安全强化简介

本主题介绍了我们采取的各种措施,以强化 Managed Service for Microsoft Active Directory 并最大限度地减少安全漏洞。

无公共互联网访问权限

为提高安全性,托管式 Microsoft AD 不会在公共互联网上公开。托管式 Microsoft AD 通过已获授权网络中的专用 IP 建立所有连接:

  • 托管:托管式 Microsoft AD 会在各自的 VPC 中托管运行 Active Directory 的每个虚拟机,这可将用户彼此隔离。

  • 连接:您可以使用已获授权的网络通过专用 IP 连接到托管式 Microsoft AD。托管式 Microsoft AD 会处理这些连接的VPC 对等互连

  • 修补:托管式 Microsoft AD 将 Windows 补丁应用于托管式 Microsoft AD 虚拟机,而无需使用公共互联网访问权限。如需详细了解托管式 Microsoft AD 如何处理修补,请参阅修补

安全强化型虚拟机

安全强化型虚拟机是一种经过安全控制措施强化的机器(虚拟机),可更好地抵御 rootkit 和 bootkit 攻击。安全强化型虚拟机的功能可保护所有托管式 Microsoft AD 虚拟机,无需支付额外费用。

操作系统映像

托管式 Microsoft AD 虚拟机源自公共 Compute Engine Windows Server 2019 映像。这些映像启用了安全强化型虚拟机功能,并经过了优化,以便在 Compute Engine 基础架构上运行。

Microsoft 安全基准

除了代管式 Microsoft AD 提供的安全措施之外,您还可以选择在代管式 Microsoft AD 虚拟机上应用 Microsoft 安全基准。这些基准是业界标准的安全配置设置,托管式 Microsoft AD 可以将其应用于您的托管式 Microsoft AD 实例和网域控制器。

我们建议您先查看这些基准并在开发或预演环境中的受管 Microsoft AD 实例中对其进行测试,然后再选择在生产环境实例中应用。您可以与支持团队联系,详细了解这些基准或选择应用这些设置。

安全监控和保护

我们使用操作系统的内置杀毒软件来保护托管式 Microsoft AD 实例免受病毒和恶意软件的侵害。防病毒软件会扫描您的托管 Microsoft AD 虚拟机,并检测病毒、恶意软件和间谍软件等安全威胁。 然后,杀毒软件会记录这些安全事件,我们会根据需要对其进行分析和补救。

修补

Microsoft 会定期发布漏洞修复、安全更新和功能改进。这些补丁对于确保您的网域控制器保持最新状态并保持安全至关重要。

托管式 Microsoft AD 会先测试所有这些补丁,然后再将其应用于您的网域控制器。在测试期间,托管式 Microsoft AD 会验证客户用例、可用性、安全性和可靠性。补丁通过这些测试后,托管式 Microsoft AD 就会在您的网域控制器上应用该补丁。

修补期间的可用性

在应用补丁和更新期间,Active Directory 网域将保持可用。不过,您无法对这些网域执行任何更改操作,例如扩展架构、更新网域以及与 SQL Server 或 Cloud SQL 建立连接。 此外,在您发起的更改操作完成之前,托管式 Microsoft AD 不会对您已发起更改操作的网域应用补丁。

托管式 Microsoft AD 可确保每个区域内至少有两个网域控制器在运行,且这些网域控制器位于不同的可用性区域。托管式 Microsoft AD 一次只会更新一个网域控制器。对于每次网域控制器更新,代管式 Microsoft AD 都会添加并提升一个安装了最新经过验证的补丁的新网域控制器。新网域控制器达到正常状态后,托管式 Microsoft AD 会降级现有网域控制器。新网域控制器在托管式 Microsoft AD 将其提升为主网域控制器后开始使用。旧网域控制器在被降级后会停止处理请求。此流程可确保每个区域中随时至少有两个网域控制器在运行。

为确保您的应用能够访问主动网域控制器,应用可以使用 Windows DC 定位服务。这样,您的应用便可以在自动补丁流程中重新连接到新的网域控制器。

补丁发布时间表

我们的目标是在 Microsoft 发布 Windows Server 每月补丁后的 21 个工作日内,在所有托管式 Microsoft AD 网域控制器上测试并应用补丁。不过,我们会优先处理 Microsoft 针对网域控制器发布的严重安全漏洞补丁,并在 15 个工作日内予以应用。

凭据轮替和加密

托管式 Microsoft AD 使用多种方法来保护凭据。托管式 Microsoft AD 经常轮替凭据,并使用业界标准技术对其进行加密。为管理 AD 创建的凭据永远不会在实例之间共享。只有规模较小的支持团队和自动化系统可以访问这些凭据。托管式 Microsoft AD 在删除实例时会销毁这些凭据。

生产数据访问受限

托管式 Microsoft AD 采用多个系统和流程,以确保Google Cloud 工程师拥有托管式 Microsoft AD 网域的最低权限。只有少数值班工程师有权访问生产数据。他们只访问生产环境以在网域上进行恢复或执行高级问题排查。需要经过验证的理由才能继续进行这些访问,然后托管式 Microsoft AD 会在内部进行记录和审核。托管式 Microsoft AD 会自动执行大多数访问,因此它们无法访问 AD 数据。在极少数情况下,值班工程师可能需要这样做才能远程访问网域控制器。在这种情况下,远程访问使用 Identity-Aware Proxy (IAP),而不是公共互联网。