Microsoft Entra 權限管理詞彙
此詞彙提供 Microsoft Entra 權限管理中一些常用的雲端詞彙清單。 這些詞彙協助 Permissions Management 使用者瀏覽雲端特定詞彙和雲端泛型詞彙。
常用的縮略字和詞彙
| 詞彙 | 定義 |
|---|---|
| ACL | 存取控制清單。 檔案或資源清單,其中包含哪些使用者或群組有權存取這些資源或修改這些檔案的相關資訊。 |
| ARN | Azure 資源通知 |
| 授權系統 | CIEM 支援 AWS 帳戶、Azure 訂用帳戶、GCP 專案作為授權系統 |
| 授權系統類型 | 任何藉由將權限指派給身分識別、資源來提供授權的系統。 CIEM 支援 AWS、Azure、GCP 作為授權系統類型 |
| 雲端安全性 | 一種網路安全性形式,可保護在線上儲存於雲端運算平台上的資料,免於遭到竊取、外洩和刪除。 包括防火牆、滲透測試、模糊化、權杖化、虛擬私人網路 (VPN),以及避免公用網際網路連線。 |
| 雲端儲存空間 | 服務模型,可在其中從遠端維護、管理及備份資料。 可透過網路供使用者使用。 |
| CIAM | 雲端基礎結構存取管理 |
| CIEM | 雲端基礎結構權利管理。 新一代解決方案,用於在雲端中強制執行最低權限。 其解決了在雲端環境中管理身分識別存取管理的雲端原生安全性挑戰。 |
| CIS | 雲端基礎結構安全性 |
| CWP | 雲端工作負載保護。 以工作負載為中心的安全性解決方案,其以新式企業環境中工作負載的獨特保護需求為目標。 |
| CNAPP | 雲端原生應用程式保護。 雲端安全性狀態管理 (CSPM)、雲端工作負載保護 (CWP)、雲端基礎結構權利管理 (CIEM),以及雲端應用程式安全性訊息代理程式 (CASB) 的聚合。 整合式安全性方法,涵蓋雲端原生應用程式的整個生命週期。 |
| CSPM | 雲端安全性狀態管理。 解決企業雲端環境中合規性違規和設定錯誤的風險。 也著重於資源層級,以識別雲端治理和合規性最佳做法安全性設定的偏差。 |
| CWPP | 雲端工作負載保護平台 |
| 資料收集器 | 用於儲存資料收集組態的虛擬實體 |
| Delete 工作 | 高風險工作,可讓使用者永久刪除資源。 |
| ED | 企業目錄 |
| Entitlement | 抽象屬性,代表各種基礎結構系統和商務應用程式中的不同使用者權限形式。 |
| 權利管理 | 授與、解決、強制執行、撤銷及管理精細存取權利的技術 (也就是授權、權限、存取權、權限和規則)。 其目的是要對結構化/非結構化資料、裝置和服務執行 IT 存取原則。 這可由不同的技術提供,且在平台、應用程式、網路元件和裝置之間通常不同。 |
| 高風險權限 | 可能會造成資料外洩、服務中斷和安全性狀態降低或變更的權限。 |
| 高風險工作 | 使用者可能在其中造成資料外洩、服務中斷或服務降級的工作。 |
| 混合式雲端 | 有時稱為雲端混合式。 結合內部部署資料中心 (私人雲端) 與公用雲端的運算環境。 可讓資料和應用程式在它們之間共用。 |
| 混合式雲端儲存體 | 用來儲存組織資料的私人或公用雲端。 |
| ICM | 事件案例管理 |
| IDS | 入侵偵測服務 |
| 身分識別 | 身分識別是人類身分識別 (使用者 )或工作負載身分識別。 每個雲端有不同的工作負載身分識別名稱和類型。 AWS:Lambda (無伺服器函數)、角色、資源。 Azure:Azure 函數 (無伺服器函數),服務主體。 GCP:雲端函數 (無伺服器函數)、服務帳戶。 |
| 身分識別分析 | 包括基本監視和補救、休眠和孤立帳戶偵測和移除,以及具特殊權限的帳戶探索。 |
| 身分識別生命週期管理 | 使用一或多個身分識別生命週期模式,在整個程序 (從建立到最終封存) 中維護數位身分識別、其與組織的關係以及其屬性。 |
| IGA | 身分識別治理和管理。 進行身分識別管理和存取治理作業的技術解決方案。 IGA 包含身分識別生命週期管理所需的工具、技術、報告和合規性活動。 其中包含從帳戶建立和終止到使用者佈建、存取認證和企業密碼管理的每項作業。 它會查看來自授權來源功能的自動化工作流程和資料、自助式使用者佈建、IT 治理和密碼管理。 |
| 非使用中群組 | 非作用中群組具有在目前環境中未使用其已授與權限的成員 (亦即過去 90 天內的 AWS 帳戶。 |
| 非使用中身分識別 | 過去 90 天內,非使用中的身分識別尚未在目前環境中使用其授與的權限 (亦即 AWS 帳戶)。 |
| ITSM | 資訊技術安全性管理。 可讓 IT 作業組織 (基礎結構和營運管理員) 更妥善地支援生產環境的工具。 促進與管理和傳遞品質 IT 服務相關聯的工作和工作流程。 |
| JEP | Just Enough 權限 |
| JIT | Just In Time 存取可視為強制執行最低權限準則的方式,以確保使用者和非人類身分識別獲得最低層級的權限。 它也可確保根據組織的身分識別存取管理 (IAM)、IT 服務管理 (ITSM) 及 Privileged Access Management (PAM) 原則來執行特殊權限活動。 JIT 存取策略可讓組織維護特殊權限活動的完整稽核線索,以便輕鬆地識別誰可以存取哪些系統、他們在哪個時間執行哪個動作,以及多久的時間。 |
| 最低權限 | 確保使用者只能存取完成工作所需的特定工具。 |
| 多租用戶 | 軟體及其支援基礎結構的單一執行個體可為多個客戶提供服務。 每個客戶都會共用軟體應用程式,也會共用單一資料庫。 |
| OIDC | OpenID Connect。 驗證通訊協定,可在使用者嘗試存取受保護的 HTTPS 端點時驗證使用者身分識別。 OIDC 是稍早在 OAuth 中實作之想法的漸進式發展。 |
| 過度佈建的作用中身分識別 | 過度佈建的作用中身分識別不會使用目前環境中授與的所有權限。 |
| PAM | Privileged Access Management。 提供一或多項功能的工具:探索、管理及控管多個系統和應用程式上具特殊權限的帳戶;控制特殊權限帳戶的存取權,包括共用和緊急存取;隨機化、管理及保存管理、服務和應用程式帳戶的認證 (密碼、金鑰等);用於特殊權限存取的單一登入 (SSO),以防止揭露認證;控制、篩選及協調特殊權限命令、動作和工作;管理和代理應用程式、服務和裝置的認證,以避免暴露;以及監視、記錄、稽核和分析特殊權限存取、工作階段和動作。 |
| PASM | 具特殊權限的帳戶會經由保存其認證來獲得保護。 接著會為人類使用者、服務和應用程式代理這些帳戶的存取權。 特殊權限工作階段管理 (PSM) 功能可建立具有可能認證插入和完整工作階段記錄的工作階段。 具特殊權限帳戶的密碼和其他認證會以可定義的間隔或在發生特定事件時主動管理及變更。 PASM 解決方案也可為不需要 VPN 的 IT 人員和第三方提供應用程式對應用程式密碼管理 (AAPM) 和零安裝遠端特殊權限存取功能。 |
| PEDM | 主機型代理程式會將受控系統的特定權限授予已登入的使用者。 PEDM 工具提供主機型命令控制項 (篩選);應用程式允許、拒絕及隔離控制;和/或權限提高。 後者的格式是允許以較高層級的權限執行特定命令。 PEDM 工具會在核心或程序層級的實際作業系統上執行。 透過通訊協定篩選的命令控制會明確從此定義中排除,因為控制點比較不可靠。 PEDM 工具也可以提供檔案完整性監視功能。 |
| 權限 | 權利和權限。 身分識別可以對資源執行的動作。 由使用者或網路管理員所提供的詳細資料,可定義網路上檔案存取權限。 連結至資源的存取控制項,規定哪些身分識別可存取該資源,以及其存取方式。 權限會連結至身分識別,而且能夠執行特定動作。 |
| POD | 隨選權限。 一種 JIT 存取,允許暫時提高許可權,讓身分識別能夠依要求根據時間存取資源。 |
| 權限蔓延指標 (Permissions creep index,PCI) | 從 0 到 100 的數字,代表可存取高風險權限的使用者所產生的風險。 PCI 是可存取高風險權限但未加以主動使用之使用者的函數。 |
| 原則和角色管理 | 維護可控管自動指派和移除存取權限的規則。 提供存取要求、核准程序、相依性,以及存取權限之間不相容性等選取的存取權限可見度。 角色是原則管理的常見工具。 |
| 權限 | 對網路或電腦進行變更的授權單位。 人員和帳戶都可以有權限,且兩者可以有不同層級的權限。 |
| 具特殊權限的帳戶 | 伺服器、防火牆或其他系統管理帳戶的登入認證。 通常就是指管理帳戶。 由實際使用者名稱和密碼組成;這兩個項目一起組成帳戶。 具特殊權限的帳戶可執行比一般帳戶更多的動作。 |
| 權限提升 | 具有權限提升的身分識別可以增加已授與的權限數目。 他們可以這麼做,以取得 AWS 帳戶或 GCP 專案的完整系統管理控制權。 |
| 公用雲端 | 透過公用網際網路的第三方提供者所提供的運算服務,讓想要使用或購買這些服務的人都能使用。 公用雲端可能免費,或是可讓客戶依需求購買,而只需支付所使用之 CPU 週期、儲存體或頻寬的每筆使用量費用。 |
| 資源 | 任何使用計算功能的實體都可以由使用者和服務存取,以執行動作。 |
| 角色 | 具有特定權限的 IAM 身分識別。 角色並非與一個人獨一無二地關聯,而是要讓任何需要角色的人都能擔任。 角色沒有標準長期認證,例如相關聯的密碼或存取金鑰。 |
| SCIM | 跨網域身分識別管理系統 |
| SIEM | 安全性資訊與事件管理。 透過安全性事件以及各種其他事件和相關資料來源的收集和分析 (近乎即時和歷史性),支援威脅偵測、合規性和安全性事件管理的技術。 核心功能是記錄事件收集和管理的廣泛範圍、分析記錄事件和不同來源之其他資料的能力,以及營運功能 (事件管理、儀表板和報告)。 |
| SOAR | 安全性協調流程、自動化和回應 (SOAR)。 可讓組織從各種來源 (大部分來自安全性資訊和事件管理 [SIEM] 系統) 取得輸入的技術,並套用符合處理序和程序的工作流程。 這些工作流程可透過與其他技術整合和自動化來協調,以達到所需的結果和更高的可見度。 其他功能包括案例和事件管理功能;管理威脅情報、儀表板和報告的能力;以及可跨各種函式套用的分析。 SOAR 工具藉由為人類分析師提供機器支援的協助,大幅增強威脅偵測和回應等安全性作業活動,以改善人員和程序的效率和一致性。 |
| 超級使用者 / 超級身分識別 | IT 系統管理員所使用的強大帳戶,可用來對系統或應用程式進行設定、新增或刪除使用者,或刪除資料。 超級使用者和身分識別會授與目前環境中對所有動作和資源的權限 (亦即 AWS 帳戶)。 |
| 租用戶 | 儲存在特定預設位置的服務和組織資料的專用執行個體。 |
| UUID | 通用唯一識別碼。 用於電腦系統中資訊的 128 位元標籤。 也會使用全域唯一識別碼 (GUID) 一詞。 |
| 已使用的權限 | 過去 90 天內身分識別所使用的權限數目。 |
| 零信任安全性 | 三個基本準則:明確驗證、入侵假設和最低特殊權限存取。 |
| ZTNA | 零信任網路存取。 一項產品或服務,可建立以一個或一組應用程式為主的身分識別和內容型邏輯存取界限。 應用程式會在探索中隱藏,而存取權會透過信任訊息代理人限制為一組具名實體。 訊息代理程式會先驗證指定參與者的身分識別、內容和原則遵循,再允許存取並禁止在網路中的其他地方橫向移動。 它會從公開可見度中移除應用程式資產,並大幅減少攻擊的介面區。 |
下一步
- 如需權限管理的概觀,請參閱什麼是 Microsoft Entra 權限管理?。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: