Cet article présente les différentes mesures que nous prenons pour renforcer le service géré pour Microsoft Active Directory et minimiser les failles de sécurité.
Pas d'accès à l'Internet public
Pour améliorer la sécurité, le service Microsoft AD géré n'est pas exposé à l'Internet public. Le service Microsoft AD géré établit toutes les connexions via une adresse IP privée à partir de réseaux autorisés:
Hébergement: le service Microsoft AD géré héberge chaque VM exécutant Active Directory dans son propre VPC, ce qui isole les utilisateurs les uns des autres.
Connexion: vous pouvez utiliser des réseaux autorisés pour vous connecter au service Microsoft AD géré via une adresse IP privée. Le service Microsoft AD géré s'occupe de l'appairage de VPC pour ces connexions.
Correctifs: le service Microsoft AD géré applique des correctifs Windows aux VM Microsoft AD gérées sans utiliser d'accès Internet public. Pour en savoir plus sur la manière dont le service Microsoft AD géré gère l'application des correctifs, consultez la section Appliquer des correctifs.
VM protégée
Les VM protégées sont des machines virtuelles (VM) renforcées par un ensemble de paramètres de sécurité conçus pour éliminer les rootkits et les bootkits. Les fonctionnalités des VM protégées protègent toutes les VM Microsoft AD gérées sans frais supplémentaires.
Image de l'OS
Les VM Microsoft AD gérées proviennent de l'image publique Windows Server 2019 de Compute Engine. Ces images sont dotées de fonctionnalités activées pour les VM protégées et sont optimisées pour une exécution sur l'infrastructure Compute Engine.
Références de sécurité Microsoft
En plus des mesures de sécurité fournies par le service Microsoft AD géré, vous pouvez également choisir d'appliquer les références de sécurité Microsoft à vos VM Microsoft AD gérées. Ces références sont des paramètres de configuration de sécurité standards dans l'industrie que le service Microsoft AD géré peut appliquer à vos instances et contrôleurs de domaine Microsoft AD gérés.
Nous vous recommandons d'examiner ces références et de les tester sur vos instances Microsoft AD gérées de développement ou de préproduction avant de choisir de les appliquer aux instances de production. Vous pouvez contacter l'assistance pour en savoir plus sur ces valeurs de référence ou pour choisir d'appliquer ces paramètres.
Surveillance et protection de la sécurité
Nous utilisons l'antivirus intégré au système d'exploitation pour protéger les instances Microsoft AD gérées contre les virus et les logiciels malveillants. L'antivirus analyse vos VM Microsoft AD gérées et détecte les menaces de sécurité telles que les virus, les logiciels malveillants et les logiciels espions. L'antivirus consigne ensuite ces événements de sécurité, que nous analysons et corrigeons si nécessaire.
Application de correctifs
Microsoft publie régulièrement des correctifs de bugs, des mises à jour de sécurité et des améliorations de fonctionnalités. Ces correctifs sont essentiels pour maintenir vos contrôleurs de domaine à jour et sécurisés.
Le service Microsoft AD géré teste tous ces correctifs avant de les appliquer à vos contrôleurs de domaine. Au cours des tests, le service Microsoft AD géré valide les cas d'utilisation, la disponibilité, la sécurité et la fiabilité des clients. Lorsqu'un correctif réussit ces tests, le service Microsoft AD géré l'applique à vos contrôleurs de domaine.
Disponibilité pendant l'application de correctifs
Pendant l'application des correctifs et des mises à jour, le domaine Active Directory reste disponible. Toutefois, vous ne pouvez pas effectuer d'opérations mutate sur ces domaines, comme étendre le schéma, mettre à jour le domaine et vous connecter à SQL Server ou Cloud SQL. De plus, le service Microsoft AD géré n'applique pas de correctifs aux domaines pour lesquels vous avez déjà lancé des opérations mutate jusqu'à la fin de l'opération.
Le service Microsoft AD géré garantit qu'au moins deux contrôleurs de domaine sont exécutés par région pour un domaine dans différentes zones de disponibilité. Le service Microsoft AD géré met à jour un contrôleur de domaine à la fois. Pour chaque mise à jour du contrôleur de domaine, le service Microsoft AD géré ajoute et promeut un nouveau contrôleur de domaine doté du dernier correctif validé. Lorsque le nouveau contrôleur de domaine est opérationnel, le service Microsoft AD géré rétrograde le contrôleur de domaine existant. Le nouveau contrôleur de domaine entre en service lorsque le service Microsoft AD géré est promu. L'ancien contrôleur de domaine cesse de traiter les requêtes après avoir rétrogradé le service Microsoft AD géré. Ce processus garantit qu'au moins deux contrôleurs de domaine sont exécutés dans chaque région à tout moment.
Pour garantir que vos applications peuvent atteindre le contrôleur de domaine actif, elles peuvent utiliser le service de localisation DC de Windows. Cela permet à vos applications de se reconnecter aux nouveaux contrôleurs de domaine pendant le processus automatisé d'application des correctifs.
Planification de l'application des correctifs
Nous avons pour objectif de tester et d'appliquer des correctifs sur tous les contrôleurs de domaine Microsoft AD gérés dans les 21 jours ouvrés suivant la publication par Microsoft d'un correctif mensuel pour Windows Server. Toutefois, nous hiérarchisons et appliquons les correctifs de failles de sécurité critiques publiés par Microsoft pour les contrôleurs de domaine dans un délai de 15 jours ouvrés.
Rotation et chiffrement des identifiants
Le service Microsoft AD géré utilise plusieurs méthodes pour protéger les identifiants. Régulièrement, le service Microsoft AD géré effectue également une rotation des identifiants et les chiffre à l'aide de techniques standards dans l'industrie. Les identifiants créés pour la gestion d'AD ne sont jamais partagés entre les instances. Seules une équipe d'assistance de taille réduite et des systèmes automatisés peuvent accéder à ces identifiants. Le service Microsoft AD géré détruit ces identifiants lorsqu'il supprime l'instance.
Accès restreint en production
Le service Microsoft AD géré emploie plusieurs systèmes et processus pour s'assurer que les ingénieurs Google Cloud disposent d'un accès minimal au domaine Microsoft AD géré. Seuls quelques ingénieurs d'astreinte ont accès aux données de production. Ils accèdent à l'environnement de production uniquement pour effectuer une récupération sur un domaine ou un dépannage avancé. Ces accès nécessitent une justification validée avant de pouvoir continuer. Le service Microsoft AD géré est ensuite consigné et audité en interne. Le service Microsoft AD géré automatise la plupart des accès de sorte qu'ils ne puissent pas accéder aux données AD. Dans de rares cas, il peut être nécessaire que les ingénieurs d'astreinte accèdent à distance aux contrôleurs de domaine. Dans ces cas, les accès à distance utilisent Identity-Aware Proxy (IAP), et non l'Internet public.