本主題說明我們採取的各種措施,以強化 Managed Service for Microsoft Active Directory 並盡可能減少安全性漏洞。
沒有公共網際網路存取權
為提升安全性,受管理的 Microsoft AD 不會對外公開。受管理的 Microsoft AD 會透過私人 IP 從授權網路建立所有連線:
代管:受控的 Microsoft AD 會代管在各自VPC 中執行 Active Directory 的每個 VM,以便隔離使用者。
連線:您可以使用授權網路,透過私人 IP 連線至 Managed Microsoft AD。代管的 Microsoft AD 會處理這些連線的虛擬私人雲端網路對等互連。
修補:受管理的 Microsoft AD 會將 Windows 修補程式套用至受管理的 Microsoft AD VM,不必使用公開網際網路存取權。如要進一步瞭解 Managed Microsoft AD 如何處理修補作業,請參閱「修補」。
受防護的 VM
受防護的 VM 是由一組安全控管機制強化,有助於抵禦 rootkit 與 bootkit 攻擊。受防護的 VM 功能可免費保護所有受管理的 Microsoft AD VM。
OS 映像檔
受控的 Microsoft AD VM 會從公開的 Compute Engine Windows Server 2019 映像檔啟動。這些映像檔已啟用 受防護的 VM 功能,並針對在 Compute Engine 基礎架構上執行進行最佳化。
Microsoft 安全性基準
除了 Managed Microsoft AD 提供的安全措施之外,您也可以選擇在 Managed Microsoft AD VM 上套用 Microsoft 安全基準。這些基準是業界標準的安全性設定,Managed Microsoft AD 可在 Managed Microsoft AD 執行個體和網域控制站上套用這些設定。
建議您先查看這些基準,並在開發或測試 Managed Microsoft AD 執行個體上進行測試,再決定是否套用在正式版執行個體上。如要進一步瞭解這些基準或選擇套用這些設定,請與支援團隊聯絡。
安全監控和防護
我們會使用作業系統內建的防毒軟體,保護 Managed Microsoft AD 執行個體免於病毒和惡意軟體的侵害。防毒軟體會掃描受管理的 Microsoft AD VM,並偵測病毒、惡意軟體和間諜軟體等安全威脅。防毒軟體會記錄這些安全性事件,並在必要時進行分析及修復。
修補
Microsoft 會定期發布錯誤修正、安全性更新和功能改善。這些修補程式對於確保網域控制站保持最新狀態和安全至關重要。
受管理的 Microsoft AD 會先測試所有修補程式,再套用至網域控制器。在測試期間,受管理的 Microsoft AD 會驗證客戶的使用情境、可用性、安全性和可靠性。修補程式通過這些測試後,受管理的 Microsoft AD 就會在您的網域控制站上套用修補程式。
修補期間的服務可用性
套用修補和更新檔時,Active Directory 網域仍可供使用。不過,您無法在這些網域上執行任何變異操作,例如擴充結構定義、更新網域,以及連線至 SQL Server 或 Cloud SQL。此外,在您已啟動變更作業的網域中,Managed Microsoft AD 不會在作業完成前套用修補程式。
Managed Microsoft AD 會確保每個區域至少有兩個網域控制站,用於不同可用性區域中的網域。Managed Microsoft AD 一次只會更新一個網域控制站。每當網域控制站更新時,Managed Microsoft AD 就會新增並升級網域控制站,並套用最新的已驗證修補程式。新網域控制器達到正常狀態後,Managed Microsoft AD 會降級現有的網域控制器。當 Managed Microsoft AD 將新網域控制器升級時,新網域控制器就會開始使用。在 Managed Microsoft AD 降級舊網域控制器後,舊網域控制器就會停止提供要求。這個程序可確保每個區域隨時至少有兩個網域控制站在執行。
為確保應用程式可連線至有效的網域控制器,應用程式可以使用 Windows DC 定位服務。這樣一來,應用程式就能在自動修補程序期間重新連線至新的網域控制器。
修補時間表
我們的目標是在 Microsoft 發布 Windows Server 每月修補程式後的 21 個工作天內,在所有受管理的 Microsoft AD 網域控制站上測試並套用修補程式。不過,我們會優先處理並套用 Microsoft 在 15 個工作天內針對網域控制器發布的重大安全漏洞修補程式。
憑證輪替和加密
Managed Microsoft AD 會使用多種方法保護憑證。受管理的 Microsoft AD 會經常輪替憑證,並使用業界標準技術加密憑證。為管理 AD 而建立的憑證絕不會在各個執行個體之間共用。只有較小的支援團隊和自動化系統可以存取這些憑證。受管理的 Microsoft AD 會在刪除執行個體時銷毀這些憑證。
限制正式版權限
Managed Microsoft AD 採用多個系統和程序,確保Google Cloud 工程師對 Managed Microsoft AD 網域的存取權降到最低。只有少數值班工程師可以存取實際工作環境資料。他們只會在需要執行網域復原作業或進階疑難排解作業時,才會存取實際工作環境。這些存取權必須先經過驗證,才能繼續執行,然後 Managed Microsoft AD 會記錄並在內部稽核這些存取權。受管理的 Microsoft AD 會自動化大部分的存取權,以免存取 AD 資料。在極少數情況下,需要值班工程師才能從遠端存取網域控制器。在這些情況下,遠端存取作業會使用 Identity-Aware Proxy (IAP),而非公用網際網路。