Este tópico explica as várias medidas que tomamos para reforçar o Serviço gerido para o Microsoft Active Directory e minimizar as vulnerabilidades de segurança.
Sem acesso público à Internet
Para melhorar a segurança, o Managed Microsoft AD não está exposto à Internet pública. O Microsoft AD gerido estabelece todas as ligações através de IP privado a partir de redes autorizadas:
Alojamento: o Microsoft AD gerido aloja todas as VMs que executam o Active Directory na respetiva VPC, o que isola os utilizadores uns dos outros.
Estabelecer ligação: pode usar redes autorizadas para estabelecer ligação ao Managed Microsoft AD através de IP privado. O Microsoft AD gerido processa o intercâmbio da VPC para estas ligações.
Aplicação de patches: o Microsoft AD gerido aplica patches do Windows às VMs do Microsoft AD gerido sem usar o acesso público à Internet. Para mais informações sobre como o Managed Microsoft AD processa a aplicação de patches, consulte o artigo Aplicação de patches.
VM protegida
As VMs protegidas são máquinas virtuais (VMs) reforçadas por um conjunto de controlos de segurança que ajudam a defender contra rootkits e bootkits. As funcionalidades das VMs protegidas protegem todas as VMs do Microsoft AD geridas sem custos adicionais.
Imagem do SO
As VMs do Microsoft AD geridas são preparadas a partir da imagem pública do Windows Server 2019 do Compute Engine. Estas imagens têm as funcionalidades da VM protegida ativadas e estão otimizadas para execução na infraestrutura do Compute Engine.
Referências de segurança da Microsoft
Além das medidas de segurança fornecidas pelo Managed Microsoft AD, também pode optar por aplicar as bases de referência de segurança da Microsoft nas suas VMs do Managed Microsoft AD. Estas bases são definições de configuração de segurança padrão da indústria que o Managed Microsoft AD pode aplicar nas suas instâncias do Managed Microsoft AD e controladores de domínio.
Recomendamos que reveja estas bases e as teste nas suas instâncias de desenvolvimento ou preparação do Managed Microsoft AD antes de optar por aplicá-las nas instâncias de produção. Pode contactar o apoio técnico para saber mais acerca destas bases ou para ativar a aplicação destas definições.
Monitorização e proteção de segurança
Usamos o antivírus integrado do sistema operativo para proteger as instâncias do Microsoft AD gerido contra vírus e software malicioso. O antivírus analisa as suas VMs do Microsoft AD gerido e deteta ameaças de segurança, como vírus, software malicioso e spyware. Em seguida, o antivírus regista estes eventos de segurança, que analisamos e corrigimos, se necessário.
Aplicação de patches
A Microsoft lança correções de erros, atualizações de segurança e melhorias de funcionalidades com regularidade. Estas correções são essenciais para manter os controladores de domínio atualizados e seguros.
O Microsoft AD gerido testa todas estas correções antes de as aplicar nos controladores de domínio. Durante os testes, o Microsoft AD gerido valida os exemplos de utilização, a disponibilidade, a segurança e a fiabilidade dos clientes. Depois de um patch passar nestes testes, o Managed Microsoft AD aplica-o nos seus controladores de domínio.
Disponibilidade durante a aplicação de patches
Enquanto aplica os patches e as atualizações, o domínio do Active Directory permanece disponível. No entanto, não pode realizar operações de mutação nestes domínios, como expandir o esquema, atualizar o domínio e estabelecer ligação ao SQL Server ou ao Cloud SQL. Além disso, o Managed Microsoft AD não aplica patches a domínios para os quais já iniciou operações de mutação até que a operação esteja concluída.
O Microsoft AD gerido garante que existem, pelo menos, dois controladores de domínio em execução por região para um domínio em diferentes zonas de disponibilidade. O Microsoft AD gerido atualiza um controlador de domínio de cada vez. Para cada atualização do controlador de domínio, o Managed Microsoft AD adiciona e promove um novo controlador de domínio com o patch validado mais recente. Depois de o novo controlador de domínio atingir um estado normal, o Managed Microsoft AD rebaixa o controlador de domínio existente. O novo controlador de domínio entra em utilização quando o Managed Microsoft AD o promove. O controlador de domínio antigo deixa de publicar pedidos depois de o Managed Microsoft AD o rebaixar. Este processo garante que existem, pelo menos, dois controladores de domínio em execução em cada região em qualquer altura.
Para garantir que as suas aplicações podem alcançar o controlador de domínio ativo, as aplicações podem usar o serviço localizador de DCs do Windows. Isto permite que as suas aplicações se voltem a ligar aos novos controladores de domínio durante o processo de aplicação de patches automatizado.
Agenda de aplicação de patches
Temos o objetivo de testar e aplicar patches em todos os controladores de domínio do Microsoft AD geridos no prazo de 21 dias úteis a partir da data em que a Microsoft lança um patch mensal para o Windows Server. No entanto, damos prioridade à aplicação de patches de vulnerabilidade de segurança críticos que a Microsoft lança para controladores de domínio no prazo de 15 dias úteis.
Rotação e encriptação de credenciais
O Microsoft AD gerido usa vários métodos para proteger as credenciais. O Microsoft AD gerido roda frequentemente as credenciais e encripta-as através de técnicas padrão da indústria. As credenciais criadas para gerir o AD nunca são partilhadas entre instâncias. Apenas uma equipa de apoio técnico de menor dimensão e sistemas automatizados podem aceder a estas credenciais. O Microsoft AD gerido destrói estas credenciais quando elimina a instância.
Acesso de produção restrito
O Microsoft AD gerido usa vários sistemas e processos para garantir que Google Cloud os engenheiros têm um acesso mínimo ao domínio do Microsoft AD gerido. Apenas um pequeno número de engenheiros de serviço tem acesso aos dados de produção. Acedem ao ambiente de produção apenas para realizar uma recuperação num domínio ou uma resolução de problemas avançada. Estes acessos requerem uma justificação validada antes de poderem prosseguir e, em seguida, o Managed Microsoft AD regista-os e audita-os internamente. O Microsoft AD gerido automatiza a maioria dos acessos de forma que não possam aceder aos dados do AD. Em cenários raros, pode ser necessário que os engenheiros de serviço acedam remotamente aos controladores de domínio. Nestes casos, os acessos remotos usam o Identity-Aware Proxy (IAP) e não a Internet pública.