Härtung

In diesem Thema wird erläutert, wie Managed Service for Microsoft Active Directory gehärtet wird, um Sicherheitslücken zu minimieren.

Kein öffentlicher Internetzugriff

Managed Microsoft AD ist nicht zur Verbesserung der Sicherheit im öffentlichen Internet verfügbar. Managed Microsoft AD stellt alle Verbindungen über eine private IP-Adresse von autorisierten Netzwerken her:

  • Hosting: Jede Instanz, auf der Active Directory ausgeführt wird, wird in einer eigenen VPC gehostet, die Nutzer voneinander isoliert.

  • Verbindung: Sie können autorisierte Netzwerke verwenden, um über private IP-Adressen eine Verbindung zu verwalteten Microsoft AD herzustellen. Managed Microsoft AD übernimmt das VPC-Peering für diese Verbindungen.

  • Patchen: Managed Microsoft AD wendet Windows-Patches auf die VM ohne öffentlichen Internetzugang an. Weitere Informationen zum Verarbeiten von Patches mit Managed Microsoft AD

Shielded VM

Shielded VMs sind virtuelle Maschinen (VMs), die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Alle Managed Microsoft AD-Instanzen sind ohne Shielded VM-Features geschützt.

Betriebssystem-Image

Managed Microsoft AD-VMs werden aus dem öffentlichen Compute Engine Windows Server 2019-Image abgerufen. Auf diesen Images sind Shielded VM-Funktionen aktiviert und für die Ausführung in der Compute Engine-Infrastruktur optimiert.

Patchen

Managed Microsoft AD testen alle Windows-Patches, bevor sie angewendet werden. Managed Microsoft AD führt Tests durch, validiert Anwendungsfälle von Kunden sowie die Verfügbarkeit, Sicherheit und Zuverlässigkeit. Nachdem ein Patch diese Tests bestanden hat, wird sie von Managed Microsoft AD angewendet.

Während Patches und Updates bleibt die AD-Domain verfügbar. Wenn ein Domaincontroller (DC) gewartet werden muss, wird der Active Directory-Domain ein neuer DC hinzugefügt, der den neuen, validierten Patch ausführt, bevor der alte DC abgestuft wird. Damit wird sichergestellt, dass immer mindestens zwei DCs ausgeführt werden. Für den Aktualisierungsvorgang ist kein öffentlicher Internetzugang erforderlich. Der vollständige Patch-Rollout dauert in der Regel einige Tage, da Domaincontroller nach einem anderen aktualisiert werden.

Rotation und Verschlüsselung von Anmeldedaten

Managed Microsoft AD verwendet mehrere Methoden zum Schutz von Anmeldedaten. Managed Microsoft AD rotiert die Anmeldedaten regelmäßig und verschlüsselt sie mit Branchenstandards. Anmeldedaten, die für die Verwaltung von AD erstellt wurden, werden nie von Instanzen gemeinsam genutzt. Diese Anmeldedaten sind nur für ein kleines Supportteam und automatisierte Systeme zugänglich. Sie werden dann gelöscht, wenn die Instanz gelöscht wird.

Eingeschränkter Produktionszugriff

Managed Microsoft AD verwendet mehrere Systeme und Prozesse, um sicherzustellen, dass Google Cloud-Entwickler nur minimalen Zugriff auf die verwalteten Microsoft AD-Domains haben. Nur eine kleine Anzahl von Technikern hat Zugriff auf Produktionsdaten. Sie greifen nur auf die Produktion zu, um eine Wiederherstellung in einer Domain durchzuführen, oder zur erweiterten Fehlerbehebung. Diese Zugriffe benötigen eine validierte Begründung, bevor sie fortfahren können. Sie werden dann intern protokolliert und geprüft. Die meisten Zugriffe sind automatisiert, sodass sie nicht auf AD-Daten zugreifen können. In seltenen Fällen kann es erforderlich sein, dass Entwickler vor Ort den Remotezugriff auf die Domaincontroller anfordern. In diesen Fällen verwenden die Remote-Zugriffe Identity-Aware Proxy (IAP) und nicht das öffentliche Internet.