Microsoft Entra 权限管理术语库
此术语表提供了 Microsoft Entra 权限管理中一些常用云术语的列表。 这些术语可帮助权限管理用户熟悉特定于云的术语和云通用术语。
常用缩略词和术语
术语 | 定义 |
---|---|
ACL | 访问控制列表。 文件或资源的列表,其中包含有关哪些用户或组有权访问这些资源或修改这些文件的信息。 |
ARN | Azure 资源通知 |
授权系统 | CIEM 支持使用 AWS 帐户、Azure 订阅、GCP 项目作为授权系统 |
授权系统类型 | 通过向标识、资源分配权限来提供授权的任何系统。 CIEM 支持 AWS、Azure、GCP 作为授权系统类型 |
云安全 | 一种网络安全形式,可保护在线存储在云计算平台上的数据免遭盗窃、泄漏和删除。 包括防火墙、渗透测试、混淆、词汇切分、虚拟专用网络 (VPN) 和避免公共 Internet 连接。 |
云存储 | 一种服务模型,用于远程维护、管理和备份数据。 可供网络上的用户使用。 |
CIAM | 云基础结构访问管理 |
CIEM | 云基础结构权利管理。 用于在云中实现最小特权的下一代解决方案。 它解决了在云环境中管理标识访问管理的云原生安全挑战。 |
CIS | 云基础结构安全性 |
CWP | 云工作负载保护。 以工作负载为中心的安全解决方案,面向现代企业环境中工作负载的独特保护要求。 |
CNAPP | 云原生应用程序保护。 云安全状态管理 (CSPM)、云工作负载保护 (CWP)、云基础结构权利管理 (CIEM) 和云应用程序安全代理 (CASB) 的融合。 一种集成的安全方法,涵盖云原生应用程序的整个生命周期。 |
CSPM | 云安全状态管理。 解决企业云环境中的合规性违规和配置错误的风险。 还侧重于资源级别,以确定与云治理和合规性的最佳做法安全设置的偏差。 |
CWPP | 云工作负载保护平台 |
数据收集器 | 存储数据收集配置的虚拟实体 |
Delete 任务 | 允许用户永久删除资源的高风险任务。 |
ED | 企业目录 |
Entitlement | 一个抽象属性,表示一系列基础结构系统和业务应用程序中不同形式的用户权限。 |
权利管理 | 授予、解析、强制执行、撤销和管理精细访问权限(即授权、特权、访问权限、权限和规则)的技术。 其目的是对结构化/非结构化数据、设备和服务执行 IT 访问策略。 它可以由不同的技术提供,并且通常因平台、应用程序、网络组件和设备而异。 |
高风险权限 | 可能导致数据泄露、服务中断和降级或安全态势变化的权限。 |
高风险任务 | 用户可能导致数据泄漏、服务中断或服务降级的任务。 |
混合云 | 有时称为云混合。 将本地数据中心(私有云)与公有云相结合的计算环境。 它允许数据和应用程序在它们之间共享。 |
混合云存储 | 用于存储组织数据的私有云或公有云。 |
ICM | 事件案例管理 |
IDS | 入侵检测服务 |
标识 | 标识是人类标识(用户)或工作负载标识。 每个云都有不同名称和类型的工作负载标识。 AWS:Lambda 函数(无服务器函数)、角色、资源。 Azure:Azure 函数(无服务器函数)、服务主体。 GCP:云函数(无服务器函数)、服务帐户。 |
标识分析 | 包括基本监视和修正、休眠和孤立帐户检测和删除以及特权帐户发现。 |
标识生命周期管理 | 使用一个或多个标识生命周期模式,在从创建到最终存档的整个过程中维护数字标识、其与组织的关系及其属性。 |
IGA | 标识治理和管理解决方案。 执行标识管理和访问治理操作的技术解决方案。 IGA 包括标识生命周期管理所需的工具、技术、报告和合规性活动。 它包括从帐户创建和终止到用户预配、访问认证和企业密码管理的每个操作。 它着眼于来自权威源功能、自助服务用户配置、IT 治理和密码管理的自动化工作流和数据。 |
非活动组 | 非活动组中的成员在过去 90 天内未在当前环境(即 AWS 帐户)中使用授予的权限。 |
非活动标识 | 非活动标识在过去 90 天内未在当前环境(即 AWS 帐户)中使用授予的权限。 |
ITSM | 信息技术安全管理。 使 IT 运营组织(基础结构和运营经理)能够更好地支持生产环境的工具。 促进与管理和交付优质 IT 服务相关的任务和工作流程。 |
JEP | Just Enough Permissions |
JIT | 实时访问可视为强制执行最小特权原则以确保为用户和非人类标识提供最低级别特权的一种方式。 它还确保特权活动按照组织的标识访问管理 (IAM)、IT 服务管理 (ITSM) 和特权访问管理 (PAM) 策略及其授权和工作流执行。 JIT 访问策略使组织能够维护特权活动的完整审核跟踪,以便他们可以轻松识别谁或什么获得了对哪些系统的访问权限、在什么时间实施了什么操作,以及访问了多长时间。 |
最低权限 | 确保用户只能访问完成任务所需的特定工具。 |
多租户 | 软件及其支持基础结构的单个实例为多个客户提供服务。 每个客户共享软件应用程序,并且还共享单个数据库。 |
OIDC | OpenID Connect。 一种身份验证协议,用于在用户尝试访问受保护的 HTTPS 终结点时验证用户标识。 OIDC 是 OAuth 早期实现的想法的进化发展。 |
过度预配的活动标识 | 过度预配的活动标识未在当前环境中使用授予的所有权限。 |
PAM | 特权访问管理。 提供以下一项或多项功能的工具:发现、管理和治理多个系统和应用程序上的特权帐户;控制对特权帐户的访问,包括共享和紧急访问;随机化、管理和保管用于管理、服务和应用程序帐户的凭据(密码、密钥等);用于特权访问的单一登录 (SSO),以防止凭据泄露;控制、筛选和协调特权命令、操作和任务;管理和代理应用程序、服务和设备的凭据,以避免暴露;以及监视、记录、审核和分析特权访问、会话和操作。 |
PASM | 通过保管特权帐户的凭据来保护特权帐户。 然后为人工用户、服务和应用程序代理对这些帐户的访问。 特权会话管理 (PSM) 功能通过可能的凭据注入和完整会话记录来建立会话。 特权帐户的密码和其他凭据将按可定义的时间间隔或在发生特定事件时主动管理和更改。 PASM 解决方案还可以为不需要 VPN 的 IT 员工和第三方提供应用程序到应用程序的密码管理 (AAPM) 和零安装远程特权访问功能。 |
PEDM | 基于主机的代理向登录用户授予对托管系统的特定权限。 PEDM 工具提供基于主机的命令控制(筛选);应用程序允许、拒绝和隔离控件;和/或特权提升。 后者的形式是允许以更高级别的特权运行特定命令。 PEDM 工具在内核或进程级别的实际操作系统上执行。 通过协议筛选的命令控制被显式排除在此定义之外,因为控制点不太可靠。 PEDM 工具还可以提供文件完整性监视功能。 |
权限 | 权限和特权。 权限是标识可对资源执行的操作。 由用户或网络管理员提供的详细信息,定义对网络上文件的访问权限。 附加到资源的访问控制,指示哪些标识可以访问它以及如何访问。 权限附加到标识,并且是执行某些操作的能力。 |
POD | 按需权限。 一种 JIT 访问类型,允许临时提升权限,使标识能够按请求定时访问资源。 |
权限蔓延索引 (PCI) | 一个介于 0 到 100 之间的数字,表示有权访问高风险特权的用户所产生的风险。 PCI 是有权访问高风险权限但未主动使用它们的用户的功能。 |
策略和角色管理 | 维护治理访问权限自动分配和删除的规则。 提供访问权限的可见性,以便权衡选择“访问请求”、“审批流程”、“依赖项”以及“访问权限间的不兼容性”等。 角色是策略管理的常用工具。 |
Privilege | 对网络或计算机进行更改的颁发机构。 人员和帐户都可以拥有权限,并且两者都可以具有不同级别的权限。 |
特权帐户 | 服务器、防火墙或其他管理帐户的登录凭据。 通常称为管理员帐户。 由实际的用户名和密码组成;两者共同构成了帐户。 允许特权帐户比普通帐户执行更多操作。 |
权限提升 | 具有特权提升的标识可以增加授予的权限数。 他们可以这样做,以便能够获得对 AWS 帐户或 GCP 项目的完全管理控制权。 |
公有云 | 第三方提供商通过公共 Internet 提供的计算服务,使其可供任何想要使用或购买它们的人使用。 它们可能是免费的,也可以按需销售,使客户可以仅按使用量为他们使用的 CPU 周期、存储或带宽付费。 |
资源 | 用户和服务都可以访问使用计算功能的任何实体以执行操作。 |
角色 | 具有特定权限的 IAM 标识。 一个角色不是只与一个人联系在一起,而是任何需要它的人都可以采用。 角色没有标准的长期凭证,例如与之关联的密码或访问密钥。 |
SCIM | 跨域标识管理系统 |
SIEM | 安全信息和事件管理。 通过收集和分析(近乎实时和历史)安全事件以及各种其他事件和上下文数据源来支持威胁检测、合规性和安全事件管理的技术。 核心功能包括广泛的日志事件收集和管理、跨不同来源分析日志事件和其他数据的能力,以及操作功能(如事件管理、仪表板和报告)。 |
SOAR | 安全业务流程、自动化和响应 (SOAR)。 使组织能够从各种源(主要来自安全信息和事件管理 [SIEM] 系统)获取输入并应用与进程和过程一致的工作流的技术。 这些工作流程可以通过与其他技术的集成进行编排,并实现自动化,以实现预期的结果和更高的可见性。 其他功能包括案例和事件管理功能;管理威胁情报、仪表板和报告的能力;以及可应用于各种功能的分析。 SOAR 工具通过为人类分析师提供机器驱动的帮助来显着增强安全操作活动(例如威胁检测和响应),以提高人员和流程的效率和一致性。 |
超级用户/超级标识 | IT 系统管理员使用的强大帐户,可用于对系统或应用程序进行配置、添加或删除用户或删除数据。 超级用户和标识是对当前环境(即 AWS 帐户)中的所有操作和资源授予的权限。 |
租户 | 存储在特定默认位置中的服务和组织数据的专用实例。 |
UUID | 通用唯一标识符。 用于计算机系统中信息的 128 位标签。 还使用了术语全局唯一标识符 (GUID)。 |
已用权限 | 标识在过去 90 天内使用的权限数。 |
零信任安全性 | 三项基本原则:显式验证、漏洞假设和最低特权访问。 |
ZTNA | 零信任网络访问。 一种产品或服务,它围绕一个应用程序或一组应用程序创建基于标识和上下文的逻辑访问边界。 应用程序在发现时处于隐藏状态,并且通过信任代理将访问权限限制为一组命名实体。 代理在允许访问之前验证指定参与者的身份、上下文和策略合规性,并禁止在网络中的其他位置进行横向移动。 它从公共可见性中删除应用程序资产,并显著减少攻击的外围应用。 |
后续步骤
- 有关权限管理的概述,请参阅什么是 Microsoft Entra 权限管理?。