O Glossário do Gerenciamento de Permissões do Microsoft Entra
Este glossário fornece uma lista de alguns dos termos de nuvem comumente usados no Gerenciamento de Permissões do Microsoft Entra. Esses termos ajudarão os usuários do Gerenciamento de Permissões do Microsoft Entra a navegar por termos específicos e termos genéricos da nuvem.
Termos e acrônimos comumente usados
Termo | Definição |
---|---|
ACL | Lista de controle de acesso. Uma lista de arquivos ou recursos que contêm informações sobre quais usuários ou grupos têm permissão para acessar esses recursos ou modificar esses arquivos. |
ARN | Notificação de recursos do Azure |
Sistema de autorização | O CIEM dá suporte a contas da AWS, assinaturas do Azure, projetos do GCP como Sistemas de autorização |
Tipo de Sistema de Autorização | Qualquer sistema que forneça as autorizações atribuindo as permissões às identidades, recursos. O CIEM dá suporte a AWS, Azure, GCP como os Tipos de Sistema de Autorização |
Segurança na nuvem | Uma forma de segurança cibernética que protege os dados armazenados online nas plataformas de computação em nuvem contra roubo, vazamento e exclusão de dados. Inclui firewalls, testes de penetração, ofuscação, geração de tokens, VPN (redes virtuais privadas) e evitar conexões públicas com a Internet. |
Armazenamento em nuvem | Um modelo de serviço no qual os dados são mantidos, gerenciados e protegidos com backups remotamente. Disponível para usuários em uma rede. |
CIAM | Gerenciamento de Acesso à Infraestrutura de Nuvem |
CIEM | Gerenciamento de Direitos da Infraestrutura de Nuvem. A última geração de soluções para impor privilégios mínimos na nuvem. Aborda desafios de segurança nativos de nuvem para o gerenciamento de acesso de identidade em ambientes de nuvem. |
CIS | Segurança da infraestrutura de nuvem |
CWP | Proteção de cargas de trabalho na nuvem. Uma solução de segurança centrada nas cargas de trabalho que tem como alvo os requisitos de proteção exclusivos das cargas de trabalho nos ambientes empresariais modernos. |
CNAPP | Proteção de Aplicativo Nativa de Nuvem. A convergência do CSPM (gerenciamento da postura de segurança na nuvem), da CWP (proteção de carga de trabalho na nuvem), do CIEM (gerenciamento de direitos da infraestrutura de nuvem) e do CASB (agente de segurança de aplicativos de nuvem). Uma abordagem de segurança integrada que abrange todo o ciclo de vida dos aplicativos nativos de nuvem. |
GPSN | Gerenciamento da Postura de Segurança na Nuvem. Aborda os riscos de violações de conformidade e configurações indevidas em ambientes de nuvem empresarial. Também se concentra no nível de recursos para identificar desvios das configurações de segurança de melhores práticas para governança e conformidade de nuvem. |
CWPP | Plataforma de Proteção de Cargas de Trabalho na Nuvem |
Coletor de Dados | Entidade virtual que armazena a configuração de coleta de dados |
tarefa Delete | Uma tarefa de alto risco que permite aos usuários excluírem permanentemente um recurso. |
ED | Diretório empresarial |
Direito | Um atributo abstrato que representa diferentes formas de permissões de usuário em uma série de sistemas de infraestrutura e aplicativos de negócios. |
Gerenciamento de direitos | Tecnologia que concede, resolve, impõe, revoga e administra direitos de acesso refinados (ou seja, autorizações, privilégios, direitos de acesso, permissões e regras). Sua finalidade é executar políticas de acesso de TI para dados estruturados/não estruturados, dispositivos e serviços. Ela pode ser entregue por diferentes tecnologias e geralmente é diferente em plataformas, aplicativos, componentes de rede e dispositivos. |
Permissão de alto risco | Permissões que têm o potencial de causar vazamento de dados, interrupção e degradação do serviço ou alterações na postura de segurança. |
Tarefa de alto risco | Uma tarefa em que o usuário pode causar vazamento de dados, interrupção de serviço ou degradação do serviço. |
Nuvem híbrida | Às vezes chamada de híbrida de nuvem. Ambiente de computação que combina um data center local (uma nuvem privada) com uma nuvem pública. Ele permite que dados e aplicativos sejam compartilhados entre eles. |
armazenamento em nuvem híbrida | Uma nuvem privada ou pública usada para armazenar os dados de uma organização. |
ICM | Gerenciamento de Casos de Incidentes |
IDS | Serviço de Detecção de Intrusão |
Identidade | Uma identidade é uma identidade humana (usuário) ou uma identidade de carga de trabalho. Há nomes e tipos diferentes de identidades de carga de trabalho para cada nuvem. AWS: função Lambda (função sem servidor), função, recurso. Azure: função do Azure (função sem servidor), entidade de serviço. GCP: função de nuvem (função sem servidor), conta de serviço. |
Análise de identidade | Inclui monitoramento e correção básicos, detecção e remoção de contas inativas e órfãs e descoberta de contas privilegiadas. |
Gerenciamento do ciclo de vida de identidades | Mantenha identidades digitais, as relações delas com a organização e os atributos delas durante todo o processo, desde a criação até o eventual arquivamento, usando um ou mais padrões de ciclo de vida de identidade. |
IGA | Administração e governança de identidade. Soluções de tecnologia que realizam operações de gerenciamento de identidades e governança de acessos. O IGA inclui as ferramentas, tecnologias, relatórios e atividades de conformidade necessários para o gerenciamento do ciclo de vida de identidade. Ele inclui todas as operações, desde a criação e o encerramento da conta até o provisionamento de usuário, a certificação de acesso e o gerenciamento de senhas corporativas. Ele analisa o fluxo de trabalho automatizado e os dados de funcionalidades de fontes oficiais, provisionamento de usuário de autoatendimento, governança de TI e gerenciamento de senhas. |
Grupo inativo | Grupos inativos têm membros que não usaram suas permissões concedidas no ambiente atual (ou seja, Conta do AWS) nos últimos 90 dias. |
Identidade inativa | As identidades inativas não usaram suas permissões concedidas no ambiente atual (ou seja, conta AWS) nos últimos 90 dias. |
ITSM | Gerenciamento de Segurança da Tecnologia da Informação. Ferramentas que habilitam as organizações de operações de TI (gerenciadores de infraestrutura e de operações) a dar melhor suporte ao ambiente de produção. Facilitam tarefas e fluxos de trabalho associados ao gerenciamento e à entrega de serviços de IT de qualidade. |
JEP | Apenas permissões suficientes |
JIT | O acesso just-in-time pode ser visto como uma forma de impor o princípio de privilégios mínimos a fim de garantir que os usuários e as identidades não humanas recebam um nível mínimo de privilégios. Também garante que as atividades privilegiadas sejam realizadas de acordo com as políticas de Gerenciamento de Acesso de Identidade (IAM), ITSM (Gerenciamento de Serviços de TI) e PAM (Privileged Access Management), com seus direitos e fluxos de trabalho. A estratégia de acesso JIT permite que as organizações mantenham uma trilha de auditoria completa com as atividades privilegiadas para que possam identificar com facilidade quem ou o que obteve acesso a quais sistemas, o que fizeram nesse tempo de acesso e por quanto tempo ficaram. |
Privilégio mínimo | Garante que os usuários só obtenham acesso às ferramentas específicas de que precisam para concluir uma tarefa. |
Multilocatário | Apenas uma instância do software e sua infraestrutura de suporte atendem a vários clientes. Cada cliente compartilha o aplicativo de software e também compartilha apenas um banco de dados. |
OIDC | OpenID Connect. Um protocolo de autenticação que verifica a identidade do usuário quando ele está tentando acessar um ponto de extremidade HTTPs protegido. OIDC é um desenvolvimento evolucionário de ideias implementadas anteriormente no OAuth. |
Identidade ativa superprovisionada | As identidades ativas superprovisionadas não estão usando todas as permissões concedidas no ambiente atual. |
PAM | Gerenciamento de acesso privilegiado. Ferramentas que oferecem um ou mais desses recursos: descobrir, gerenciar e controlar contas privilegiadas em vários sistemas e aplicativos; controlar o acesso a contas com privilégios, incluindo acesso compartilhado e de emergência; randomizar, gerenciar e colocar no cofre as credenciais (senha, chaves etc.) para contas administrativas, de serviço e de aplicativo; SSO (logon único) para acesso privilegiado para impedir que as credenciais sejam reveladas; controlar, filtrar e orquestrar comandos, ações e tarefas com privilégios; gerenciar e intermediar credenciais para aplicativos, serviços e dispositivos para evitar a exposição; e monitorar, registrar, auditar e analisar sessões, ações e acesso privilegiado. |
PASM | As contas privilegiadas são protegidas pelo armazenamento em cofres das credenciais delas. O acesso a essas contas é então orientado por usuários humanos, serviços e aplicativos. As funções de PSM (gerenciamento de sessão privilegiada) estabelecem sessões com possível injeção de credencial e gravação de sessão completa. As senhas e outras credenciais para contas com privilégios são ativamente gerenciadas e alteradas em intervalos definíveis ou após a ocorrência de eventos específicos. As soluções PASM também podem fornecer AAPM (gerenciamento de senhas entre aplicativos) e recursos de acesso remoto privilegiado sem instalação para a equipe de TI e terceiros que não exigem VPN. |
PEDM | Privilégios específicos são concedidos no sistema gerenciado por agentes baseados em host para usuários conectados. As ferramentas PEDM fornecem controle de comando baseado em host (filtragem); controles de permissão, negação e isolamento de aplicativo; e/ou elevação de privilégio. O último está na forma de permitir que comandos específicos sejam executados com um nível mais alto de privilégios. As ferramentas PEDM são executadas no sistema operacional real, no nível do kernel ou do processo. O controle de comandos por meio da filtragem do protocolo é explicitamente excluído dessa definição, pois o ponto de controle é menos confiável. As ferramentas PEDM também podem fornecer recursos de monitoramento da integridade do arquivo. |
Permissão | Direitos e privilégios. Uma ação que uma identidade pode executar em um recurso. Detalhes fornecidos por usuários ou administradores de rede que definem direitos de acesso a arquivos em uma rede. Controles de acesso anexados a um recurso que determina quais identidades podem acessá-lo e como. As permissões são anexadas a identidades e são a capacidade de executar determinadas ações. |
POD | Permissão sob demanda. Um tipo de acesso JIT que permite a elevação temporária de permissões, permitindo que as identidades acessem os recursos por solicitação e por tempo. |
PCI (Índice de deslocamento de permissões) | Um número de 0 a 100 que representa os riscos incorridos de usuários com acesso a privilégios de alto risco. O PCI é uma função de usuários que têm acesso a privilégios de alto risco, mas que não os usam ativamente. |
Gerenciamento de políticas e funções | Mantenha regras que controlem a atribuição/remoção automática de direitos de acesso. Fornece visibilidade sobre os direitos de acesso para a seleção nas solicitações de acesso, processos de aprovação, dependências e incompatibilidades entre direitos de acesso e muito mais. As funções são um veículo comum para o gerenciamento de políticas. |
Privilege | A autoridade para fazer alterações em uma rede ou um computador. Tanto as pessoas quanto as contas podem ter privilégios, e ambas podem ter diferentes níveis de privilégio. |
Conta privilegiada | Uma credencial de logon para um servidor, um firewall ou outra conta administrativa. Geralmente conhecidas como contas de administrador. Composto pelo nome de usuário e a senha reais; essas duas coisas juntos compõem a conta. Uma conta privilegiada tem permissão para fazer mais coisas do que uma conta normal. |
Elevação de privilégio | As identidades com escalonamento de privilégios podem aumentar o número de permissões concedidas. Eles podem fazer isso para potencialmente adquirir controle administrativo total da conta do AWS ou do projeto GCP. |
Nuvem Pública | Serviços de computação oferecidos por provedores de terceiros pela Internet pública, disponibilizando-os para qualquer pessoa que queira usar ou comprá-los. Eles podem ser gratuitos ou vendidos sob demanda, permitindo que os clientes paguem apenas pelo uso dos ciclos de CPU, do armazenamento e da largura de banda consumidos. |
Recurso | Qualquer entidade que usa recursos de computação pode ser acessada por usuários e serviços para executar ações. |
Função | Uma identidade IAM que tem permissões específicas. Em vez de serem associados exclusivamente a uma pessoa, uma função é destinada a ser assumida por qualquer pessoa que precise dela. Uma função não tem credenciais padrão de longo prazo, como senhas ou chaves de acesso associadas a ela. |
SCIM | Sistema de Gerenciamento de Usuários entre Domínios |
SIEM | Gerenciamento de eventos e informações de segurança. Tecnologia que dá suporte à detecção de ameaças, conformidade e gerenciamento de incidentes de segurança por meio da coleta e análise (quase em tempo real e histórica) de eventos de segurança, bem como uma ampla variedade de outras fontes de dados contextuais e de eventos. Os principais recursos são um escopo amplo de coleta e gerenciamento de eventos de log, a capacidade de analisar eventos de log e outros dados em diferentes fontes e recursos operacionais (como gerenciamento de incidentes, painéis e relatórios). |
SOAR | SOAR (Orquestração de segurança, automação e resposta). Tecnologias que permitem que as organizações admitam entradas de várias fontes (principalmente de sistemas SIEM [gerenciamento de eventos e informações de segurança]) e apliquem fluxos de trabalho alinhados a processos e procedimentos. Esses fluxos de trabalho podem ser orquestrados por meio de integrações com outras tecnologias e automatizados para atingir o resultado desejado e maior visibilidade. Outros recursos incluem recursos de gerenciamento de casos e incidentes; a capacidade de gerenciar inteligência, dashboards e relatórios de ameaças; e análises que podem ser aplicadas em várias funções. As ferramentas SOAR aprimoram significativamente as atividades de segurança, como a detecção de ameaças e a resposta, fornecendo assistência da plataforma computacional a analistas humanos para melhorar a eficiência e a consistência das pessoas e dos processos. |
Superusuário/superidentidade | Uma conta poderosa usada pelos administradores do sistema de TI, que pode ser usada para fazer configurações no sistema ou no aplicativo, adicionar ou remover usuários ou excluir dados. Superusuários e identidades recebem permissões para todas as ações e recursos no ambiente atual (ou seja, conta do AWS). |
Locatário | Uma instância dedicada dos serviços e dos dados da organização armazenados em um local padrão específico. |
UUID | Identificador universal exclusivo. Um rótulo de 128 bits usado para informações em sistemas de computador. O termo GUID (identificador global exclusivo) também é usado. |
Permissões usadas | O número de permissões usadas por uma identidade nos últimos 90 dias. |
Segurança de Confiança Zero | Os três princípios fundamentais: verificação explícita, suposição de violação e acesso com privilégios mínimos. |
ZTNA | Acesso à rede com confiança zero. Um produto ou serviço que cria um limite de acesso lógico baseado na identidade e no contexto em torno de um aplicativo ou de um conjunto de aplicativos. Os aplicativos são ocultados da descoberta e o acesso fica restrito a um conjunto de entidades designadas pela ação de um agente de confiança. O agente verifica a identidade, o contexto e a adesão às políticas pelos participantes especificados antes de permitir o acesso e proíbe a movimentação lateral em outros lugares da rede. Ele remove os ativos dos aplicativos da visibilidade pública e reduz significativamente as áreas suscetíveis a ataques. |
Próximas etapas
- Para ter uma visão geral do Gerenciamento de Permissões, consulteO que é o Gerenciamento de Permissões do Microsoft Entra?.