Topik ini menjelaskan berbagai tindakan yang kami lakukan untuk memperkuat Layanan Terkelola untuk Microsoft Active Directory dan meminimalkan kerentanan keamanan.
Tidak ada akses internet publik
Untuk meningkatkan keamanan, Microsoft AD Terkelola tidak diekspos ke internet publik. Microsoft AD terkelola membuat semua koneksi melalui IP pribadi dari jaringan yang diberi otorisasi:
Hosting: Microsoft AD terkelola menghosting setiap VM yang menjalankan Active Directory di VPC-nya sendiri, yang mengisolasi pengguna satu sama lain.
Menghubungkan: Anda dapat menggunakan jaringan yang diizinkan untuk terhubung ke Microsoft AD Terkelola melalui IP pribadi. Microsoft AD terkelola menangani peering VPC untuk koneksi ini.
Patching: Microsoft AD Terkelola menerapkan patch Windows ke VM Microsoft AD Terkelola tanpa menggunakan akses internet publik. Untuk mengetahui informasi selengkapnya tentang cara Microsoft AD Terkelola menangani patching, lihat Patching.
Shielded VM
Shielded VM adalah mesin virtual (VM) yang di-hardening oleh serangkaian kontrol keamanan yang membantu melindungi dari rootkit dan bootkit. Fitur Shielded VM melindungi semua VM Microsoft AD Terkelola tanpa biaya tambahan.
OS image
VM Microsoft AD terkelola berasal dari image Compute Engine Windows Server 2019 publik. Image ini memiliki fitur Shielded VM yang diaktifkan dan dioptimalkan untuk dijalankan di infrastruktur Compute Engine.
Dasar pengukuran keamanan Microsoft
Selain langkah-langkah keamanan yang disediakan oleh Microsoft AD Terkelola, Anda juga dapat memilih untuk menerapkan dasar pengukuran keamanan Microsoft di VM Microsoft AD Terkelola Anda. Dasar pengukuran ini adalah setelan konfigurasi keamanan standar industri yang dapat diterapkan Microsoft AD Terkelola di pengontrol domain dan instance Microsoft AD Terkelola Anda.
Sebaiknya tinjau dasar pengukuran ini dan lakukan pengujian pada pengembangan atau staging instance Microsoft AD Terkelola sebelum memilih untuk diterapkan pada instance produksi. Anda dapat menghubungi dukungan untuk mempelajari dasar-dasar ini lebih lanjut atau memilih ikut serta dalam menerapkan setelan ini.
Pemantauan dan perlindungan keamanan
Kami menggunakan antivirus bawaan sistem operasi untuk melindungi instance Microsoft AD Terkelola dari virus dan malware. Antivirus memindai VM Microsoft AD Terkelola Anda dan mendeteksi ancaman keamanan, seperti virus, malware, dan spyware. Antivirus kemudian mencatat peristiwa keamanan ini ke dalam log, yang kami analisis dan atasi jika diperlukan.
Patching
Microsoft merilis perbaikan bug, update keamanan, dan peningkatan fitur secara rutin. Patch ini sangat penting untuk menjaga agar pengontrol domain Anda tetap terbaru dan aman.
Microsoft AD terkelola menguji semua patch ini sebelum menerapkannya di pengontrol domain Anda. Selama pengujian, Microsoft AD Terkelola memvalidasi kasus penggunaan, ketersediaan, keamanan, dan keandalan pelanggan. Setelah patch lulus pengujian ini, Microsoft AD Terkelola menerapkannya di pengontrol domain Anda.
Ketersediaan selama patching
Saat menerapkan patch dan update, domain Active Directory tetap tersedia. Namun, Anda tidak dapat melakukan operasi mutasi apa pun pada domain ini, seperti memperluas skema, memperbarui domain, dan menghubungkan dengan SQL Server atau Cloud SQL. Selain itu, Microsoft AD Terkelola tidak menerapkan patch ke domain yang operasi mutasinya telah Anda mulai hingga operasi selesai.
Microsoft AD terkelola memastikan bahwa setidaknya ada dua pengontrol domain yang berjalan per region untuk domain di zona ketersediaan yang berbeda. Microsoft AD terkelola memperbarui pengontrol domain satu per satu. Untuk setiap update pengontrol domain, Microsoft AD Terkelola menambahkan dan mempromosikan pengontrol domain baru, dengan patch terbaru yang divalidasi. Setelah pengontrol domain baru mencapai kondisi yang baik, Microsoft AD Terkelola akan mendemosikan pengontrol domain yang ada. Pengontrol domain baru mulai digunakan saat Microsoft AD Terkelola mempromosikannya. Pengontrol domain lama berhenti melayani permintaan setelah Microsoft AD Terkelola mendemosikan permintaannya. Proses ini memastikan bahwa setidaknya ada dua pengontrol domain yang berjalan di setiap region setiap saat.
Untuk memastikan aplikasi Anda dapat menjangkau pengontrol domain aktif, aplikasi dapat menggunakan layanan pencari lokasi Windows DC. Hal ini memungkinkan aplikasi Anda terhubung kembali dengan pengontrol domain baru selama proses patching otomatis.
Jadwal patch
Tujuan kami adalah menguji dan menerapkan patch pada semua pengontrol domain Microsoft AD Terkelola dalam waktu 21 hari kerja sejak Microsoft merilis patch bulanan untuk Windows Server. Namun, kami memprioritaskan dan menerapkan patch kerentanan keamanan kritis yang dirilis Microsoft untuk pengontrol domain dalam waktu 15 hari kerja.
Enkripsi dan rotasi kredensial
Microsoft AD terkelola menggunakan beberapa metode untuk melindungi kredensial. Microsoft AD terkelola sering merotasi kredensial dan mengenkripsinya menggunakan teknik standar industri. Kredensial yang dibuat untuk mengelola AD tidak pernah dibagikan antar-instance. Hanya tim dukungan yang berukuran lebih kecil dan sistem otomatis yang dapat mengakses kredensial ini. Microsoft AD terkelola akan menghapus kredensial ini saat menghapus instance.
Akses produksi dibatasi
Microsoft AD terkelola menggunakan beberapa sistem dan proses untuk memastikan bahwa engineer Google Cloud memiliki akses minimal ke domain Microsoft AD Terkelola. Hanya sejumlah kecil engineer siap telepon yang memiliki akses ke data produksi. Mereka mengakses lingkungan produksi hanya untuk melakukan pemulihan pada domain atau pemecahan masalah lanjutan. Akses ini memerlukan justifikasi tervalidasi sebelum dapat dilanjutkan, lalu Log Microsoft AD Terkelola dan mengauditnya secara internal. Microsoft AD terkelola mengotomatiskan sebagian besar akses sehingga tidak dapat mengakses data AD. Dalam skenario yang jarang terjadi, mungkin ada kebutuhan bagi engineer on-call untuk mengakses pengontrol domain dari jarak jauh. Dalam hal ini, akses jarak jauh menggunakan Identity-Aware Proxy (IAP), bukan internet publik.