En este tema, se explican las diversas medidas que tomamos a fin de endurecer el servicio administrado para Microsoft Active Directory y minimizar las vulnerabilidades de seguridad.
Sin acceso a Internet pública
Para mejorar la seguridad, Microsoft AD administrado no se expone a la Internet pública. Microsoft AD administrado realiza todas las conexiones a través de una IP privada desde redes autorizadas:
Hosting: Microsoft AD administrado aloja cada VM que ejecuta Active Directory en su propia VPC, que aísla a los usuarios entre sí.
Conexión: puedes usar redes autorizadas para conectarte a Microsoft AD administrado a través de una IP privada. Microsoft AD administrado maneja el intercambio de tráfico de VPC para estas conexiones.
Aplicación de parches: Microsoft AD administrado aplica parches de Windows a las VM de Microsoft AD administrado sin usar el acceso público a Internet. Para obtener más información sobre cómo Microsoft AD administrado controla los parches, consulta Aplicación de parches.
VM protegida
Las VM protegidas son máquinas virtuales (VM) endurecidas por un conjunto de controles de seguridad que ayudan a defenderse de los rootkits y bootkits. Las funciones de las VM protegida protegen todas las VMs de Microsoft AD administradas sin costo adicional.
Imagen de SO
Las VM de Microsoft AD administrado se dan a partir de la imagen pública de Windows Server 2019 de Compute Engine. Estas imágenes tienen funciones de VM protegida habilitadas y optimizadas para ejecutarse en la infraestructura de Compute Engine.
Modelos de referencia de seguridad de Microsoft
Además de las medidas de seguridad que proporciona Microsoft AD administrado, también puedes habilitar la aplicación de modelos de referencia de seguridad de Microsoft en tus VMs de Microsoft AD administrado. Estos modelos de referencia son ajustes de configuración de seguridad estándar de la industria que Microsoft AD administrado puede aplicar en tus instancias de Microsoft AD administrado y sus controladores de dominio.
Recomendamos que revises estos modelos de referencia y los pruebes en tu desarrollo o etapa de pruebas de instancias de Microsoft AD administrado antes de optar por aplicarlos en las instancias de producción. Puedes comunicarte con el equipo de asistencia para obtener más información sobre estos modelos de referencia o habilitar la aplicación de estos parámetros de configuración.
Supervisión y protección de la seguridad
Utilizamos el antivirus integrado del sistema operativo para proteger las instancias de Microsoft AD administrado contra virus y software malicioso. El antivirus escanea tus VMs de Microsoft AD administrado y detecta amenazas de seguridad, como virus, software malicioso y software espía. Luego, el antivirus registra estos eventos de seguridad que analizamos y solucionamos si es necesario.
Aplica parches
Microsoft lanza correcciones de errores, actualizaciones de seguridad y mejoras de funciones con regularidad. Estos parches son fundamentales para mantener los controladores de dominio actualizados y seguros.
Microsoft AD administrado prueba todos estos parches antes de aplicarlos en tus controladores de dominio. Durante las pruebas, Microsoft AD administrado valida los casos de uso, la disponibilidad, la seguridad y la confiabilidad del cliente. Después de que un parche pasa estas pruebas, Microsoft AD administrado lo aplica en tus controladores de dominio.
Disponibilidad durante la aplicación de parches
Mientras se aplican los parches y las actualizaciones, el dominio de Active Directory permanece disponible. Sin embargo, no puedes realizar ninguna operación de mutación en estos dominios, como extender el esquema, actualizar el dominio y conectarte con SQL Server o Cloud SQL. Además, Microsoft AD administrado no aplica parches a dominios para los que ya hayas iniciado operaciones de modificación hasta que la operación se complete.
Microsoft AD administrado garantiza que haya al menos dos controladores de dominio ejecutándose por región para un dominio en diferentes zonas de disponibilidad. Microsoft AD administrado actualiza un controlador de dominio a la vez. En cada actualización del controlador de dominio, Microsoft AD administrado agrega y promueve un nuevo controlador de dominio con el último parche validado. Después de que el nuevo controlador de dominio alcanza un estado correcto, Microsoft AD administrado desciende de nivel al controlador de dominio existente. El nuevo controlador de dominio entra en uso cuando Microsoft AD administrado lo promociona. El controlador de dominio anterior deja de entregar solicitudes después de que Microsoft AD administrado desciende de nivel. Este proceso garantiza que haya al menos dos controladores de dominio ejecutándose en cada región en cualquier momento.
Para garantizar que tus aplicaciones puedan alcanzar el controlador de dominio activo, las aplicaciones pueden usar el servicio de localización de Windows DC. Esto permitirá que tus aplicaciones se vuelvan a conectar con los controladores de dominio nuevos durante el proceso de aplicación de parches automatizado.
Programa de parches
Tenemos el objetivo de probar y aplicar parches en todos los controladores de dominio de Microsoft AD administrados dentro de los 21 días hábiles a partir de la fecha en que Microsoft lanza un parche mensual para Windows Server. Sin embargo, priorizamos y aplicamos parches críticos de vulnerabilidades de seguridad que Microsoft lanza para los controladores de dominio en un plazo de 15 días hábiles.
Rotación y encriptación de credenciales
Microsoft AD administrado usa varios métodos para proteger las credenciales. Con frecuencia, Microsoft AD administrado rota las credenciales y las encripta con técnicas estándar de la industria. Las credenciales creadas para administrar AD nunca se comparten entre instancias. Solo un equipo de asistencia de menor tamaño y sistemas automatizados pueden acceder a estas credenciales. Microsoft AD administrado destruye estas credenciales cuando borra la instancia.
Acceso a producción restringido
Microsoft AD administrado emplea varios sistemas y procesos para garantizar que los ingenieros de Google Cloud tengan un acceso mínimo al dominio de Microsoft AD administrado. Solo una pequeña cantidad de ingenieros de guardia tiene acceso a los datos de producción. Acceden al entorno de producción solo para realizar una recuperación en un dominio o una solución de problemas avanzada. Estos accesos requieren una justificación validada para poder continuar y, luego, Microsoft AD administrado los registra y los audita de forma interna. Microsoft AD administrado automatiza la mayoría de los accesos, de modo que no pueden acceder a los datos de AD. En raras ocasiones, puede ser necesario que los ingenieros de guardia accedan a los controladores de dominio de forma remota. En estos casos, los accesos remotos usan Identity-Aware Proxy (IAP), no la Internet pública.