En este tema se explican las distintas medidas que tomamos para reforzar el servicio gestionado de Microsoft Active Directory y minimizar las vulnerabilidades de seguridad.
No hay acceso público a Internet
Para mejorar la seguridad, Managed Microsoft AD no está expuesto a la red pública de Internet. Managed Microsoft AD establece todas las conexiones a través de una IP privada desde redes autorizadas:
Hosting: Managed Microsoft AD aloja todas las VMs que ejecutan Active Directory en su propia VPC, lo que aísla a los usuarios entre sí.
Conexión: puedes usar redes autorizadas para conectarte a Microsoft AD gestionado a través de una IP privada. El servicio gestionado de Microsoft AD gestiona el emparejamiento de VPCs de estas conexiones.
Aplicación de parches: Managed Microsoft AD aplica parches de Windows a las VMs de Managed Microsoft AD sin usar acceso público a Internet. Para obtener más información sobre cómo gestiona Managed Microsoft AD las actualizaciones, consulta Actualizaciones.
VM blindada
Las VMs blindadas son máquinas virtuales reforzadas con un conjunto de controles de seguridad que te permiten defenderte de rootkits y bootkits. Las funciones de las VMs blindadas protegen todas las VMs de Microsoft AD gestionado sin coste adicional.
Imagen de SO
Las VMs de Microsoft AD gestionado se inicializan a partir de la imagen pública de Windows Server 2019 de Compute Engine. Estas imágenes tienen habilitadas las funciones de VM blindada y están optimizadas para ejecutarse en la infraestructura de Compute Engine.
Configuraciones de seguridad de Microsoft
Además de las medidas de seguridad que ofrece Managed Microsoft AD, también puedes aplicar las configuraciones de seguridad de Microsoft en tus máquinas virtuales de Managed Microsoft AD. Estas configuraciones de referencia son ajustes de configuración de seguridad estándar del sector que Managed Microsoft AD puede aplicar en tus instancias de Managed Microsoft AD y controladores de dominio.
Te recomendamos que revises estas bases y las pruebes en tus instancias de desarrollo o de staging de Managed Microsoft AD antes de aplicarlas en las instancias de producción. Puede ponerse en contacto con el equipo de Asistencia para obtener más información sobre estas configuraciones de referencia o para habilitarlas.
Monitorización y protección de la seguridad
Usamos el antivirus integrado del sistema operativo para proteger las instancias de Managed Microsoft AD frente a virus y malware. El antivirus analiza tus VMs de Managed Microsoft AD y detecta amenazas de seguridad, como virus, malware y spyware. A continuación, el antivirus registra estos eventos de seguridad, que analizamos y corregimos si es necesario.
Parche
Microsoft lanza correcciones de errores, actualizaciones de seguridad y mejoras de funciones con regularidad. Estos parches son fundamentales para mantener tus controladores de dominio actualizados y seguros.
Managed Microsoft AD prueba todos estos parches antes de aplicarlos en tus controladores de dominio. Durante las pruebas, Managed Microsoft AD valida los casos prácticos, la disponibilidad, la seguridad y la fiabilidad de los clientes. Cuando un parche supera estas pruebas, Managed Microsoft AD lo aplica en tus controladores de dominio.
Disponibilidad durante la aplicación de parches
Mientras se aplican los parches y las actualizaciones, el dominio de Active Directory sigue estando disponible. Sin embargo, no puedes realizar ninguna operación de mutación en estos dominios, como ampliar el esquema, actualizar el dominio y conectarte con SQL Server o Cloud SQL. Además, Managed Microsoft AD no aplica parches a los dominios en los que ya hayas iniciado operaciones de mutación hasta que se completen.
Microsoft AD gestionado se asegura de que haya al menos dos controladores de dominio en ejecución por región para un dominio en diferentes zonas de disponibilidad. Microsoft AD gestionado actualiza los controladores de dominio de uno en uno. En cada actualización del controlador de dominio, Microsoft AD gestionado añade y promueve un nuevo controlador de dominio con el parche validado más reciente. Cuando el nuevo controlador de dominio alcanza un estado correcto, Microsoft AD gestionado degrada el controlador de dominio actual. El nuevo controlador de dominio se empieza a usar cuando Managed Microsoft AD lo promueve. El controlador de dominio antiguo deja de atender solicitudes después de que Microsoft AD gestionado lo degrade. Este proceso asegura que haya al menos dos controladores de dominio ejecutándose en cada región en todo momento.
Para asegurarse de que las aplicaciones puedan acceder al controlador de dominio activo, pueden usar el servicio de localizador de controladores de dominio de Windows. De esta forma, tus aplicaciones podrán volver a conectarse con los nuevos controladores de dominio durante el proceso de aplicación de parches automatizado.
Programación de parches
Nuestro objetivo es probar y aplicar parches en todos los controladores de dominio de Microsoft AD gestionado en un plazo de 21 días hábiles desde que Microsoft publique un parche mensual para Windows Server. Sin embargo, priorizamos y aplicamos los parches de vulnerabilidades de seguridad críticas que Microsoft lanza para los controladores de dominio en un plazo de 15 días hábiles.
Rotación y cifrado de credenciales
Microsoft AD gestionado usa varios métodos para proteger las credenciales. Microsoft AD gestionado rota las credenciales con frecuencia y las cifra mediante técnicas estándar del sector. Las credenciales creadas para gestionar AD nunca se comparten entre instancias. Solo un equipo de asistencia de menor tamaño y sistemas automatizados pueden acceder a estas credenciales. Microsoft AD gestionado destruye estas credenciales cuando elimina la instancia.
Acceso de producción restringido
Microsoft AD gestionado emplea varios sistemas y procesos para asegurarse de que los ingenieros deGoogle Cloud tengan un acceso mínimo al dominio de Microsoft AD gestionado. Solo un pequeño número de ingenieros de guardia tienen acceso a los datos de producción. Solo acceden al entorno de producción para llevar a cabo una recuperación en un dominio o una solución de problemas avanzada. Para poder continuar, estos accesos requieren una justificación validada. Después, Managed Microsoft AD los registra y audita internamente. Microsoft AD gestionado automatiza la mayoría de los accesos para que no puedan acceder a los datos de AD. En casos excepcionales, puede que sea necesario que los ingenieros de guardia accedan de forma remota a los controladores de dominio. En estos casos, los accesos remotos usan Identity-Aware Proxy (IAP), no Internet público.