In diesem Thema werden die verschiedenen Maßnahmen erläutert, die wir ergreifen, um Managed Service for Microsoft Active Directory zu härten und Sicherheitslücken zu minimieren.
Kein öffentlicher Internetzugriff
Managed Microsoft AD ist nicht zur Verbesserung der Sicherheit im öffentlichen Internet verfügbar. Managed Microsoft AD stellt alle Verbindungen über eine private IP-Adresse von autorisierten Netzwerken her:
Hosting: In Managed Microsoft AD wird jede VM, auf der Active Directory ausgeführt wird, in einer eigenen VPC gehostet, die Nutzer voneinander isoliert.
Verbindung: Sie können autorisierte Netzwerke verwenden, um über private IP-Adressen eine Verbindung zu verwalteten Microsoft AD herzustellen. Managed Microsoft AD übernimmt das VPC-Peering für diese Verbindungen.
Patchen: Managed Microsoft AD wendet Windows-Patches auf die Managed Microsoft AD-VMs ohne öffentlichen Internetzugang an. Weitere Informationen zum Verarbeiten von Patches mit Managed Microsoft AD finden Sie unter Patching.
Shielded VM
Shielded VMs sind virtuelle Maschinen (VMs), die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Die Funktionen von Shielded VM schützen alle Managed Microsoft AD-VMs ohne Aufpreis.
Betriebssystem-Image
Managed Microsoft AD-VMs werden aus dem öffentlichen Compute Engine Windows Server 2019-Image abgerufen. Auf diesen Images sind Shielded VM-Funktionen aktiviert und für die Ausführung in der Compute Engine-Infrastruktur optimiert.
Microsoft-Sicherheitsgrundlagen
Zusätzlich zu den von Managed Microsoft AD bereitgestellten Sicherheitsmaßnahmen können Sie auch Microsoft-Sicherheitsgrundlagen auf Ihre Managed Microsoft AD-VMs anwenden. Diese Baselines sind branchenübliche Sicherheitskonfigurationseinstellungen, die Managed Microsoft AD auf Ihre Managed Microsoft AD-Instanzen und Domaincontroller anwenden kann.
Wir empfehlen, diese Baselines zu überprüfen und in Ihren Entwicklungs- oder Staging-Instanzen von verwalteten Microsoft AD-Instanzen zu testen, bevor Sie sie auf die Produktionsinstanzen anwenden. Wenn Sie mehr über diese Referenzen erfahren oder die Anwendung dieser Einstellungen aktivieren möchten, wenden Sie sich an den Support.
Sicherheitsmonitoring und ‑schutz
Wir verwenden das integrierte Antivirenprogramm des Betriebssystems, um die Managed Microsoft AD-Instanzen vor Viren und Malware zu schützen. Der Virenschutz scannt Ihre verwalteten Microsoft AD-VMs und erkennt Sicherheitsbedrohungen wie Viren, Malware und Spyware. Das Antivirenprogramm protokolliert diese Sicherheitsereignisse, die wir dann analysieren und bei Bedarf beheben.
Patchen
Microsoft veröffentlicht regelmäßig Fehlerkorrekturen, Sicherheitsupdates und Funktionsverbesserungen. Diese Patches sind entscheidend, um Ihre Domaincontroller auf dem neuesten Stand und sicher zu halten.
Managed Microsoft AD testet alle diese Patches, bevor sie auf Ihren Domaincontrollern angewendet werden. Während der Tests werden Anwendungsfälle von Kunden sowie die Verfügbarkeit, Sicherheit und Zuverlässigkeit von Managed Microsoft AD validiert. Nachdem ein Patch diese Tests bestanden hat, wird er von Managed Microsoft AD auf Ihre Domaincontroller angewendet.
Verfügbarkeit während des Patchens
Während der Patches und Updates bleibt die Active Directory-Domain verfügbar. Sie können jedoch keine Mutationsvorgänge auf diesen Domains ausführen, z. B. das Schema erweitern, die Domain aktualisieren und eine Verbindung zu SQL Server oder Cloud SQL herstellen. Außerdem werden in Managed Microsoft AD erst dann Patches auf Domänen angewendet, für die Sie bereits Änderungsvorgänge gestartet haben, wenn der Vorgang abgeschlossen ist.
Mit Managed Microsoft AD wird sichergestellt, dass für eine Domain in verschiedenen Verfügbarkeitszonen pro Region mindestens zwei Domaincontroller ausgeführt werden. Managed Microsoft AD aktualisiert jeweils nur einen Domaincontroller. Bei jeder Domaincontroller-Aktualisierung wird in Managed Microsoft AD ein neuer Domaincontroller mit dem neuesten validierten Patch hinzugefügt und zum primären Domaincontroller befördert. Sobald der neue Domaincontroller einen fehlerfreien Zustand erreicht hat, wird der vorhandene Domaincontroller von Managed Microsoft AD herabgestuft. Der neue Domaincontroller wird verwendet, wenn Managed Microsoft AD ihn befördert. Der alte Domaincontroller stellt die Bearbeitung von Anfragen ein, nachdem er von Managed Microsoft AD herabgestuft wurde. So wird sichergestellt, dass in jeder Region immer mindestens zwei Domaincontroller ausgeführt werden.
Damit Ihre Anwendungen den aktiven Domaincontroller erreichen können, können sie den Windows-DC-Locator-Dienst verwenden. So können Ihre Anwendungen während des automatischen Patch-Prozesses wieder eine Verbindung zu den neuen Domaincontrollern herstellen.
Zeitplan für Patches
Wir möchten Patches innerhalb von 21 Arbeitstagen nach der Veröffentlichung eines monatlichen Patches für Windows Server auf allen verwalteten Microsoft AD-Domaincontrollern testen und anwenden. Wir priorisieren jedoch und wenden innerhalb von 15 Arbeitstagen Patches für kritische Sicherheitslücken an, die Microsoft für Domaincontroller veröffentlicht.
Rotation und Verschlüsselung von Anmeldedaten
Managed Microsoft AD verwendet mehrere Methoden zum Schutz von Anmeldedaten. Managed Microsoft AD rotiert die Anmeldedaten regelmäßig und verschlüsselt sie mit Branchenstandards. Anmeldedaten, die für die Verwaltung von AD erstellt wurden, werden nie von Instanzen gemeinsam genutzt. Nur ein kleineres Supportteam und automatisierte Systeme können auf diese Anmeldedaten zugreifen. Managed Microsoft AD löscht diese Anmeldedaten, wenn die Instanz gelöscht wird.
Eingeschränkter Produktionszugriff
Managed Microsoft AD verwendet mehrere Systeme und Prozesse, um sicherzustellen, dass Google Cloud-Entwickler nur minimalen Zugriff auf die verwalteten Microsoft AD-Domains haben. Nur eine kleine Anzahl von Technikern hat Zugriff auf Produktionsdaten. Sie greifen nur auf die Produktionsumgebung zu, um eine Wiederherstellung in einer Domain durchzuführen, oder zur erweiterten Fehlerbehebung. Diese Zugriffe benötigen eine validierte Begründung, bevor sie fortfahren können. Sie werden dann intern von Managed Microsoft AD protokolliert und geprüft. In Managed Microsoft AD sind die meisten Zugriffe automatisiert, sodass sie nicht auf AD-Daten zugreifen können. In seltenen Fällen kann es erforderlich sein, dass Entwickler vor Ort den Remotezugriff auf die Domaincontroller anfordern. In diesen Fällen verwenden die Remote-Zugriffe Identity-Aware Proxy (IAP) und nicht das öffentliche Internet.