Questo argomento spiega le varie misure che adottiamo per rafforzare il servizio gestito per Microsoft Active Directory e ridurre al minimo le vulnerabilità di sicurezza.
Nessun accesso a Internet pubblico
Per migliorare la sicurezza, Microsoft Active Directory gestito non è esposto alla rete Internet pubblica. Microsoft AD gestito effettua tutte le connessioni tramite IP privato da reti autorizzate:
Hosting: Microsoft Active Directory gestito ospita tutte le VM che eseguono Active Directory in una propria VPC, che isola gli utenti tra loro.
Connessione: puoi utilizzare le reti autorizzate per connetterti a Microsoft Active Directory gestito tramite IP privato. Microsoft AD gestito gestisce il peering VPC per queste connessioni.
Applicazione di patch: Microsoft Active Directory gestita applica patch di Windows alle VM Microsoft AD gestite senza utilizzare l'accesso pubblico a Internet. Per ulteriori informazioni su come Microsoft Active Directory gestito gestisce le patch, consulta Paching.
Shielded VM
Le VM schermate sono macchine virtuali (VM) protette da un set di controlli di sicurezza che contribuiscono alla difesa da rootkit e bootkit. Le funzionalità Shielded VM proteggono tutte le VM Microsoft AD gestite senza costi aggiuntivi.
Immagine sistema operativo
Le VM Microsoft AD gestite vengono trasferite dall'immagine pubblica di Windows Server 2019. Queste immagini hanno le funzionalità VM schermate abilitate e sono ottimizzate per l'esecuzione sull'infrastruttura Compute Engine.
Basi di sicurezza di Microsoft
Oltre alle misure di sicurezza fornite da Microsoft Active Directory gestito, puoi anche attivare l'applicazione di basi di sicurezza Microsoft sulle tue VM Microsoft AD gestite. Queste basi di riferimento sono impostazioni di configurazione di sicurezza standard di settore che Microsoft Active Directory gestito può applicare alle istanze Microsoft AD gestite e ai controller di dominio.
Ti consigliamo di esaminare questi valori di riferimento e di testarli sullo sviluppo o sulla gestione temporanea delle istanze Microsoft AD gestite prima di scegliere di applicarle alle istanze di produzione. Puoi contattare l'assistenza per ulteriori informazioni su queste basi di riferimento o per attivare l'applicazione di queste impostazioni.
Monitoraggio e protezione della sicurezza
Utilizziamo l'antivirus integrato nel sistema operativo per proteggere le istanze Microsoft Active Directory gestite da virus e malware. L'antivirus esegue la scansione delle VM Microsoft Active Directory gestite e rileva minacce di sicurezza, come virus, malware e spyware. L'antivirus quindi registra questi eventi di sicurezza che analizziamo e risolviamo se necessario.
Applicazione patch
Microsoft rilascia regolarmente correzioni di bug, aggiornamenti della sicurezza e miglioramenti delle funzionalità. Queste patch sono fondamentali per mantenere i controller di dominio aggiornati e al sicuro.
Microsoft AD gestito prova tutte queste patch prima di applicarle ai controller di dominio. Durante i test, Managed Microsoft AD convalida i casi d'uso, la disponibilità, la sicurezza e l'affidabilità dei clienti. Dopo che una patch ha superato questi test, Microsoft Active Directory gestito lo applica ai controller di dominio.
Disponibilità durante l'applicazione delle patch
Durante l'applicazione di patch e aggiornamenti, il dominio Active Directory rimane disponibile. Tuttavia, non puoi eseguire alcuna modifica su questi domini, ad esempio estendere lo schema, aggiornare il dominio e connetterti a SQL Server o Cloud SQL. Inoltre, Microsoft Active Directory gestito non applica patch ai domini per i quali hai già avviato una modifica delle operazioni fino al completamento dell'operazione.
Microsoft Active Directory gestito assicura che ci siano almeno due controller di dominio in esecuzione per regione per un dominio in diverse zone di disponibilità. Microsoft Active Directory gestito aggiorna un controller di dominio alla volta. Per ogni aggiornamento del controller di dominio, Managed Microsoft AD aggiunge e promuove un nuovo controller di dominio, con l'ultima patch convalidata. Quando il nuovo controller di dominio raggiunge uno stato di stato integro, Managed Microsoft AD retrocede il controller di dominio esistente. Il nuovo controller di dominio entra in vigore quando Microsoft Active Directory gestito lo promuove. Il controller del dominio precedente interrompe la pubblicazione delle richieste dopo che Microsoft AD gestito lo retrocede. Questo processo garantisce che in ogni area geografica siano presenti almeno due controller di dominio in qualsiasi momento.
Per garantire che le applicazioni possano raggiungere il controller di dominio attivo, possono utilizzare il servizio di localizzazione di Windows DC. Questo consente alle tue applicazioni di riconnettersi con i nuovi controller di dominio durante il processo di applicazione automatica delle patch.
Pianificazione patch
L'obiettivo è testare e applicare patch a tutti i controller di dominio Microsoft Active Directory gestiti entro tre settimane solari da quando Microsoft rilascia una patch mensile per Windows Server. Tuttavia, diamo la priorità e applichiamo patch di sicurezza critiche che Microsoft rilascia per i controller di dominio entro quindici giorni lavorativi. Microsoft Active Directory gestito aggiorna i controller di dominio uno dopo l'altro, con l'obiettivo di completare l'implementazione completa della patch entro tre settimane di calendario.
Rotazione e crittografia delle credenziali
Microsoft Active Directory gestito utilizza diversi metodi per proteggere le credenziali. Microsoft Active Directory ruota frequentemente le credenziali e le cripta utilizzando tecniche standard del settore. Le credenziali create per la gestione di AD non vengono mai condivise tra istanze. Solo un team di assistenza di dimensioni più piccole e sistemi automatici possono accedere a queste credenziali. Microsoft Active Directory gestito elimina queste credenziali quando elimina l'istanza.
Accesso alla produzione limitato
Microsoft Active Directory gestito utilizza più sistemi e processi per garantire che i tecnici di Google Cloud abbiano accesso minimo al dominio Microsoft AD gestito. Solo un numero limitato di ingegneri disponibili ha accesso ai dati di produzione. Accedino all'ambiente di produzione solo per eseguire un ripristino su un dominio o per una risoluzione avanzata dei problemi. Questi accessi richiedono una giustificazione convalidata prima che possano procedere, quindi i log di Microsoft AD gestiti e li controllano internamente. Microsoft Active Directory gestito automatizza la maggior parte degli accessi in modo da non poter accedere ai dati di AD. In rari casi, potrebbe essere necessario che i tecnici di chiamata accedano ai controller di dominio da remoto. In questi casi, gli accessi remoti utilizzano Identity-Aware Proxy (IAP), non la rete Internet pubblica.