Počítačový forenzní řetězec opatrovnictví v Azure

Tento článek popisuje proces infrastruktury a pracovního postupu, který pomáhá týmům poskytovat digitální důkazy, které demonstrují platný řetěz opatrovnictví (CoC) v reakci na právní žádosti. Tato diskuze vás provede platným coC v rámci procesů získávání, uchovávání důkazů a přístupu.

Architektura

Návrh architektury se řídí principy cílových zón Azure, které jsou popsané v architektuře přechodu na cloud pro Azure.

Tento scénář používá hvězdicovou síťovou topologii, jak je znázorněno v následujícím diagramu:

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

V architektuře jsou produkční virtuální počítače součástí paprskové virtuální sítě Azure. Jejich disky jsou šifrované pomocí služby Azure Disk Encryption. Další informace najdete v tématu Přehled možností šifrování spravovaných disků. Azure Key Vault ukládá v produkčním předplatném šifrovací klíče BitLockeru (BEK) virtuálních počítačů.

Tým soc (Security Operation Center) používá samostatné předplatné azure SOC. Tým má výhradní přístup k danému předplatnému, který obsahuje prostředky, které musí být chráněny, inviolovatelné a monitorované. Účet azure Storage v předplatném SOC hostuje kopie snímků disků v neměnném úložišti objektů blob a vyhrazený trezor klíčů uchovává hodnoty hash snímků a kopie sad BEK virtuálních počítačů.

V reakci na žádost o zachycení digitálních důkazů virtuálního počítače se člen týmu SOC přihlásí k předplatnému Azure SOC a použije hybrid Runbook Worker virtuálního počítače Automation ke spuštění runbooku Copy-VmDigitalEvidence. Funkce Hybrid Runbook Worker služby Automation poskytuje kontrolu nad všemi mechanismy, které jsou součástí zachycení.

Runbook Copy-VmDigitalEvidence implementuje tyto kroky makra:

1. Použijte spravovanou identitu přiřazenou systémem pro účet Automation pro přihlášení k Azure a přístup k prostředkům cílového virtuálního počítače spolu s dalšími službami Azure potřebnými pro řešení.
2. Vygenerujte snímky disků operačního systému virtuálního počítače a datových disků.
3. Přeneste snímky do neměnného úložiště objektů blob předplatného SOC a do dočasné sdílené složky.
4. Vypočítá hodnoty hash snímků pomocí kopie uložené ve sdílené složce.
5. Uložte získané hodnoty hash a bek virtuálního počítače do trezoru klíčů SOC.
6. Odeberte všechny kopie snímků s výjimkou kopie v neměnném úložišti objektů blob.

Komponenty

• Azure Automation automatizuje časté, časově náročné a náchylné úlohy správy cloudu k chybám. Slouží k automatizaci procesu zachytávání a přenosu snímků disků virtuálních počítačů, aby se zajistila integrita důkazů.
• Úložiště je řešení cloudového úložiště, které zahrnuje úložiště objektů, souborů, disků, front a tabulek. Hostuje snímky disků v neměnném úložišti objektů blob, aby zachoval důkazy ve stavu, který nelze použít a není možné.
• Azure Blob Storage poskytuje optimalizované cloudové úložiště objektů, které spravuje obrovské objemy nestrukturovaných dat. Nabízí optimalizované cloudové úložiště objektů pro ukládání snímků disků jako neměnných objektů blob.
• Sdílené složky Azure Files . Sdílené složky můžete souběžně připojit prostřednictvím cloudového nebo místního nasazení systémů Windows, Linux a macOS. Sdílené složky Azure Files navíc můžete ukládat do mezipaměti na Serverech s Windows pomocí Synchronizace souborů Azure pro rychlý přístup poblíž umístění využití dat. Slouží jako dočasné úložiště k výpočtu hodnot hash snímků disků.
• Key Vault pomáhá chránit kryptografické klíče a další tajné kódy používané cloudovými aplikacemi a službami. Slouží k ukládání šifrovacích klíčů BitLockeru (BEK) a hodnot hash snímků disků k zajištění zabezpečeného přístupu a integrity.
• Microsoft Entra ID je cloudová služba identit, která pomáhá řídit přístup k Azure a dalším cloudovým aplikacím. Slouží k řízení přístupu k prostředkům Azure a zajišťuje zabezpečenou správu identit.
• Azure Monitor podporuje vaše operace ve velkém měřítku tím, že vám pomůže maximalizovat výkon a dostupnost vašich prostředků a proaktivně identifikovat potenciální problémy. Archivuje protokoly aktivit pro audit všech relevantních událostí pro účely dodržování předpisů a monitorování.

Automation

Tým SOC používá účet Automation k vytvoření a údržbě runbooku Copy-VmDigitalEvidence. Tým také používá Automation k vytvoření hybridních pracovních procesů runbooků, které runbook spouští.

Hybrid Runbook Worker

Virtuální počítač Hybrid Runbook Worker je integrovaný do účtu Automation. Tým SOC používá tento virtuální počítač výhradně ke spuštění Copy-VmDigitalEvidence runbooku.

Virtuální počítač Hybrid Runbook Worker musíte umístit do podsítě, která má přístup k účtu úložiště. Nakonfigurujte přístup k účtu úložiště přidáním podsítě virtuálního počítače Hybrid Runbook Worker do pravidel povolených seznamů firewallů účtu úložiště.

Přístup k tomuto virtuálnímu počítači musíte udělit pouze členům týmu SOC pro aktivity údržby.

Pokud chcete izolovat virtuální síť používanou virtuálním počítačem, vyhněte se připojení této virtuální sítě k centru.

Hybrid Runbook Worker používá spravovanou identitu přiřazenou systémem automation pro přístup k prostředkům cílového virtuálního počítače a dalším službám Azure, které řešení vyžaduje.

Minimální oprávnění řízení přístupu na základě role (RBAC), která musí být přiřazena spravované identitě přiřazené systémem, jsou klasifikována ve dvou kategoriích:

• Přístupová oprávnění k architektuře Azure SOC obsahující základní komponenty řešení
• Přístupová oprávnění k cílové architektuře obsahující cílové prostředky virtuálního počítače

Přístup k architektuře Azure SOC zahrnuje následující role:

• Role Přispěvatel účtů úložiště v účtu neměnného úložiště SOC
• Key Vault Secrets Officer v trezoru klíčů SOC pro správu BEK

Přístup k cílové architektuře zahrnuje následující role:

• Role Přispěvatel ve skupině prostředků cílového virtuálního počítače, která poskytuje práva k snímkům na discích virtuálního počítače
• tajné kódy služby Key Vault v trezoru klíčů cílového virtuálního počítače použitém k uložení klíče BEK, pouze pokud se k řízení přístupu ke službě Key Vault používá RBAC.
• Zásady přístupu pro získání tajných kódů v trezoru klíčů cílového virtuálního počítače používaném k uložení klíče BEK, pouze pokud se zásady přístupu používají k řízení přístupu ke službě Key Vault.

Účet služby Azure Storage

Účet Azure Storage v předplatném SOC hostuje snímky disků v kontejneru nakonfigurovaném se zásadami blokování z právních důvodů jako neměnné úložiště objektů blob v Azure. Neměnné úložiště objektů blob ukládá objekty pro důležité obchodní informace do stavu zápisu , číst mnoho (WORM), což znepřístupňuje data pro uživatelem zadaný interval.

Nezapomeňte povolit vlastnosti zabezpečeného přenosu a brány firewall úložiště. Brána firewall uděluje přístup pouze z virtuální sítě SOC.

Účet úložiště také hostuje sdílenou složku Azure jako dočasné úložiště sloužící k výpočtu hodnoty hash snímku.

Azure Key Vault

Předplatné SOC má vlastní instanci služby Key Vault, která hostuje kopii klíče BEK, kterou Azure Disk Encryption používá k ochraně cílového virtuálního počítače. Primární kopie je uložená v trezoru klíčů využívaného cílovým virtuálním počítačem a umožňuje cílovému virtuálnímu počítači pokračovat v normálních operacích.

Trezor klíčů SOC také ukládá hodnoty hash snímků disků vypočítaných funkcí Hybrid Runbook Worker během operací zachytávání.

Ujistěte se, že je v trezoru klíčů povolená brána firewall . Musí udělit přístup výhradně z virtuální sítě SOC.

Log Analytics

Pracovní prostor služby Log Analytics ukládá protokoly aktivit používané k auditování všech relevantních událostí v předplatném SOC. Log Analytics je funkce monitorování.

Podrobnosti scénáře

Digitální forenzní věda se zabývá obnovováním a zkoumáním digitálních dat pro účely zajištění podpory vyšetřování trestné činnosti a občanskoprávních řízení. Počítačový forenzní obor je větev digitálních forenzních věd, která zachycuje a analyzuje data z počítačů, virtuálních počítačů a digitálních úložných médií.

Společnosti musí zaručit, že digitální důkazy, které poskytují v reakci na právní žádosti, ukazují platný koC v průběhu procesu získávání, uchovávání a přístupu k důkazům.

Potenciální případy použití

• Tým SOC společnosti může implementovat toto technické řešení pro podporu platného coC pro digitální důkazy.
• Vyšetřovatelé můžou připojit kopie disku získané touto technikou na počítači vyhrazeném pro forenzní analýzu. Můžou připojit kopie disku bez zapnutí nebo přístupu k původnímu zdrojovému virtuálnímu počítači.

Dodržování právních předpisů coC

Pokud je nutné předložit navrhované řešení procesu ověření dodržování právních předpisů, zvažte materiály v části Důležité informace během procesu ověření řešení CoC.

Důležité informace

Principy, které ověřují toto řešení jako coC, jsou uvedeny v této části.

Aby se zajistil silný řetězec dozoru, úložiště digitálních důkazů musí vykazovat odpovídající řízení přístupu, ochranu a integritu dat, monitorování a upozorňování a protokolování a auditování.

Dodržování bezpečnostních standardů a předpisů

Při ověřování řešení CoC je jedním z požadavků na vyhodnocení dodržování bezpečnostních standardů a předpisů.

Všechny komponenty zahrnuté v architektuře jsou standardní služby Azure založené na základech, které podporují důvěryhodnost, zabezpečení a dodržování předpisů.

Azure má širokou škálu certifikací dodržování předpisů, včetně certifikací specifických pro země nebo oblasti, a pro klíčová odvětví, jako je zdravotnictví, státní správa, finance a vzdělávání.

Aktualizované sestavy auditu s informacemi o dodržování standardů pro služby, které jsou v tomto řešení přijaty, najdete v tématu Service Trust Portal.

Služba Azure Storage společnosti Cohasset : SEC 17a-4(f) a CFTC 1.31(c)-(d) Hodnocení dodržování předpisů poskytuje podrobnosti o následujících požadavcích:

• Komise pro cenné papíry a výměnu (SEC) v 17 CFR § 240.17a-4(f), která reguluje členy výměn, makléře nebo obchodníky.
• Regulační orgán finančního odvětví (FINRA) Pravidlo 4511(c), které vzdoruje požadavkům na formát a média pravidla SEC 17a-4(f).
• Komoditní Futures Trading Komise (CFTC) v nařízení 17 CFR § 1.31(c)-(d), který reguluje obchodování s komoditami futures.

Cohasset se domnívá, že úložiště s neměnnou funkcí uzamčení služby Blob Storage a možností uzamčení zásad uchovává objekty blob založené na čase (záznamy) v nezařazené a nepřepisovatelném formátu a splňuje relevantní požadavky na úložiště pravidla SEC Rule 17a-4(f), pravidlo FINRA 4511(c) a požadavky cfTC založené na zásadách pravidla 1.31(c)-(d).

Nejnižší možné oprávnění

Pokud jsou přiřazeny role týmu SOC, měli by mít oprávnění ke změně konfigurace RBAC předplatného a jeho dat pouze dva jednotlivci v rámci týmu označované jako správci týmu SOC. Udělte ostatním jednotlivcům pouze minimální přístupová práva k podmnožinám dat, které potřebují ke své práci. Nakonfigurujte a vynucujte přístup prostřednictvím Azure RBAC.

Nejnižší přístup

K účtu úložiště SOC a trezoru klíčů, který archivuje důkazy, má přístup pouze virtuální síť v předplatném SOC.

Dočasný přístup k úložišti SOC je poskytován vyšetřovatelům, kteří vyžadují přístup k důkazům. Oprávnění členové týmu SOC můžou udělit tento přístup.

Získání důkazů

Protokoly auditu Azure můžou zdokumentovat pořízení důkazů zaznamenáváním akce pořízení snímku disku virtuálního počítače, včetně podrobností, jako je například pořízení snímků a kdy.

Integrita důkazů

Použití Automation k přesunu důkazů do konečného archivního cíle bez zásahu člověka zaručuje, že artefakty důkazů nebyly změněny.

Když použijete zásadu blokování z právních důvodů na cílové úložiště, důkazy se okamžitě zablokuje, jakmile se zapíšou. Právní blokování ukazuje, že coC bylo plně udržováno v Rámci Azure. Označuje také, že v době, kdy byly image disků na živém virtuálním počítači, do doby, kdy byly uloženy jako důkazy v účtu úložiště, nebylo možné manipulovat s důkazy.

Nakonec můžete poskytnuté řešení použít jako mechanismus integrity k výpočtu hodnot hash imagí disku. Podporované hashovací algoritmy jsou: MD5, SHA256, SKEIN, KECCAK (nebo SHA3).

Předložení důkazů

Vyšetřovatelé potřebují přístup k důkazům, aby mohli provádět analýzy, a tento přístup musí být sledován a explicitně autorizovaný.

Poskytněte vyšetřovatelům sdílený přístupový podpis (SAS) klíč úložiště pro přístup k důkazům. Identifikátor URI SAS může při vytváření vygenerovat relevantní informace protokolu a při každém použití sdíleného přístupového podpisu můžete získat kopii důkazů.

Pokud například právní tým potřebuje přenést zachovaný virtuální pevný disk (VHD), jeden ze dvou členů týmu SOC vygeneruje klíč identifikátoru URI SAS jen pro čtení, jehož platnost vyprší po osmi hodinách. Sas omezuje přístup k vyšetřovatelům v zadaném časovém rámci.

Navíc tým SOC musí explicitně umístit IP adresy vyšetřovatelů vyžadujících přístup na seznam povolených v bráně firewall úložiště.

Nakonec musí vyšetřovatelé archivovat klíče BEK v trezoru klíčů SOC pro přístup k šifrovaným kopiím disku. Člen týmu SOC musí extrahovat sady BEK a poskytnout je prostřednictvím zabezpečených kanálů pro vyšetřovatele.

Místní úložiště

V případě dodržování předpisů vyžadují některé standardy nebo předpisy důkaz a infrastrukturu podpory, které se mají udržovat ve stejné oblasti Azure.

Všechny komponenty řešení, včetně účtu úložiště, který archivuje důkazy, jsou hostované ve stejné oblasti Azure jako vyšetřované systémy.

Provozní dokonalost

Efektivita provozu zahrnuje procesy, které nasazují aplikaci, a zajišťují její nepřetržitý provoz v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Monitorování a upozorňování

Azure nabízí všem zákazníkům služby pro monitorování a upozorňování na anomálie související s jejich předplatnými a prostředky. Jsou to například tyto služby:

• Microsoft Sentinel.
• Microsoft Defender for Cloud.
• Microsoft Defenderu pro úložiště .

Nasazení tohoto scénáře

Postupujte podle pokynů k nasazení testovacího prostředí coC a sestavte a nasaďte tento scénář v laboratorním prostředí.

Laboratorní prostředí představuje zjednodušenou verzi architektury popsané v článku. Nasadíte dvě skupiny prostředků ve stejném předplatném. První skupina prostředků simuluje produkční prostředí, digitální důkazy o bydlení, zatímco druhá skupina prostředků obsahuje prostředí SOC.

Pomocí následujícího tlačítka nasaďte pouze skupinu prostředků SOC v produkčním prostředí.

Rozšířená konfigurace

Hybridní pracovní proces runbooku můžete nasadit místně nebo v různých cloudových prostředích.

V tomto scénáři je nutné přizpůsobit Copy‑VmDigitalEvidence runbook, abyste umožnili zachycení důkazů v různých cílových prostředích a archivovali je v úložišti.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autoři:

• Fabio Masciotra | Hlavní konzultant
• Simone Savi | Vedoucí konzultant

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Další informace o funkcích ochrany dat v Azure najdete tady:

• Šifrování služby Azure Storage pro neaktivní uložená data
• Přehled možností šifrování spravovaných disků
• Ukládání důležitých podnikových dat objektů blob s využitím neměnného úložiště

Další informace o funkcích protokolování a auditování v Azure najdete tady:

• Protokolování a auditování zabezpečení Azure
• Protokolování Analýzy úložiště Azure
• Protokoly prostředků Azure

Další informace o dodržování předpisů v Microsoft Azure najdete tady:

• Dodržování předpisů Azure
• nabídky microsoftu pro dodržování předpisů

Související prostředek

• Návrh architektury zabezpečení