Le glossaire de la Gestion des autorisations Microsoft Entra
Ce glossaire fournit une liste de certains termes cloud couramment utilisés dans la Gestion des autorisations Microsoft Entra. Ces termes aident les utilisateurs de la Gestion des autorisations à naviguer entre les termes spécifiques au cloud et les termes génériques du cloud.
Acronymes et termes couramment utilisés
| Terme | Définition |
|---|---|
| ACL | Liste de contrôle d'accès. Liste de fichiers ou de ressources qui contiennent des informations sur les utilisateurs ou les groupes qui ont l’autorisation d’accéder à ces ressources ou de modifier ces fichiers. |
| ARN | Azure Resource Notification |
| Système d’autorisation | CIEM prend en charge les comptes AWS, les abonnements Azure et les projets GCP en tant que systèmes d’autorisation |
| Type de système d’autorisation | Tout système qui fournit les autorisations en attribuant les autorisations aux identités, aux ressources. CIEM prend en charge AWS, Azure, GCP en tant que types de système d’autorisation |
| Sécurité du cloud | Forme de cybersécurité qui protège les données stockées en ligne sur des plateformes de cloud computing contre le vol, la fuite et la suppression. Comprend des pare-feu, des tests d’intrusion, l’obfuscation, la tokenisation, les réseaux privés virtuels (VPN) et le non-recours aux connexions Internet publiques dans la mesure du possible. |
| Stockage cloud | Modèle de service dans lequel les données sont tenues à jour, gérées et sauvegardées à distance. Accessible aux utilisateurs sur un réseau. |
| CIAM | Cloud Infrastructure Access Management |
| CIEM | Cloud Infrastructure Entitlement Management. Nouvelle génération de solutions pour appliquer les privilèges minimum dans le cloud. Résout les problèmes de sécurité natifs du cloud en matière de gestion de l’accès aux identités dans les environnements cloud. |
| CIS | Cloud Infrastructure Security |
| CWP | Cloud Workload Protection. Solution de sécurité centrée sur la charge de travail qui cible les exigences de protection uniques des charges de travail dans les environnements d’entreprise modernes. |
| CNAPP | Cloud-Native Application Protection. Convergence entre Cloud Security position Management (CSPM), Cloud Workload Protection (CWP), Cloud Infrastructure Entitlement Management (CIEM) et Cloud Applications Security Broker (CASB). Approche de sécurité intégrée qui couvre l’ensemble du cycle de vie des applications cloud natives. |
| CSPM | Cloud Security Posture Management. Gère les risques liés aux violations de conformité et aux erreurs de configuration dans les environnements cloud d’entreprise. Axée également sur le niveau de ressources afin d’identifier les écarts par rapport aux paramètres de sécurité des bonnes pratiques en matière de gouvernance et de conformité cloud. |
| CWPP | Cloud Workload Protection Platform |
| Collecteur de données | Entité virtuelle qui stocke la configuration de la collecte de données |
| Delete (tâche) | Tâche à haut risque qui permet aux utilisateurs de supprimer définitivement une ressource. |
| ED | Annuaire d’entreprise |
| Entitlement | Attribut abstrait qui représente différentes formes d’autorisations utilisateur dans une plage de systèmes d’infrastructure et d’applications métier. |
| Gestion des droits d’utilisation | Technologie qui accorde, résout, applique, révoque et administre les droits d’accès précis (c’est-à-dire les autorisations, les privilèges, les droits d’accès, les autorisations et les règles). Son objectif est d’appliquer des stratégies d’accès informatique à des données structurées/non structurées, appareils et services. Elle peut être fournie par différentes technologies, et est souvent différente entre les plateformes, les applications, les composants réseau et les appareils. |
| Autorisation à haut risque | Autorisations susceptibles d’entraîner des fuites de données, des interruptions de service et des dégradations, ou des changements dans la posture de sécurité. |
| Tâche à haut risque | Tâche dans laquelle un utilisateur peut provoquer une fuite de données, une interruption de service ou une dégradation de service. |
| Cloud hybride | Parfois appelé « hybride cloud ». Environnement informatique qui associe un centre de données local (cloud privé) à un cloud public. Il leur permet de partager des données et des applications. |
| stockage cloud hybride | Cloud privé ou public utilisé pour stocker les données d’une organisation. |
| ICM | Incident Case Management |
| IDS | Intrusion Detection Service |
| Identité | Une identité est une identité humaine (utilisateur) ou une identité de charge de travail. Il existe différents noms et types d’identités de charge de travail pour chaque cloud. AWS : fonction lambda (fonction serverless), rôle, ressource. Azure : fonction Azure (fonction serverless), principal de service. GCP : fonction cloud (fonction serverless), compte de service. |
| Analytique d’identité | Comprend le monitoring et la correction de base, la détection et la suppression des comptes dormants et orphelins, ainsi que la découverte des comptes privilégiés. |
| Gestion du cycle de vie des identités | Gérer les identités numériques, leurs relations avec l’organisation et leurs attributs durant tout le processus, de la création à l’archivage final, à l’aide d’un ou plusieurs modèles de cycle de vie des identités. |
| IGA | Identity Governance and Administration. Solutions technologiques qui exécutent les opérations de gestion des identités et de gouvernance d’accès. L’IGA comprend les outils, les technologies, les rapports et les activités de conformité requis pour la gestion du cycle de vie des identités. Elle comprend toutes les opérations de création et de terminaison de comptes, de provisionnement des utilisateurs, de certification des accès et de gestion des mots de passe d’entreprise. Elle examine les données et le flux de travail automatisé à partir des capacités des sources faisant autorité, du provisionnement des utilisateurs en libre-service, de la gouvernance informatique et de la gestion des mots de passe. |
| Groupe inactif | Les groupes inactifs ont des membres qui n’ont pas utilisé leurs autorisations accordées dans l’environnement actuel (par exemple, compte AWS) au cours des 90 derniers jours. |
| Identité inactive | Les identités inactives n’ont pas utilisé leurs autorisations accordées dans l’environnement actuel (par exemple, compte AWS) au cours des 90 derniers jours. |
| ITSM | Information Technology Security Management. Outils qui permettent aux organisations informatiques (gestionnaires d’infrastructure et d’exploitation) de mieux prendre en charge l’environnement de production. Facilitent les tâches et les flux de travail associés à la gestion et à la remise de services informatiques de qualité. |
| JEP | Just Enough Permissions |
| JIT | L’accès juste-à-temps peut être considéré comme un moyen d’appliquer le principe du privilège minimum pour garantir que les utilisateurs et les identités non-humaines reçoivent le niveau minimal de privilèges. Il garantit également que les activités privilégiées sont menées conformément aux stratégies de gestion des identités et des accès (IAM), de gestion des services informatiques (ITSM) et de gestion de l’accès privilégié (PAM) de l’organisation, avec ses droits et ses workflows. La stratégie d’accès JIT permet aux organisations de conserver une piste d’audit complète des activités privilégiées afin de pouvoir facilement identifier les utilisateurs ou les appareils ayant obtenu l’accès aux systèmes, ce qu’ils ont fait à quel moment et pendant combien de temps. |
| Privilège minimum | Garantit que les utilisateurs accèdent uniquement aux outils spécifiques dont ils ont besoin pour effectuer une tâche. |
| Multi-locataire | Une seule instance du logiciel et son infrastructure de prise en charge desservent plusieurs clients. Chaque client partage l’application logicielle et également une base de données unique. |
| OIDC | OpenID Connect. Un protocole d’authentification qui vérifie l’identité de l’utilisateur lorsqu’un utilisateur tente d’accéder à un point de terminaison protégé par HTTPS. OIDC est un développement évolutionnaire d’idées implémentées antérieurement dans OAuth. |
| Identité active surapprovisionnée | Les identités actives surapprovisionnées n’utilisent pas toutes les autorisations qui leur ont été accordées dans l’environnement actuel. |
| PAM | Privileged Access Management. Outils qui offrent une ou plusieurs de ces fonctionnalités : découvrir, gérer et gouverner les comptes privilégiés sur plusieurs systèmes et applications ; contrôler l’accès aux comptes privilégiés, y compris l’accès partagé et d’urgence ; randomiser, gérer et mettre des informations d’identification (mot de passe, clés, etc.) en sécurité dans un coffre pour les comptes d’administration, de service et d’application ; authentification unique pour l’accès privilégié afin d’éviter que les informations d’identification soient révélées ; contrôler, filtrer et orchestrer les commandes, les actions et les tâches privilégiées ; gérer et négocier les informations d’identification pour les applications, les services et les appareils afin d’éviter toute exposition ; et enfin, superviser, enregistrer, auditer et analyser l’accès, les sessions et les actions privilégiés. |
| PASM | Les comptes privilégiés sont protégés par le stockage de leurs informations d’identification dans un coffre. L’accès à ces comptes est ensuite réparti pour les utilisateurs humains, les services et les applications. Les fonctions de gestion des sessions privilégiées établissent des sessions avec l’injection d’informations d’identification possible et l’enregistrement complet de la session. Les mots de passe et autres informations d’identification pour les comptes privilégiés sont activement gérés et modifiés à des intervalles définissables ou à l’occurrence d’événements spécifiques. Les solutions PASM peuvent également fournir des fonctionnalités de gestion des mots de passe d’application à application (AAPM) et d’accès privilégié à distance avec zéro installation pour le personnel informatique et les tiers qui ne nécessitent pas de VPN. |
| PEDM | Des privilèges spécifiques sont accordés sur le système managé par des agents basés sur l’hôte aux utilisateurs connectés. Les outils PEDM fournissent un contrôle de commande basé sur l’hôte (filtrage), des contrôles d’autorisation, de refus et d’isolation d’application, et/ou une élévation des privilèges. Cette dernière s’obtient en autorisant l’exécution de commandes spécifiques avec un niveau de privilèges plus élevé. Les outils PEDM s’exécutent sur le système d’exploitation réel au niveau du noyau ou du processus. Le contrôle de commande via le filtrage de protocole est explicitement exclu de cette définition, car le point de contrôle est moins fiable. Les outils PEDM peuvent également fournir des fonctionnalités de monitoring de l’intégrité des fichiers. |
| Autorisation | Droits et privilèges. Une action qu’une identité peut effectuer sur une ressource. Détails fournis par les utilisateurs ou les administrateurs réseau qui définissent des droits d’accès aux fichiers sur un réseau. Contrôles d’accès associés à une ressource qui dictent les identités qui peuvent y accéder et comment. Les autorisations sont attachés aux identités et représentent la capacité à effectuer certaines actions. |
| POD | Permission on Demand. Type d’accès JIT qui autorise l’élévation temporaire des autorisations, permettant ainsi aux identités d’accéder à des ressources à la demande, sur une base temporelle. |
| Permissions Creep Index (PCI) | Nombre compris entre 0 et 100 qui représente le risque encouru des utilisateurs ayant accès à des privilèges à haut risque. Le PCI est une fonction des utilisateurs qui ont accès à des privilèges à haut risque, mais qui ne les utilisent pas activement. |
| Gestion des stratégies et des rôles | Tient à jour les règles qui régissent l’affectation et la suppression automatiques des droits d’accès. Fournit la visibilité des droits d’accès pour la sélection dans les demandes d’accès, les processus d’approbation, les dépendances et les incompatibilités entre les droits d’accès, et bien plus encore. Les rôles sont un vecteur courant pour la gestion des stratégies. |
| Privilège | Autorité donnant droit d’apporter des modifications à un réseau ou à un ordinateur. Les personnes et les comptes peuvent avoir des privilèges, et tous deux peuvent avoir différents niveaux de privilège. |
| Compte privilégié | Informations d’identification de connexion à un serveur, un pare-feu ou un autre compte d’administration. Souvent appelé compte d’administrateur. Composé du nom d’utilisateur et du mot de passe réels ; ces deux éléments forment le compte. Un compte privilégié est autorisé à faire plus de choses qu’un compte normal. |
| Élévation des privilèges | Les identités avec élévation des privilèges peuvent augmenter le nombre d’autorisations qui leur ont été accordées. Ils peuvent le faire pour obtenir un contrôle administratif total du compte AWS ou du projet GCP. |
| Cloud public | Services informatiques proposés par des fournisseurs tiers sur l’Internet public, afin de les rendre accessibles à toute personne souhaitant les utiliser ou les acheter. Ils peuvent être gratuits ou vendus à la demande, ce qui permet aux clients de payer uniquement les cycles de processeur, le stockage ou la bande passante qu’ils consomment. |
| Ressource | Toute entité qui utilise des fonctionnalités de calcul est accessible par des utilisateurs et des services pour effectuer des actions. |
| Rôle | Identité IAM qui a des autorisations spécifiques. Au lieu d’être associé de façon unique à une seule personne, un rôle est censé pouvoir être assumé par toute personne qui en a besoin. Un rôle n’est associé à aucune information d’identification à long terme standard, telle qu’un mot de passe ou des clés d’accès. |
| SCIM | System for Cross–domain Identity Management |
| SIEM | Security Information and Event Management. Technologie qui prend en charge la détection des menaces, la conformité et la gestion des incidents de sécurité grâce à la collecte et à l’analyse (à la fois en quasi-temps réel et historique) des événements de sécurité, ainsi qu’un large éventail d’autres sources de données d’événements et contextuelles. Les fonctionnalités principales sont un large éventail de collecte et de gestion des événements de journal, la possibilité d’analyser les événements de journal et d’autres données de sources disparates, ainsi que des fonctionnalités opérationnelles (telles que la gestion des incidents, les tableaux de bord et les rapports). |
| SOAR | Security Orchestration, Automation and Response (SOAR). Technologies qui permettent aux organisations de prendre des entrées à partir de différentes sources (principalement des systèmes SIEM [Security Information and Event Management]) et d’appliquer des flux de travail alignés sur des processus et des procédures. Ces flux de travail peuvent être orchestrés via des intégrations avec d’autres technologies, et automatisés pour obtenir le résultat souhaité et une meilleure visibilité. Parmi les autres fonctionnalités figurent la gestion des cas et des incidents, la possibilité de gérer le renseignement sur les menaces, les tableaux de bord et les rapports, ainsi que l’analytique qui peut être appliquée à travers différentes fonctions. Les outils SOAR améliorent considérablement les activités de sécurité telles que la détection et la réponse aux menaces en fournissant une assistance par ordinateur aux analystes humains pour améliorer l’efficacité et la cohérence des personnes et des processus. |
| Super utilisateur/Super identité | Compte puissant utilisé par les administrateurs de système informatique pour effectuer des configurations sur un système ou une application, ajouter ou supprimer des utilisateurs ou supprimer des données. Les super utilisateurs et les identités reçoivent des autorisations sur toutes les actions et ressources dans l’environnement actuel (par exemple, compte AWS). |
| Locataire | Instance dédiée des services et des données d’organisation stockées dans un emplacement par défaut spécifique. |
| UUID | Identificateur unique universel. Étiquette 128 bits utilisée pour les informations dans les systèmes informatiques. Le terme identificateur global unique (GUID) est également utilisé. |
| Autorisations utilisées | Nombre d’autorisations utilisées par une identité au cours des 90 derniers jours. |
| Sécurité Confiance Zéro | Les trois principes fondamentaux sont la vérification explicite, l’hypothèse d’une violation et l’accès le moins privilégié. |
| ZTNA | Zero Trust Network Access. Produit ou service qui crée une limite d’accès logique basée sur l’identité et le contexte autour d’une application ou d’un ensemble d’applications. Les applications sont masquées et ne peuvent pas être découvertes, et l’accès est limité à un ensemble d’entités nommées via un répartiteur d’approbation. Le répartiteur vérifie l’identité, le contexte et le respect des stratégies des participants spécifiés avant d’autoriser l’accès, et interdit le mouvement latéral ailleurs dans le réseau. Il enlève les ressources de l’application de la visibilité publique, et réduit considérablement la surface d’exposition aux attaques. |
Étapes suivantes
- Pour obtenir une vue d’ensemble de la Gestion des autorisations, consultez Présentation de la Gestion des autorisations Microsoft Entra.