Das Microsoft Entra Permissions Management-Glossar
In diesem Glossar werden einige der Cloudbegriffe erläutert, die in Microsoft Entra Permissions Management häufig verwendet werden. Es soll Permissions Management-Benutzer das Verständnis cloudspezifischer Begriffe und allgemeiner Begriffe im Zusammenhang mit der Cloud erleichtern.
Häufig verwendete Akronyme und Begriffe
| Begriff | Definition |
|---|---|
| ACL | Access Control List (Zugriffssteuerungsliste). Eine Liste von Dateien oder Ressourcen, die Informationen dazu enthält, welche Benutzer oder Gruppen zum Zugriff auf die jeweiligen Ressourcen oder Ändern dieser Dateien berechtigt sind. |
| ARN | Azure Resource Notification (Azure-Ressourcenbenachrichtigung). |
| Autorisierungssystem | CIEM unterstützt AWS-Konten, Azure-Abonnements und GCP-Projekte als Autorisierungssysteme. |
| Autorisierungssystemtyp | Jedes System, das die Autorisierungen bereitstellt, indem die Berechtigungen den Identitäten und Ressourcen zugewiesen werden. CIEM unterstützt AWS, Azure und GCP als Autorisierungssystemtypen. |
| Cloudsicherheit | Eine Form der Cybersicherheit, die online gespeicherte Daten auf Cloud Computing-Plattformen vor Diebstahl, Datenlecks und Löschung schützt. Sie umfasst Firewalls, Penetrationstests, Obfuskation, Tokenisierung, virtuelle private Netzwerke (VPNs) und das Vermeiden öffentlicher Internetverbindungen. |
| Cloudspeicher | Ein Dienstmodell, bei dem Daten remote verwaltet, gewartet und gesichert werden. Cloudspeicher ist für Benutzer über ein Netzwerk verfügbar. |
| CIAM | Cloud Infrastructure Access Management (Zugriffsverwaltung für die Cloudinfrastruktur). |
| CIEM | Cloud Infrastructure Entitlement Management (Berechtigungsverwaltung für die Cloudinfrastruktur). Die nächste Generation von Lösungen zur Erzwingung des Sicherheitsmodells der geringsten Rechte in der Cloud. CIEM bietet eine Lösung für cloudnative Herausforderungen in Bezug auf die Identitäts- und Zugriffsverwaltung in Cloudumgebungen. |
| CIS | Cloud Infrastructure Security (Cloudinfrastruktursicherheit). |
| CWP | Cloud Workload Protection (Cloudworkloadschutz). Eine workloadzentrierte Sicherheitslösung, die auf die einzigartigen Schutzanforderungen von Workloads in modernen Unternehmensumgebungen ausgerichtet ist. |
| CNAPP | Cloud-Native Application Protection (cloudnativer Anwendungsschutz). Die Konvergenz von Cloud Security Posture Management (CSPM), Cloudworkloadschutz (Cloud Workload Protection, CWP), Berechtigungsverwaltung für die Cloudinfrastruktur (Cloud Infrastructure Entitlement Management, CIEM) und Cloud Applications Security Broker (CASB). CNAPP ist ein integrierter Sicherheitsansatz, der den gesamten Lebenszyklus von cloudnativen Anwendungen abdeckt. |
| CSPM | Cloud Security Posture Management (Verwaltung des Cloudsicherheitsstatus). Sicherheitstools zur Bewältigung der Risiken im Zusammenhang mit Verstößen gegen den Datenschutz und Fehlkonfigurationen in Unternehmenscloudumgebungen. Diese Tools überprüfen auch, ob auf Ressourcenebene Abweichungen von den bewährten Methoden für Sicherheitseinstellungen für Cloudgovernance und Compliance vorliegen. |
| CWPP | Cloud Workload Protection Platform (Cloudworkloadschutz-Plattform). |
| Datensammler | Virtuelle Entität, die die Datensammlungskonfiguration speichert |
| Delete-Aufgabe | Eine Aufgabe mit hohem Risiko, mit der Benutzer eine Ressource dauerhaft löschen können. |
| ED | Unternehmensverzeichnis |
| Entitlement | Ein abstraktes Attribut, das verschiedene Formen von Benutzerberechtigungen in einer Reihe von Infrastruktursystemen und Geschäftsanwendungen darstellt. |
| Berechtigungsverwaltung | Eine Technologie zum Zuweisen, Auflösen, Erzwingen, Widerrufen und Verwalten differenzierter Zugriffsberechtigungen (d. h. Autorisierungen, Rechte, Zugriffsrechte, Berechtigungen und Regeln). Ihr Zweck besteht darin, IT-Zugriffsrichtlinien für strukturierte/unstrukturierte Daten, Geräte und Dienste anzuwenden. Die Berechtigungsverwaltung kann von verschiedenen Technologien bereitgestellt werden und unterscheidet sich häufig je nach Plattform, Anwendungen, Netzwerkkomponenten und Geräten. |
| Berechtigung mit hohem Risiko | Berechtigungen, die das Potenzial haben, Datenlecks, Dienstunterbrechungen und Beeinträchtigungen oder Änderungen im Sicherheitsstatus zu verursachen |
| Aufgabe mit hohem Risiko | Eine Aufgabe, durch deren Ausführung ein Benutzer Datenlecks, Dienstunterbrechungen oder Dienstbeeinträchtigungen verursachen kann. |
| Hybrid Cloud | Wird mitunter auch als „Cloudhybrid“ bezeichnet. Eine Computingumgebung, die ein lokales Rechenzentrum (eine private Cloud) mit einer öffentlichen Cloud kombiniert. Sie ermöglicht die Freigabe von Daten und Anwendungen zwischen den Clouds. |
| Hybridcloudspeicher | Eine private oder öffentliche Cloud, die zum Speichern der Daten einer Organisation verwendet wird. |
| ICM | Incident Case Management (Incidentmanagement). |
| IDS | Intrusion Detection Service (Angriffserkennungsdienst). |
| Identität | Eine Identität ist eine menschliche Identität (Benutzerin oder Benutzer) oder Workloadidentität. Es gibt unterschiedliche Namen und Arten von Workloadidentitäten für jede Cloud. AWS: Lambda-Funktion (serverlose Funktion), Rolle, Ressource. Azure: Azure-Funktion (serverlose Funktion), Dienstprinzipal. GCP: Cloud-Funktion (serverlose Funktion), Dienstkonto. |
| Identitätsanalyse | Umfasst eine grundlegende Überwachung und Wartung, die Erkennung und Entfernung ruhender und verwaister Konten sowie die Ermittlung privilegierter Konten. |
| Identity Lifecycle Management | Die Verwaltung digitaler Identitäten, ihrer Beziehungen zur Organisation und ihrer Attribute während des gesamten Prozesses von der Erstellung bis zur letztlichen Archivierung mithilfe eines oder mehrerer Muster für den Identitätslebenszyklus. |
| IGA | Identity Governance and Administration (Identitätsgovernance und -verwaltung). Technologielösungen, die Vorgänge für die Identitätsverwaltung und Zugriffsgovernance durchführen. IGA umfasst die erforderlichen Tools, Technologien, Berichte und Complianceaktivitäten zum Verwalten des Identitätslebenszyklus. IGA beinhaltet alle Vorgänge von der Kontoerstellung und -auflösung bis hin zur Benutzerbereitstellung, Zugriffszertifizierung und Kennwortverwaltung im Unternehmen. IGA prüft automatisierte Workflows und Daten der Funktionen für autoritative Quellen, Self-Service-Benutzerbereitstellung, IT-Governance und Kennwortverwaltung. |
| Inaktive Gruppe | Inaktive Gruppen verfügen über Mitglieder, die ihre erteilten Berechtigungen in der aktuellen Umgebung in den letzten 90 Tagen nicht verwendet haben (d. h. AWS-Konto). |
| Inaktive Identität | Inaktive Identitäten haben ihre erteilten Berechtigungen in der aktuellen Umgebung (d. h. AWS-Konto) in den letzten 90 Tagen nicht verwendet. |
| ITSM | Information Technology Security Management (IT-Sicherheitsmanagement). Tools, mit denen IT-Betriebsorganisationen (Infrastruktur- und Betriebsmanager) die Produktionsumgebung besser unterstützen können. Sie vereinfachen die Aufgaben und Workflows im Zusammenhang mit der Verwaltung und Bereitstellung hochwertiger IT-Dienste. |
| JEP | Just Enough Permissions |
| JIT | Just-in-Time-Zugriff ist eine Möglichkeit, das Prinzip der geringsten Rechte zu erzwingen und dadurch sicherzustellen, dass Benutzern und nicht menschlichen Identitäten die geringstmöglichen Berechtigungen zugewiesen werden. Er stellt außerdem sicher, dass privilegierte Aktivitäten in Übereinstimmung mit den Richtlinien für die Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM), das IT-Service-Management (ITSM) und Privileged Access Management (PAM) einer Organisation und mit den entsprechenden Berechtigungen und Workflows durchgeführt werden. Die JIT-Zugriffsstrategie bietet Organisationen einen vollständigen Überwachungspfad für privilegierte Aktivitäten, mit dessen Hilfe sie ganz einfach feststellen können, wer oder was Zugriff auf welche Systeme erlangt hat und welche Aktionen wann und wie lange ausgeführt wurden. |
| Mindestberechtigungen | Stellen sicher, dass Benutzer nur Zugriff auf die Tools erhalten, die sie zum Ausführen einer Aufgabe benötigen. |
| Mehrinstanzenfähig | Eine einzelne Instanz einer Software und der zugehörigen unterstützenden Infrastruktur, die von mehreren Kunden verwendet wird. Alle Kunden nutzen die Softwareanwendung und auch eine einzelne Datenbank gemeinsam. |
| OIDC | OpenID Connect. Ein Authentifizierungsprotokoll, das die Benutzeridentität überprüft, wenn ein Benutzer versucht, auf einen geschützten HTTPS-Endpunkt zuzugreifen. OIDC ist eine Weiterentwicklung von Konzepten, die zuvor in Open Authorization (OAuth) implementiert wurden. |
| Überdimensionierte aktive Identitäten | Überdimensionierte aktive Identitäten verwenden nicht alle Berechtigungen, die sie in der aktuellen Umgebung erteilt bekommen haben. |
| PAM | Privileged Access Management (Verwaltung des privilegierten Zugriffs). Tools, die eines oder mehrere der folgenden Features anbieten: Ermitteln, Verwalten und Steuern privilegierter Konten auf mehreren Systemen und Anwendungen; Steuern des Zugriffs auf privilegierte Konten, einschließlich freigegebener Konten und Konten für den Notfallzugriff; zufälliges Erstellen, Verwalten und Speichern von Anmeldeinformationen in Tresoren (z. B. Kennwörter oder Schlüssel) für Administrator-, Dienst- und Anwendungskonten; einmaliges Anmelden (Single Sign-On, SSO) für privilegierten Zugriff zum Verhindern einer Offenlegung von Anmeldeinformationen; Steuern, Filtern und Orchestrieren privilegierter Befehle, Aktionen und Aufgaben; Verwalten und Vermitteln von Anmeldeinformationen für Anwendungen, Dienste und Geräte zum Vermeiden einer Gefährdung; Überwachen, Aufzeichnen, Überprüfen und Analysieren von privilegiertem Zugriff, Sitzungen und Aktionen. |
| PASM | Privileged Account and Session Management (Verwaltung privilegierter Konten und Sitzungen). Privilegierte Konten werden durch die Einrichtung von Tresoren für die zugehörigen Anmeldeinformationen geschützt. Der Zugriff auf diese Konten erfolgt dann für menschliche Benutzer, Dienste und Anwendungen über einen Broker. Funktionen für die Verwaltung privilegierter Sitzungen (Privileged Session Management, PSM) richten Sitzungen mit Einschleusung möglicher Anmeldeinformationen und vollständiger Sitzungsaufzeichnung ein. Kennwörter und andere Anmeldeinformationen für privilegierte Konten werden aktiv verwaltet und in definierbaren Intervallen oder beim Auftreten bestimmter Ereignisse geändert. PASM-Lösungen können auch eine Kennwortverwaltung zwischen Anwendungen (Application-to-Application Password Management, AAPM) und Features für privilegierten Remotezugriff ohne Installation für IT-Mitarbeiter und Dritte bereitstellen, die kein VPN benötigen. |
| PEDM | Privilege Elevation and Delegation Management (Verwaltung der Rechteerweiterung und -delegierung). Bestimmte Berechtigungen werden angemeldeten Benutzern auf dem verwalteten System von hostbasierten Agents gewährt. PEDM-Tools bieten hostbasierte Befehlssteuerung (Filterung), Steuerungen zum Zulassen, Verweigern und Isolieren für Anwendungen und/oder die Rechteerweiterung. Die Rechteerweiterung wird durch Zulassen der Ausführung bestimmter Befehle mit höheren Berechtigungen angewendet. PEDM-Tools werden auf Kernel- oder Prozessebene auf dem aktiven Betriebssystem ausgeführt. Die Befehlssteuerung durch Protokollfilterung ist von dieser Definition explizit ausgeschlossen, da der Steuerungspunkt weniger zuverlässig ist. PEDM-Tools können auch Funktionen zur Überwachung der Dateiintegrität bereitstellen. |
| Berechtigung | Rechte und Berechtigungen. Eine Aktion, die eine Identität für eine Ressource ausführen kann. Von Benutzern oder Netzwerkadministratoren bereitgestellte Details, die Zugriffsrechte für Dateien in einem Netzwerk definieren. An eine Ressource angefügte Zugriffssteuerungen bestimmen, welche Identitäten auf die Ressource zugreifen können und wie der Zugriff erfolgen kann. Berechtigungen werden an Identitäten angefügt und ermöglichen die Ausführung bestimmter Aktionen. |
| POD | Permission on Demand (Berechtigung bei Bedarf). Eine Form des JIT-Zugriffs, die die temporäre Erweiterung von Rechten ermöglicht, sodass Identitäten auf Anforderungsbasis zeitlich begrenzter Zugriff auf Ressourcen gewährt werden kann. |
| Permissions Creep Index (PCI) | Der Index für schleichende Berechtigungsausweitung ist eine Zahl zwischen 0 und 100, die das Risiko im Zusammenhang mit Benutzern darstellt, die über Berechtigungen mit hohem Risiko verfügen. Der PCI gibt Aufschluss über Benutzer, die Zugang zu Berechtigungen mit hohem Risiko haben, diese aber nicht aktiv verwenden. |
| Richtlinien- und Rollenverwaltung | Dient zur Verwaltung von Regeln, die die automatische Zuweisung und Entfernung von Zugriffsrechten steuern. Die Richtlinien- und Rollenverwaltung bietet Einblick in die zur Auswahl stehenden Zugriffsrechte für Zugriffsanforderungen, Genehmigungsprozesse, Abhängigkeiten und Inkompatibilitäten zwischen Zugriffsrechten. Rollen sind eine gängige Methode zur Richtlinienverwaltung. |
| Berechtigung | Die Befugnis, Änderungen an einem Netzwerk oder Computer vorzunehmen. Sowohl Personen als auch Konten können Berechtigungen besitzen und über unterschiedliche Berechtigungsebenen verfügen. |
| Privilegiertes Konto | Anmeldeinformationen für einen Server, eine Firewall oder ein anderes administratives Konto. Privilegierte Konten werden oftmals als Administratorkonten bezeichnet. Das Konto setzt sich aus dem tatsächlichen Benutzernamen und dem Kennwort zusammen. Mit einem privilegierten Konto können mehr Aktionen ausgeführt werden als mit einem normalen Konto. |
| Ausweitung von Berechtigungen | Identitäten mit Rechteausweitung können die Anzahl der Berechtigungen erhöhen, die ihnen erteilt wurden. Sie können dies tun, um potenziell die vollständige administrative Kontrolle über das AWS-Konto oder das GCP-Projekt zu erlangen. |
| Public Cloud | Bei der öffentlichen Cloud handelt es sich um Computingdienste, die von Drittanbietern über das öffentliche Internet angeboten werden und jedem zur Verfügung stehen, der sie verwenden oder kaufen möchte. Diese Dienste sind entweder kostenlos oder können nach Bedarf gekauft werden, sodass Kunden nur für ihren tatsächlichen Verbrauch an CPU-Zyklen, Speicher oder Bandbreite bezahlen. |
| Ressource | Eine Entität, die Computefunktionen nutzt und auf die Benutzer und Dienste zum Durchführen von Aktionen zugreifen können. |
| Rolle | Eine IAM-Identität, die über bestimmte Berechtigungen verfügt. Eine Rolle wird nicht einer einzigen Person eindeutig zugeordnet, sondern kann jedem Benutzer zugewiesen werden, der sie benötigt. Eine Rolle verfügt standardmäßig nicht über langfristig geltende Anmeldeinformationen (z. B. ein Kennwort oder Zugriffsschlüssel). |
| SCIM | System for Cross-Domain Identity Management (System für domänenübergreifende Identitätsverwaltung). |
| SIEM | Security Information & Event Management (Verwaltung von sicherheitsrelevanten Informationen und Ereignissen). Eine Technologie, die die Bedrohungserkennung, Konformität und Verwaltung von Sicherheitsincidents durch das Sammeln und Analysieren von sicherheitsrelevanten Ereignissen (mit Daten in Quasi-Echtzeit und historischen Daten) sowie eine Vielzahl anderer Ereignis- und kontextbezogener Datenquellen unterstützt. Zu den Kernfunktionen zählen die Sammlung und Verwaltung eines breiten Spektrums von Protokollereignissen, die Möglichkeit, Protokollereignisse und andere Daten aus unterschiedlichen Quellen zu analysieren, sowie operative Funktionen (z. B. Incidentmanagement, Dashboards und Berichterstellung). |
| SOAR | Security Orchestration, Automation and Response (Sicherheitsorchestrierung, Automatisierung und Reaktion). Technologien, die es Organisationen ermöglichen, anhand von Eingaben aus verschiedenen Quellen (hauptsächlich aus SIEM-Systemen) auf Prozesse und Prozeduren ausgerichtete Workflows anzuwenden. Diese Workflows können über Integrationen mit anderen Technologien orchestriert und automatisiert werden, um die gewünschten Ergebnisse und mehr Transparenz zu erzielen. Zu den weiteren Funktionen zählen Features für die Verwaltung von Fällen und Incidents, die Möglichkeit zur Verwaltung von Threat Intelligence, Dashboards und Berichterstellung sowie Analysen, die auf verschiedene Funktionen angewendet werden können. Sicherheitsvorgänge und -aktivitäten wie die Bedrohungserkennung und entsprechende Gegenmaßnahmen werden durch SOAR-Tools erheblich verbessert, da sie Analysten durch computerbasierte Unterstützung das Verbessern der Effizienz und Konsistenz von Benutzeraktivitäten und Prozessen ermöglichen. |
| Superbenutzer/Superidentität | Ein Konto mit weitreichenden Befugnissen, das von IT-Systemadministratoren genutzt wird und zum Erstellen von Konfigurationen für ein System oder eine Anwendung, Hinzufügen oder Entfernen von Benutzern oder Löschen von Daten verwendet werden kann. Superbenutzern und -identitäten werden Berechtigungen für alle Aktionen und Ressourcen in der aktuellen Umgebung (z. B. AWS-Konto) erteilt. |
| Mandant | Eine dedizierte Instanz der Dienste und Organisationsdaten, die an einem bestimmten Standardspeicherort gespeichert sind. |
| UUID | Universally Unique Identifier (universell eindeutiger Bezeichner). Eine 128-Bit-Bezeichnung, die für Informationen in Computersystemen verwendet wird. Wird auch als global eindeutiger Bezeichner (Globally Unique Identifier, GUID) bezeichnet. |
| Verwendete Berechtigungen | Die Anzahl der Berechtigungen, die in den letzten 90 Tagen von einer Identität verwendet wurden |
| Zero-Trust-Sicherheit | Dieser Begriff steht für die folgenden drei grundlegenden Prinzipien: explizite Überprüfung, Annahme einer Sicherheitsverletzung und Zugriff mit den geringstmöglichen Rechten. |
| ZTNA | Zero Trust Network Access (Zero-Trust-Netzwerkzugriff). Produkte oder Dienste, die eine identitäts- und kontextbasierte logische Zugriffsgrenze um eine Anwendung oder eine Gruppe von Anwendungen schaffen. Die Anwendungen werden von der Ermittlung ausgeschlossen, und der Zugriff wird über einen Vertrauensbroker auf eine Gruppe benannter Entitäten beschränkt. Der Broker überprüft die Identität, den Kontext und die Richtlinieneinhaltung der angegebenen Teilnehmer, bevor der Zugriff zugelassen wird, und verhindert Lateral Movement an anderer Stelle im Netzwerk. Die öffentliche Sichtbarkeit von Anwendungsressourcen wird aufgehoben und die Angriffsfläche erheblich verringert. |
Nächste Schritte
- Eine Übersicht über Permissions Management finden Sie unter Was ist Microsoft Entra Permissions Management?