Microsoft Entra 權限管理 字彙
此詞彙提供 Microsoft Entra 權限管理 中一些常用的雲端詞彙清單。 這些詞彙可協助許可權管理使用者瀏覽雲端特定詞彙和雲端泛型詞彙。
常用的縮寫和詞彙
| 詞彙 | 定義 |
|---|---|
| ACL | 訪問控制清單。 包含哪些使用者或群組有權存取這些資源或修改這些檔案之相關信息的檔案或資源清單。 |
| 阿恩 | Azure 資源通知 |
| 授權系統 | CIEM 支援 AWS 帳戶、Azure 訂用帳戶、GCP 專案作為授權系統 |
| 授權系統類型 | 任何藉由將許可權指派給身分識別、資源來提供授權的系統。 CIEM 支援 AWS、Azure、GCP 作為授權系統類型 |
| 雲端安全性 | 一種網路安全性形式,可保護儲存在雲端運算平臺上的數據免於竊取、洩漏和刪除。 包括防火牆、滲透測試、模糊化、令牌化、虛擬專用網 (VPN),以及避免公用因特網連線。 |
| 雲端儲存空間 | 服務模型,其中數據會從遠端維護、管理及備份。 可透過網路供使用者使用。 |
| CIAM | 雲端基礎結構存取管理 |
| CIEM | 雲端基礎結構權利管理。 新一代解決方案,用於在雲端中強制執行最低許可權。 它解決了在雲端環境中管理身分識別存取管理之雲端原生安全性挑戰。 |
| CIS | 雲端基礎結構安全性 |
| CWP | 雲端工作負載保護。 以工作負載為中心的安全性解決方案,以新式企業環境中工作負載的獨特保護需求為目標。 |
| CNAPP | 雲端原生應用程式保護。 雲端安全性狀態管理(CSPM)、雲端工作負載保護(CWP)、雲端基礎結構權利管理(CIEM)和雲端應用程式安全性代理程式(CASB)的融合。 整合式安全性方法,涵蓋雲端原生應用程式的整個生命週期。 |
| CSPM | 雲端安全性狀態管理。 解決企業雲端環境中合規性違規和設定錯誤的風險。 也著重於資源層級,以識別雲端治理與合規性最佳做法安全性設定的偏差。 |
| CWPP | 雲端工作負載保護平臺 |
| 資料收集器 | 儲存數據收集組態的虛擬實體 |
| Delete 工作 | 可讓使用者永久刪除資源的高風險工作。 |
| ED | 企業目錄 |
| Entitlement | 抽象屬性,表示基礎結構系統和商務應用程式中不同形式的用戶權力。 |
| 權利管理 | 授與、解析、強制執行、撤銷及管理精細存取權的技術(也就是授權、許可權、訪問許可權、許可權和規則)。 其目的是要對結構化/非結構化數據、裝置和服務執行IT存取原則。 它可以由不同的技術提供,而且通常會在平臺、應用程式、網路元件和裝置之間有所不同。 |
| 高風險許可權 | 可能會造成數據外洩、服務中斷和降低或安全性狀態變更的許可權。 |
| 高風險工作 | 用戶可以在其中造成數據外泄、服務中斷或服務降低的工作。 |
| 混合式雲端 | 有時稱為雲端混合式。 結合內部部署數據中心(私人雲端)與公用雲端的運算環境。 它可讓數據和應用程式在它們之間共用。 |
| 混合式雲端記憶體 | 用來儲存組織數據的私人或公用雲端。 |
| ICM | 事件案例管理 |
| Id | 入侵檢測服務 |
| 身分識別 | 身分識別是人類身分識別(使用者)或工作負載身分識別。 每個雲端有不同的工作負載身分識別名稱和類型。 AWS:Lambda 函式(無伺服器函式)、角色、資源。 Azure:Azure 函式(無伺服器函式),服務主體。 GCP:雲端函式(無伺服器函式)、服務帳戶。 |
| 身分識別分析 | 包含基本監視和補救、休眠和孤立帳戶偵測和移除,以及特殊許可權帳戶探索。 |
| 身分識別生命週期管理 | 使用一或多個身分識別生命週期模式,在整個過程中維護數位身分識別、與組織的關係,以及其屬性,從建立到最終封存。 |
| Iga | 身分識別治理和管理。 進行身分識別管理和存取治理作業的技術解決方案。 IGA 包含身分識別生命週期管理所需的工具、技術、報告和合規性活動。 其中包含帳戶建立和終止到使用者布建、存取認證和企業密碼管理的每個作業。 它會查看來自授權來源功能的自動化工作流程和數據、自助使用者布建、IT 治理和密碼管理。 |
| 非使用中群組 | 非使用中群組具有過去 90 天內尚未在目前環境中使用其授與許可權的成員(亦即 AWS 帳戶)。 |
| 非使用中身分識別 | 過去 90 天內,非使用中的身分識別尚未在目前環境中使用其授與的許可權(亦即 AWS 帳戶)。 |
| ITSM | 資訊技術安全性管理。 可讓IT作業組織(基礎結構和營運管理員)能夠更妥善地支持生產環境的工具。 協助與管理及傳遞品質IT服務相關聯的工作和工作流程。 |
| JEP | Just Enough Permissions |
| JIT | Just In Time 存取可被視為強制執行最低許可權原則的一種方式,以確保使用者和非人類身分識別獲得最低層級的許可權。 它也可確保根據組織的身分識別存取管理(IAM)、IT 服務管理(ITSM)和特殊許可權存取管理(PAM)原則,及其權利和工作流程,進行特殊許可權活動。 JIT 存取策略可讓組織維護特殊許可權活動的完整稽核線索,以便輕鬆識別哪些人或哪些人能夠存取哪些系統、他們在哪些時間做了什麼,以及時間長度。 |
| 最低權限 | 確保使用者只能存取他們完成工作所需的特定工具。 |
| 多租用戶 | 軟體及其支援基礎結構的單一實例為多個客戶提供服務。 每個客戶都會共用軟體應用程式,並共用單一資料庫。 |
| OIDC | OpenID 連線。 驗證通訊協定,會在用戶嘗試存取受保護的 HTTPS 端點時驗證使用者身分識別。 OIDC 是 OAuth 稍早實作之想法的進化開發。 |
| 過度布建的作用中身分識別 | 過度布建的作用中身分識別不會使用目前環境中授與的所有許可權。 |
| PAM | 特殊許可權存取管理。 提供一或多個功能的工具:探索、管理及控管多個系統和應用程式上的特殊許可權帳戶;控制特殊許可權帳戶的存取權,包括共用和緊急存取;隨機化、管理和保存庫認證(密碼、金鑰等)用於系統管理、服務和應用程式帳戶:單一登錄 (SSO) 用於特殊許可權存取,以防止顯示認證;控制、篩選及協調特殊許可權命令、動作和工作;管理及代理應用程式、服務和裝置的認證,以避免暴露;和監視、記錄、稽核和分析特殊許可權存取、工作階段和動作。 |
| PASM | 特殊許可權帳戶會藉由保存其認證來保護。 然後,系統會為人類使用者、服務和應用程式代理這些帳戶的存取權。 特殊許可權會話管理 (PSM) 函式會建立具有可能認證插入和完整會話錄製的會話。 特殊許可權帳戶的密碼和其他認證會主動管理,並在可定義間隔或發生特定事件時變更。 PASM 解決方案也可以為不需要 VPN 的 IT 人員和第三方提供應用程式對應用程式密碼管理 (AAPM) 和零安裝遠端特殊許可權存取功能。 |
| PEDM | 以主機為基礎的代理程式授與受管理系統上的特定許可權給登入的使用者。 PEDM 工具提供主機型命令控制項(篩選):應用程式允許、拒絕和隔離控件;和/或許可權提升。 後者的形式是允許特定命令以較高層級的許可權執行。 PEDM 工具會在核心或進程層級的實際操作系統上執行。 透過通訊協定篩選的命令控件會明確排除在此定義中,因為控制點較不可靠。 PEDM 工具也可能提供檔案完整性監視功能。 |
| 權限 | 許可權和許可權。 身分識別可以在資源上執行的動作。 使用者或網路管理員提供的詳細數據,可定義網路上檔案的訪問許可權。 附加至資源訪問控制,可聽寫哪些身分識別可以存取該身分識別及其方式。 許可權會附加至身分識別,而且能夠執行特定動作。 |
| POD | 隨選許可權。 一種 JIT 存取,允許暫時提高許可權,讓身分識別能夠依要求、計時存取資源。 |
| 權限爬行索引 (PCI) | 從 0 到 100 的數位,代表具有高風險許可權之使用者所產生的風險。 PCI 是可存取高風險許可權但未主動使用許可權的使用者功能。 |
| 原則和角色管理 | 維護管理自動指派和移除訪問許可權的規則。 提供存取要求、核准程式、相依性,以及訪問許可權之間不相容等選項的存取權可見度。 角色是原則管理的常見工具。 |
| Privilege | 對網路或計算機進行變更的授權單位。 人員和帳戶都可以有許可權,而且兩者可以有不同的許可權層級。 |
| 特殊許可權帳戶 | 伺服器、防火牆或其他系統管理帳戶的登入認證。 通常稱為系統管理員帳戶。 由實際的使用者名稱和密碼所組成;這兩件事在一起組成帳戶。 允許特殊許可權帳戶執行比一般帳戶更多的動作。 |
| 權限提升 | 具有許可權提升的身分識別可以增加已授與的許可權數目。 他們可以這麼做,以取得 AWS 帳戶或 GCP 專案的完整系統管理控制權。 |
| 公用雲端 | 透過公用因特網的第三方提供者提供的計算服務,讓任何想要使用或購買它們的人都能使用。 公用雲端可能免費,或是可讓客戶依需求購買,而只需支付所使用之 CPU 週期、儲存體或頻寬的每筆使用量費用。 |
| 資源 | 任何使用計算功能的實體都可以由使用者和服務存取,以執行動作。 |
| 角色 | 具有特定許可權的 IAM 身分識別。 角色不是與一個人獨一無二的關聯,而是要被任何需要角色的人所理解。 角色沒有標準的長期認證,例如與相關聯的密碼或存取密鑰。 |
| SCIM | 跨網域身分識別管理的系統 |
| SIEM | 安全性資訊和事件管理。 透過安全性事件的收集和分析,以及各種不同的其他事件和內容數據源,支援威脅偵測、合規性和安全性事件管理的技術(近乎即時和歷程記錄)。 核心功能是記錄事件收集和管理的廣泛範圍、分析不同來源的記錄事件和其他數據的能力,以及作業功能(例如事件管理、儀錶板和報告)。 |
| SOAR | 安全性協調流程、自動化和回應 (SOAR)。 可讓組織從各種來源取得輸入的技術(主要是來自安全性資訊和事件管理 [SIEM] 系統),並套用符合程式和程式的工作流程。 這些工作流程可以透過與其他技術和自動化的整合來協調,以達到所需的結果和更高的可見度。 其他功能包括案例和事件管理功能;管理威脅情報、儀錶板和報告的能力;和可跨各種函式套用的分析。 SOAR 工具藉由為人類分析人員提供機器式協助,以改善人員和流程的效率與一致性,大幅增強威脅偵測和回應等安全性作業活動。 |
| 進階使用者/超級身分識別 | IT 系統管理員所使用的強大帳戶,可用來設定系統或應用程式、新增或移除使用者,或刪除數據。 進階使用者和身分識別會獲授與目前環境中所有動作和資源的許可權(亦即 AWS 帳戶)。 |
| 租用戶 | 儲存在特定預設位置內的服務和組織數據的專用實例。 |
| UUID | 通用唯一標識碼。 128 位標籤,用於計算機系統中的資訊。 也會使用全域唯一標識碼 (GUID) 一詞。 |
| 已使用的許可權 | 過去 90 天內身分識別所使用的許可權數目。 |
| 零信任安全性 | 這三個基本原則:明確驗證、缺口假設和最低特殊許可權存取。 |
| ZTNA | 零信任網路存取。 產品或服務,建立應用程式或一組應用程式周圍的身分識別和內容型邏輯存取界限。 應用程式會隱藏在探索中,而存取會透過信任代理程式限製為一組具名實體。 訊息代理程式會先驗證指定參與者的身分識別、內容和原則遵循,再允許存取並禁止網路其他地方的橫向移動。 它會從公開可見度中移除應用程式資產,並大幅降低攻擊的介面區。 |
下一步
- 如需許可權管理的概觀,請參閱什麼是 Microsoft Entra 權限管理?。