Глоссарий Управление разрешениями Microsoft Entra
Этот глоссарий содержит список некоторых часто используемых облачных терминов в Управление разрешениями Microsoft Entra. Эти термины помогают пользователям управления разрешениями перемещаться через облачные термины и облачные универсальные термины.
Часто используемые акронимы и термины
| Термин | Определение |
|---|---|
| ACL | Список управления доступом. Список файлов или ресурсов, содержащих сведения о том, какие пользователи или группы имеют разрешение на доступ к этим ресурсам или на изменение этих файлов. |
| ARN | Уведомление о ресурсах Azure |
| Система авторизации | В качестве систем авторизации CIEM поддерживает учетные записи AWS, подписки Azure, проекты GCP. |
| Тип системы авторизации | Любая система, предоставляющая авторизацию, назначая разрешения удостоверениям, ресурсам. В качестве типов системы авторизации CIEM поддерживает AWS, Azure, GCP. |
| Безопасность облака | Форма кибербезопасности, которая защищает данные, хранящиеся в Интернете на платформах облачных вычислений, от кражи, утечки и удаления. Включает брандмауэры, тесты на проникновение, маскировку, разметку, виртуальные частные сети (VPN) и отказ от использования общедоступных подключений к Интернету. |
| Облачное хранилище | Модель службы, в которой обслуживание, управление и резервное копирование данных выполняется удаленно. Облачное хранилище доступно пользователям по сети. |
| CIAM | Управление доступом к облачной инфраструктуре |
| CIEM | Управление правами для облачной инфраструктуры. Новое поколение решений для реализации принципа минимальных необходимых привилегий в облаке. Решает проблемы безопасности в облаке, связанные с управлением доступом идентификаторов в облачных средах. |
| CIS | Безопасность облачной инфраструктуры |
| CWP | Защита рабочих нагрузок в облаке. Решение по обеспечению безопасности, нацеленное на уникальные требования к защите рабочих нагрузок в современных корпоративных средах. |
| CNAPP | Защита полностью облачных приложений. Сочетание Управления состоянием безопасности облака (CSPM), защиты рабочих нагрузок в облаке (CWP), управления правами для облачной инфраструктуры (CIEM) и брокера безопасного доступа в облако (CASB). Интегрированный подход к безопасности, охватывающий весь жизненный цикл полностью облачных приложений. |
| CSPM | Управление состоянием безопасности облака. Нацелено на устранение рисков нарушения соответствия и ошибок настройки в корпоративных облачных средах. Уделяет основное внимание уровню ресурсов, чтобы выявлять отклонения от рекомендуемых параметров безопасности для управления облаком и обеспечения соответствия. |
| CWPP | Защита рабочих нагрузок в облаке |
| Сборщик данных | Виртуальная сущность для хранения конфигурации сбора данных. |
| Delete - задача | Задача, связанная с высоким риском, которая позволяет пользователям навсегда удалить ресурс. |
| ED | Корпоративный каталог |
| Entitlement | Абстрактный атрибут, представляющий различные формы разрешений пользователя в различных инфраструктурных системах и бизнес-приложениях. |
| Управление правами | Технология, которая предоставляет, разрешает, применяет, отменяет и администрирует детализированные права доступа (то есть авторизации, привилегии, права доступа, разрешения и правила). Целью является выполнение политик доступа к структурированным и неструктурированным данным, устройствам и службам. Может доставляться с помощью различных технологий и часто отличается для разных платформ, приложений, сетевых компонентов и устройств. |
| Разрешение высокого риска | Разрешения, которые могут привести к утечке данных, нарушению работы службы и ухудшению состояния безопасности. |
| Задача, связанная с высоким риском | Задача, при выполнении которой пользователь может вызвать утечку данных, прерывание работы службы или снижение ее производительности. |
| Гибридное облако | Иногда называется облачным гибридом. Вычислительная среда, объединяющая локальный центр обработки данных (частное облако) с общедоступным облаком. Позволяет совместно использовать данные и приложения. |
| гибридное облачное хранилище | Личное или общедоступное облако, используемое для хранения данных организации. |
| ICM | Управление инцидентами |
| IDS | Служба обнаружения вторжений |
| Идентификация | Удостоверение — это удостоверение человека (пользователя) или удостоверения рабочей нагрузки. Для каждого облака существуют разные имена и типы удостоверений рабочей нагрузки. AWS: Лямбда-функция (бессерверная функция), роль, ресурс. Azure: функция Azure (бессерверная функция), субъект-служба. GCP: облачная функция (бессерверная функция), учетная запись службы. |
| Аналитика идентификаторов | Включает базовые функции мониторинга и исправления, обнаружение неактивных и потерянных учетных записей, а также обнаружение привилегированных учетных записей. |
| управление жизненным циклом удостоверений | Сохраняет цифровые идентификаторы, их связи с организацией и их атрибуты во время всего процесса от создания до помещения в архив с использованием одного или нескольких шаблонов жизненного цикла идентификаторов. |
| IGA | Управление и администрирование идентификаторов. Технологические решения, которые выполняют операции управления идентификаторами и доступом. IGA включает средства, технологии, отчеты и действия по обеспечению соответствия, необходимые для управления жизненным циклом идентификаторов. Включает в себя все операции от создания учетной записи и прекращения ее действия до подготовки пользователей, сертификации доступа и управления паролями предприятия. В нем рассматривается автоматизированный рабочий процесс и данные из достоверных источников, подготовка пользователей самообслуживания, управление ИТ-ресурсами и управление паролями. |
| Неактивная группа | Неактивные группы имеют участников, которые не использовали свои предоставленные разрешения в текущей среде (т. е. учетная запись AWS) за последние 90 дней. |
| Неактивное удостоверение | Неактивные удостоверения не использовали предоставленные разрешения в текущей среде (т. е. учетная запись AWS) за последние 90 дней. |
| ITSM | Управление безопасностью информационных технологий. Средства, позволяющие ИТ-специалистам организации (управляющим ИТ-инфраструктурой и деятельностью) улучшить поддержку рабочей среды. Помогает при выполнении задач и рабочих процессов, связанных с управлением и предоставлением качественных ИТ-услуг. |
| JEP | Just Enough Permissions (достаточно разрешений) |
| JIT | JIT-доступ может рассматриваться как способ применения принципа минимальных необходимых разрешений для пользователей и идентификаторов, не связанных с человеком. Кроме того, он обеспечивает выполнение действий, требующих разрешений, в соответствии с политиками Системы управления идентификацией и доступом (IAM), Управления ИТ-услугами (ITSM) и Privileged Access Management (PAM) благодаря его назначениям и рабочим процессам. Стратегия JIT-доступа позволяет организациям сохранять полный журнал аудита действий, для выполнения которых необходимы определенные разрешения, чтобы они легко определят, кто или что получило доступ к системам, какие действия, когда и в течение какого времени выполнялись. |
| Предоставление прав по принципу минимальных разрешений | Обеспечивает предоставление пользователям доступа только к конкретным средствам, необходимым для выполнения текущей задачи. |
| Несколько клиентов | Один экземпляр программного обеспечения и его поддерживающая инфраструктура обслуживает нескольких клиентов. Каждый клиент использует одно приложение и единую базу данных. |
| OIDC | OpenID Connect. Протокол проверки подлинности, который проверяет удостоверение пользователя, когда пользователь пытается получить доступ к защищенной конечной точке HTTPS. OIDC — это эволюционное развитие идей, реализованных ранее в OAuth. |
| Чрезмерно подготовленное активное удостоверение | Слишком подготовленные активные удостоверения не используют все разрешения, предоставленные в текущей среде. |
| PAM | Управление привилегированным доступом. Средства, которые предлагают одну или несколько из этих возможностей: обнаружение привилегированных учетных записей и управление ими в нескольких системах и приложениях; управление доступом к привилегированным учетным записям, включая общий и аварийный доступ; создание случайных значений учетных данных (паролей, ключей и т. д.) для учетных записей администраторов, служб и приложений; единый вход (SSO) для привилегированного доступа, чтобы предотвратить раскрытие учетных данных; управление, фильтрация и координирование привилегированных команд, действий и задач; управление учетными данными и брокерство для приложений, служб и устройств, чтобы избежать раскрытия; мониторинг, запись, аудит и анализ привилегированного доступа, сеансов и действий. |
| PASM | Защита привилегированных учетных записей обеспечивается за счет помещения их учетных данных в хранилище. После этого доступ к этим учетным записям будет осуществляться посредством брокерства для пользователей, служб и приложений. Функции управления привилегированными сеансами (PSM) устанавливают сеансы с возможным внедрением учетных данных и полной записью сеанса. Пароли и другие учетные данные для привилегированных учетных записей активно управляются и изменяются с определенными интервалами или при возникновении конкретных событий. Решения PASM также могут обеспечить управление паролями между приложениями (AAPM) и функции удаленного привилегированного доступа без установки для ИТ-специалистов и других заинтересованных лиц, которым не требуется VPN. |
| PEDM | Агенты на основе узла назначают определенные разрешения для управляемой системы пользователям, вошедшим в систему. Средства PEDM предоставляют управление командами на основе узла (фильтрация); приложения разрешают, запрещают и изолируют элементы управления; и/или повышение привилегий. Последнее обеспечивается за счет возможности выполнять определенные команды с более высоким уровнем привилегий. Средства PEDM выполняются в самой операционной системе на уровне ядра или процесса. Управление командами с помощью фильтрации протокола явно исключено из этого определения, поскольку точка управления менее надежна. Средства PEDM также могут предоставит функции мониторинга целостности файлов. |
| Разрешение | Права и привилегии Действие, выполняемое удостоверением для ресурса. Сведения, предоставляемые пользователями или сетевыми администраторами, которые определяют права доступа к файлам в сети. Элементы управления доступом, подключенные к ресурсу, определяют, какие идентификаторы могут получить к нему доступ и каким образом. Разрешения присоединены к удостоверениям и являются возможностью выполнения определенных действий. |
| POD | Разрешение по запросу. Тип JIT-доступа, который обеспечивает временное повышение разрешений, позволяя удостоверениям получать доступ к ресурсам по запросу на ограниченное время. |
| Индекс смещения разрешений (PCI) | Число от 0 до 100, представляющее риск для пользователей с доступом к привилегиям, связанным с высоким риском. PCI — это функция пользователей, имеющих доступ к привилегиям с высоким риском, но не использующих их активно. |
| Управление политиками и ролями | Ведение правил, регулирующих автоматическое назначение и удаление прав доступа. Обеспечивает видимость прав доступа для выбора в запросах доступа, процессах утверждения, зависимостях и несовместимостях между правами доступа и т. д. Роли являются распространенными средством для управления политиками. |
| Privilege | Полномочия для внесения изменений в сеть или компьютер. Привилегиями могут обладать как пользователи, так и учетные записи. Бывают разные уровни привилегий. |
| Привилегированная учетная запись скомпрометирована | Учетные данные входа на сервер, в брандмауэр или другую учетную запись администратора. Часто называется учетной записью администратора. Состоит из имени пользователя и пароля — их сочетание образует учетную запись. Привилегированной учетной записи разрешено больше операций, чем обычной. |
| Повышение привилегий | Удостоверения с повышением привилегий могут увеличить количество предоставленных разрешений. Это можно сделать, чтобы получить полный административный контроль над учетной записью AWS или проектом GCP. |
| Общедоступное облако | Вычислительные службы, предоставляемые сторонними поставщиками через общедоступный Интернет. Они доступны для всех, кто хочет их использовать или приобрести. Это могут быть как бесплатные службы, так и предоставляемые платно по запросу, что позволяет клиентам платить только за использованные ресурсы ЦП, хранилища и пропускную способность. |
| Ресурс | Любая сущность, использующая возможности вычислений, может быть доступна пользователям и службам для выполнения действий. |
| Роль | Идентификатор Системы управления идентификацией и доступом с определенными разрешениями. Вместо того, чтобы однозначно связываться с одним человеком, роль можно назначать любому пользователю, которому она нужна. У роли нет стандартных долгосрочных учетных данных, таких как пароль или ключи доступа. |
| SCIM | Система междоменного управления идентификацией |
| SIEM | Система управления информационной безопасностью и событиями безопасности. Технология, которая поддерживает обнаружение угроз, соответствие требованиям и управление инцидентами безопасности посредством сбора и анализа событий безопасности (практически в реальном времени и за предыдущие периоды времени), а также широкий спектр других событий и контекстных источников данных. Основные возможности — сбор и управление событиями различных журналов, анализ событий журналов и других данных в разнородных источниках, а также операционные возможности, например управление инцидентами, панели мониторинга и отчеты. |
| SOAR | Оркестрация, автоматизация и реагирование системы безопасности (SOAR). Технологии, которые позволяют организациям принимать входные данные из различных источников (в основном из систем управления информационной безопасностью и событиями безопасности [SIEM]) и применять рабочие процессы, согласованные с процессами и процедурами. Эти рабочие процессы можно организовать с помощью интеграции с другими технологиями и автоматизировать для достижения желаемого результата и большей видимости. Среди других возможностей — функции управления обращениями и инцидентами. возможность управления аналитикой угроз, панелями мониторинга и отчетами, а также аналитические данные, которые можно применять в различных функциях. Средства SOAR значительно помогают в выполнении действий по обеспечению безопасности, таких как обнаружение угроз и реагирование, предоставляя аналитикам поддержку для повышения эффективности и согласованности людей и процессов. |
| Суперпользователь / суперидентификатор | Учетная запись с широкими возможностями, используемая администраторами ИТ-систем для настройки систем и приложений, добавления и удаления пользователей, а также удаления данных. Суперпользователей и удостоверений предоставляются разрешения для всех действий и ресурсов в текущей среде (т. е. учетной записи AWS). |
| Клиент | Выделенный экземпляр служб и данных организации, хранящихся в определенном расположении по умолчанию. |
| UUID | Универсальный уникальный идентификатор. 128-разрядная метка, используемая для информации в компьютерных системах. Также используется термин "глобальный уникальный идентификатор" (GUID). |
| Используемые разрешения | Количество разрешений, используемых удостоверением за последние 90 дней. |
| Безопасности по модели "Никому не доверяй" | Три базовых принципа: явная проверка, допущение нарушений и наименьший необходимый привилегированный доступ. |
| ZTNA | Доступа к сети на основе модели "Никому не доверяй". Продукт или служба, которая создает логическую границу доступа на основе идентификаторов и контекста вокруг приложения или набора приложений. Приложения скрыты от обнаружения, и брокер доверия разрешает доступ только набору именованных сущностей. Брокер проверяет идентификатор, контекст и соответствие политике для указанных участников, прежде чем разрешать доступ, и запрещает боковое смещение в другие места в сети. Он исключает ресурсы приложений из общедоступной области видимости и значительно сокращает контактную зону для атак. |
Следующие шаги
- Общие сведения об управлении разрешениями см. в статье "Что такое Управление разрешениями Microsoft Entra?".