Topik ini menjelaskan berbagai tindakan yang kami lakukan untuk meningkatkan keamanan Layanan Terkelola untuk Microsoft Active Directory dan meminimalkan kerentanan keamanan.
Tidak ada akses internet publik
Untuk meningkatkan keamanan, Managed Microsoft AD tidak terekspos ke internet publik. Managed Microsoft AD membuat semua koneksi melalui IP pribadi dari jaringan resmi:
Hosting: Managed Microsoft AD menghosting setiap VM yang menjalankan Active Directory di VPC-nya sendiri, yang mengisolasi pengguna satu sama lain.
Menghubungkan: Anda dapat menggunakan jaringan yang diizinkan untuk terhubung ke Managed Microsoft AD melalui IP pribadi. Microsoft AD Terkelola menangani peering VPC untuk koneksi ini.
Patching: Managed Microsoft AD menerapkan patch Windows ke VM Managed Microsoft AD tanpa menggunakan akses internet publik. Untuk mengetahui informasi selengkapnya tentang cara Managed Microsoft AD menangani patch, lihat Patching.
Shielded VM
Shielded VM adalah virtual machine (VM) yang telah melalui proses hardening oleh serangkaian kontrol keamanan yang membantu memberikan pertahanan dari rootkit dan bootkit. Fitur Shielded VM melindungi semua VM Managed Microsoft AD tanpa biaya tambahan.
OS image
VM Microsoft AD Terkelola diisi dari image Windows Server 2019 Compute Engine publik. Image ini telah mengaktifkan fitur Shielded VM dan dioptimalkan untuk dijalankan di infrastruktur Compute Engine.
Dasar pengukuran keamanan Microsoft
Selain langkah keamanan yang disediakan oleh Microsoft AD Terkelola, Anda juga dapat memilih untuk menerapkan dasar pengukuran keamanan Microsoft di VM Microsoft AD Terkelola. Dasar pengukuran ini adalah setelan konfigurasi keamanan standar industri yang dapat diterapkan Microsoft AD Terkelola di instance Microsoft AD Terkelola dan pengontrol domain Anda.
Sebaiknya tinjau dasar pengukuran ini dan uji di instance Managed Microsoft AD pengembangan atau staging Anda sebelum memilih untuk menerapkannya di instance produksi. Anda dapat menghubungi dukungan untuk mempelajari lebih lanjut dasar pengukuran ini atau memilih untuk menerapkan setelan ini.
Pemantauan dan perlindungan keamanan
Kami menggunakan antivirus bawaan sistem operasi untuk melindungi instance Managed Microsoft AD dari virus dan malware. Antivirus memindai VM Managed Microsoft AD Anda dan mendeteksi ancaman keamanan, seperti virus, malware, dan spyware. Antivirus kemudian mencatat peristiwa keamanan ini ke dalam log yang kami analisis dan perbaiki jika diperlukan.
Patch
Microsoft merilis perbaikan bug, update keamanan, dan peningkatan fitur secara rutin. Patch ini sangat penting untuk memastikan pengontrol domain Anda selalu aktual dan aman.
Managed Microsoft AD menguji semua patch ini sebelum menerapkannya di pengontrol domain Anda. Selama pengujian, Microsoft AD yang Terkelola memvalidasi kasus penggunaan, ketersediaan, keamanan, dan keandalan pelanggan. Setelah patch lulus pengujian ini, Managed Microsoft AD akan menerapkannya di pengontrol domain Anda.
Ketersediaan selama patching
Saat menerapkan patch dan update, domain Active Directory tetap tersedia. Namun, Anda tidak dapat melakukan operasi mutasi apa pun pada domain ini, seperti memperluas skema, memperbarui domain, dan terhubung dengan SQL Server atau Cloud SQL. Selain itu, Managed Microsoft AD tidak menerapkan patch ke domain yang operasi mutasinya telah Anda mulai hingga operasi selesai.
Managed Microsoft AD memastikan bahwa ada minimal dua pengontrol domain yang berjalan per region untuk domain di zona ketersediaan yang berbeda. Managed Microsoft AD mengupdate satu pengontrol domain dalam satu waktu. Untuk setiap update pengontrol domain, Managed Microsoft AD akan menambahkan dan mempromosikan pengontrol domain baru, dengan patch terbaru yang divalidasi. Setelah pengontrol domain baru mencapai status yang baik, Managed Microsoft AD akan mendemosikan pengontrol domain yang ada. Pengontrol domain baru akan digunakan saat Managed Microsoft AD mempromosikannya. Pengontrol domain lama berhenti menayangkan permintaan setelah Managed Microsoft AD mendemosikan pengontrol domain tersebut. Proses ini memastikan bahwa ada setidaknya dua pengontrol domain yang berjalan di setiap region kapan saja.
Untuk memastikan aplikasi Anda dapat menjangkau pengontrol domain aktif, aplikasi dapat menggunakan layanan pencari DC Windows. Tindakan ini memungkinkan aplikasi Anda terhubung kembali dengan pengontrol domain baru selama proses patching otomatis.
Jadwal penerapan patch
Kami memiliki tujuan untuk menguji dan menerapkan patch di semua pengontrol domain Microsoft AD yang Terkelola dalam waktu 21 hari kerja sejak Microsoft merilis patch bulanan untuk Windows Server. Namun, kami memprioritaskan dan menerapkan patch kerentanan keamanan kritis yang dirilis Microsoft untuk pengontrol domain dalam waktu 15 hari kerja.
Enkripsi dan rotasi kredensial
Managed Microsoft AD menggunakan beberapa metode untuk melindungi kredensial. Managed Microsoft AD sering merotasi kredensial dan mengenkripsinya menggunakan teknik standar industri. Kredensial yang dibuat untuk mengelola AD tidak pernah dibagikan antar-instance. Hanya tim dukungan berukuran lebih kecil dan sistem otomatis yang dapat mengakses kredensial ini. Microsoft AD yang Terkelola akan menghancurkan kredensial ini saat menghapus instance.
Akses produksi terbatas
Managed Microsoft AD menggunakan beberapa sistem dan proses untuk memastikan bahwa engineer Google Cloud memiliki akses minimal ke domain Managed Microsoft AD. Hanya sejumlah kecil engineer yang siap siaga yang memiliki akses ke data produksi. Mereka mengakses lingkungan produksi hanya untuk melakukan pemulihan pada domain atau pemecahan masalah lanjutan. Akses ini memerlukan justifikasi yang divalidasi sebelum dapat dilanjutkan, lalu Managed Microsoft AD akan mencatat dan mengauditnya secara internal. Managed Microsoft AD mengotomatiskan sebagian besar akses sehingga tidak dapat mengakses data AD. Dalam skenario yang jarang terjadi, mungkin perlu engineer on-call untuk mengakses pengontrol domain dari jarak jauh. Dalam kasus ini, akses jarak jauh menggunakan Identity-Aware Proxy (IAP), bukan internet publik.