In diesem Artikel werden eine Infrastruktur und ein Workflow-Prozess beschrieben, mit denen Teams digitale Beweise bereitstellen können, die eine gültige Beweiskette (Chain of Custody, CoC) als Reaktion auf rechtliche Anfragen nachweisen. Diese Diskussion dient als Leitfaden für einen gültigen CoC während des gesamten Prozesses der Beschaffung, Aufbewahrung und des Zugangs zu Beweismitteln.
Hinweis
Dieser Artikel basiert auf dem theoretischen und praktischen Wissen der Autoren. Bevor Sie sie für rechtliche Zwecke verwenden, sollten Sie ihre Anwendbarkeit mit Ihrer Rechtsabteilung abklären.
Aufbau
Das Architekturdesign folgt den Prinzipien der Azure-Zielzone, die im Cloud Adoption Framework für Azurebeschrieben werden.
In diesem Szenario wird eine Hub-and-Spoke-Netzwerktopologie verwendet, wie im folgenden Diagramm dargestellt:
Laden Sie eine Visio-Datei dieser Architektur herunter.
Workflow
In der Architektur sind die virtuellen Produktionscomputer (VMs) Teil eines virtuellen Azure-Speichennetzwerks. Ihre Datenträger werden mit Azure Disk Encryption verschlüsselt. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger. Im Produktionsabonnement speichert Azure Key Vault die BitLocker-Verschlüsselungsschlüssel (VMs).
Hinweis
Das Szenario funktioniert auch für Produktions-VMs mit unverschlüsselten Datenträgern.
Das Security Operation Center (SOC)-Team verwendet ein diskretes Azure SOC--Abonnement. Das Team hat exklusiven Zugriff auf dieses Abonnement, das die Ressourcen enthält, die geschützt, unveränderlich und überwacht werden müssen. Unter dem Azure Storage-Konto des SOC-Abonnements werden Kopien von Datenträgermomentaufnahmen im unveränderlichen Blobspeicher gehostet und ein spezieller Key Vault bewahrt die Hash-Werte der Momentaufnahmen und Kopien der BEKs der VMs auf.
Als Reaktion auf eine Anforderung zum Erfassen des digitalen Nachweises eines virtuellen Computers meldet sich ein Mitglied des SOC-Teams beim Azure SOC-Abonnement an und verwendet einen Azure-Hybrid-Runbook-Worker VM von Automation, um das Copy-VmDigitalEvidence Runbook auszuführen. Der Hybrid Runbook Worker ermöglicht die Steuerung aller Mechanismen, die am Aufzeichnungsvorgang beteiligt sind.
Das Runbook „Copy-VmDigitalEvidence“ implementiert die folgenden Makroschritte:
- Verwenden Sie die vom System zugewiesene verwaltete Identität für ein Automatisierungskonto, um sich bei Azure anzumelden und auf die Ressourcen der Ziel-VM zuzugreifen, zusammen mit den anderen Azure-Diensten, die für die Lösung erforderlich sind.
- Generieren Sie Datenträgermomentaufnahmen des Betriebssystems (Betriebssystem) und der Datenträger des virtuellen Computers.
- Übertragen Sie die Momentaufnahmen in den unveränderlichen BLOB-Speicher des SOC-Abonnements und in einer temporären Dateifreigabe.
- Berechnen Sie die Hashwerte der Momentaufnahmen mithilfe der in der Dateifreigabe gespeicherten Kopie.
- Speichern Sie die abgerufenen Hashwerte und die BEK des virtuellen Computers im SOC-Schlüsseltresor.
- Entfernen Sie alle Kopien der Momentaufnahmen mit Ausnahme der Kopien im unveränderlichen BLOB-Speicher.
Hinweis
Die verschlüsselten Datenträger der Produktions-VMs können auch Schlüsselverschlüsselungsschlüssel Key Encryption Keys (KEKs) verwenden. Das Copy-VmDigitalEvidence Runbook, das im szenario bereitstellen bereitgestellt wird, deckt dieses Szenario nicht ab.
Komponenten
- Azure Automation automatisiert häufige, zeitaufwendige und fehleranfällige Cloudverwaltungsaufgaben. Es wird verwendet, um den Prozess der Erfassung und Übertragung von VM-Datenträgermomentaufnahmen zu automatisieren, um die Nachweisintegrität sicherzustellen.
- Azure Storage ist eine Cloudspeicherlösung, die Objekt-, Datei-, Datenträger-, Warteschlangen- und Tabellenspeicher bietet. Es hostet Momentaufnahmen von Datenträgern im unveränderlichen BLOB-Speicher, um Nachweise in einem nicht bearbeitbaren und nicht anpassbaren Zustand beizubehalten.
- Azure Blob Storage bietet einen optimierten Cloudobjektspeicher, der große Mengen nicht strukturierter Daten verwaltet. Es bietet einen optimierten Cloudobjektspeicher zum Speichern von Datenträgermomentaufnahmen als unveränderliche Blobs.
- Azure Files-Freigaben Sie können Freigaben gleichzeitig über Cloud- oder lokale Bereitstellungen von Windows, Linux und macOS bereitstellen. Darüber hinaus können Sie Azure Files-Freigaben auf Windows-Servern mithilfe von Azure File Sync zwischenspeichern, um schnell auf den Datenspeicherort zuzugreifen. Es wird als temporäres Repository verwendet, um die Hashwerte von Datenträgermomentaufnahmen zu berechnen.
- Key Vault hilft Ihnen, kryptografische Schlüssel und andere Geheimnisse zu schützen, die von Cloud-Anwendungen und -Diensten verwendet werden. Es wird verwendet, um die BitLocker-Verschlüsselungsschlüssel (BEKs) und Hashwerte von Datenträgermomentaufnahmen zu speichern, um sicheren Zugriff und Integrität sicherzustellen.
- Microsoft Entra ID ist ein cloudbasierter Identitätsdienst, mit dem Sie den Zugriff auf Azure und andere Cloud-Apps kontrollieren können. Es wird verwendet, um den Zugriff auf Azure-Ressourcen zu steuern und die sichere Identitätsverwaltung sicherzustellen.
- Azure Monitor unterstützt Ihre Vorgänge im großen Maßstab, indem Sie die Leistung und Verfügbarkeit Ihrer Ressourcen maximieren und gleichzeitig potenzielle Probleme proaktiv identifizieren. Es archiviert Aktivitätsprotokolle, um alle relevanten Ereignisse für Compliance- und Überwachungszwecke zu überwachen.
Automation
Das SOC-Team nutzt ein Automation-Konto, um das Runbook „Copy-VmDigitalEvidence“ zu erstellen und zu pflegen. Das Team verwendet auch Automation, um die Hybrid-Runbook-Worker zu erstellen, die das Runbook ausführen.
Hybrid-Runbook-Worker
Der Hybrid-Runbook-Worker VM ist in das Automatisierungskonto integriert. Das SOC-Team verwendet diese VM ausschließlich, um das Copy-VmDigitalEvidence Runbook auszuführen.
Sie müssen den virtuellen Hybrid-Runbook-Arbeitscomputer in einem Subnetz platzieren, das auf das Speicherkonto zugreifen kann. Konfigurieren Sie den Zugriff auf das Speicherkonto, indem Sie das Teilnetz der Hybrid-Runbook-Worker-VM zu den Regeln der Firewall-Zulassungsliste des Speicherkontos hinzufügen.
Sie müssen nur den SOC-Teammitgliedern Zugriff auf diese VM für Wartungsaktivitäten gewähren.
Um das virtuelle Netzwerk zu isolieren, das vom virtuellen Computer verwendet wird, vermeiden Sie die Verbindung dieses virtuelle Netzwerk mit dem Hub.
Der Hybrid Runbook Worker verwendet die vom Automatisierungssystem zugewiesene verwaltete Identität, um auf die Ressourcen der Ziel-VM und die anderen Azure-Dienste zuzugreifen, die von der Lösung benötigt werden.
Die minimalen rollenbasierten Zugriffssteuerungsberechtigungen (RBAC), die der vom System zugewiesenen verwalteten Identität zugewiesen werden müssen, werden in zwei Kategorien klassifiziert:
- Zugriffsberechtigungen für die SOC Azure-Architektur, die die Kernkomponenten der Lösung enthält
- Zugriffsberechtigungen für die Zielarchitektur, welche die Ziel-VM-Ressourcen enthält
Der Zugriff auf die SOC Azure-Architektur umfasst die folgenden Rollen:
- Berechtigung Speicherkontomitwirkender für das unveränderliche SOC-Speicherkonto
- Key Vault Secrets Officer im SOC-Schlüsseltresor für die BEK-Verwaltung
Der Zugriff auf die Zielarchitektur umfasst die folgenden Rollen:
- Berechtigung Mitwirkender für die Ressourcengruppe der Ziel-VM, um Rechte für Momentaufnahmen auf VM-Datenträgern bereitzustellen
- Key Vault Secrets Officer im Schlüsseltresor der Ziel-VM, der zum Speichern des BEK verwendet wird, nur, wenn RBAC verwendet wird, um den Key Vault-Zugriff zu steuern
- Zugriffsrichtlinie zum Abrufen geheimer im Schlüsseltresor des virtuellen Zielcomputers, der zum Speichern des BEK verwendet wird, nur, wenn die Zugriffsrichtlinie zum Steuern des Key Vault-Zugriffs verwendet wird
Hinweis
Zum Lesen des BEK muss der Schlüsseltresor der Ziel-VM über die Hybrid Runbook Worker VM zugänglich sein. Wenn die Firewall des Schlüsseltresors aktiviert ist, stellen Sie sicher, dass die öffentliche IP-Adresse der VM des hybriden Runbook-Workers über die Firewall zulässig ist.
Azure Storage-Konto
Das Azure Storage-Konto im SOC-Abonnement hostet die Festplatten-Snapshots in einem Container, der mit einer Legal Hold Policy als unveränderlicher Azure Blob-Speicher konfiguriert ist. Immutable Blob-Storage speichert geschäftskritische Datenobjekte in einem WORM-Status Write Once, Read Many, wodurch die Daten für ein vom Benutzer festgelegtes Intervall nicht löschbar und nicht editierbar sind.
Stellen Sie sicher, dass die Eigenschaften secure transfer und storage firewall aktiviert sind. Die Firewall gewährt nur Zugriff über das virtuelle SOC-Netzwerk.
Das Speicherkonto hostet auch eine Azure-Dateifreigabe als temporäres Repository, das zum Berechnen des Hashwerts der Momentaufnahme verwendet wird.
Azure Key Vault
Das SOC-Abonnement verfügt über eine eigene Instanz von Key Vault, die eine Kopie des BEK hosten, die Azure Disk Encryption zum Schutz der Ziel-VM verwendet. Die primäre Kopie wird im Schlüsseltresor gespeichert, der von der Ziel-VM verwendet wird, sodass die Ziel-VM normale Vorgänge fortsetzen kann.
Der SOC-Schlüsseltresor speichert auch die Hashwerte von Datenträgermomentaufnahmen, die vom Hybrid-Runbook-Worker während der Aufnahmevorgänge berechnet werden.
Stellen Sie sicher, dass die Firewall im Schlüsseltresor aktiviert ist. Der Zugriff muss ausschließlich über das virtuelle SOC-Netzwerk gewährt werden.
Log Analytics
Ein Log Analytics-Arbeitsbereich speichert Aktivitätsprotokolle, die zum Überwachen aller relevanten Ereignisse im SOC-Abonnement verwendet werden. Log Analytics ist eine Funktion von Monitor.
Szenariodetails
Die digitale Forensik ist eine Wissenschaft, bei der es um die Wiederherstellung und Untersuchung von digitalen Daten zur Unterstützung von kriminologischen Ermittlungen oder zivilrechtlichen Maßnahmen geht. Die Computerforensik ist ein Zweig der digitalen Forensik, der Daten von Computern, VMs und digitalen Speichermedien erfasst und analysiert.
Unternehmen müssen sicherstellen, dass die digitalen Beweise, die sie als Antwort auf rechtliche Anfragen zur Verfügung stellen, während des gesamten Prozesses der Beschaffung, Aufbewahrung und des Zugriffs auf die Beweise einen gültigen CoC nachweisen.
Mögliche Anwendungsfälle
- Das SOC-Team eines Unternehmens kann diese technische Lösung implementieren, um einen gültigen CoC für digitale Nachweise zu unterstützen.
- Ermittler können Datenträgerkopien anfügen, die mit dieser Technik auf einem Computer abgerufen werden, der für die forensische Analyse vorgesehen ist. Sie können die Datenträgerkopien anfügen, ohne die ursprüngliche Quell-VM zu aktivieren oder darauf zuzugreifen.
CoC-Einhaltung gesetzlicher Vorschriften
Wenn es notwendig ist, die vorgeschlagene Lösung einem Prozess zur Validierung der Einhaltung gesetzlicher Vorschriften zu unterziehen, sollten Sie die Materialien im Abschnitt Erwägungen während des Prozesses zur Validierung der VHC-Lösung berücksichtigen.
Hinweis
Sie sollten Ihre Rechtsabteilung in den Prozess der Validierung einbeziehen.
Überlegungen
Die Grundsätze, die diese Lösung als CoC validieren, werden in diesem Abschnitt vorgestellt.
Damit die Gültigkeit der Rückverfolgbarkeit gegeben ist, muss in Bezug auf die Speicherung von digitalem Beweismaterial in angemessener Weise für Zugriffssteuerung, Schutz und Integrität von Daten, Überwachung und Benachrichtigung sowie Protokollierung und Überprüfung gesorgt sein.
Einhaltung von Sicherheitsstandards und -vorschriften
Wenn Sie eine CoC-Lösung überprüfen, ist eine der zu bewertenden Anforderungen die Einhaltung von Sicherheitsstandards und -vorschriften.
Bei allen Komponenten, die in der obigen Architektur enthalten sind, handelt es sich um Azure-Standarddienste, die auf Vertrauenswürdigkeit, Sicherheit und Compliance basieren.
Azure verfügt über eine breite Palette von Compliance-Zertifizierungen, einschließlich länder- oder regionenspezifischer Zertifizierungen und für die wichtigsten Branchen wie Gesundheitswesen, Behörden, Finanzen und Bildung.
Aktualisierte Überwachungsberichte mit Informationen zur Standardskonformität für die Dienste, die in dieser Lösung übernommen werden, finden Sie unter Service Trust Portal.
Cohassets Azure Storage: SEC 17a-4(f) und CFTC 1.31(c)-(d) Compliance Assessment enthält Details zu den folgenden Anforderungen:
- Securities and Exchange Commission (SEC) in 17 CFR § 240.17a-4(f) mit den Bestimmungen zur Regulierung von Mitgliedern, Brokern oder Händlern an der Börse.
- FINRA-Regel 4511(c) (Financial Industry Regulatory Authority) zu den Format- und Medienanforderungen von SEC-Regel 17a-4(f).
- Commodity Futures Trading Commission (CFTC) in Bestimmung 17 CFR § 1.31(c)-(d) zur Regulierung des Warenterminhandels.
Cohasset ist der Meinung, dass die Speicherung mit der unveränderlichen Speicherfunktion des Blob-Speichers und der Policy-Lock-Option zeitbasierte Blobs (Datensätze) in einem nicht löschbaren und nicht überschreibbaren Format aufbewahrt und die relevanten Speicheranforderungen von SEC Rule 17a-4(f), FINRA Rule 4511(c) und die prinzipienbasierten Anforderungen von CFTC Rule 1.31(c)-(d) erfüllt.
Regel der geringsten Rechte
Wenn die Rollen des SOC-Teams zugewiesen werden, sollten nur zwei Personen innerhalb des Teams, die als SOC-Teamverwalter bezeichnet werden, berechtigt sein, die RBAC-Konfiguration des Abonnements und deren Daten zu ändern. Gewähren Sie anderen Personen nur ein Minimum an Zugriffsrechten auf Datenuntergruppen, die sie für ihre Arbeit benötigen. Konfigurieren und Erzwingen des Zugriffs über Azure RBAC.
Geringster Zugriff
Nur das virtuelle Netzwerk im SOC-Abonnement hat Zugriff auf das SOC-Speicherkonto und den Key Vault, in dem die Beweise archiviert werden.
Temporärer Zugriff auf den SOC-Speicher wird Ermittlern zur Verfügung gestellt, die Zugriff auf Nachweise benötigen. Autorisierte SOC-Teammitglieder können diesen Zugriff gewähren.
Beschaffung von Beweismaterial
Azure-Überwachungsprotokolle können den Nachweiserwerb dokumentieren, indem die Aktion zum Erstellen einer Momentaufnahme eines virtuellen Computers aufgezeichnet wird, einschließlich Details, z. B. wer die Momentaufnahmen aufgenommen hat und wann.
Integrität des Beweismaterials
Die Verwendung von Automation, um Nachweise ohne menschliche Intervention an ihr endgültiges Archivziel zu verschieben, garantiert, dass Beweisartefakte nicht verändert wurden.
Wenn Sie eine gesetzliche Aufbewahrungsrichtlinie auf den Zielspeicher anwenden, wird der Nachweis sofort eingefroren, sobald er geschrieben wird. Eine gesetzliche Aufbewahrungspflicht zeigt, dass der CoC in Azure vollständig verwaltet wurde. Es weist auch darauf hin, dass es keine Möglichkeit gab, die Nachweise von der Zeit zu manipulieren, in der die Datenträgerimages auf einer Live-VM gespeichert waren, bis sie als Nachweis im Speicherkonto gespeichert wurden.
Schließlich können Sie die bereitgestellte Lösung als Integritätsmechanismus verwenden, um die Hashwerte der Datenträgerimages zu berechnen. Die unterstützten Hashalgorithmen sind: MD5, SHA256, SKEIN, KECCAK (oder SHA3).
Erzeugung von Beweismaterial
Die Ermittler müssen Zugang zu den Beweismitteln haben, um Analysen durchführen zu können, und dieser Zugang muss nachverfolgt und ausdrücklich genehmigt werden.
Stellen Sie den Ermittlern einen shared access signatures (SAS) URI Speicherschlüssel für den Zugriff auf Beweismittel zur Verfügung. Ein SAS-URI kann relevante Protokollinformationen generieren, wenn er erstellt wird, und Sie können bei jeder Verwendung der SAS eine Kopie der Nachweise abrufen.
Wenn beispielsweise ein Rechtsteam eine beibehaltene virtuelle Festplatte (VHD) übertragen muss, generiert eins der beiden SOC-Teamverwalter einen schreibgeschützten SAS-URI-Schlüssel, der nach acht Stunden abläuft. Die SAS schränkt den Zugriff auf die Ermittler innerhalb eines bestimmten Zeitraums ein.
Darüber hinaus muss das SOC-Team explizit die IP-Adressen von Ermittlern platzieren, die Zugriff auf eine Zulassungsliste in der Speicherfirewall erfordern.
Schließlich benötigen Ermittler die IM SOC-Schlüsseltresor archivierten BEKs, um auf die verschlüsselten Datenträgerkopien zuzugreifen. Ein SOC-Teammitglied muss die BEKs extrahieren und über sichere Kanäle für die Ermittler bereitstellen.
Regionale Speicherung
Für die Einhaltung einiger Standards oder Vorschriften müssen Nachweise und die unterstützende Infrastruktur in derselben Azure-Region verwaltet werden.
Alle Lösungskomponenten, einschließlich des Speicherkontos, das Beweise archiviert, werden in derselben Azure-Region gehostet wie die untersuchten Systeme.
Optimaler Betrieb
Operative Exzellenz umfasst die Prozesse, die eine Anwendung bereitstellen und ihren kontinuierlichen Betrieb in der Produktion gewährleisten. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.
Überwachung und Benachrichtigung
Azure bietet allen Kunden Dienste zur Überwachung und Warnung von Anomalien im Zusammenhang mit ihren Abonnements und Ressourcen an. Zu diesen Diensten gehören:
Hinweis
Die Konfiguration dieser Dienste wird in diesem Artikel nicht beschrieben.
Bereitstellen dieses Szenarios
Befolgen Sie die Anweisungen unter CoC Lab Deployment, um dieses Szenario in einer Laborumgebung zu erstellen und einzusetzen.
Die Laborumgebung stellt eine vereinfachte Version der in diesem Artikel beschriebenen Architektur dar. Sie stellen zwei Ressourcengruppen innerhalb desselben Abonnements bereit. Die erste Ressourcengruppe simuliert die Produktionsumgebung, wobei digitale Nachweise vorhanden sind, während die zweite Ressourcengruppe die SOC-Umgebung enthält.
Verwenden Sie die folgende Schaltfläche, um nur die SOC-Ressourcengruppe in einer Produktionsumgebung bereitzustellen.
Hinweis
Wenn Sie die Lösung in einer Produktionsumgebung bereitstellen, stellen Sie sicher, dass die vom System zugewiesene verwaltete Identität des Automatisierungskontos über die folgenden Berechtigungen verfügt:
- Ein Contributor in der Produktionsressourcengruppe der zu bearbeitenden VM. Diese Rolle erstellt die Snapshots.
- Ein Key Vault Secrets-Benutzer im Produktionsschlüsseltresor, der die BEKs enthält. Diese Rolle liest die BEKs.
Wenn der Key Vault über eine aktivierte Firewall verfügt, stellen Sie außerdem sicher, dass die öffentliche IP-Adresse der Hybrid-Runbook-Worker-VM durch die Firewall zugelassen ist.
Erweiterte Konfiguration
Sie können einen hybriden Runbook Worker lokal oder in verschiedenen Cloudumgebungen bereitstellen.
In diesem Szenario müssen Sie das Copy‑VmDigitalEvidence Runbook anpassen, um die Erfassung von Nachweisen in verschiedenen Zielumgebungen zu ermöglichen und sie im Speicher zu archivieren.
Hinweis
Das im Abschnitt Bereitstellen dieses Szenarios bereitgestellte Copy-VmDigitalEvidence Runbook wurde nur in Azure entwickelt und getestet. Um die Lösung auf andere Plattformen zu erweitern, müssen Sie das Runbook so anpassen, dass es mit diesen Plattformen funktioniert.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautoren:
- Fabio Masciotra | Hauptberater
- Simone Savi | Senior Consultant
Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.
Nächste Schritte
Weitere Informationen zu den Azure-Features für den Schutz von Daten finden Sie unter:
- Azure Storage encryption for data at rest (Azure Storage-Verschlüsselung für ruhende Daten)
- Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger
- Speichern unternehmenskritischer Blobdaten mit unveränderlichem Speicher
Weitere Informationen zu den Azure-Features für die Protokollierung und Überwachung finden Sie unter:
- Azure-Sicherheitsprotokollierung und -Überwachung
- Azure Storage Analytics-Protokollierung
- Azure-Ressourcenprotokolle
Weitere Informationen zur Microsoft Azure-Konformität finden Sie unter: