Este tópico explica as várias medidas que tomamos para proteger o Serviço Gerenciado para Microsoft Active Directory e minimizar as vulnerabilidades de segurança.
Sem acesso à Internet pública
Para melhorar a segurança, o Microsoft AD gerenciado não é exposto à Internet pública. O Microsoft AD gerenciado faz todas as conexões por meio de IP privado das redes autorizadas:
Hospedagem: o Managed Microsoft AD hospeda todas as VMs que executam o Active Directory na própria VPC, o que isola os usuários uns dos outros.
Conexão: use redes autorizadas para se conectar ao Microsoft AD gerenciado por IP particular. O Microsoft AD gerenciado lida com o peering de VPC para essas conexões.
Patch: o Microsoft AD gerenciado aplica patches do Windows às VMs do Microsoft AD gerenciado sem usar o acesso público à Internet. Para mais informações sobre como o Microsoft AD gerenciado lida com patches, consulte Patches.
VM protegida
VMs protegidas são máquinas virtuais (VMs) protegidas por um conjunto de controles de segurança que ajudam a proteger contra rootkits e bootkits. Os recursos da VM protegida protegem todas as VMs gerenciadas do Microsoft AD sem custo extra.
Imagem do SO
As VMs do Microsoft AD gerenciado são provenientes da imagem pública do Windows Server 2019 do Compute Engine. Essas imagens têm recursos de VM protegida ativados e são otimizadas para execução na infraestrutura do Compute Engine.
Valores de referência de segurança da Microsoft
Além das medidas de segurança fornecidas pelo Microsoft AD gerenciado, você também pode ativar a aplicação de valores de referência de segurança da Microsoft nas VMs do Microsoft AD gerenciado. Essas bases são configurações de segurança padrão do setor que o Managed Microsoft AD pode aplicar nas instâncias e nos controladores de domínio do Managed Microsoft AD.
Recomendamos que você analise e teste essas bases de referência nas suas instâncias de desenvolvimento ou de teste do Microsoft AD gerenciado antes de aplicá-las nas instâncias de produção. Entre em contato com o suporte para saber mais sobre essas bases ou para ativar essas configurações.
Monitoramento e proteção de segurança
Usamos o antivírus integrado do sistema operacional para proteger as instâncias do Microsoft AD gerenciado contra vírus e malwares. O antivírus verifica suas VMs gerenciadas do Microsoft AD e detecta ameaças de segurança, como vírus, malware e spyware. O antivírus registra esses eventos de segurança, que são analisados e corrigidos quando necessário.
Patch
A Microsoft lança correções de bugs, atualizações de segurança e melhorias de recursos regularmente. Esses patches são essenciais para manter os controladores de domínio atualizados e seguros.
O Microsoft AD gerenciado testa todos esses patches antes de aplicá-los aos controladores de domínio. Durante os testes, o Microsoft AD gerenciado valida casos de uso do cliente, disponibilidade, segurança e confiabilidade. Depois que um patch é aprovado nesses testes, o Microsoft AD gerenciado é aplicado nos controladores de domínio.
Disponibilidade durante o patch
Durante a aplicação de patches e atualizações, o domínio do Active Directory continua disponível. No entanto, não é possível realizar operações de mutação nesses domínios, como estender o esquema, atualizar o domínio e se conectar ao SQL Server ou ao Cloud SQL. Além disso, o Managed Microsoft AD não aplica patches a domínios em que você já iniciou operações de mutação até que a operação seja concluída.
O Managed Microsoft AD garante que haja pelo menos dois controladores de domínio em execução por região para um domínio em diferentes zonas de disponibilidade. O Managed Microsoft AD atualiza um controlador de domínio por vez. Para cada atualização do controlador de domínio, o Microsoft AD gerenciado adiciona e promove um novo controlador de domínio com o patch validado mais recente. Depois que o novo controlador de domínio atinge um estado saudável, o Managed Microsoft AD rebaixa o controlador de domínio existente. O novo controlador de domínio começa a ser usado quando o Managed Microsoft AD o promove. O antigo controlador de domínio para de atender às solicitações depois que o Microsoft AD gerenciado o rebaixa. Esse processo garante que haja pelo menos dois controladores de domínio em execução em cada região a qualquer momento.
Para garantir que os aplicativos possam acessar o controlador de domínio ativo, eles podem usar o serviço de localizador de DC do Windows. Isso permite que seus aplicativos se conectem novamente aos novos controladores de domínio durante o processo de aplicação de patches automatizado.
Cronograma de aplicação de patches
Nosso objetivo é testar e aplicar patches em todos os controladores de domínio do Microsoft AD gerenciado em até 21 dias úteis após a Microsoft lançar um patch mensal para o Windows Server. No entanto, priorizamos e aplicamos patches de vulnerabilidades de segurança críticas que a Microsoft lança para controladores de domínio em até 15 dias úteis.
Rotação e criptografia de credenciais
O Microsoft AD gerenciado usa vários métodos para proteger as credenciais. O Microsoft AD gerenciado frequentemente faz a rotação das credenciais e as criptografa usando técnicas padrão do setor. As credenciais criadas para gerenciar o AD nunca são compartilhadas entre instâncias. Somente uma equipe de suporte menor e sistemas automatizados podem acessar essas credenciais. O Managed Microsoft AD destrói essas credenciais quando exclui a instância.
Acesso de produção restrito
O Microsoft AD gerenciado emprega vários sistemas e processos para garantir que os engenheiros do Google Cloud tenham acesso mínimo ao domínio do Microsoft AD gerenciado. Apenas um pequeno número de engenheiros de plantão tem acesso aos dados de produção. Eles só acessam o ambiente de produção para executar uma recuperação em um domínio ou na solução de problemas avançada. Esses acessos exigem uma justificativa validada antes de prosseguir e, em seguida, o Managed Microsoft AD os registra e audita internamente. O Managed Microsoft AD automatiza a maioria dos acessos para que eles não possam acessar dados do AD. Em cenários raros, pode ser necessário que os engenheiros de plantão acessem remotamente os controladores de domínio. Nesses casos, os acessos remotos usam o Identity-Aware Proxy (IAP), não a Internet pública.