Glossario Gestione delle autorizzazioni di Microsoft Entra
Questo glossario fornisce un elenco di alcuni dei termini cloud comunemente usati in Gestione delle autorizzazioni di Microsoft Entra. Questi termini consentono agli utenti di Gestione delle autorizzazioni di spostarsi tra termini specifici del cloud e termini generici del cloud.
Acronimi e termini comunemente usati
| Termine | Definizione |
|---|---|
| ACL | Elenco di controllo di accesso. Elenco di file o risorse che contengono informazioni su quali utenti o gruppi dispongono dell'autorizzazione per accedere a tali risorse o modificare tali file. |
| ARN | Notifica delle risorse di Azure |
| Sistema di autorizzazione | CIEM supporta account AWS, sottoscrizioni di Azure, progetti GCP come sistemi di autorizzazione |
| Tipo di sistema di autorizzazione | Qualsiasi sistema che fornisce le autorizzazioni assegnando le autorizzazioni alle identità, alle risorse. CIEM supporta AWS, Azure, GCP come tipi di sistema di autorizzazione |
| Sicurezza del cloud | Una forma di cybersecurity che protegge i dati archiviati online su piattaforme di cloud computing da furti, perdite ed eliminazioni. Include firewall, test di penetrazione, offuscamento, tokenizzazione, reti private virtuali (VPN) ed evitare connessioni Internet pubbliche. |
| Archiviazione nel cloud | Modello di servizio in cui i dati vengono gestiti, gestiti e sottoposti a backup in remoto. Disponibile per gli utenti in rete. |
| CIAM | Gestione degli accessi all'infrastruttura cloud |
| CIEM | Gestione entitlement dell'infrastruttura cloud. La prossima generazione di soluzioni per applicare privilegi minimi nel cloud. Risolve i problemi di sicurezza nativi del cloud per la gestione della gestione degli accessi alle identità negli ambienti cloud. |
| CIS | Sicurezza dell'infrastruttura cloud |
| CWP | Protezione del carico di lavoro cloud. Soluzione di sicurezza incentrata sul carico di lavoro destinata ai requisiti di protezione univoci dei carichi di lavoro negli ambienti aziendali moderni. |
| CNAPP | Protezione delle applicazioni native del cloud. Convergenza della gestione del comportamento di sicurezza cloud (CSPM), della protezione del carico di lavoro cloud (CWP), della gestione degli entitlement dell'infrastruttura cloud (CIEM) e del broker di sicurezza delle applicazioni cloud (CASB). Un approccio di sicurezza integrato che copre l'intero ciclo di vita delle applicazioni native del cloud. |
| CSPM | Gestione del comportamento di sicurezza cloud. Risolve i rischi di violazioni della conformità e configurazioni errate negli ambienti cloud aziendali. Si concentra anche sul livello delle risorse per identificare le deviazioni dalle impostazioni di sicurezza delle procedure consigliate per la governance e la conformità del cloud. |
| CWPP | Cloud Workload Protection Platform |
| Agente di raccolta dati | Entità virtuale che archivia la configurazione della raccolta dati |
| Delete (attività) | Attività ad alto rischio che consente agli utenti di eliminare definitivamente una risorsa. |
| ED | Directory dell'organizzazione |
| Entitlement | Attributo astratto che rappresenta diverse forme di autorizzazioni utente in un'ampia gamma di sistemi di infrastruttura e applicazioni aziendali. |
| Gestione dei diritti | La tecnologia che concede, risolve, applica, revoca e amministra diritti di accesso con granularità fine, ovvero autorizzazioni, privilegi, diritti di accesso, autorizzazioni e regole. Lo scopo è quello di eseguire criteri di accesso IT a dati, dispositivi e servizi strutturati e non strutturati. Può essere distribuito da tecnologie diverse ed è spesso diverso tra piattaforme, applicazioni, componenti di rete e dispositivi. |
| Autorizzazione ad alto rischio | Autorizzazioni che possono causare perdite di dati, interruzioni del servizio e riduzione delle prestazioni o modifiche al comportamento di sicurezza. |
| Attività ad alto rischio | Attività in cui un utente può causare perdite di dati, interruzioni del servizio o riduzione delle prestazioni del servizio. |
| Cloud ibrido | Talvolta chiamato ibrido cloud. Ambiente di elaborazione che combina un data center locale (un cloud privato) con un cloud pubblico. Consente la condivisione di dati e applicazioni tra di essi. |
| risorsa di archiviazione cloud ibrida | Un cloud privato o pubblico usato per archiviare i dati di un'organizzazione. |
| Processo di gestione degli eventi imprevisti | Gestione dei casi imprevisti |
| IDS | Servizio rilevamento intrusioni |
| Identità | Un'identità è un'identità umana (utente) o un'identità del carico di lavoro. Esistono nomi e tipi diversi di identità del carico di lavoro per ogni cloud. AWS: funzione lambda (funzione serverless), ruolo, risorsa. Azure: funzione di Azure (funzione serverless), entità servizio. GCP: funzione cloud (funzione serverless), account del servizio. |
| Analisi delle identità | Include monitoraggio e correzione di base, rilevamento e rimozione di account orfani e inattivo e individuazione di account con privilegi. |
| Gestione del ciclo di vita delle identità | Mantenere le identità digitali, le relazioni con l'organizzazione e i relativi attributi durante l'intero processo, dalla creazione all'archiviazione finale, usando uno o più modelli di ciclo di vita delle identità. |
| IGA | Governance e amministrazione delle identità. Soluzioni tecnologico che eseguono operazioni di gestione delle identità e governance degli accessi. IGA include gli strumenti, le tecnologie, i report e le attività di conformità necessarie per la gestione del ciclo di vita delle identità. Include tutte le operazioni dalla creazione e dalla terminazione dell'account al provisioning utenti, alla certificazione di accesso e alla gestione delle password aziendali. Esamina il flusso di lavoro automatizzato e i dati dalle funzionalità autorevoli di origini, il provisioning utenti self-service, la governance IT e la gestione delle password. |
| Gruppo inattivo | I gruppi inattivi hanno membri che non hanno usato le autorizzazioni concesse nell'ambiente corrente (ad esempio account AWS) negli ultimi 90 giorni. |
| Identità inattiva | Le identità inattive non hanno usato le autorizzazioni concesse nell'ambiente corrente (ad esempio l'account AWS) negli ultimi 90 giorni. |
| Gestione dei servizi IT | Information Technology Security Management. Strumenti che consentono alle organizzazioni di operazioni IT (infrastructure and operations manager) di supportare meglio l'ambiente di produzione. Facilitare le attività e i flussi di lavoro associati alla gestione e alla distribuzione di servizi IT di qualità. |
| JEP | Autorizzazioni just enough |
| JIT | L'accesso Just-In-Time può essere considerato un modo per applicare il principio dei privilegi minimi per garantire che agli utenti e alle identità non umane venga assegnato il livello minimo di privilegi. Garantisce inoltre che le attività con privilegi vengano eseguite in conformità ai criteri IAM (Identity Access Management), IT Service Management (ITSM) e Privileged Access Management (PAM) di un'organizzazione, con diritti e flussi di lavoro. La strategia di accesso JIT consente alle organizzazioni di mantenere un audit trail completo delle attività con privilegi in modo da identificare facilmente chi o cosa ha ottenuto l'accesso a quali sistemi, cosa hanno fatto in che momento e per quanto tempo. |
| Privilegi minimi | Assicura che gli utenti ottengano l'accesso solo agli strumenti specifici necessari per completare un'attività. |
| Multi-tenant | Una singola istanza del software e l'infrastruttura di supporto serve più clienti. Ogni cliente condivide l'applicazione software e condivide anche un singolo database. |
| OIDC | Connessione OpenID. Protocollo di autenticazione che verifica l'identità utente quando un utente tenta di accedere a un endpoint HTTPS protetto. OIDC è uno sviluppo evolutivo di idee implementate in precedenza in OAuth. |
| Identità attiva con provisioning eccessivo | Le identità attive con provisioning eccessivo non usano tutte le autorizzazioni concesse nell'ambiente corrente. |
| PAM | Gestione degli accessi con privilegi. Strumenti che offrono una o più di queste funzionalità: individuare, gestire e gestire gli account con privilegi in più sistemi e applicazioni; controllare l'accesso agli account con privilegi, inclusi l'accesso condiviso e di emergenza; randomizzare, gestire e credenziali dell'insieme di credenziali (password, chiavi e così via) per gli account amministrativi, del servizio e dell'applicazione; Single Sign-On (SSO) per l'accesso con privilegi per impedire la visualizzazione delle credenziali; controllare, filtrare e orchestrare comandi, azioni e attività con privilegi; gestire e brokerare le credenziali per applicazioni, servizi e dispositivi per evitare l'esposizione; e monitorare, registrare, controllare e analizzare l'accesso con privilegi, le sessioni e le azioni. |
| PASM | Gli account con privilegi sono protetti tramite l'insieme di credenziali delle credenziali. L'accesso a tali account viene quindi negoziato per utenti, servizi e applicazioni umani. Le funzioni di gestione delle sessioni con privilegi stabiliscono sessioni con possibili inserimenti di credenziali e registrazione completa della sessione. Le password e altre credenziali per gli account con privilegi vengono gestite e modificate attivamente a intervalli definibili o in caso di eventi specifici. Le soluzioni PASM possono anche fornire funzionalità di gestione delle password da applicazione a applicazione (AAPM) e funzionalità di accesso con privilegi remoti senza installazione per il personale IT e terze parti che non richiedono una VPN. |
| PEDM | I privilegi specifici vengono concessi al sistema gestito dagli agenti basati su host per gli utenti connessi. Gli strumenti PEDM forniscono il controllo dei comandi basato su host (filtro); consentire, negare e isolare i controlli; elevazione dei privilegi e/o . Quest'ultimo è sotto forma di consentire l'esecuzione di particolari comandi con un livello di privilegi superiore. Gli strumenti PEDM sono eseguiti nel sistema operativo effettivo a livello di kernel o processo. Il controllo dei comandi tramite il filtro del protocollo viene escluso in modo esplicito da questa definizione perché il punto di controllo è meno affidabile. Gli strumenti PEDM possono anche fornire funzionalità di monitoraggio dell'integrità dei file. |
| Autorizzazione | Diritti e privilegi. Un'azione che un'identità può eseguire su una risorsa. Dettagli forniti da utenti o amministratori di rete che definiscono i diritti di accesso ai file in una rete. Controlli di accesso collegati a una risorsa che indica quali identità possono accedervi e come. Le autorizzazioni sono associate alle identità e sono in grado di eseguire determinate azioni. |
| POD | Autorizzazione su richiesta. Tipo di accesso JIT che consente l'elevazione temporanea delle autorizzazioni, consentendo alle identità di accedere alle risorse in base alla richiesta, temporizzato. |
| Indice di tipo creep delle autorizzazioni (PCI) | Numero compreso tra 0 e 100 che rappresenta il rischio di utenti con accesso a privilegi ad alto rischio. PCI è una funzione degli utenti che hanno accesso a privilegi ad alto rischio, ma non li usano attivamente. |
| Gestione di criteri e ruoli | Gestire le regole che regolano l'assegnazione automatica e la rimozione dei diritti di accesso. Offre visibilità dei diritti di accesso per la selezione nelle richieste di accesso, nei processi di approvazione, nelle dipendenze e nelle incompatibilità tra i diritti di accesso e altro ancora. I ruoli sono un veicolo comune per la gestione dei criteri. |
| Privilege | Autorità per apportare modifiche a una rete o a un computer. Sia gli utenti che gli account possono avere privilegi e possono avere diversi livelli di privilegio. |
| Account con privilegi | Credenziali di accesso a un server, un firewall o un altro account amministrativo. Spesso definito account amministratore. Costituito dal nome utente e dalla password effettivi; queste due cose insieme costituiscono l'account. Un account con privilegi è autorizzato a eseguire più operazioni rispetto a un normale account. |
| Escalation dei privilegi | Le identità con escalation dei privilegi possono aumentare il numero di autorizzazioni concesse. Possono eseguire questa operazione per acquisire potenzialmente il controllo amministrativo completo dell'account AWS o del progetto GCP. |
| Cloud pubblico | Servizi di elaborazione offerti da provider di terze parti tramite Internet pubblico, rendendoli disponibili a chiunque voglia usarli o acquistarli. Questi servizi possono essere gratuiti o venduti on demand per consentire ai clienti di pagare solo per i cicli di CPU, le risorse di archiviazione o la larghezza di banda che utilizzano. |
| Conto risorse | È possibile accedere a qualsiasi entità che usa funzionalità di calcolo da parte di utenti e servizi per eseguire azioni. |
| Ruolo | Identità IAM con autorizzazioni specifiche. Invece di essere associati in modo univoco a una persona, un ruolo deve essere assunto da chiunque ne abbia bisogno. Un ruolo non dispone di credenziali standard a lungo termine, ad esempio una password o chiavi di accesso associate. |
| SCIM | Sistema per La gestione delle identità tra domini |
| Sistema di informazioni di sicurezza e gestione degli eventi | Informazioni sulla sicurezza e gestione degli eventi. Tecnologia che supporta il rilevamento delle minacce, la conformità e la gestione degli incidenti di sicurezza tramite la raccolta e l'analisi (quasi in tempo reale e cronologico) degli eventi di sicurezza, nonché un'ampia gamma di altri eventi e origini dati contestuali. Le funzionalità principali sono un ampio ambito di raccolta e gestione degli eventi del log, la possibilità di analizzare gli eventi di log e altri dati in origini diverse e funzionalità operative ,ad esempio gestione degli eventi imprevisti, dashboard e creazione di report. |
| SOAR | Orchestrazione della sicurezza, automazione e risposta (SOAR). Tecnologie che consentono alle organizzazioni di accettare input da varie origini (principalmente dai sistemi SIEM (security information and event management) e applicare flussi di lavoro allineati ai processi e alle procedure. Questi flussi di lavoro possono essere orchestrati tramite integrazioni con altre tecnologie e automatizzati per ottenere il risultato desiderato e una maggiore visibilità. Altre funzionalità includono le funzionalità di gestione dei casi e degli eventi imprevisti; la possibilità di gestire l'intelligence sulle minacce, i dashboard e la creazione di report; e analisi che possono essere applicate tra varie funzioni. Gli strumenti SOAR migliorano significativamente le attività di sicurezza come il rilevamento e la risposta delle minacce fornendo assistenza basata su computer agli analisti umani per migliorare l'efficienza e la coerenza delle persone e dei processi. |
| Utente con privilegi avanzati/Identità con privilegi avanzati | Un account potente usato dagli amministratori di sistema IT che possono essere usati per creare configurazioni a un sistema o a un'applicazione, aggiungere o rimuovere utenti o eliminare dati. Agli utenti con privilegi avanzati e alle identità vengono concesse le autorizzazioni per tutte le azioni e le risorse nell'ambiente corrente ,ad esempio l'account AWS. |
| Tenant | Istanza dedicata dei servizi e dei dati dell'organizzazione archiviati in una posizione predefinita specifica. |
| UUID | Identificatore univoco universale. Etichetta a 128 bit usata per le informazioni nei sistemi informatici. Viene usato anche il termine identificatore univoco globale (GUID). |
| Autorizzazioni usate | Numero di autorizzazioni usate da un'identità negli ultimi 90 giorni. |
| Sicurezza senza attendibilità | I tre principi fondamentali: verifica esplicita, presupposto di violazione e accesso con privilegi minimi. |
| ZTNA | Accesso alla rete senza attendibilità. Un prodotto o un servizio che crea un limite di accesso logico basato su identità e contesto intorno a un'applicazione o a un set di applicazioni. Le applicazioni sono nascoste dall'individuazione e l'accesso è limitato tramite un gestore di attendibilità a un set di entità denominate. Il broker verifica l'identità, il contesto e il rispetto dei criteri dei partecipanti specificati prima di consentire l'accesso e proibire lo spostamento laterale altrove nella rete. Rimuove gli asset dell'applicazione dalla visibilità pubblica e riduce significativamente la superficie di attacco. |
Passaggi successivi
- Per una panoramica di Gestione delle autorizzazioni, vedere Che cos'è Gestione delle autorizzazioni di Microsoft Entra?.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per