In dit artikel wordt een overzicht gegeven van een infrastructuur- en werkstroomproces dat is ontworpen om teams te helpen digitale bewijzen te leveren die een geldige bewakingsketen laten zien als reactie op juridische aanvragen. In dit artikel wordt beschreven hoe u een geldige bewakingsketen kunt onderhouden gedurende de fasen van het verkrijgen, behouden en openen van bewijs.
Notitie
Dit artikel is gebaseerd op de theoretische en praktische kennis van de auteurs. Voordat u deze voor juridische doeleinden gebruikt, valideert u de toepasbaarheid ervan met uw juridische afdeling.
Architectuur
Het architectuurontwerp volgt de azure-landingszoneprincipes in het Cloud Adoption Framework voor Azure.
In dit scenario wordt een hub-and-spoke-netwerktopologie gebruikt, die wordt weergegeven in het volgende diagram:
Een Visio-bestand van deze architectuur downloaden.
Workflow
In de architectuur maken de virtuele productiemachines (VM's) deel uit van een virtueel Spoke Azure-netwerk. De VM-schijven worden versleuteld met Azure Disk Encryption. Zie Overzicht van versleutelingsopties voor beheerde schijven voor meer informatie. In het productieabonnement slaat Azure Key Vault de BitLocker-versleutelingssleutels (BEK's) van de VM's op.
Notitie
Het scenario ondersteunt ook productie-VM's met niet-versleutelde schijven.
Het SOC-team (Security Operations Center) maakt gebruik van een discrete Azure SOC--abonnement. Het team heeft exclusieve toegang tot dat abonnement, dat de resources bevat die moeten worden beveiligd, onaantastbaar en bewaakt. Het Azure Storage--account in het SOC-abonnement host kopieën van schijfmomentopnamen in onveranderbare blobopslag. Een toegewezen sleutelkluis kopieën van de hash-waarden van de momentopnamen en de BEK's van de VM's opslaat.
Als reactie op een verzoek om het digitale bewijs van een VIRTUELE machine vast te leggen, meldt een lid van het SOC-team zich aan bij het Azure SOC-abonnement en gebruikt een Azure Hybrid Runbook Worker VM vanuit Azure Automation- om het Copy-VmDigitalEvidence runbook uit te voeren. De Automation Hybrid Runbook Worker biedt controle over alle mechanismen die zijn opgenomen in de opname.
Het Copy-VmDigitalEvidence runbook implementeert de volgende macrostappen:
Gebruik de door het systeem toegewezen beheerde identiteit voor een Automation-account om u aan te melden bij Azure. Deze identiteit verleent toegang tot de resources van de doel-VM en de andere Azure-services die nodig zijn voor de oplossing.
Genereer schijfmomentopnamen van het besturingssysteem van de VIRTUELE machine en gegevensschijven.
Breng de momentopnamen over naar zowel de onveranderbare blobopslag van het SOC-abonnement als een tijdelijke bestandsshare.
Bereken de hashwaarden van de momentopnamen met behulp van de kopie die is opgeslagen in de bestandsshare.
Sla de verkregen hashwaarden en de BEK van de VIRTUELE machine op in de SOC-sleutelkluis.
Verwijder alle kopieën van de momentopnamen, met uitzondering van de kopie in onveranderbare blobopslag.
Notitie
De versleutelde schijven van de productie-VM's kunnen ook sleutelversleutelingssleutels (KEK's) gebruiken. Het Copy-VmDigitalEvidence runbook dat is opgegeven in het -implementatiescenario dit scenario niet omvat.
Onderdelen
Azure Automation automatiseert frequente, tijdrovende en foutgevoelige cloudbeheertaken. Het wordt gebruikt om het proces van het vastleggen en overdragen van momentopnamen van VM-schijven te automatiseren om de integriteit van bewijs te waarborgen.
Opslag is een cloudopslagoplossing die object-, bestands-, schijf-, wachtrij- en tabelopslag omvat. Het host schijfmomentopnamen in onveranderbare blob-opslag om bewijs in een niet-rassbare en niet-bewerkbare status te behouden.
Azure Blob Storage biedt geoptimaliseerde opslag voor cloudobjecten waarmee enorme hoeveelheden ongestructureerde gegevens worden beheerd. Het biedt geoptimaliseerde cloudobjectopslag voor het opslaan van momentopnamen van schijven als onveranderbare blobs.
Azure Files biedt volledig beheerde bestandsshares in de cloud die toegankelijk zijn via het SMB-protocol (Server Message Block), het NFS-protocol (Network File System) en de REST API van Azure Files. U kunt shares gelijktijdig koppelen via cloud- of on-premises implementaties van Windows, Linux en macOS. U kunt ook bestandsshares in de cache opslaan op Windows Server met behulp van Azure File Sync voor snelle toegang in de buurt van de locatie van het gegevensgebruik. Azure Files wordt gebruikt als een tijdelijke opslagplaats om de hashwaarden van schijfmomentopnamen te berekenen.
Key Vault- helpt u bij het beveiligen van cryptografische sleutels en andere geheimen die cloud-apps en -services gebruiken. U kunt Key Vault gebruiken om de BEK's en hashwaarden van schijfmomentopnamen op te slaan om de toegang en gegevensintegriteit te beveiligen.
Microsoft Entra ID is een identiteitsservice in de cloud waarmee u de toegang tot Azure en andere cloud-apps kunt beheren. Het wordt gebruikt om de toegang tot Azure-resources te beheren, waardoor veilig identiteitsbeheer wordt gegarandeerd.
Azure Monitor uw bewerkingen op schaal ondersteunt door u te helpen de prestaties en beschikbaarheid van uw resources te maximaliseren, terwijl u proactief potentiële problemen identificeert. Activiteitenlogboeken worden gearchiveerd om alle relevante gebeurtenissen te controleren voor nalevings- en bewakingsdoeleinden.
Automation
Het SOC-team gebruikt een Automation--account om het Copy-VmDigitalEvidence runbook te maken en te onderhouden. Het team maakt ook gebruik van Automation om de hybrid runbook workers te maken die het runbook implementeren.
Hybrid runbook worker
De hybrid runbook worker VM is geïntegreerd in het Automation-account. Het SOC-team gebruikt deze VIRTUELE machine uitsluitend om het Copy-VmDigitalEvidence runbook uit te voeren.
U moet de hybrid runbook worker-VM in een subnet plaatsen dat toegang heeft tot het opslagaccount. Configureer de toegang tot het opslagaccount door het subnet van de hybrid runbook worker VM toe te voegen aan de firewallregels van het opslagaccount.
Verdeel alleen toegang tot deze VM aan de SOC-teamleden voor onderhoudsactiviteiten.
Als u het virtuele netwerk wilt isoleren dat door de virtuele machine wordt gebruikt, moet u het virtuele netwerk niet verbinden met de hub.
De hybrid runbook worker maakt gebruik van de door het Automation-systeem toegewezen beheerde identiteit om toegang te krijgen tot de resources van de doel-VM en de andere Azure-services die de oplossing nodig heeft.
De minimale RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) die zijn vereist voor een door het systeem toegewezen beheerde identiteit, zijn onderverdeeld in twee categorieën:
- Toegangsmachtigingen voor de SOC Azure-architectuur die de kernonderdelen van de oplossing bevat
- Toegangsmachtigingen voor de doelarchitectuur die de doel-VM-resources bevat
Toegang tot de SOC Azure-architectuur omvat de volgende rollen:
- Inzender voor opslagaccounts voor het onveranderbare Storage-account in SOC
- Key Vault Secrets Officer in de SOC-sleutelkluis voor BEK-beheer
Toegang tot de doelarchitectuur omvat de volgende rollen:
Inzender voor de resourcegroep van de doel-VM. Deze rol verleent rechten voor momentopname op VM-schijven
Key Vault Secrets Officer op de sleutelkluis van de doel-VM die wordt gebruikt om de BEK op te slaan, alleen als RBAC wordt gebruikt om de key vault-toegang te beheren
Toegangsbeleid voor Get Secret op de sleutelkluis van de doel-VM die wordt gebruikt om de BEK op te slaan, alleen als het toegangsbeleid wordt gebruikt om de key vault-toegang te beheren
Notitie
Als u de BEK wilt lezen, moet de sleutelkluis van de doel-VM toegankelijk zijn vanaf de hybrid runbook worker-VM. Als de firewall van de sleutelkluis is ingeschakeld, moet u ervoor zorgen dat het openbare IP-adres van de hybrid runbook worker-VM is toegestaan via de firewall.
Opslagaccount
Het Storage-account in het SOC-abonnement host de momentopnamen van de schijven in een container die is geconfigureerd met een juridische bewaring beleid als onveranderbare Azure-blobopslag. Onveranderbare blobopslag slaat bedrijfskritieke gegevensobjecten eenmaal op in een schrijfstatus, veel (WORM)-status lezen. De WORM-status maakt de gegevens niet-raseerbaar en kunnen niet worden bewerkt voor een door de gebruiker opgegeven interval.
Zorg ervoor dat u de beveiligde overdracht en opslagfirewall eigenschappen inschakelt. De firewall verleent alleen toegang vanuit het virtuele SOC-netwerk.
Het opslagaccount host ook een Azure-bestandsshare als een tijdelijke opslagplaats die wordt gebruikt om de hashwaarde van de momentopname te berekenen.
Sleutelkluis (Key Vault)
Het SOC-abonnement heeft een eigen exemplaar van Key Vault, dat als host fungeert voor een kopie van de BEK die door Azure Disk Encryption wordt gebruikt om de doel-VM te beveiligen. De primaire kopie wordt opgeslagen in de sleutelkluis die door de doel-VM wordt gebruikt. Met deze installatie kan de doel-VM zonder onderbreking normale bewerkingen voortzetten.
De SOC-sleutelkluis slaat ook de hash-waarden op van momentopnamen van schijven die door de hybrid runbook worker worden berekend tijdens de opnamebewerkingen.
Zorg ervoor dat de firewall is ingeschakeld in de sleutelkluis. Het moet uitsluitend toegang verlenen vanuit het virtuele SOC-netwerk.
Log Analytics
In een Log Analytics-werkruimte worden activiteitenlogboeken opgeslagen die worden gebruikt om alle relevante gebeurtenissen in het SOC-abonnement te controleren. Log Analytics is een functie van Monitor.
Scenariodetails
Digitaal forensisch onderzoek is een wetenschap die zich bezighoudt met het achterhalen en onderzoeken van digitale gegevens ter ondersteuning van strafrechtelijke onderzoeken of civielrechtelijke procedures. Forensische computer is een vertakking van digitale forensische gegevens die gegevens van computers, VM's en digitale opslagmedia vastleggen en analyseren.
Bedrijven moeten garanderen dat het digitale bewijs dat ze verstrekken in reactie op juridische verzoeken een geldige keten van bewaring toont gedurende de fasen van het verkrijgen, behouden en openen van bewijs.
Potentiële gebruikscases
Het SOC-team van een bedrijf kan deze technische oplossing implementeren ter ondersteuning van een geldige bewakingsketen voor digitaal bewijs.
Onderzoekers kunnen schijfkopieën koppelen die worden verkregen met behulp van deze techniek op een computer die is toegewezen aan forensische analyse. Ze kunnen de schijfkopieën koppelen zonder de oorspronkelijke bron-VM aan te schakelen of te openen.
Naleving van regelgevingsketen
Als het nodig is om de voorgestelde oplossing in te dienen bij een validatieproces voor naleving van regelgeving, moet u rekening houden met de materialen in de overwegingen sectie tijdens het validatieproces voor de bewakingsoplossing.
Notitie
U moet uw juridische afdeling opnemen in het validatieproces.
Overwegingen
Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Frameworkvoor meer informatie.
De principes die deze oplossing valideren als een bewakingsketen, worden in deze sectie beschreven. Om een geldige bewakingsketen te garanderen, moet de opslag van digitale gegevens voldoende toegangsbeheer, gegevensbescherming en integriteit, bewaking en waarschuwingen, en logboekregistratie en controle demonstreren.
Naleving van beveiligingsstandaarden en -voorschriften
Wanneer u een bewakingsketen valideert, is een van de vereisten die moeten worden geëvalueerd de naleving van beveiligingsstandaarden en -voorschriften.
Alle onderdelen die zijn opgenomen in de -architectuur zijn Standaardservices van Azure die zijn gebouwd op basis van een basis die ondersteuning biedt voor vertrouwen, beveiliging en naleving.
Azure heeft een breed scala aan nalevingscertificeringen, waaronder certificeringen die zijn afgestemd op landen of regio's, en voor belangrijke sectoren zoals gezondheidszorg, overheid, financiën en onderwijs.
Zie Service Trust Portalvoor meer informatie over bijgewerkte auditrapporten met gedetailleerde standaarden voor de services die in deze oplossing worden gebruikt.
Azure Storage-nalevingsevaluatie van Cohasset bevat meer informatie over de volgende vereisten:
Securities and Exchange Commission (SEC) in 17 CFR § 240.17a-4(f), die beursleden, brokers of dealers regelt.
Financial Industry Regulatory Authority (FINRA) Rule 4511(c), die wordt uitgesteld tot de notatie- en mediavereisten van SEC-regel 17a-4(f).
Commodity Futures Trading Commission (CFTC) in verordening 17 CFR § 1.31(c)-(d), die de handel in grondstoffen futures regelt.
Het is de mening van Cohasset dat Azure Storage, met de onveranderbare opslagfunctie van Blob Storage en beleidsvergrendelingsoptie, behoudt u op tijd gebaseerde blobs (of records) in een niet-zinnenbare en niet-herschrijfbare indeling en voldoet aan de relevante opslagvereisten van SEC Rule 17a-4(f), FINRA Rule 4511(c) en de op principes gebaseerde vereisten van CFTC-regel 1.31(c)-(d).
Minimale bevoegdheid
Wanneer de rollen van het SOC-team zijn toegewezen, moeten er slechts twee personen in het team, ook wel SOC-teambewaarders genoemd, rechten hebben om de RBAC- configuratie van het abonnement en de bijbehorende gegevens te wijzigen. Geef andere personen slechts minimale toegangsrechten voor gegevenssubsets die ze nodig hebben om hun werk uit te voeren.
Minimale toegang
Alleen het virtuele netwerk in het SOC-abonnement heeft toegang tot het SOC-opslagaccount en de sleutelkluis waarmee het bewijs wordt gearchiveerd. Geautoriseerde SOC-teamleden kunnen onderzoekers tijdelijk toegang verlenen tot bewijs in de SOC-opslag.
Verkrijgen van bewijs
Azure-auditlogboeken kunnen de bewijsverwerving documenteren door de actie van het maken van een momentopname van een VM-schijf vast te leggen. De logboeken bevatten details zoals wie de momentopnamen maakt en wanneer ze worden gemaakt.
Integriteit van bewijs
Gebruik Automation- om bewijs naar de uiteindelijke archiefbestemming te verplaatsen, zonder menselijke tussenkomst. Deze aanpak garandeert dat bewijsartefacten ongewijzigd blijven.
Wanneer u een beleid voor juridische bewaring toepast op de doelopslag, wordt het bewijs onmiddellijk geblokkeerd zodra deze is geschreven. Een juridische bewaring laat zien dat de bewakingsketen volledig wordt onderhouden binnen Azure. Het geeft ook aan dat er geen kans is om te knoeien met het bewijs vanaf het moment dat de schijfinstallatiekopieën zich op een live-VM bevinden tot wanneer ze worden opgeslagen als bewijs in het opslagaccount.
Ten slotte kunt u de geleverde oplossing als integriteitsmechanisme gebruiken om de hashwaarden van de schijfinstallatiekopieën te berekenen. De ondersteunde hash-algoritmen zijn MD5, SHA256, SKEIN en KECCAK (of SHA3).
Productie van bewijs
Onderzoekers hebben toegang tot bewijs nodig, zodat ze analyses kunnen uitvoeren. Deze toegang moet worden bijgehouden en expliciet geautoriseerd.
Geef onderzoekers een SAS(Sas) uniform resource identifier (URI) opslagsleutel voor toegang tot bewijs. Een SAS-URI kan relevante logboekinformatie genereren wanneer deze wordt gemaakt. U kunt een kopie van het bewijs verkrijgen telkens wanneer de SAS wordt gebruikt.
Als een juridisch team bijvoorbeeld een bewaarde virtuele harde schijf moet overdragen, genereert een van de twee SOC-teambeheerders een alleen-lezen SAS-URI-sleutel die na acht uur verloopt. De SAS beperkt de toegang tot de onderzoekers binnen een opgegeven tijdsbestek.
Het SOC-team moet expliciet de IP-adressen van onderzoekers plaatsen die toegang vereisen op een acceptatielijst in de Storage-firewall.
Ten slotte hebben onderzoekers de BEK's nodig die zijn gearchiveerd in de SOC-sleutelkluis om toegang te krijgen tot de versleutelde schijfkopieën. Een SOC-teamlid moet de BEK's extraheren en deze via beveiligde kanalen aan de onderzoekers verstrekken.
Regionale opslag
Voor naleving vereisen sommige standaarden of voorschriften bewijs en de ondersteunende infrastructuur die in dezelfde Azure-regio moet worden onderhouden.
Alle oplossingsonderdelen, waaronder het opslagaccount waarin bewijsmateriaal wordt gearchiveerd, worden gehost in dezelfde Azure-regio als de systemen die worden onderzocht.
Operationele uitmuntendheid
Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie de controlelijst ontwerpbeoordeling voor Operational Excellence voor meer informatie.
Bewaking en waarschuwingen
Azure biedt services aan alle klanten voor het bewaken en waarschuwen van afwijkingen met betrekking tot hun abonnementen en resources. Deze services zijn:
- Microsoft Sentinel.
- Microsoft Defender voor Cloud.
- Microsoft Defender for Storage-.
Notitie
De configuratie van deze services wordt niet beschreven in dit artikel.
Dit scenario implementeren
Volg de keten van bewakingslabimplementatie instructies voor het bouwen en implementeren van dit scenario in een laboratoriumomgeving.
De laboratoriumomgeving vertegenwoordigt een vereenvoudigde versie van de architectuur die in dit artikel wordt beschreven. U implementeert twee resourcegroepen binnen hetzelfde abonnement. De eerste resourcegroep simuleert de productieomgeving, met digitaal bewijsmateriaal, terwijl de tweede resourcegroep de SOC-omgeving bevat.
Selecteer Implementeren in Azure om alleen de SOC-resourcegroep in een productieomgeving te implementeren.
Notitie
Als u de oplossing in een productieomgeving implementeert, moet u ervoor zorgen dat de door het systeem toegewezen beheerde identiteit van het Automation-account de volgende machtigingen heeft:
- Een inzender in de productieresourcegroep van de VIRTUELE machine die moet worden verwerkt. Met deze rol worden de momentopnamen gemaakt.
- Een Key Vault-geheimengebruiker in de productiesleutelkluis met de BEK's. Met deze rol worden de BEK's gelezen.
Als voor de sleutelkluis de firewall is ingeschakeld, moet u ervoor zorgen dat het openbare IP-adres van de hybrid runbook worker-VM is toegestaan via de firewall.
Uitgebreide configuratie
U kunt een hybride runbook worker on-premises of in verschillende cloudomgevingen implementeren.
In dit scenario moet u het Copy‑VmDigitalEvidence runbook aanpassen om het vastleggen van bewijs in verschillende doelomgevingen in te schakelen en deze in de opslag te archiveren.
Notitie
Het Copy-VmDigitalEvidence runbook in de sectie Dit scenario implementeren is alleen in Azure ontwikkeld en getest. Als u de oplossing wilt uitbreiden naar andere platforms, moet u het runbook aanpassen om met deze platforms te werken.
Medewerkers
Microsoft onderhoudt dit artikel. De volgende inzenders hebben dit artikel geschreven.
Belangrijkste auteurs:
- Microsoft Masciotra | Hoofdadviseur
- Simone Savi | Senior Consultant
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.
Volgende stappen
Zie voor meer informatie over Azure-functies voor gegevensbescherming:
- Storage-versleuteling voor data-at-rest-
- Overzicht van versleutelingsopties voor beheerde schijven
- Bedrijfskritieke blobgegevens opslaan met onveranderbare opslag in een WORM-status
Zie voor meer informatie over functies voor Azure-logboekregistratie en -controle:
- Azure-logboekregistratie en -controle van beveiligingsgegevens
- logboekregistratie van opslaganalyses
- Azure-resourcelogboeken verzenden naar Log Analytics-werkruimten, Event Hubs of Storage
Zie voor meer informatie over Microsoft Azure-naleving: