. Решения PASM также могут предоставлять межпрограммное управление паролями (AAPM) и функции удаленного привилегированного доступа без установки для ИТ-сотрудников и третьих сторон, которые не требуют использования VPN. |
| PEDM | Определенные привилегии предоставляются на управляемой системе агентами, работающими на хостах, пользователям, вошедшим в систему. Средства PEDM обеспечивают узловое управление командами (фильтрация), управление разрешением, запретом и изоляцией приложений и/или повышение привилегий. Последний находится в форме разрешения выполнения определенных команд с более высоким уровнем привилегий. Средства PEDM выполняются на фактической операционной системе на уровне ядра или процесса. Управление командами с помощью фильтрации протоколов явно исключается из этого определения, так как точка управления менее надежна. Средства PEDM также могут предоставлять функции мониторинга целостности файлов. |
| Разрешение | Права и привилегии. Действие, которое личность может выполнить над ресурсом. Сведения, предоставленные пользователями или администраторами сети, определяющими права доступа к файлам в сети. Элементы управления доступом, подключенные к ресурсу, определяющие, какие удостоверения могут получить доступ к нему и каким образом. Разрешения присоединены к удостоверениям и являются возможностью выполнения определенных действий. |
| ПОД | Разрешение по запросу. Тип JIT-доступа, который позволяет временное повышение прав, что дает идентификациям доступ к ресурсам на ограниченное по времени основе. |
| Индекс ползучести разрешений (PCI) | Число от 0 до 100, представляющее риск для пользователей с доступом к привилегиям высокого риска. PCI — это функция пользователей, имеющих доступ к привилегиям высокого риска, но не использующих их. |
| Управление политиками и ролями | Сохраняйте правила, которые управляют автоматическим назначением и удалением прав доступа. Обеспечивает видимость прав доступа для выбора в запросах доступа, процессах утверждения, зависимостях и несовместимости между правами доступа и многое другое. Роли являются общим средством управления политиками. |
| Привилегия | Полномочия вносить изменения в сеть или компьютер. Оба пользователя и учетные записи могут иметь привилегии, и оба могут иметь разные уровни привилегий. |
| Привилегированная учетная запись | Учетные данные для входа на сервер, брандмауэр или другую административную учетную запись. Часто называются учетными записями администратора. Состоит из фактического имени пользователя и пароля; эти две вещи вместе составляют учетную запись. Привилегированная учетная запись может выполнять больше вещей, чем обычная учетная запись. |
| Повышение привилегий | Удостоверения с повышением привилегий могут увеличить количество предоставленных разрешений. Это можно сделать, чтобы получить полный административный контроль над учетной записью AWS или проектом GCP. |
| Общедоступное облако | Вычислительные службы, предоставляемые сторонними поставщиками через общедоступный Интернет, что делает их доступными для всех, кто хочет использовать или приобрести их. Они могут быть бесплатными или проданными по запросу, позволяя клиентам платить только за использование циклов ЦП, хранилища или пропускной способности, которые они используют. |
| Ресурс | Любая сущность, использующая возможности вычислений, может получить доступ к пользователям и службам для выполнения действий. |
| Роль | Удостоверение IAM с определенными разрешениями. Роль, вместо того чтобы быть однозначно связанной с одним человеком, предназначена для того, чтобы ее мог принять любой, кому это необходимо. Роль не имеет стандартных долгосрочных учетных данных, таких как пароль или ключи доступа, связанные с ними. |
| SCIM | Система управления идентификацией между доменами |
| SIEM | Сведения о безопасности и управление событиями. Технология, которая поддерживает обнаружение угроз, соответствие требованиям и управление инцидентами безопасности с помощью сбора и анализа (практически в реальном времени и истории) событий безопасности, а также различных других событий и контекстных источников данных. Основные возможности — это широкая область сбора и управления событиями журнала, возможность анализировать события журнала и другие данные в разных источниках и операционных возможностях (таких как управление инцидентами, панели мониторинга и отчеты). |
| ПАРИТЬ | Оркестрация безопасности, автоматизация и ответ (SOAR). Технологии, позволяющие организациям принимать входные данные из различных источников (в основном из систем управления сведениями о безопасности и событиями (SIEM) и применять рабочие процессы, соответствующие процессам и процедурам. Эти рабочие процессы можно управлять с помощью интеграции с другими технологиями и автоматизированными для достижения желаемого результата и повышения видимости. Другие возможности включают функции управления делами и инцидентами; возможность управлять аналитикой угроз, панелями мониторинга и отчетами; и аналитику, которая может применяться в различных функциях. Средства SOAR значительно повышают эффективность операций безопасности, таких как обнаружение угроз и реагирование, обеспечивая машинную помощь специалистам по повышению эффективности и согласованности людей и процессов. |
| Супер пользователь / супер идентичность | Мощная учетная запись, используемая ИТ-системными администраторами, которая может использоваться для создания конфигураций в системе или приложении, добавлении или удалении пользователей или удалении данных. Суперпользователям и удостоверениям предоставляются разрешения на все действия и ресурсы в текущей среде (т. е. учетной записи AWS). |
| Съёмщик | Выделенный экземпляр данных служб и организации, хранящихся в определенном расположении по умолчанию. |
| Универсальный уникальный идентификатор (UUID) | Универсальный уникальный идентификатор. 128-разрядная метка, используемая для информации в компьютерных системах. Также используется термин глобально уникальный идентификатор (GUID). |
| Используемые разрешения | Количество разрешений, используемых идентификатором за последние 90 дней. |
| Безопасность нулевого доверия | Три основных принципа: явная проверка, допущение нарушения и наименее привилегированный доступ. |
| ZTNA | Доступ к сети нулевого доверия. Продукт или услуга, создающая границу логического доступа на основе удостоверений личности и контекста вокруг приложения или набора приложений. Приложения скрыты для обнаружения, и доступ к ним ограничен при помощи брокера доверия для определённого набора именованных объектов. Брокер проверяет удостоверение личности, контекст и соблюдение политик указанными участниками, прежде чем разрешит доступ и запретит боковое перемещение в других частях сети. Он удаляет ресурсы приложений из общедоступной видимости и значительно сокращает область поверхности для атаки. |
Дальнейшие действия
- Общие сведения об управлении разрешениями см. в разделе Что такое управление разрешениями Microsoft Entra?.