Neste tópico, explicamos as várias medidas que tomamos para aumentar a proteção do serviço gerenciado no Microsoft Active Directory e minimizar as vulnerabilidades de segurança.
Sem acesso à Internet pública
Para melhorar a segurança, o Microsoft AD gerenciado não é exposto à Internet pública. O Microsoft AD gerenciado faz todas as conexões por meio de IP privado de redes autorizadas:
Hospedagem: o Microsoft AD gerenciado hospeda todas as VMs que executam o Active Directory na própria VPC, o que isola os usuários uns dos outros.
Conexão: é possível usar redes autorizadas para se conectar ao Microsoft AD gerenciado por IP particular. O Microsoft AD gerenciado lida com o peering de VPC para essas conexões.
Patching: o Microsoft AD gerenciado aplica patches do Windows às VMs do Microsoft AD gerenciado sem usar acesso à Internet pública. Para mais informações sobre como o Microsoft AD gerenciado processa patches, consulte Patching.
VM protegida
VMs protegidas são máquinas virtuais (VMs) protegidas por um conjunto de controles de segurança que ajudam a proteger contra rootkits e bootkits. Os recursos das VM protegida protegem todas as VMs do Microsoft AD gerenciadas sem custo extra.
Imagem do SO
As VMs do Microsoft AD gerenciado são provenientes da imagem pública do Windows Server 2019 do Compute Engine. Essas imagens têm recursos de VM protegida ativados e são otimizadas para execução na infraestrutura do Compute Engine.
Noções de referência de segurança da Microsoft
Além das medidas de segurança fornecidas pelo Microsoft AD gerenciado, também é possível aplicar valores de referência de segurança da Microsoft às VMs do Microsoft AD gerenciado. Esses valores de referência são definições de segurança padrão do setor que o Microsoft AD gerenciado pode aplicar às instâncias e controladores de domínio do Microsoft AD gerenciado.
Recomendamos que você revise esses valores de referência e os teste no desenvolvimento ou preparo das instâncias gerenciadas do Microsoft AD antes de aplicá-las às instâncias de produção. Entre em contato com o suporte para saber mais sobre esses valores de referência ou para ativar a aplicação dessas configurações.
Monitoramento e proteção de segurança
Usamos o antivírus integrado do sistema operacional para proteger as instâncias do Microsoft AD gerenciado contra vírus e malware. O antivírus verifica as VMs do Microsoft AD gerenciado e detecta ameaças de segurança, como vírus, malware e spyware. O antivírus então registra esses eventos de segurança, que analisamos e corrigimos se necessário.
Patch
A Microsoft lança regularmente correções de bugs, atualizações de segurança e melhorias de recursos. Esses patches são cruciais para manter os controladores do domínio atualizados e seguros.
O Microsoft AD gerenciado testa todos esses patches antes da aplicação nos controladores de domínio. Durante os testes, o Microsoft AD gerenciado valida casos de uso, disponibilidade, segurança e confiabilidade do cliente. Depois que um patch é aprovado nesses testes, o Microsoft AD gerenciado o aplica nos seus controladores de domínio.
Disponibilidade durante a aplicação de patches
Durante a aplicação dos patches e atualizações, o domínio do Active Directory continua disponível. No entanto, não é possível realizar operações de modificação nesses domínios, como estender o esquema, atualizar o domínio e se conectar ao SQL Server ou ao Cloud SQL. Além disso, o Microsoft AD gerenciado não aplica patches a domínios em que você já iniciou operações de mutação até que a operação seja concluída.
O Microsoft AD gerenciado garante que haja pelo menos dois controladores de domínio em execução por região para um domínio em diferentes zonas de disponibilidade. O Microsoft AD gerenciado atualiza um controlador de domínio por vez. A cada atualização do controlador de domínio, o Microsoft AD gerenciado adiciona e promove um novo controlador com o patch validado mais recente. Depois que o novo controlador de domínio atinge um estado íntegro, o Microsoft AD gerenciado rebaixa o controlador de domínio existente. O novo controlador de domínio entra em uso quando o Microsoft AD gerenciado o promove. O antigo controlador de domínio deixa de atender às solicitações depois que o Microsoft AD gerenciado o rebaixa. Esse processo garante que haja pelo menos dois controladores de domínio em execução em cada região a qualquer momento.
Para garantir que seus aplicativos possam alcançar o controlador de domínio ativo, eles podem usar o serviço de localização de DC do Windows. Isso permite que seus aplicativos se reconectem com os novos controladores de domínio durante o processo de aplicação automática de patches.
Programação de aplicação de patches
O objetivo é testar e aplicar patches em todos os controladores de domínio do Microsoft AD gerenciado em até 21 dias úteis após a Microsoft lançar um patch mensal para o Windows Server. No entanto, priorizamos e aplicamos patches de vulnerabilidades de segurança críticas que a Microsoft lança para controladores de domínio em até 15 dias úteis.
Rotação e criptografia de credenciais
O Microsoft AD gerenciado usa vários métodos para proteger as credenciais. O Microsoft AD gerenciado frequentemente faz a rotação das credenciais e as criptografa usando técnicas padrão do setor. As credenciais criadas para gerenciar o AD nunca são compartilhadas entre instâncias. Apenas uma equipe de suporte de pequeno porte e sistemas automatizados podem acessar essas credenciais. O Microsoft AD gerenciado destrói essas credenciais ao excluir a instância.
Acesso de produção restrito
O Microsoft AD gerenciado emprega vários sistemas e processos para garantir que os engenheiros do Google Cloud tenham acesso mínimo ao domínio do Microsoft AD gerenciado. Apenas um pequeno número de engenheiros de plantão tem acesso aos dados de produção. Eles acessam o ambiente de produção apenas para executar uma recuperação em um domínio ou solução de problemas avançada. Esses acessos exigem uma justificativa validada antes de prosseguir e, em seguida, o Microsoft AD gerenciado os registra e faz a auditoria interna. O Microsoft AD gerenciado automatiza a maioria dos acessos de modo que não é possível acessar os dados do AD. Em cenários raros, pode ser necessário que os engenheiros de plantão acessem remotamente os controladores de domínio. Nesses casos, os acessos remotos usam o Identity-Aware Proxy (IAP), não a Internet pública.