이 주제에서는 Microsoft Active Directory용 관리형 서비스를 강화하고 보안 취약점을 최소화하기 위해 수행하는 다양한 조치에 대해 설명합니다.
공개 인터넷 액세스 권한 없음
보안을 강화하기 위해 관리형 Microsoft AD는 공개 인터넷에 노출되지 않습니다. 관리형 Microsoft AD는 모든 연결을 승인된 네트워크에서 비공개 IP를 통해 수행합니다.
호스팅: 관리형 Microsoft AD는 자체 VPC에서 Active Directory를 실행하는 모든 VM을 호스팅하여 사용자를 서로 격리합니다.
연결: 승인된 네트워크를 사용하여 비공개 IP를 통해 관리형 Microsoft AD에 연결할 수 있습니다. 관리형 Microsoft AD는 이러한 연결에 대한 VPC 피어링을 처리합니다.
패치: 관리형 Microsoft AD는 공개 인터넷 액세스를 사용하지 않고 관리형 Microsoft AD VM에 Windows 패치를 적용합니다. 관리형 Microsoft AD에서 패치를 처리하는 방법에 대한 자세한 내용은 패치를 참조하세요.
보안 VM
보안 VM은 루트키트 및 부트키트를 방어하는 데 도움이 되는 일련의 보안 제어로 강화된 가상 머신(VM)입니다. 보안 VM 기능을 사용하면 추가 비용 없이 모든 관리형 Microsoft AD VM을 보호할 수 있습니다.
OS 이미지
관리형 Microsoft AD VM은 공개 Compute Engine Windows Server 2019 이미지에서 시드됩니다. 이러한 이미지에는 보안 VM 기능이 사용 설정되어 있으며 Compute Engine 인프라에서 실행되도록 최적화되어 있습니다.
Microsoft 보안 기준
관리형 Microsoft AD에서 제공하는 보안 방법 외에도 관리형 Microsoft AD VM에 Microsoft 보안 기준을 적용하도록 선택할 수도 있습니다. 이 기준은 관리형 Microsoft AD 관리형 인스턴스 또는 도메인 컨트롤러에 적용할 수 있는 업계 표준 보안 구성 설정입니다.
이러한 기준을 검토하고 프로덕션 인스턴스에 적용하기 전에 개발 또는 스테이징 관리형 Microsoft AD 인스턴스에서 테스트하는 것이 좋습니다. 지원팀에 문의하여 이러한 기준에 대해 자세히 알아보거나 이러한 설정을 적용하도록 선택할 수 있습니다.
보안 모니터링 및 보호
Google은 운영체제에 내장된 바이러스 백신을 사용하여 바이러스 및 멀웨어로부터 관리형 Microsoft AD 인스턴스를 보호합니다. 바이러스 백신이 관리형 Microsoft AD VM을 검사하고 바이러스, 멀웨어, 스파이웨어와 같은 보안 위협을 감지합니다. 그런 후 바이러스 백신이 이 보안 이벤트를 로깅하며 필요한 경우 Google에서 이를 분석하여 해결합니다.
패치
Microsoft는 버그 수정, 보안 업데이트 및 기능 개선을 정기적으로 출시합니다. 이러한 패치는 도메인 컨트롤러를 최신 상태로 안전하게 유지하는 데 중요합니다.
관리형 Microsoft AD는 도메인 컨트롤러에 적용하기 전에 이러한 모든 패치를 테스트합니다. 테스트 중 관리형 Microsoft AD는 고객 사용 사례, 가용성, 보안, 안정성을 검증합니다. 패치가 이러한 테스트를 통과하면 관리형 Microsoft AD에서 도메인 컨트롤러에 패치를 적용합니다.
패치 적용 시 가용성
패치와 업데이트를 적용하는 동안 Active Directory 도메인은 계속 사용할 수 있습니다. 하지만 스키마 확장, 도메인 업데이트, SQL Server 또는 Cloud SQL 연결과 같은 이러한 도메인에 대한 변형 작업은 수행할 수 없습니다. 또한 작업이 완료될 때까지 이미 변형 작업을 시작한 도메인에 관리형 Microsoft AD는 패치를 적용하지 않습니다.
관리형 Microsoft AD는 다른 가용성 영역의 도메인에 대해 리전당 최소 두 개의 도메인 컨트롤러가 실행되도록 합니다. 관리형 Microsoft AD는 한 번에 하나의 도메인 컨트롤러를 업데이트합니다. 관리형 Microsoft AD는 각 도메인 컨트롤러가 업데이트될 때마다 최신 검증된 패치가 포함된 새 도메인 컨트롤러를 추가하고 승격합니다. 새 도메인 컨트롤러가 정상 상태가 되면 관리형 Microsoft AD는 기존 도메인 컨트롤러를 강등합니다. 관리형 Microsoft AD가 승격되면 새 도메인 컨트롤러가 사용됩니다. 관리형 도메인 AD가 강등된 후 이전 도메인 컨트롤러는 요청 처리를 중지합니다. 이 프로세스를 통해 언제든지 각 리전에서 실행 중인 도메인 컨트롤러가 2개 이상 있습니다.
애플리케이션이 활성 도메인 컨트롤러에 연결할 수 있도록 하기 위해 애플리케이션은 Windows DC 로케이터 서비스를 사용할 수 있습니다. 이렇게 하면 자동 패치 프로세스 중에 애플리케이션이 새 도메인 컨트롤러에 다시 연결할 수 있습니다.
패치 적용 일정
Google은 Microsoft에서 Windows Server의 월간 패치를 출시한 후 영업일 기준 21일 이내에 모든 관리형 Microsoft AD 도메인 컨트롤러에 패치를 테스트하고 적용하는 것을 목표로 합니다. 하지만 Microsoft에서 도메인 컨트롤러에 대해 출시하는 15일 이상의 중요한 보안 취약점 패치를 우선적으로 적용하고 적용합니다.
사용자 인증 정보 순환 및 암호화
관리형 Microsoft AD는 여러 가지 방법으로 사용자 인증 정보를 보호합니다. 관리형 Microsoft AD는 사용자 인증 정보를 자주 순환하고 업계 표준 기술을 사용하여 암호화합니다. AD 관리를 위해 만든 사용자 인증 정보는 인스턴스 간에 공유되지 않습니다. 소규모 지원 지원팀과 자동화된 시스템만 이러한 사용자 인증 정보에 액세스할 수 있습니다. 관리형 Microsoft AD는 인스턴스를 삭제할 때 이 사용자 인증 정보를 폐기합니다.
제한된 프로덕션 액세스
관리형 Microsoft AD는 Google Cloud 엔지니어가 관리형 Microsoft AD 도메인에 대한 최소한의 액세스 권한을 갖도록 여러 시스템과 프로세스를 사용합니다. 소수의 긴급 대기 엔지니어만 프로덕션 데이터에 액세스할 수 있습니다. 이들은 도메인 복구 또는 고급 문제 해결을 위해서만 프로덕션 환경에 액세스합니다. 이러한 액세스는 검증된 근거가 있어야 진행할 수 있으며, 그 후에는 관리형 Microsoft AD가 내부적으로 이를 로깅하고 감사합니다. 관리형 Microsoft AD는 AD 데이터에 액세스할 수 없도록 대부분의 액세스를 자동화합니다. 드물지만 긴급 대기 엔지니어가 원격으로 도메인 컨트롤러에 액세스해야 할 수도 있습니다. 이 경우 원격 액세스는 공개 인터넷이 아닌 IAP(Identity-Aware Proxy)를 사용합니다.