本主题介绍了我们为强化 Managed Service for Microsoft Active Directory 并最大限度地减少安全漏洞而采取的各种措施。
无公共互联网访问权限
为提高安全性,托管式 Microsoft AD 不会在公共互联网上公开。Managed Microsoft AD 通过专用 IP 从已获授权的网络建立所有连接:
托管:托管式 Microsoft AD 在其自己的 VPC 中托管运行 Active Directory 的每个虚拟机,从而将用户彼此隔离。
连接:您可以使用授权网络通过专用 IP 连接到代管式 Microsoft AD。托管式 Microsoft AD 会处理这些连接的VPC 对等互连。
修补:代管式 Microsoft AD 会将 Windows 补丁应用到代管式 Microsoft AD 虚拟机,而无需使用公共互联网访问权限。如需详细了解代管式 Microsoft AD 如何处理修补,请参阅修补。
安全强化型虚拟机
安全强化型虚拟机是一种经过安全控制措施强化的机器(虚拟机),可更好地抵御 rootkit 和 bootkit 攻击。安全强化型虚拟机的功能可保护所有代管式 Microsoft AD 虚拟机,而无需额外付费。
操作系统映像
托管式 Microsoft AD 虚拟机源自公共 Compute Engine Windows Server 2019 映像。这些映像启用了安全强化型虚拟机功能,并经过了优化,以便在 Compute Engine 基础架构上运行。
Microsoft 安全基准
除了 Managed Microsoft AD 提供的安全措施,您还可以选择在代管式 Microsoft AD 虚拟机上应用 Microsoft 安全基准。这些基准是行业标准安全配置设置,Managed Microsoft AD 可应用于您的代管式 Microsoft AD 实例和网域控制器。
我们建议您先查看这些基准,并在开发或预演的代管式 Microsoft AD 实例上对其进行测试,然后再选择应用于生产实例。您可以与支持团队联系,详细了解这些基准,或选择应用这些设置。
安全监控与保护
我们使用操作系统的内置防病毒软件来保护代管式 Microsoft AD 实例免受病毒和恶意软件的攻击。 杀毒软件会扫描您的代管式 Microsoft AD 虚拟机并检测病毒、恶意软件和间谍软件等安全威胁。 然后,防病毒软件会记录这些安全性事件,并在必要时分析这些事件并进行修复。
修补
Microsoft 会定期发布 bug 修复、安全更新和功能改进。这些补丁对于确保您的网域控制器处于最新状态且安全非常重要。
代管式 Microsoft AD 会先测试所有这些补丁,然后再将其应用到您的网域控制器。 在测试期间,Managed Microsoft AD 会验证客户用例、可用性、安全性和可靠性。补丁通过这些测试后,Managed Microsoft AD 会将其应用于您的网域控制器。
修补期间的可用性
在应用补丁和更新期间,Active Directory 域仍然可用。但是,您无法对这些网域执行任何转变操作,例如扩展架构、更新网域以及与 SQL Server 或 Cloud SQL 连接。 此外,在操作完成之前,托管式 Microsoft AD 不会将补丁应用到您已为其启动转变操作的网域。
Managed Microsoft AD 确保对于不同可用区中的网域,每个区域至少有两个运行的网域控制器。Managed Microsoft AD 一次更新一个网域控制器。对于每次网域控制器更新,Managed Microsoft AD 都会添加并升级新的网域控制器,其中包含经过验证的最新补丁。 新的网域控制器达到正常运行状态后,Managed Microsoft AD 会将现有网域控制器降级。 新的网域控制器在 Managed Microsoft AD 推广后便可投入使用。在 Managed Microsoft AD 将旧网域控制器降级后,旧网域控制器会停止处理请求。此过程可确保每个区域随时至少有两个网域控制器在运行。
为确保您的应用可以访问活动网域控制器,这些应用可以使用 Windows DC 定位器服务。 这样一来,您的应用就可以在自动修补过程中重新与新的网域控制器连接。
修补时间表
我们的目标是在 Microsoft 每月发布 Windows Server 补丁程序后的 21 个工作日内,在所有代管式 Microsoft AD 网域控制器上测试并应用补丁程序。不过,我们会优先在 15 个工作日内应用 Microsoft 为网域控制器发布的重要安全漏洞补丁程序。
凭据轮替和加密
托管式 Microsoft AD 使用多种方法来保护凭据。托管式 Microsoft AD 经常轮替凭据,并使用业界标准技术对其进行加密。为管理 AD 创建的凭据永远不会在实例之间共享。只有规模较小的支持团队和自动化系统可以访问这些凭据。代管式 Microsoft AD 会在删除实例时销毁这些凭据。
生产数据访问受限
托管式 Microsoft AD 采用多个系统和流程,以确保 Google Cloud 工程师拥有托管式 Microsoft AD 网域的最低权限。只有少数值班工程师有权访问生产数据。他们访问生产环境只是为了对网域执行恢复或高级问题排查。这些访问需要经过验证的理由才能继续操作,然后由 Managed Microsoft AD 记录日志并在内部对其进行审核。代管式 Microsoft AD 可以自动执行大多数访问,因此无法访问 AD 数据。在极少数情况下,值班工程师可能需要这样做才能远程访问网域控制器。在这种情况下,远程访问使用 Identity-Aware Proxy (IAP),而不是公共互联网。