このトピックでは、Microsoft Active Directory のマネージド サービスを強化し、セキュリティの脆弱性を最小限に抑えるために取る、さまざまな対策について説明します。
公共のインターネットへのアクセス不可
セキュリティ強化のため、マネージド Microsoft AD は公共のインターネットに公開されません。マネージド Microsoft AD は、承認済みネットワークからプライベート IP 経由ですべての接続を行います。
ホスティング: マネージド Microsoft AD は、Active Directory を実行するすべての VM を独自の VPC でホストします。これにより、ユーザーが相互に分離されます。
接続: 承認済みネットワークを使用して、プライベート IP 経由でマネージド Microsoft AD に接続できます。マネージド Microsoft AD は、これらの接続の VPC ピアリングを処理します。
パッチ適用: マネージド Microsoft AD は、公共のインターネット アクセスを使用せずに、マネージド Microsoft AD VM に Windows パッチを適用します。マネージド Microsoft AD がパッチ適用を処理する方法について詳しくは、パッチ適用をご覧ください。
Shielded VM
Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御により強化された仮想マシン(VM)です。Shielded VM の機能は、すべてのマネージド Microsoft AD VM を追加料金なしで保護します。
OS イメージ
マネージド Microsoft AD VM は、公開 Compute Engine Windows Server 2019 イメージからシードされています。これらのイメージでは Shielded VM 機能が有効になっており、Compute Engine インフラストラクチャでの実行用に最適化されています。
Microsoft セキュリティ ベースライン
Managed Microsoft AD で提供されるセキュリティ対策に加えて、Managed Microsoft AD VM に Microsoft セキュリティ ベースラインを適用することもできます。これらのベースラインは、マネージド Microsoft AD がマネージド Microsoft AD インスタンスとドメイン コントローラに適用できる、業界標準のセキュリティ構成設定です。
これらのベースラインを確認し、本番環境インスタンスに適用する前に、開発またはステージングされたマネージド Microsoft AD インスタンスでそれらのベースラインをテストすることをおすすめします。ベースラインの詳細については、サポートにお問い合わせいただくか、設定の適用にオプトインしてください。
セキュリティのモニタリングと保護
オペレーティング システムの組み込みのウイルス対策を使用して、マネージド Microsoft AD インスタンスをウイルスやマルウェアから保護します。 このウイルス対策ソフトウェアは、マネージド Microsoft AD VM をスキャンし、ウイルス、マルウェア、スパイウェアなどのセキュリティの脅威を検出します。 その後、ウイルス対策によってこれらのセキュリティ イベントがログに記録され、必要に応じて分析および修正されます。
パッチ適用
Microsoft は、バグ修正、セキュリティ更新、機能の改善を定期的にリリースしています。これらのパッチは、ドメイン コントローラを最新の状態に保ち、安全にするうえで非常に重要です。
Managed Microsoft AD は、ドメイン コントローラに適用する前に、これらのパッチをすべてテストします。マネージド Microsoft AD はテスト中に、お客様のユースケース、可用性、セキュリティ、信頼性を検証します。パッチがこれらのテストに合格すると、Managed Microsoft AD はそれをドメイン コントローラに適用します。
パッチ適用時の対応状況
パッチとアップデートの適用中、Active Directory ドメインは引き続き利用できます。ただし、スキーマの拡張、ドメインの更新、SQL Server または Cloud SQL への接続など、これらのドメインでは変更操作を実行できません。また、マネージド Microsoft AD は、オペレーションが完了するまで、すでに mutation オペレーションを開始しているドメインにパッチを適用しません。
Managed Microsoft AD により、異なるアベイラビリティ ゾーンのドメインのリージョンごとに、少なくとも 2 つのドメイン コントローラが実行されます。マネージド Microsoft AD は、一度に 1 つのドメイン コントローラを更新します。マネージド Microsoft AD は、ドメイン コントローラの更新ごとに、最新の検証済みパッチを使用して新しいドメイン コントローラを追加および昇格します。新しいドメイン コントローラが正常な状態になったら、マネージド Microsoft AD は既存のドメイン コントローラを降格します。 Managed Microsoft AD が新しいドメイン コントローラをプロモートすると、新しいドメイン コントローラが使用されます。古いドメイン コントローラは、マネージド Microsoft AD が降格した後に、リクエストの処理を停止します。このプロセスにより、各リージョンで常に少なくとも 2 つのドメイン コントローラが実行されるようになります。
アプリケーションがアクティブなドメイン コントローラに到達するように、Windows DC ロケーター サービスを使用できます。これにより、自動パッチ適用プロセス中にアプリケーションを新しいドメイン コントローラに再接続できます。
パッチ適用スケジュール
Google では、Microsoft が Windows Server の月次パッチをリリースしてから 21 営業日以内に、すべてのマネージド Microsoft AD のドメイン コントローラーにパッチをテストして適用することを目標としています。ただし、Microsoft がドメイン コントローラ用にリリースする重大なセキュリティ脆弱性パッチを優先して、15 営業日以内に適用します。
認証情報のローテーションと暗号化
マネージド Microsoft AD は、いくつかの方法で認証情報を保護します。マネージド Microsoft AD は認証情報を頻繁にローテーションし、業界標準の技術を使用して暗号化します。AD の管理のために作成された認証情報がインスタンス間で共有されることはありません。認証情報には、小規模のサポートチームと自動システムのみがアクセスできます。マネージド Microsoft AD は、インスタンスを削除すると、これらの認証情報を破棄します。
制限付きの本番環境へのアクセス
マネージド Microsoft AD は複数のシステムとプロセスを使用して、Google Cloud エンジニアがマネージド Microsoft AD ドメインに最小限のアクセスしかできないようにします。本番環境のデータにアクセスできるのは、少数のオンコール エンジニアのみです。オンコール エンジニアは、ドメインでのリカバリを実行する、または高度なトラブルシューティングを実行するためにのみ、本番環境にアクセスします。これらのアクセスでは、続行する前に、検証済みの正当な理由が必要です。その後、マネージド Microsoft AD が内部でこれらのアクセスのログを記録して監査します。マネージド Microsoft AD は、ほとんどのアクセスを自動化して、AD データにアクセスできないようにします。まれに、オンコール エンジニアがリモートでドメイン コントローラにアクセスする必要がある場合があります。そのような場合のリモート アクセスでは、公共のインターネットではなく Identity-Aware Proxy(IAP)が使用されます。