In diesem Thema werden die verschiedenen Maßnahmen erläutert, die wir ergreifen, um Managed Service for Microsoft Active Directory zu härten und Sicherheitslücken zu minimieren.
Kein öffentlicher Internetzugriff
Managed Microsoft AD ist nicht zur Verbesserung der Sicherheit im öffentlichen Internet verfügbar. Managed Microsoft AD stellt alle Verbindungen über private IP-Adressen von autorisierten Netzwerken her:
Hosting: Managed Microsoft AD hostet jede VM, auf der Active Directory ausgeführt wird, in einer eigenen VPC, die Nutzer voneinander isoliert.
Verbindung: Sie können autorisierte Netzwerke verwenden, um über eine private IP-Adresse eine Verbindung zu Managed Microsoft AD herzustellen. Managed Microsoft AD übernimmt das VPC-Peering für diese Verbindungen.
Patching: Managed Microsoft AD wendet Windows-Patches auf die verwalteten Microsoft AD-VMs an, ohne dabei den öffentlichen Internetzugang zu nutzen. Weitere Informationen dazu, wie Managed Microsoft AD mit dem Patching umgeht, finden Sie unter Patching.
Shielded VM
Shielded VMs sind virtuelle Maschinen (VMs), die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Die Features von Shielded VM schützen alle verwalteten Microsoft AD-VMs ohne zusätzliche Kosten.
Betriebssystem-Image
Managed Microsoft AD-VMs werden aus dem öffentlichen Compute Engine Windows Server 2019-Image abgerufen. Auf diesen Images sind Shielded VM-Funktionen aktiviert und für die Ausführung in der Compute Engine-Infrastruktur optimiert.
Microsoft-Sicherheitsgrundlagen
Zusätzlich zu den Sicherheitsmaßnahmen von Managed Microsoft AD können Sie auch die Anwendung von Microsoft-Sicherheitsreferenzen auf Ihre verwalteten Microsoft AD-VMs aktivieren. Diese Baselines sind branchenübliche Sicherheitskonfigurationseinstellungen, die Managed Microsoft AD auf Ihre Managed Microsoft AD-Instanzen und Domaincontroller anwenden kann.
Wir empfehlen Ihnen, diese Baselines zu prüfen und bei Ihren Entwicklungs- oder Staging-Instanzen von Managed Microsoft AD zu testen, bevor Sie sie auf die Produktionsinstanzen anwenden. Wenden Sie sich an den Support, um mehr über diese Baselines zu erfahren oder die Anwendung dieser Einstellungen zu aktivieren.
Sicherheitsmonitoring und Sicherheitsschutz
Wir verwenden die integrierte Antivirensoftware des Betriebssystems, um Managed Microsoft AD-Instanzen vor Viren und Malware zu schützen. Das Antivirenprogramm scannt Ihre verwalteten Microsoft AD-VMs und erkennt Sicherheitsbedrohungen wie Viren, Malware und Spyware. Das Antivirenprogramm protokolliert diese Sicherheitsereignisse, die wir dann analysieren und gegebenenfalls beheben.
Patchen
Microsoft veröffentlicht regelmäßig Fehlerkorrekturen, Sicherheitsupdates und Funktionsverbesserungen. Diese Patches sind wichtig, um Ihre Domaincontroller auf dem neuesten Stand und sicher zu halten.
Managed Microsoft AD testet alle diese Patches, bevor sie auf Ihre Domaincontroller angewendet werden. Während der Tests validiert Managed Microsoft AD die Anwendungsfälle, Verfügbarkeit, Sicherheit und Zuverlässigkeit der Kunden. Nachdem ein Patch diese Tests bestanden hat, wendet Managed Microsoft AD ihn auf Ihre Domaincontroller an.
Verfügbarkeit während des Patchings
Während die Patches und Updates angewendet werden, bleibt die Active Directory-Domain verfügbar. Sie können jedoch keine mutate-Vorgänge für diese Domains ausführen, z. B. das Schema erweitern, die Domain aktualisieren und eine Verbindung zu SQL Server oder Cloud SQL herstellen. Managed Microsoft AD wendet außerdem keine Patches auf Domains an, für die Sie mutate-Vorgänge bereits initiiert haben, bis der Vorgang abgeschlossen ist.
Managed Microsoft AD stellt sicher, dass mindestens zwei Domaincontroller pro Region für eine Domain in verschiedenen Verfügbarkeitszonen ausgeführt werden. Managed Microsoft AD aktualisiert jeweils nur einen Domaincontroller. Bei jedem Domaincontroller-Update wird von Managed Microsoft AD ein neuer Domaincontroller mit dem neuesten validierten Patch hinzugefügt und hochgestuft. Sobald der neue Domaincontroller fehlerfrei ist, stuft Managed Microsoft AD den vorhandenen Domaincontroller zurück. Der neue Domaincontroller wird verwendet, wenn Managed Microsoft AD ihn hochstuft. Der alte Domaincontroller beendet die Verarbeitung von Anfragen, nachdem Managed Microsoft AD ihn herabgestuft hat. Dadurch wird sichergestellt, dass zu jeder Zeit in jeder Region mindestens zwei Domaincontroller ausgeführt werden.
Damit Ihre Anwendungen den aktiven Domaincontroller erreichen können, können sie den Windows DC Finder-Dienst verwenden. Dadurch können Ihre Anwendungen während des automatisierten Patchvorgangs wieder eine Verbindung zu den neuen Domaincontrollern herstellen.
Zeitplan für Patches
Unser Ziel ist es, innerhalb von 21 Arbeitstagen nach der Veröffentlichung eines monatlichen Patches für Windows Server von Microsoft auf alle verwalteten Microsoft AD-Domaincontroller zu testen und Patches anzuwenden. Wir priorisieren und wenden jedoch Patches für kritische Sicherheitslücken an, die Microsoft innerhalb von 15 Arbeitstagen für Domaincontroller veröffentlicht.
Rotation und Verschlüsselung von Anmeldedaten
Managed Microsoft AD verwendet mehrere Methoden zum Schutz von Anmeldedaten. Managed Microsoft AD rotiert die Anmeldedaten regelmäßig und verschlüsselt sie mit Branchenstandards. Anmeldedaten, die für die Verwaltung von AD erstellt wurden, werden nie von Instanzen gemeinsam genutzt. Nur ein kleineres Supportteam und automatisierte Systeme können auf diese Anmeldedaten zugreifen. Managed Microsoft AD löscht diese Anmeldedaten, wenn die Instanz gelöscht wird.
Eingeschränkter Produktionszugriff
Managed Microsoft AD verwendet mehrere Systeme und Prozesse, um sicherzustellen, dass Google Cloud-Entwickler nur minimalen Zugriff auf die verwalteten Microsoft AD-Domains haben. Nur eine kleine Anzahl von Technikern hat Zugriff auf Produktionsdaten. Sie greifen nur auf die Produktionsumgebung zu, um eine Wiederherstellung für eine Domain oder eine erweiterte Fehlerbehebung durchzuführen. Diese Zugriffe erfordern eine validierte Begründung, bevor sie fortfahren können. Anschließend werden sie von Managed Microsoft AD protokolliert und intern geprüft. Managed Microsoft AD automatisiert die meisten Zugriffe, sodass sie nicht auf AD-Daten zugreifen können. In seltenen Fällen kann es erforderlich sein, dass Entwickler vor Ort den Remotezugriff auf die Domaincontroller anfordern. In diesen Fällen verwenden die Remote-Zugriffe Identity-Aware Proxy (IAP) und nicht das öffentliche Internet.