In diesem Thema werden die verschiedenen Maßnahmen erläutert, die wir ergreifen, um Managed Service for Microsoft Active Directory zu stärken und Sicherheitslücken zu minimieren.
Kein öffentlicher Internetzugriff
Managed Microsoft AD ist nicht zur Verbesserung der Sicherheit im öffentlichen Internet verfügbar. Managed Microsoft AD stellt alle Verbindungen über private IP-Adressen aus autorisierten Netzwerken her:
Hosting: Managed Microsoft AD hostet jede VM, auf der Active Directory ausgeführt wird, in einer eigenen VPC, die Nutzer voneinander isoliert.
Verbinden: Sie können autorisierte Netzwerke verwenden, um über private IP-Adressen eine Verbindung zu Managed Microsoft AD herzustellen. Managed Microsoft AD übernimmt das VPC-Peering für diese Verbindungen.
Patching: Managed Microsoft AD wendet Windows-Patches auf die verwalteten Microsoft AD-VMs an, ohne öffentlichen Internetzugriff zu verwenden. Weitere Informationen dazu, wie Managed Microsoft AD Patches verarbeitet, finden Sie unter Patching.
Shielded VM
Shielded VMs sind virtuelle Maschinen (VMs), die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Die Features von Shielded VM schützen alle Managed Microsoft AD-VMs ohne zusätzliche Kosten.
Betriebssystem-Image
Managed Microsoft AD-VMs werden aus dem öffentlichen Compute Engine Windows Server 2019-Image abgerufen. Auf diesen Images sind Shielded VM-Funktionen aktiviert und für die Ausführung in der Compute Engine-Infrastruktur optimiert.
Baselines für Microsoft-Sicherheit
Zusätzlich zu den Sicherheitsmaßnahmen von Managed Microsoft AD können Sie die Anwendung von Microsoft-Sicherheitsreferenzen auf Ihren Managed Microsoft AD-VMs aktivieren. Diese Baselines sind branchenübliche Sicherheitskonfigurationseinstellungen, die Managed Microsoft AD auf Ihre verwalteten Microsoft AD-Instanzen und Domaincontroller anwenden kann.
Wir empfehlen Ihnen, diese Baselines zu prüfen und sie in Ihrer Entwicklungs- oder Staging-Umgebung für Managed Microsoft AD zu testen, bevor Sie sie auf die Produktionsinstanzen anwenden. Wenden Sie sich an den Support, um weitere Informationen zu diesen Baselines zu erhalten oder die Anwendung dieser Einstellungen zu aktivieren.
Sicherheitsmonitoring und Sicherheitsfunktionen
Wir verwenden das integrierte Antivirenprogramm des Betriebssystems, um die Managed Microsoft AD-Instanzen vor Viren und Malware zu schützen. Das Antivirenprogramm scannt Ihre verwalteten Microsoft AD-VMs und erkennt Sicherheitsbedrohungen wie Viren, Malware und Spyware. Das Antivirus protokolliert dann diese Sicherheitsereignisse, die wir analysieren und bei Bedarf beheben.
Patchen
Microsoft veröffentlicht regelmäßig Fehlerkorrekturen, Sicherheitsupdates und Funktionsverbesserungen. Diese Patches sind wichtig, damit Ihre Domaincontroller auf dem neuesten Stand und sicher sind.
Managed Microsoft AD testet all diese Patches, bevor sie auf Ihren Domaincontrollern angewendet werden. Während des Tests validiert Managed Microsoft AD die Anwendungsfälle, Verfügbarkeit, Sicherheit und Zuverlässigkeit der Kundenanwendung. Nachdem ein Patch diese Tests bestanden hat, wird er von Managed Microsoft AD auf Ihren Domaincontrollern angewendet.
Verfügbarkeit während des Patchings
Die Active Directory-Domain bleibt während der Anwendung der Patches und Updates verfügbar. Sie können jedoch keine Mutationsvorgänge auf diesen Domains ausführen, z. B. das Schema erweitern, die Domain aktualisieren oder eine Verbindung mit SQL Server oder Cloud SQL herstellen. Managed Microsoft AD wendet außerdem Patches erst dann auf Domains an, für die Sie bereits mutierte Vorgänge gestartet haben, wenn der Vorgang abgeschlossen ist.
Managed Microsoft AD sorgt dafür, dass mindestens zwei Domaincontroller pro Region für eine Domain in verschiedenen Verfügbarkeitszonen ausgeführt werden. In Managed Microsoft AD wird jeweils ein Domaincontroller aktualisiert. Für jedes Domaincontroller-Update wird in Managed Microsoft AD ein neuer Domaincontroller mit dem neuesten validierten Patch hinzugefügt und hochgestuft. Nachdem der neue Domänencontroller in einem fehlerfreien Zustand ist, wertet Managed Microsoft AD den vorhandenen Domänencontroller ab. Der neue Domaincontroller wird verwendet, wenn Managed Microsoft AD ihn hochstuft. Der alte Domaincontroller beendet die Bereitstellung von Anfragen, nachdem Managed Microsoft AD sie abgewertet hat. Dadurch wird sichergestellt, dass in jeder Region jederzeit mindestens zwei Domaincontroller ausgeführt werden.
Damit Ihre Anwendungen den aktiven Domaincontroller erreichen können, können sie den Windows DC-Finderdienst verwenden. Dadurch können sich Ihre Anwendungen während des automatisierten Patchvorgangs wieder mit den neuen Domaincontrollern verbinden.
Patchzeitplan
Wir möchten Patches auf allen Managed Microsoft AD-Domaincontrollern innerhalb von drei Kalenderwochen testen und anwenden, nachdem Microsoft einen monatlichen Patch für Windows Server veröffentlicht hat. Wir priorisieren und wenden jedoch kritische Sicherheitslücken an, die Microsoft für Domaincontroller innerhalb von 15 Werktagen veröffentlicht. Managed Microsoft AD aktualisiert Domaincontroller nacheinander, um den vollständigen Patch-Roll-out innerhalb von drei Kalenderwochen abzuschließen.
Rotation und Verschlüsselung von Anmeldedaten
Managed Microsoft AD verwendet mehrere Methoden zum Schutz von Anmeldedaten. Managed Microsoft AD rotiert die Anmeldedaten regelmäßig und verschlüsselt sie mit Branchenstandards. Anmeldedaten, die für die Verwaltung von AD erstellt wurden, werden nie von Instanzen gemeinsam genutzt. Nur ein kleineres Supportteam und automatisierte Systeme können auf diese Anmeldedaten zugreifen. Managed Microsoft AD löscht diese Anmeldedaten, wenn die Instanz gelöscht wird.
Eingeschränkter Produktionszugriff
Managed Microsoft AD verwendet mehrere Systeme und Prozesse, um sicherzustellen, dass Google Cloud-Entwickler nur minimalen Zugriff auf die verwalteten Microsoft AD-Domains haben. Nur eine kleine Anzahl von Technikern hat Zugriff auf Produktionsdaten. Sie greifen nur auf die Produktionsumgebung zu, um eine Domain wiederherzustellen oder eine erweiterte Fehlerbehebung durchzuführen. Für diese Zugriffe ist eine bestätigte Begründung erforderlich, bevor sie fortfahren können. Anschließend werden sie von Managed Microsoft AD intern protokolliert und geprüft. Managed Microsoft AD automatisiert die meisten Zugriffe, sodass sie nicht auf AD-Daten zugreifen können. In seltenen Fällen kann es erforderlich sein, dass Entwickler vor Ort den Remotezugriff auf die Domaincontroller anfordern. In diesen Fällen verwenden die Remote-Zugriffe Identity-Aware Proxy (IAP) und nicht das öffentliche Internet.