Cet article explique les différentes mesures que nous prenons pour renforcer le service géré pour Microsoft Active Directory et minimiser les failles de sécurité.
Pas d'accès à l'Internet public
Pour améliorer la sécurité, le service Microsoft AD géré n'est pas exposé à l'Internet public. Le service géré pour Microsoft AD établit toutes les connexions via une adresse IP privée à partir de réseaux autorisés:
Hébergement: Microsoft AD géré héberge chaque VM qui exécute Active Directory dans son propre VPC, ce qui permet d'isoler les utilisateurs les uns des autres.
Connexion: vous pouvez utiliser des réseaux autorisés pour vous connecter à Microsoft AD géré via une adresse IP privée. Le service Microsoft AD géré s'occupe de l'appairage de VPC pour ces connexions.
Correctifs: le service géré pour Microsoft AD applique des correctifs Windows aux VM Microsoft AD gérées sans utiliser l'accès Internet public. Pour en savoir plus sur la manière dont le service Microsoft AD géré gère les correctifs, consultez la page Correctifs.
Shielded VM
Les VM protégées sont des machines virtuelles (VM) renforcées par un ensemble de paramètres de sécurité conçus pour éliminer les rootkits et les bootkits. Les fonctionnalités des VM protégées protègent toutes les VM Microsoft AD gérées sans frais supplémentaires.
Image de l'OS
Les VM Microsoft AD gérées proviennent de l'image publique Windows Server 2019 de Compute Engine. Ces images sont dotées de fonctionnalités activées pour les VM protégées et sont optimisées pour une exécution sur l'infrastructure Compute Engine.
Références de sécurité Microsoft
En plus des mesures de sécurité fournies par le service Microsoft AD géré, vous pouvez activer l'application de références de sécurité Microsoft à vos VM Microsoft AD gérées. Ces références correspondent à des paramètres de configuration de sécurité standard dans l'industrie, que le service Microsoft AD géré peut appliquer à vos instances Microsoft AD gérées et à vos contrôleurs de domaine.
Nous vous recommandons de consulter ces références et de les tester sur vos instances de développement gérées ou de préproduction Microsoft AD gérées avant de choisir de les appliquer aux instances de production. Vous pouvez contacter l'assistance pour en savoir plus sur ces références ou activer ces paramètres.
Surveillance et protection de la sécurité
Nous utilisons l'antivirus intégré au système d'exploitation pour protéger les instances Microsoft AD gérées contre les virus et les logiciels malveillants. L'antivirus analyse vos VM Microsoft AD gérées et détecte les menaces de sécurité, telles que les virus, les logiciels malveillants et les spyware. L'antivirus consigne ensuite ces événements de sécurité que nous analysons et corrigeons si nécessaire.
Application de correctifs
Microsoft publie régulièrement des corrections de bugs, des mises à jour de sécurité et des améliorations de fonctionnalités. Ces correctifs sont essentiels pour assurer le bon fonctionnement de vos contrôleurs de domaine.
Le service Microsoft AD géré teste tous ces correctifs avant de les appliquer à vos contrôleurs de domaine. Lors des tests, le service géré pour Microsoft AD vérifie les cas d'utilisation client, la disponibilité, la sécurité et la fiabilité. Une fois qu'un correctif a réussi ces tests, le service géré Microsoft AD l'applique à vos contrôleurs de domaine.
Disponibilité pendant l'application de correctifs
Le domaine Active Directory reste disponible pendant l'application des correctifs et des mises à jour. Toutefois, vous ne pouvez pas effectuer d'opérations mutate sur ces domaines, comme étendre le schéma, mettre à jour le domaine et vous connecter à SQL Server ou Cloud SQL. De plus, le service Microsoft AD géré n'applique pas de correctifs aux domaines pour lesquels vous avez déjà lancé des opérations mutate tant que l'opération n'est pas terminée.
Avec le service Microsoft AD géré, au moins deux contrôleurs de domaine sont exécutés par région pour un domaine situé dans des zones de disponibilité différentes. Le service Microsoft AD géré ne met à jour qu'un seul contrôleur de domaine à la fois. Pour chaque mise à jour du contrôleur de domaine, le service géré Microsoft AD ajoute et promeut un nouveau contrôleur de domaine, avec le dernier correctif validé. Une fois que le nouveau contrôleur de domaine est opérationnel, le service Microsoft AD géré rétrograde le contrôleur existant. Le nouveau contrôleur de domaine entre en vigueur lorsque le service Microsoft AD géré en fait la promotion. L'ancien contrôleur de domaine cesse de traiter les requêtes une fois que le service Microsoft AD géré l'a rétrogradé. Ce processus garantit qu'au moins deux contrôleurs de domaine sont exécutés dans chaque région.
Pour que vos applications puissent atteindre le contrôleur de domaine actif, elles peuvent utiliser le service de localisation Windows DC. Cela permet à vos applications de se reconnecter aux nouveaux contrôleurs de domaine lors du processus d'application automatique de correctifs.
Calendrier de correction
Notre objectif est de tester et d'appliquer des correctifs sur tous les contrôleurs de domaine Microsoft AD gérés dans les trois semaines calendaires suivant la publication par Microsoft d'un correctif mensuel pour Windows Server. Toutefois, nous traitons en priorité les correctifs de sécurité critiques que Microsoft publie pour les contrôleurs de domaine sous 15 jours ouvrés. Le service Microsoft AD géré met à jour les contrôleurs de domaine l'un après l'autre dans le but de terminer le déploiement complet des correctifs dans un délai de trois semaines calendaires.
Rotation et chiffrement des identifiants
Le service Microsoft AD géré utilise plusieurs méthodes pour protéger les identifiants. Régulièrement, le service Microsoft AD géré effectue également une rotation des identifiants et les chiffre à l'aide de techniques standards dans l'industrie. Les identifiants créés pour la gestion d'AD ne sont jamais partagés entre les instances. Seuls une équipe d'assistance de petite taille et des systèmes automatisés peuvent accéder à ces identifiants. Le service Microsoft AD géré détruit ces identifiants lors de la suppression de l'instance.
Accès restreint en production
Le service Microsoft AD géré emploie plusieurs systèmes et processus pour s'assurer que les ingénieurs Google Cloud disposent d'un accès minimal au domaine Microsoft AD géré. Seuls quelques ingénieurs d'astreinte ont accès aux données de production. Ils accèdent à l'environnement de production uniquement pour effectuer une récupération sur un domaine ou un dépannage avancé. Ces accès nécessitent une justification validée avant de pouvoir continuer, puis sont consignés dans des journaux Microsoft AD gérés et vérifiés en interne. Le service Microsoft AD géré automatise la plupart des accès de sorte qu'ils ne peuvent pas accéder aux données AD. Dans de rares cas, il peut être nécessaire que les ingénieurs d'astreinte accèdent à distance aux contrôleurs de domaine. Dans ces cas, les accès à distance utilisent Identity-Aware Proxy (IAP), et non l'Internet public.