En este tema, se explican las diversas medidas que tomamos para endurecer el servicio administrado para Microsoft Active Directory y minimizar las vulnerabilidades de seguridad.
Sin acceso a Internet pública
Para mejorar la seguridad, Microsoft AD administrado no se expone a la Internet pública. Microsoft AD administrado realiza todas las conexiones a través de IP privada desde redes autorizadas:
Hosting: Microsoft AD administrado aloja cada VM que ejecuta Active Directory en su propia VPC, lo que aísla a los usuarios entre sí.
Conexión: Puedes usar redes autorizadas para conectarte a Microsoft AD administrado a través de una IP privada. Microsoft AD administrado maneja el intercambio de tráfico de VPC para estas conexiones.
Aplicación de parches: Microsoft AD administrado aplica parches de Windows a las VMs de Microsoft AD administrado sin usar el acceso a Internet pública. Para obtener más información sobre cómo Microsoft AD administrado se encarga de la aplicación de parches, consulta Aplicación de parches.
VM protegida
Las VM protegidas son máquinas virtuales (VM) endurecidas por un conjunto de controles de seguridad que ayudan a defenderse de los rootkits y bootkits. Las funciones de VM protegida protegen todas las VMs de Microsoft AD administrado sin costo adicional.
Imagen de SO
Las VM de Microsoft AD administrado se dan a partir de la imagen pública de Windows Server 2019 de Compute Engine. Estas imágenes tienen funciones de VM protegida habilitadas y optimizadas para ejecutarse en la infraestructura de Compute Engine.
Modelos de referencia de seguridad de Microsoft
Además de las medidas de seguridad que proporciona Microsoft AD administrado, también puedes habilitar la aplicación de los modelos de referencia de seguridad de Microsoft en tus VMs de Microsoft AD administrado. Estos modelos de referencia son parámetros de configuración de seguridad estándar de la industria que Microsoft AD administrado puede aplicar en tus instancias y controladores de dominio de Microsoft AD administrado.
Te recomendamos que revises estos modelos de referencia y los pruebes en tus instancias de Microsoft AD administradas de desarrollo o de etapa de pruebas antes de aplicarlos en las instancias de producción. Puedes comunicarte con el equipo de asistencia para obtener más información sobre estos modelos de referencia o habilitar la aplicación de estos parámetros de configuración.
Supervisión y protección de la seguridad
Usamos el antivirus integrado del sistema operativo para proteger las instancias de Microsoft AD administrado contra virus y software malicioso. El antivirus analiza tus VMs de Microsoft AD administradas y detecta amenazas de seguridad, como virus, software malicioso y software espía. Luego, el antivirus registra estos eventos de seguridad, que analizamos y solucionamos si es necesario.
Aplica parches
Microsoft lanza correcciones de errores, actualizaciones de seguridad y mejoras de funciones con regularidad. Estos parches son fundamentales para mantener tus controladores de dominio actualizados y seguros.
Microsoft AD administrado prueba todos estos parches antes de aplicarlos en tus controladores de dominio. Durante las pruebas, Microsoft AD administrado valida los casos de uso, la disponibilidad, la seguridad y la confiabilidad de los clientes. Una vez que un parche pasa estas pruebas, Microsoft AD administrado lo aplica en tus controladores de dominio.
Disponibilidad durante la aplicación de parches
Mientras se aplican los parches y las actualizaciones, el dominio de Active Directory permanece disponible. Sin embargo, no puedes realizar ninguna operación de mutación en estos dominios, como extender el esquema, actualizar el dominio y conectarte con SQL Server o Cloud SQL. Además, Microsoft AD administrado no aplica parches a los dominios para los que ya iniciaste operaciones de mutación hasta que se complete la operación.
Microsoft AD administrado garantiza que haya al menos dos controladores de dominio en ejecución por región para un dominio en diferentes zonas de disponibilidad. Microsoft AD administrado actualiza un controlador de dominio a la vez. Para cada actualización del controlador de dominio, Microsoft AD administrado agrega y promueve un nuevo controlador de dominio con el parche validado más reciente. Después de que el nuevo controlador de dominio alcance un estado correcto, Managed Microsoft AD degradará el controlador de dominio existente. El nuevo controlador de dominio se usa cuando Microsoft AD administrado lo promueve. El controlador de dominio anterior deja de entregar solicitudes después de que Microsoft AD administrado lo degrada. Este proceso garantiza que haya al menos dos controladores de dominio ejecutándose en cada región en cualquier momento.
Para garantizar que tus aplicaciones puedan conectarse con el controlador de dominio activo, pueden usar el servicio de localizador de DC de Windows. Esto permite que tus aplicaciones se vuelvan a conectar con los nuevos controladores de dominio durante el proceso de aplicación de parches automatizado.
Programa de aplicación de parches
Nuestro objetivo es probar y aplicar parches en todos los controladores de dominio de Microsoft AD administrado en un plazo de 21 días hábiles a partir de la fecha en que Microsoft lanza un parche mensual para Windows Server. Sin embargo, priorizamos y aplicamos los parches de vulnerabilidades de seguridad críticas que Microsoft lanza para los controladores de dominio en un plazo de 15 días hábiles.
Rotación y encriptación de credenciales
Microsoft AD administrado usa varios métodos para proteger las credenciales. Con frecuencia, Microsoft AD administrado rota las credenciales y las encripta con técnicas estándar de la industria. Las credenciales creadas para administrar AD nunca se comparten entre instancias. Solo un equipo de asistencia más pequeño y sistemas automatizados pueden acceder a estas credenciales. Microsoft AD administrado destruye estas credenciales cuando borra la instancia.
Acceso a producción restringido
Microsoft AD administrado emplea varios sistemas y procesos para garantizar que los ingenieros de Google Cloud tengan un acceso mínimo al dominio de Microsoft AD administrado. Solo una pequeña cantidad de ingenieros de guardia tiene acceso a los datos de producción. Solo acceden al entorno de producción para realizar una recuperación en un dominio o solucionar problemas avanzados. Estos accesos requieren una justificación validada antes de que puedan continuar y, luego, Microsoft AD administrado los registra y audita de forma interna. Microsoft AD administrado automatiza la mayoría de los accesos, de modo que no puedan acceder a los datos de AD. En raras ocasiones, puede ser necesario que los ingenieros de guardia accedan a los controladores de dominio de forma remota. En estos casos, los accesos remotos usan Identity-Aware Proxy (IAP), no la Internet pública.