Cette rubrique explique les différentes mesures que nous prenons pour renforcer le service géré pour Microsoft Active Directory et minimiser les failles de sécurité.
Pas d'accès à l'Internet public
Pour améliorer la sécurité, le service Microsoft AD géré n'est pas exposé à l'Internet public. Le service Microsoft AD géré établit toutes les connexions via une adresse IP privée à partir de réseaux autorisés:
Hébergement: Microsoft AD géré héberge chaque VM exécutant Active Directory dans son propre VPC, ce qui isole les utilisateurs les uns des autres.
Connexion: vous pouvez utiliser des réseaux autorisés pour vous connecter au service Microsoft AD géré via une adresse IP privée. Le service Microsoft AD géré s'occupe de l'appairage de VPC pour ces connexions.
Application de correctifs: le service Microsoft AD géré applique des correctifs Windows aux VM Microsoft AD gérées sans utiliser l'accès à l'Internet public. Pour en savoir plus sur la façon dont Managed Microsoft AD gère l'application de correctifs, consultez la section Application de correctifs.
VM protégée
Les VM protégées sont des machines virtuelles (VM) renforcées par un ensemble de paramètres de sécurité conçus pour éliminer les rootkits et les bootkits. Les fonctionnalités des VM protégées protègent toutes les VM Microsoft AD gérées, sans frais supplémentaires.
Image de l'OS
Les VM Microsoft AD gérées proviennent de l'image publique Windows Server 2019 de Compute Engine. Ces images sont dotées de fonctionnalités activées pour les VM protégées et sont optimisées pour une exécution sur l'infrastructure Compute Engine.
Références de sécurité Microsoft
En plus des mesures de sécurité fournies par Microsoft AD géré, vous pouvez également choisir d'appliquer des références de sécurité Microsoft à vos VM Microsoft AD géré. Ces références sont des paramètres de configuration de sécurité conformes aux normes du secteur que Microsoft AD géré peut appliquer à vos instances Microsoft AD gérées et à vos contrôleurs de domaine.
Nous vous recommandons de consulter ces références et de les tester sur vos instances de développement ou de préproduction de Microsoft AD géré avant de les appliquer aux instances de production. Vous pouvez contacter l'assistance pour en savoir plus sur ces références ou pour activer l'application de ces paramètres.
Surveillance et protection de la sécurité
Nous utilisons l'antivirus intégré du système d'exploitation pour protéger les instances Microsoft AD gérées contre les virus et les logiciels malveillants. L'antivirus analyse vos VM Microsoft AD gérées et détecte les menaces de sécurité, telles que les virus, les logiciels malveillants et les logiciels espions. L'antivirus consigne ensuite ces événements de sécurité, que nous analysons et corrigeons si nécessaire.
Application de correctifs
Microsoft publie régulièrement des correctifs de bugs, des mises à jour de sécurité et des améliorations de fonctionnalités. Ces correctifs sont essentiels pour que vos contrôleurs de domaine soient à jour et sécurisés.
Le service Microsoft AD géré teste tous ces correctifs avant de les appliquer sur vos contrôleurs de domaine. Lors des tests, Managed Microsoft AD valide les cas d'utilisation, la disponibilité, la sécurité et la fiabilité client. Une fois qu'un correctif a passé ces tests, le service Microsoft AD géré l'applique sur vos contrôleurs de domaine.
Disponibilité lors de la mise à jour
Lors de l'application des correctifs et des mises à jour, le domaine Active Directory reste disponible. Toutefois, vous ne pouvez pas effectuer d'opérations de modification sur ces domaines, telles que l'extension du schéma, la mise à jour du domaine et la connexion à SQL Server ou Cloud SQL. De plus, Microsoft AD géré n'applique pas les correctifs aux domaines pour lesquels vous avez déjà lancé des opérations de modification tant que l'opération n'est pas terminée.
Le service Microsoft AD géré garantit qu'au moins deux contrôleurs de domaine s'exécutent par région pour un domaine dans différentes zones de disponibilité. Microsoft AD géré met à jour un contrôleur de domaine à la fois. Pour chaque mise à jour du contrôleur de domaine, Managed Microsoft AD ajoute et promeut un nouveau contrôleur de domaine, avec le dernier correctif validé. Une fois que le nouveau contrôleur de domaine est opérationnel, Managed Microsoft AD rétrograde le contrôleur de domaine existant. Le nouveau contrôleur de domaine est utilisé lorsque Microsoft AD géré l'élève au rang de contrôleur de domaine principal. L'ancien contrôleur de domaine cesse de traiter les requêtes une fois qu'il est rétrogradé par Microsoft AD géré. Ce processus garantit qu'il y a toujours au moins deux contrôleurs de domaine en cours d'exécution dans chaque région.
Pour s'assurer que vos applications peuvent atteindre le contrôleur de domaine actif, elles peuvent utiliser le service de localisation de contrôleur de domaine Windows. Vos applications peuvent ainsi se reconnecter aux nouveaux contrôleurs de domaine lors du processus de correction automatique.
Calendrier des correctifs
Notre objectif est de tester et d'appliquer les correctifs sur tous les contrôleurs de domaine Microsoft AD gérés dans les 21 jours ouvrés suivant la publication par Microsoft d'un correctif mensuel pour Windows Server. Toutefois, nous priorisons et appliquons les correctifs de failles de sécurité critiques que Microsoft publie pour les contrôleurs de domaine dans les 15 jours ouvrés.
Rotation et chiffrement des identifiants
Le service Microsoft AD géré utilise plusieurs méthodes pour protéger les identifiants. Régulièrement, le service Microsoft AD géré effectue également une rotation des identifiants et les chiffre à l'aide de techniques standards dans l'industrie. Les identifiants créés pour la gestion d'AD ne sont jamais partagés entre les instances. Seuls une petite équipe d'assistance et des systèmes automatisés peuvent accéder à ces identifiants. Microsoft AD géré détruit ces identifiants lorsqu'il supprime l'instance.
Accès restreint en production
Le service Microsoft AD géré emploie plusieurs systèmes et processus pour s'assurer que les ingénieurs Google Cloud disposent d'un accès minimal au domaine Microsoft AD géré. Seuls quelques ingénieurs d'astreinte ont accès aux données de production. Ils n'accèdent à l'environnement de production que pour la récupération d'un domaine ou pour le dépannage avancé. Ces accès nécessitent une justification validée avant de pouvoir procéder, puis Managed Microsoft AD les consigne et les audite en interne. Microsoft AD géré automatise la plupart des accès afin qu'ils ne puissent pas accéder aux données AD. Dans de rares cas, il peut être nécessaire que les ingénieurs d'astreinte accèdent à distance aux contrôleurs de domaine. Dans ces cas, les accès à distance utilisent Identity-Aware Proxy (IAP), et non l'Internet public.