Questo argomento illustra le varie misure che adottiamo per rafforzare Managed Service for Microsoft Active Directory e ridurre al minimo le vulnerabilità di sicurezza.
Nessun accesso a internet pubblico
Per migliorare la sicurezza, AD di Microsoft gestito non è esposto all'internet pubblico. AD Microsoft gestito effettua tutte le connessioni tramite IP privato da reti autorizzate:
Hosting: Microsoft AD gestito ospita ogni VM che esegue Active Directory nella propria VPC, che isola gli utenti l'uno dall'altro.
Connessione: puoi utilizzare reti autorizzate per connetterti a AD Microsoft gestito tramite IP privato. Microsoft Active Directory gestito gestisce il peering VPC per queste connessioni.
Applicazione di patch: Microsoft AD gestito applica le patch di Windows alle VM Microsoft AD gestite senza utilizzare l'accesso a internet pubblico. Per ulteriori informazioni su come AD Microsoft gestito gestisce le patch, consulta Patching.
Shielded VM
Le VM schermate sono macchine virtuali (VM) protette da un set di controlli di sicurezza che contribuiscono alla difesa da rootkit e bootkit. Le funzionalità delle Shielded VM proteggono tutte le VM Microsoft Active Directory gestite senza costi aggiuntivi.
Immagine sistema operativo
Le VM AD di Microsoft gestite vengono seminate dall'immagine pubblica Compute Engine Windows Server 2019. Queste immagini hanno attivato le funzionalità delle VM schermate e sono ottimizzate per l'esecuzione sull'infrastruttura Compute Engine.
Norme di base per la sicurezza di Microsoft
Oltre alle misure di sicurezza fornite da Microsoft AD gestito, puoi anche attivare l'applicazione delle linee di base della sicurezza di Microsoft alle VM Microsoft AD gestite. Queste linee di base sono impostazioni di configurazione della sicurezza standard di settore che Microsoft AD gestito può applicare alle istanze e ai controller di dominio di Microsoft AD gestito.
Ti consigliamo di esaminare questi valori di riferimento e di testarli sulle istanze di Microsoft AD gestite di sviluppo o di staging prima di scegliere di applicarli alle istanze di produzione. Puoi contattare l'assistenza per saperne di più su queste linee di base o per attivare l'applicazione di queste impostazioni.
Monitoraggio e protezione della sicurezza
Utilizziamo l'antivirus integrato del sistema operativo per proteggere le istanze di Microsoft Active Directory gestito da virus e malware. L'antivirus esegue la scansione delle VM Microsoft AD gestite e rileva minacce alla sicurezza, come virus, malware e spyware. L'antivirus registra quindi questi eventi di sicurezza, che analizziamo e correggiamo, se necessario.
Applicazione di patch
Microsoft rilascia regolarmente correzioni di bug, aggiornamenti della sicurezza e miglioramenti delle funzionalità. Queste patch sono fondamentali per mantenere i controller di dominio aggiornati e sicuri.
Microsoft AD gestito testa tutte queste patch prima di applicarle ai tuoi controller di dominio. Durante i test, AD Microsoft gestito convalida i casi d'uso, la disponibilità, la sicurezza e l'affidabilità dei clienti. Dopo che una patch supera questi test, Managed Microsoft AD la applica ai controller di dominio.
Disponibilità durante l'applicazione dei patch
Durante l'applicazione delle patch e degli aggiornamenti, il dominio Active Directory rimane disponibile. Tuttavia, non puoi eseguire operazioni di mutazione su questi domini, ad esempio estendere lo schema, aggiornare il dominio e connetterti a SQL Server o Cloud SQL. Inoltre, Microsoft Active Directory gestito non applica le patch ai domini per i quali hai già avviato le operazioni di mutazione finché l'operazione non è completata.
Microsoft Active Directory gestito garantisce che siano in esecuzione almeno due controller di dominio per regione per un dominio in zone di disponibilità diverse. Microsoft Active Directory gestito aggiorna un controller di dominio alla volta. Per ogni aggiornamento del controller di dominio, Microsoft AD gestito aggiunge e promuove un nuovo controller di dominio con l'ultima patch convalidata. Una volta che il nuovo controller di dominio raggiunge uno stato corretto, Microsoft Active Directory gestito riduce il ruolo del controller di dominio esistente. Il nuovo controller di dominio viene utilizzato quando Microsoft Active Directory gestito lo promuove. Il vecchio controller di dominio smette di gestire le richieste dopo la sua retrocessione da parte di Microsoft AD gestito. Questo processo garantisce che in ogni momento siano in esecuzione almeno due controller di dominio in ogni regione.
Per assicurarti che le applicazioni possano raggiungere il controller di dominio attivo, possono utilizzare il servizio di ricerca dei controller di dominio Windows. In questo modo, le applicazioni possono riconnettersi ai nuovi controller di dominio durante la procedura di applicazione automatica dei patch.
Programma di applicazione dei patch
Il nostro obiettivo è testare e applicare le patch su tutti i controller di dominio Microsoft AD gestiti entro 21 giorni lavorativi dalla data in cui Microsoft rilascia una patch mensile per Windows Server. Tuttavia, diamo la priorità alle patch per le vulnerabilità di sicurezza critiche rilasciate da Microsoft per i controller di dominio ed eseguiamo la loro applicazione entro 15 giorni lavorativi.
Rotazione e crittografia delle credenziali
Microsoft Active Directory gestito utilizza diversi metodi per proteggere le credenziali. AD Microsoft gestito esegue spesso la rotazione delle credenziali e le cripta utilizzando tecniche standard di settore. Le credenziali create per la gestione di AD non vengono mai condivise tra le istanze. Solo un team di assistenza più piccolo e sistemi automatici possono accedere a queste credenziali. AD di Microsoft gestito distrugge queste credenziali quando elimina l'istanza.
Accesso in produzione limitato
Managed Microsoft AD utilizza più sistemi e processi per garantire che gli ingegneri di Google Cloud abbiano un accesso minimo al dominio Managed Microsoft AD. Solo un numero limitato di tecnici di guardia ha accesso ai dati di produzione. Accedono all'ambiente di produzione solo per eseguire il recupero di un dominio o la risoluzione di problemi avanzati. Questi accessi richiedono una motivazione convalidata prima di poter procedere, dopodiché Managed Microsoft AD li registra e li controlla internamente. AD di Microsoft gestito automatizza la maggior parte degli accessi in modo che non possano accedere ai dati di AD. In rari casi, potrebbe essere necessario che gli ingegneri di guardia accedano da remoto ai controller di dominio. In questi casi, gli accessi remoti utilizzano Identity-Aware Proxy (IAP), non internet pubblico.