In questo argomento vengono spiegate le varie misure che prendiamo per migliorare la protezione di Managed Service for Microsoft Active Directory e ridurre al minimo le vulnerabilità di sicurezza.
Nessun accesso a internet pubblico
Per migliorare la sicurezza, Microsoft Active Directory gestito non è esposto alla rete internet pubblica. Microsoft AD gestito effettua tutte le connessioni tramite IP privato dalle reti autorizzate:
Hosting: Microsoft AD gestito ospita tutte le VM che eseguono Active Directory nel proprio VPC, che isola gli utenti gli uni dagli altri.
Connessione: puoi utilizzare reti autorizzate per la connessione a Microsoft AD gestito tramite IP privato. Microsoft AD gestito gestisce il peering VPC per queste connessioni.
Patch: Microsoft AD gestito applica le patch di Windows alle VM Microsoft AD gestite senza utilizzare l'accesso a internet pubblico. Per ulteriori informazioni su come Managed Microsoft AD gestisce l'applicazione delle patch, consulta Patching.
Shielded VM
Le schermate VM sono macchine virtuali (VM) protette da un set di controlli di sicurezza che contribuiscono alla difesa da rootkit e bootkit. Le funzionalità delle Shielded VM proteggono tutte le VM Microsoft AD gestite senza costi aggiuntivi.
Immagine sistema operativo
Le VM Microsoft AD gestite vengono sottoposte a origine dall'immagine pubblica Windows Server 2019 di Compute Engine. In queste immagini sono abilitate funzionalità della VM schermata e sono ottimizzate per l'esecuzione sull'infrastruttura di Compute Engine.
Basi per la sicurezza di Microsoft
Oltre alle misure di sicurezza fornite da Microsoft Active Directory gestito, puoi anche attivare l'applicazione delle basi di sicurezza Microsoft alle VM Microsoft Active Directory gestite. Queste basi sono impostazioni di configurazione della sicurezza standard di settore che Managed Microsoft AD può applicare alle istanze Microsoft Active Directory gestite e ai controller di dominio.
Ti consigliamo di rivedere queste basi e di testarle sulle tue istanze Microsoft AD gestite di sviluppo o gestione temporanea prima di scegliere di applicarle alle istanze di produzione. Puoi contattare l'assistenza per saperne di più su questi valori di riferimento o per attivare l'applicazione di queste impostazioni.
Monitoraggio e protezione della sicurezza
Utilizziamo l'antivirus integrato nel sistema operativo per proteggere le istanze Microsoft Active Directory gestite da virus e malware. L'antivirus esegue la scansione delle VM Microsoft AD gestite e rileva le minacce alla sicurezza, come virus, malware e spyware. Quindi, l'antivirus registra questi eventi di sicurezza, che analizziamo e risolviamo se necessario.
Patch
Microsoft rilascia regolarmente correzioni di bug, aggiornamenti della sicurezza e miglioramenti delle funzionalità. Queste patch sono fondamentali per mantenere i controller di dominio aggiornati e sicuri.
Microsoft AD gestito testa tutte queste patch prima di applicarle ai controller di dominio. Durante i test, Microsoft Active Directory gestito convalida i casi d'uso dei clienti, la disponibilità, la sicurezza e l'affidabilità. Dopo che una patch ha superato questi test, Microsoft Active Directory gestito la applica ai controller di dominio.
Disponibilità durante l'applicazione di patch
Durante l'applicazione delle patch e degli aggiornamenti, il dominio Active Directory rimane disponibile. Tuttavia, non puoi eseguire operazioni di modifica su questi domini, ad esempio l'estensione dello schema, l'aggiornamento del dominio e la connessione a SQL Server o Cloud SQL. Inoltre, Microsoft Active Directory gestito non applica patch ai domini per i quali hai già avviato operazioni di modifica fino al completamento dell'operazione.
Microsoft Active Directory gestito garantisce che siano in esecuzione almeno due controller di dominio in ogni regione per un dominio in zone di disponibilità diverse. Microsoft Active Directory gestito aggiorna un controller di dominio alla volta. Per ogni aggiornamento del controller di dominio, Microsoft Active Directory gestito aggiunge e promuove un nuovo controller di dominio con l'ultima patch convalidata. Quando il nuovo controller di dominio raggiunge lo stato integro, Microsoft AD gestito fa retrocedere il controller di dominio esistente. Il nuovo controller di dominio entra in uso quando viene promosso Microsoft Active Directory gestito. Il controller di dominio precedente smette di gestire le richieste dopo che Managed Microsoft AD lo ha retrocesso. Questo processo garantisce che in ogni regione siano in esecuzione almeno due controller di dominio in qualsiasi momento.
Per garantire che le applicazioni possano raggiungere il controller di dominio attivo, è possibile utilizzare il servizio di localizzazione di Windows DC. In questo modo le tue applicazioni possono riconnettersi con i nuovi controller di dominio durante il processo di applicazione automatica delle patch.
Pianificazione delle patch
Il nostro obiettivo è testare e applicare patch su tutti i controller di dominio Microsoft AD gestiti entro 21 giorni lavorativi dal rilascio di una patch mensile per Windows Server da parte di Microsoft. Tuttavia, assegniamo priorità e applichiamo patch critiche di vulnerabilità di sicurezza che Microsoft rilascia per i controller di dominio entro 15 giorni lavorativi.
Rotazione e crittografia delle credenziali
Microsoft Active Directory gestito utilizza diversi metodi per proteggere le credenziali. Microsoft AD gestito ruota spesso le credenziali e le cripta utilizzando tecniche standard di settore. Le credenziali create per la gestione di AD non vengono mai condivise tra le istanze. Solo un team di assistenza di dimensioni ridotte e sistemi automatici possono accedere a queste credenziali. Microsoft AD gestito elimina queste credenziali quando elimina l'istanza.
Accesso in produzione limitato
Microsoft Active Directory gestito utilizza più sistemi e processi per garantire che gli ingegneri di Google Cloud abbiano un accesso minimo al dominio Microsoft Active Directory gestito. Solo un numero limitato di tecnici in chiamata ha accesso ai dati di produzione. Accedono all'ambiente di produzione solo per eseguire il ripristino su un dominio o per la risoluzione avanzata dei problemi. Questi accessi richiedono una giustificazione convalidata prima di poter procedere, dopodiché Microsoft Active Directory gestito registra e verifica internamente. Microsoft AD gestito automatizza la maggior parte degli accessi in modo da non poter accedere ai dati di AD. In rari casi, potrebbe essere necessaria la presenza di tecnici in chiamata per accedere da remoto ai controller di dominio. In questi casi, gli accessi remoti utilizzano Identity-Aware Proxy (IAP), non la rete internet pubblica.