Glosarium Manajemen Izin Microsoft Entra
Glosarium ini menyediakan daftar beberapa istilah cloud yang umum digunakan dalam Manajemen Izin Microsoft Entra. Istilah ini membantu pengguna Manajemen Izin menavigasi melalui istilah khusus cloud dan istilah cloud-generic.
Akronim dan istilah yang umum digunakan
Term | Definisi |
---|---|
ACL | Daftar kontrol akses. Daftar file atau sumber daya yang berisi informasi tentang pengguna atau grup yang memiliki izin untuk mengakses sumber daya tersebut atau memodifikasi file tersebut. |
ARN | Notifikasi Sumber Daya Azure |
Sistem Otorisasi | CIEM mendukung akun AWS, Langganan Azure, proyek GCP sebagai sistem Otorisasi |
Jenis Sistem Otorisasi | Sistem apa pun yang menyediakan otorisasi dengan menetapkan izin ke identitas, sumber daya. CIEM mendukung AWS, Azure, GCP sebagai Jenis Sistem Otorisasi |
Keamanan cloud | Suatu bentuk keamanan cyber yang melindungi data yang tersimpan secara online di platform komputasi cloud dari pencurian, kebocoran, dan penghapusan. Termasuk firewall, pengujian penetrasi, penyamaran, tokenisasi, jaringan privat maya (VPN), dan menghindari koneksi internet publik. |
Penyimpanan cloud | Sebuah model layanan di mana data dipertahankan, dikelola, dan dicadangkan dari jarak jauh. Tersedia untuk pengguna melalui jaringan. |
CIAM | Manajemen Akses Infrastruktur Cloud |
CIEM | Pengelolaan Pemberian Hak Infrastruktur Cloud. Solusi generasi berikutnya untuk memberlakukan hak istimewa minimal di cloud. CIEM menangani tantangan keamanan cloud-native dalam mengelola manajemen akses identitas di lingkungan cloud. |
CIS | Keamanan infrastruktur cloud |
CWP | Perlindungan Beban Kerja Cloud. Solusi keamanan yang berpusat pada beban kerja yang menargetkan persyaratan perlindungan unik dari beban kerja di lingkungan perusahaan modern. |
CNAPP | Perlindungan Aplikasi Cloud-Native. Konvergensi manajemen postur keamanan cloud (CSPM), perlindungan beban kerja cloud (CWP), pengelolaan pemberian hak infrastruktur cloud (CIEM), dan cloud applications security broker (CASB). Pendekatan keamanan terintegrasi yang mencakup seluruh siklus hidup aplikasi cloud-native. |
CSPM | Manajemen Postur Keamanan Cloud. Mengatasi risiko pelanggaran kepatuhan dan kesalahan konfigurasi di lingkungan cloud perusahaan. Juga berfokus pada tingkat sumber daya untuk mengidentifikasi penyimpangan dari pengaturan keamanan praktik terbaik untuk tata kelola dan kepatuhan cloud. |
CWPP | Platform Perlindungan Beban Kerja Cloud |
Pengumpul Data | Entitas virtual yang menyimpan konfigurasi pengumpulan data |
Menghapus tugas | Tugas berisiko tinggi yang memungkinkan pengguna menghapus sumber daya secara permanen. |
ED | Direktori perusahaan |
Entitlement | Sebuah atribut abstrak yang menampilkan berbagai bentuk izin pengguna dalam berbagai sistem infrastruktur dan aplikasi bisnis. |
Pengelolaan pemberian hak | Teknologi yang memberikan, menyelesaikan, memberlakukan, mencabut, dan mengelola hak akses yang terperinci (yaitu, otorisasi, hak istimewa, hak akses, izin, dan aturan). Tujuannya adalah untuk menjalankan kebijakan akses TI ke data, perangkat, dan layanan terstruktur/tidak terstruktur. Hal ini dapat dilakukan dengan teknologi yang berbeda, dan sering kali berbeda di seluruh platform, aplikasi, komponen jaringan, dan perangkat. |
Izin berisiko tinggi | Izin yang berpotensi menyebabkan kebocoran data, gangguan dan degradasi layanan, atau perubahan postur keamanan. |
Tugas berisiko tinggi | Tugas di mana pengguna dapat menyebabkan kebocoran data, gangguan layanan, atau penurunan layanan. |
Cloud hibrid | Terkadang disebut hibrid cloud. Sebuah lingkungan komputasi yang menggabungkan pusat data lokal (cloud pribadi) dengan cloud publik. Cloud hibrid memungkinkan data dan aplikasi dibagikan di antara kedua lokasi tersebut. |
penyimpanan cloud hibrid | Sebuah cloud pribadi atau publik yang digunakan untuk menyimpan data organisasi. |
ICM | Manajemen Kasus Insiden |
IDS | Layanan Deteksi Penyusupan |
Identitas | Identitas adalah identitas manusia (pengguna) atau identitas beban kerja. Ada berbagai nama dan jenis identitas beban kerja untuk setiap cloud. AWS: Fungsi Lambda (fungsi tanpa server), peran, sumber daya. Azure: Fungsi Azure (fungsi tanpa server), perwakilan layanan. GCP: Fungsi cloud (fungsi tanpa server), akun layanan. |
Analisis identitas | Mencakup pemantauan dan remediasi dasar, deteksi dan penghapusan akun yang tidak aktif dan tidak memiliki induk, serta penemuan akun istimewa. |
Manajemen siklus hidup identitas | Mempertahankan identitas digital, hubungan mereka dengan organisasi, dan atribut mereka selama keseluruhan proses dari pembuatan hingga pengarsipan akhirnya, menggunakan satu atau beberapa pola siklus hidup identitas. |
IGA | Tata kelola identitas dan administrasi. Solusi teknologi yang melakukan manajemen identitas dan operasi tata kelola akses. IGA mencakup alat, teknologi, laporan, dan aktivitas kepatuhan yang diperlukan untuk manajemen siklus hidup identitas. Ini mencakup setiap operasi dari pembuatan akun dan penghentian hingga penyediaan pengguna, sertifikasi akses, serta manajemen kata sandi perusahaan. IGA melihat alur kerja otomatis dan data dari kemampuan sumber otoritatif, penyediaan pengguna layanan mandiri, tata kelola TI, dan manajemen kata sandi. |
Grup tidak aktif | Grup yang tidak aktif memiliki anggota yang belum menggunakan izin yang diberikan di lingkungan saat ini (yaitu Akun AWS) dalam 90 hari terakhir. |
Identitas tidak aktif | Identitas tidak aktif belum menggunakan izin yang diberikan di lingkungan saat ini (yaitu Akun AWS) 90 hari terakhir. |
ITSM | Manajemen Keamanan Teknologi Informasi. Alat yang memungkinkan organisasi yang bergerak dalam bidang TI (manajer infrastruktur dan operasi) untuk mendukung lingkungan produksi dengan lebih baik. Memfasilitasi tugas dan alur kerja yang terkait dengan manajemen dan penyediaan layanan TI yang berkualitas. |
JEP | Just Enough Permissions |
JIT | Akses Just in Time dapat diperlakukan sebagai cara untuk memberlakukan prinsip hak istimewa minimal guna memastikan identitas pengguna dan non-manusia diberi tingkat hak istimewa minimum. Akses Just in Time juga memastikan bahwa aktivitas hak istimewa dilakukan sesuai dengan kebijakan Identity Access Management (IAM), IT Service Management (ITSM), dan Privileged Access Management (PAM), dengan hak dan alur kerjanya. Strategi akses JIT memungkinkan organisasi untuk mempertahankan log audit penuh dari aktivitas istimewa sehingga mereka dapat dengan mudah mengidentifikasi siapa atau apa yang mendapatkan akses ke suatu sistem, apa yang mereka lakukan pada suatu waktu, dan durasinya. |
Hak istimewa minimal | Memastikan bahwa pengguna hanya mendapatkan akses ke alat tertentu yang diperlukan untuk menyelesaikan tugas. |
Multi-penyewa | Instans tunggal perangkat lunak dan infrastruktur pendukungnya yang melayani banyak pelanggan. Setiap pelanggan berbagi aplikasi perangkat lunak dan database tunggal yang sama. |
OIDC | OpenID Connect. Protokol autentikasi yang memverifikasi identitas pengguna saat pengguna mencoba mengakses titik akhir HTTPS yang dilindungi. OIDC adalah perkembangan evolusioner dari ide yang diimplementasikan sebelumnya di OAuth. |
Identitas aktif yang disediakan berlebihan | Identitas aktif yang disediakan berlebihan tidak menggunakan semua izin yang telah diberikan di lingkungan saat ini. |
PAM | Manajemen akses hak istimewa. Alat yang menawarkan satu atau lebih fitur ini: menemukan, mengelola, serta mengatur akun istimewa di beberapa sistem dan aplikasi; mengontrol akses ke akun istimewa, termasuk akses bersama dan darurat; mengacak, mengelola, dan menyimpan kredensial (kata sandi, kunci, dll.) untuk akun administratif, layanan, dan aplikasi; single sign-on (SSO) untuk akses istimewa untuk mencegah kredensial terungkap; mengontrol, memfilter, dan mengatur perintah, tindakan, dan tugas istimewa; mengelola dan menengahi kredensial ke aplikasi, layanan, dan perangkat untuk menghindari eksposur; dan memantau, merekam, mengaudit, serta menganalisis akses, sesi, dan tindakan istimewa. |
PASM | Akun istimewa dilindungi dengan menyimpan kredensial mereka. Akses ke akun tersebut kemudian diperantarai untuk pengguna manusia, layanan, dan aplikasi. Manajemen sesi istimewa (PSM) berfungsi membuat sesi dengan injeksi kredensial dan perekaman sesi penuh yang memungkinkan. Kata sandi dan kredensial lain untuk akun istimewa dikelola dan diubah secara aktif pada interval yang ditentukan atau setelah terjadinya peristiwa tertentu. Solusi PASM juga dapat menyediakan manajemen kata sandi aplikasi-ke-aplikasi (AAPM) dan fitur akses istimewa jarak jauh zero-install untuk staf TI dan pihak ketiga yang tidak memerlukan VPN. |
PEDM | Hak istimewa khusus diberikan pada sistem terkelola oleh agen berbasis host kepada pengguna yang masuk. Alat PEDM menyediakan kontrol perintah berbasis host (pemfilteran); aplikasi mengizinkan, menolak, dan mengisolasi kontrol; dan/atau elevasi hak istimewa. Yang disebut terakhir adalah dalam bentuk memungkinkan perintah tertentu dijalankan dengan tingkat keistimewaan yang lebih tinggi. Alat PEDM dijalankan pada sistem operasi yang sebenarnya pada tingkat kernel atau proses. Kontrol perintah yang melalui pemfilteran protokol secara eksplisit dikecualikan dari definisi ini karena titik kontrol kurang dapat diandalkan. Alat PEDM juga dapat menyediakan fitur pemantauan integritas file. |
Izin | Hak dan hak istimewa. Tindakan yang dapat dilakukan identitas pada sumber daya. Detail yang diberikan oleh pengguna atau administrator jaringan yang menentukan hak akses ke file di jaringan. Kontrol akses dilampirkan ke sumber daya yang mendikte identitas yang dapat mengaksesnya beserta caranya. Izin dilampirkan ke identitas dan merupakan kemampuan untuk melakukan tindakan tertentu. |
POD | Izin atas Permintaan. Jenis akses JIT yang mengizinkan elevasi izin sementara, memungkinkan identitas untuk mengakses sumber daya berbasis waktu berdasarkan permintaan. |
Permissions creep index (PCI) | Angka dari 0 hingga 100 yang menunjukkan risiko yang ditimbulkan dari pengguna dengan akses ke hak istimewa berisiko tinggi. PCI adalah fungsi pengguna yang memiliki akses ke hak istimewa berisiko tinggi tetapi tidak menggunakannya secara aktif. |
Kebijakan dan manajemen peran | Mempertahankan aturan yang mengatur penugasan otomatis dan penghapusan hak akses. Memberikan visibilitas hak akses untuk pilihan dalam permintaan akses, proses persetujuan, dependensi, dan ketidakcocokan antara hak akses, dan sebagainya. Peran adalah alat umum untuk manajemen kebijakan. |
Hak Istimewa | Otoritas untuk membuat perubahan pada jaringan atau komputer. Baik orang maupun akun dapat memiliki hak istimewa, dan keduanya dapat memiliki tingkat hak istimewa yang berbeda. |
Akun istimewa | Kredensial login ke server, firewall, atau akun administratif lainnya. Sering disebut sebagai akun administrator. Terdiri dari nama pengguna yang sebenarnya dan kata sandi; kedua hal ini bersama-sama membentuk akun. Akun istimewa diizinkan untuk melakukan lebih banyak hal daripada akun normal. |
Eskalasi hak istimewa | Identitas dengan eskalasi hak istimewa dapat meningkatkan jumlah izin yang telah diberikan. Mereka dapat melakukan ini untuk berpotensi memperoleh kontrol administratif penuh atas akun AWS atau proyek GCP. |
Cloud Publik | Layanan komputasi yang ditawarkan oleh penyedia pihak ketiga melalui Internet publik, membuatnya tersedia bagi siapa saja yang ingin menggunakan atau membelinya. Layanan tersebut mungkin gratis atau dijual sesuai permintaan, memungkinkan pelanggan untuk membayar hanya per penggunaan untuk siklus CPU, penyimpanan, atau bandwidth yang dipakai. |
Sumber daya | Setiap entitas yang menggunakan kemampuan komputasi dapat diakses oleh pengguna dan layanan untuk melakukan tindakan. |
Peran | Identitas IAM yang memiliki izin khusus. Alih-alih secara unik dikaitkan dengan satu orang, peran ditujukan untuk dapat digunakan oleh siapa saja yang memerlukannya. Peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. |
SCIM | System for Cross–domain Identity Management |
SIEM | Security Information and Event Management. Teknologi yang mendukung deteksi ancaman, manajemen insiden keamanan dan kepatuhan melalui pengumpulan dan analisis (baik mendekati real-time maupun historis) peristiwa keamanan, serta berbagai peristiwa lain dan sumber data kontekstual. Kemampuan intinya adalah ruang lingkup pengumpulan dan manajemen peristiwa log yang luas, kemampuan untuk menganalisis peristiwa log dan data lainnya di berbagai sumber yang berbeda, dan kemampuan operasional (seperti manajemen insiden, dasbor, dan pelaporan). |
SOAR | Security orchestration, automation and response (SOAR). Teknologi yang memungkinkan organisasi untuk mengambil input dari berbagai sumber (sebagian besar dari informasi keamanan dan sistem manajemen peristiwa [SIEM]) dan menerapkan alur kerja yang selaras dengan proses dan prosedur. Alur kerja ini dapat diatur melalui integrasi dengan teknologi lain dan diotomatiskan untuk mendapatkan hasil yang diinginkan dan memperoleh visibilitas yang lebih besar. Kemampuan lainnya meliputi fitur manajemen kasus dan insiden; kemampuan untuk mengelola inteligensi ancaman, dasbor, dan pelaporan; dan analitik yang dapat diterapkan di berbagai fungsi. Alat SOAR secara signifikan meningkatkan aktivitas operasi keamanan seperti deteksi dan respons ancaman dengan memberikan bantuan yang didukung mesin kepada analis manusia untuk meningkatkan efisiensi dan konsistensi antara manusia dan proses. |
Pengguna super / Identitas super | Akun kuat yang digunakan oleh administrator sistem TI yang mampu membuat konfigurasi ke sistem atau aplikasi, menambah atau menghapus pengguna, atau menghapus data. Pengguna super dan identitas diberikan izin untuk semua tindakan dan sumber daya di lingkungan saat ini (yaitu akun AWS). |
Penyewa | Instans khusus data organisasi dan layanan yang disimpan dalam lokasi default tertentu. |
UUID | Pengenal unik universal. Label 128-bit yang digunakan untuk informasi dalam sistem komputer. Istilah pengenal unik global (GUID) juga digunakan. |
Izin yang digunakan | Jumlah izin yang digunakan oleh identitas dalam 90 hari terakhir. |
Keamanan zero trust | Tiga prinsip dasar: verifikasi eksplisit, asumsi pelanggaran, dan akses istimewa paling kecil. |
ZTNA | Akses jaringan zero trust. Produk atau layanan yang membuat batas akses logis berbasis identitas dan konteks tentang aplikasi atau serangkaian aplikasi. Aplikasi disembunyikan dari penemuan, dan akses dibatasi melalui broker kepercayaan ke serangkaian entitas bernama. Broker memverifikasi kepatuhan identitas, konteks, dan kebijakan dari peserta yang ditentukan sebelum mengizinkan akses dan melarang gerakan lateral di tempat lain dalam jaringan. Ini menghapus aset aplikasi dari visibilitas publik dan secara signifikan mengurangi area permukaan serangan. |
Langkah berikutnya
- Untuk gambaran umum Manajemen Izin, lihat Apa yang Manajemen Izin Microsoft Entra?.