このトピックでは、Microsoft Active Directory のマネージド サービスを強化し、セキュリティの脆弱性を最小限に抑えるために取る、さまざまな対策について説明します。
公共のインターネットへのアクセス不可
セキュリティ強化のため、マネージド Microsoft AD は公共のインターネットに公開されません。マネージド Microsoft AD は、承認済みネットワークからプライベート IP 経由ですべての接続を行います。
ホスティング: Managed Microsoft AD は、Active Directory を実行するすべての VM を独自の VPC でホストし、ユーザーを互いに分離します。
接続: 承認済みネットワークを使用して、プライベート IP 経由でマネージド Microsoft AD に接続できます。マネージド Microsoft AD は、これらの接続の VPC ピアリングを処理します。
パッチ適用: マネージド Microsoft AD は、公共のインターネット アクセスを使用せずにマネージド Microsoft AD VM に Windows パッチを適用します。マネージド Microsoft AD がパッチ適用を処理する方法について詳しくは、パッチ適用をご覧ください。
Shielded VM
Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御により強化された仮想マシン(VM)です。Shielded VM の機能により、すべてのマネージド Microsoft AD VM が保護されます。追加の費用はかかりません。
OS イメージ
マネージド Microsoft AD VM は、公開 Compute Engine Windows Server 2019 イメージからシードされています。これらのイメージでは Shielded VM 機能が有効になっており、Compute Engine インフラストラクチャでの実行用に最適化されています。
Microsoft セキュリティ ベースライン
Managed Microsoft AD が提供するセキュリティ対策に加えて、マネージド Microsoft AD VM に Microsoft セキュリティ ベースラインを適用することもできます。これらのベースラインは、マネージド Microsoft AD がマネージド Microsoft AD インスタンスとドメイン コントローラに適用できる業界標準のセキュリティ構成設定です。
本番環境インスタンスに適用する前に、これらのベースラインを確認し、開発環境またはステージング環境の Managed Microsoft AD インスタンスでテストすることをおすすめします。これらのベースラインについて詳しくは、サポートにお問い合わせください。また、これらの設定を適用することもできます。
セキュリティのモニタリングと保護
オペレーティング システムの組み込みのウイルス対策を使用して、マネージド Microsoft AD インスタンスをウイルスやマルウェアから保護します。 このウイルス対策ソフトウェアは、マネージド Microsoft AD VM をスキャンし、ウイルス、マルウェア、スパイウェアなどのセキュリティの脅威を検出します。 その後、ウイルス対策によってこれらのセキュリティ イベントがログに記録され、必要に応じて分析および修正されます。
パッチ適用
Microsoft は、バグの修正、セキュリティ アップデート、機能の改善を定期的にリリースしています。これらのパッチは、ドメイン コントローラを最新の状態に保ち、安全に保つために不可欠です。
マネージド Microsoft AD は、これらのパッチをドメイン コントローラに適用する前に、すべてのパッチをテストします。テスト中、マネージド Microsoft AD はお客様のユースケース、可用性、セキュリティ、信頼性を検証します。パッチがこれらのテストに合格すると、マネージド Microsoft AD によってドメイン コントローラに適用されます。
パッチ適用中の可用性
パッチとアップデートの適用中、Active Directory ドメインは引き続き使用できます。ただし、これらのドメインに対して、スキーマの拡張、ドメインの更新、SQL Server または Cloud SQL との接続などの変更オペレーションは実行できません。また、マネージド Microsoft AD では、オペレーションが完了するまで、ミューテーション オペレーションをすでに開始しているドメインにパッチが適用されません。
マネージド Microsoft AD では、異なるアベイラビリティ ゾーンにあるドメインに対して、リージョンごとに少なくとも 2 つのドメイン コントローラが実行されていることを確認します。Managed Microsoft AD は、一度に 1 つのドメイン コントローラを更新します。ドメイン コントローラが更新されるたびに、マネージド Microsoft AD は、最新の検証済みパッチを適用した新しいドメイン コントローラを追加して昇格させます。新しいドメイン コントローラが正常な状態に達すると、マネージド Microsoft AD は既存のドメイン コントローラを降格します。新しいドメイン コントローラは、Managed Microsoft AD によって昇格されると使用されます。古いドメイン コントローラは、Managed Microsoft AD によって降格されると、リクエストの処理を停止します。このプロセスにより、各リージョンで常に 2 つ以上のドメイン コントローラが実行されます。
アプリケーションがアクティブなドメイン コントローラに到達できるように、アプリケーションは Windows DC ロケータ サービスを使用できます。これにより、自動パッチ適用プロセス中にアプリケーションが新しいドメイン コントローラに再接続できるようになります。
パッチ適用スケジュール
Google では、Microsoft が Windows Server の月次パッチをリリースしてから 21 営業日以内に、すべてのマネージド Microsoft AD のドメイン コントローラーにパッチをテストして適用することを目標としています。ただし、Microsoft がドメイン コントローラ用にリリースする重大なセキュリティ脆弱性パッチを優先して、15 営業日以内に適用します。
認証情報のローテーションと暗号化
マネージド Microsoft AD は、いくつかの方法で認証情報を保護します。マネージド Microsoft AD は認証情報を頻繁にローテーションし、業界標準の技術を使用して暗号化します。AD の管理のために作成された認証情報がインスタンス間で共有されることはありません。認証情報には、小規模のサポートチームと自動システムのみがアクセスできます。マネージド Microsoft AD は、インスタンスを削除するときにこれらの認証情報を破棄します。
制限付きの本番環境へのアクセス
マネージド Microsoft AD は複数のシステムとプロセスを使用して、Google Cloud エンジニアがマネージド Microsoft AD ドメインに最小限のアクセスしかできないようにします。本番環境のデータにアクセスできるのは、少数のオンコール エンジニアのみです。オンコール エンジニアは、ドメインでのリカバリを実行する、または高度なトラブルシューティングを実行するためにのみ、本番環境にアクセスします。これらのアクセスでは、続行する前に、検証済みの正当な理由が必要です。その後、マネージド Microsoft AD が内部でこれらのアクセスのログを記録して監査します。マネージド Microsoft AD では、ほとんどのアクセスが自動化され、AD データにアクセスできなくなります。まれに、オンコール エンジニアがリモートでドメイン コントローラにアクセスする必要がある場合があります。そのような場合のリモート アクセスでは、公共のインターネットではなく Identity-Aware Proxy(IAP)が使用されます。