W tym artykule opisano proces infrastruktury i przepływu pracy zaprojektowany w celu ułatwienia zespołom dostarczania dowodów cyfrowych, który demonstruje prawidłowy łańcuch nadzoru w odpowiedzi na żądania prawne. W tym artykule opisano sposób utrzymania prawidłowego łańcucha nadzoru na wszystkich etapach pozyskiwania, zachowywania i uzyskiwania dostępu do dowodów.
Uwaga
Ten artykuł opiera się na teoretycznej i praktycznej wiedzy autorów. Zanim użyjesz go do celów prawnych, zweryfikuj jego zastosowanie z działem prawnym.
Architektura
Projekt architektury jest zgodny z zasadami strefy docelowej platformy Azure w przewodniku Cloud Adoption Framework dla platformy Azure.
W tym scenariuszu jest używana topologia sieci piasty i szprych, która jest pokazana na poniższym diagramie:
Pobierz plik programu Visio z tą architekturą.
Przepływ pracy
W architekturze produkcyjne maszyny wirtualne są częścią sieci wirtualnej platformy Azure będącej szprychą. Dyski maszyn wirtualnych są szyfrowane za pomocą usługi Azure Disk Encryption. Aby uzyskać więcej informacji, zobacz Omówienie opcji szyfrowania dysków zarządzanych. W subskrypcji produkcyjnej usługa Azure Key Vault przechowuje klucze szyfrowania funkcji BitLocker (BEKs) maszyn wirtualnych.
Uwaga
Scenariusz obsługuje również produkcyjne maszyny wirtualne, które mają niezaszyfrowane dyski.
Zespół centrum operacji zabezpieczeń (SOC) korzysta z dyskretnej subskrypcji usługi Azure SOC. Zespół ma wyłączny dostęp do tej subskrypcji, która zawiera zasoby, które muszą być chronione, nieużywane i monitorowane. Konto usługi Azure Storage w subskrypcji SOC hostuje kopie migawek dysków w niezmiennym magazynie obiektów blob. Dedykowany magazyn kluczy przechowuje kopie wartości skrótów migawek i zestawów BEKs z maszyn wirtualnych.
W odpowiedzi na żądanie przechwycenia cyfrowych dowodów maszyny wirtualnej członek zespołu SOC loguje się do subskrypcji SOC platformy Azure i używa hybrydowe go procesu roboczego elementu runbook platformy Azure maszyny wirtualnej z Azure Automation do uruchomienia elementu Runbook Copy-VmDigitalEvidence. Hybrydowy proces roboczy elementu runbook usługi Automation zapewnia kontrolę nad wszystkimi mechanizmami zawartymi w przechwytywaniu.
Element runbook Copy-VmDigitalEvidence implementuje następujące kroki makra:
Użyj tożsamości zarządzanej przypisanej przez system dla konta usługi Automation, aby zalogować się na platformie Azure. Ta tożsamość udziela dostępu do zasobów docelowej maszyny wirtualnej i innych usług platformy Azure potrzebnych do rozwiązania.
Generowanie migawek dysków systemu operacyjnego i dysków danych maszyny wirtualnej.
Przenieś migawki zarówno do niezmiennego magazynu obiektów blob subskrypcji SOC, jak i tymczasowego udziału plików.
Oblicz wartości skrótu migawek przy użyciu kopii przechowywanej w udziale plików.
Zapisz uzyskane wartości skrótu i klucz szyfrowania szyfrowania maszyny wirtualnej w magazynie kluczy SOC.
Usuń wszystkie kopie migawek, z wyjątkiem kopii w niezmiennym magazynie obiektów blob.
Uwaga
Zaszyfrowane dyski produkcyjnych maszyn wirtualnych mogą również używać kluczy szyfrowania kluczy (KEKs). Element runbook Copy-VmDigitalEvidence podany w scenariuszu wdrażania nie obejmuje tego scenariusza.
Składniki
Usługa Azure Automation automatyzuje częste, czasochłonne i podatne na błędy zadania zarządzania chmurą. Służy do automatyzowania procesu przechwytywania i przesyłania migawek dysku maszyny wirtualnej w celu zapewnienia integralności dowodów.
Magazyn to rozwiązanie magazynu w chmurze, które obejmuje magazyn obiektów, plików, dysków, kolejek i tabel. Hostuje migawki dysków w niezmiennym magazynie obiektów blob, aby zachować dowody w stanie niezmienialnym i niezmienialnym.
Usługa Azure Blob Storage zapewnia zoptymalizowany magazyn obiektów w chmurze, który zarządza ogromnymi ilościami danych bez struktury. Zapewnia zoptymalizowany magazyn obiektów w chmurze do przechowywania migawek dysków jako niezmiennych obiektów blob.
usługi Azure Files zapewnia w pełni zarządzane udziały plików w chmurze, które są dostępne za pośrednictwem standardowego protokołu SMB (Server Message Block), protokołu sieciowego systemu plików (NFS) i interfejsu API REST usługi Azure Files. Udziały można instalować współbieżnie za pośrednictwem wdrożeń w chmurze lub lokalnych systemów Windows, Linux i macOS. Udziały plików w systemie Windows Server można również buforować przy użyciu usługi Azure File Sync, aby uzyskać szybki dostęp w pobliżu lokalizacji użycia danych. Usługa Azure Files jest używana jako tymczasowe repozytorium do obliczania wartości skrótów migawek dysków.
Key Vault pomaga chronić klucze kryptograficzne i inne wpisy tajne używane przez aplikacje i usługi w chmurze. Za pomocą usługi Key Vault można przechowywać pliki BEKs i wartości skrótów migawek dysków, aby zapewnić bezpieczny dostęp i integralność danych.
Microsoft Entra ID to oparta na chmurze usługa tożsamości, która ułatwia kontrolowanie dostępu do platformy Azure i innych aplikacji w chmurze. Służy do kontrolowania dostępu do zasobów platformy Azure, co pomaga zapewnić bezpieczne zarządzanie tożsamościami.
usługa Azure Monitor obsługuje operacje na dużą skalę, pomagając zmaksymalizować wydajność i dostępność zasobów, a jednocześnie aktywnie identyfikować potencjalne problemy. Archiwizowanie dzienników aktywności w celu inspekcji wszystkich odpowiednich zdarzeń pod kątem zgodności i monitorowania.
Automation
Zespół SOC używa konta usługi Automation do tworzenia i obsługi elementu Runbook Copy-VmDigitalEvidence. Zespół używa również usługi Automation do tworzenia hybrydowych procesów roboczych elementów Runbook, które implementują element Runbook.
Hybrydowy proces roboczy elementu runbook
Hybrydowy proces roboczy elementu runbook jest zintegrowany z kontem usługi Automation. Zespół SOC używa tej maszyny wirtualnej wyłącznie do uruchamiania Copy-VmDigitalEvidence elementu Runbook.
Należy umieścić hybrydową maszynę wirtualną procesu roboczego elementu Runbook w podsieci, która może uzyskać dostęp do konta magazynu. Skonfiguruj dostęp do konta magazynu, dodając podsieć hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook do reguł listy dozwolonych zapory konta magazynu.
Udziel dostępu do tej maszyny wirtualnej tylko członkom zespołu SOC na potrzeby działań konserwacyjnych.
Aby odizolować sieć wirtualną używaną przez maszynę wirtualną, należy unikać łączenia sieci wirtualnej z koncentratorem.
Hybrydowy proces roboczy elementu Runbook używa przypisanej przez system tożsamości zarządzanej przypisanej przez system w celu uzyskania dostępu do zasobów docelowej maszyny wirtualnej i innych usług platformy Azure, których wymaga rozwiązanie.
Minimalne uprawnienia kontroli dostępu opartej na rolach (RBAC) wymagane dla tożsamości zarządzanej przypisanej przez system są podzielone na dwie kategorie:
- Uprawnienia dostępu do architektury SOC platformy Azure zawierającej podstawowe składniki rozwiązania
- Uprawnienia dostępu do architektury docelowej zawierającej docelowe zasoby maszyny wirtualnej
Dostęp do architektury SOC platformy Azure obejmuje następujące role:
- Współautor konta magazynu na koncie magazynu niezmiennego SOC w usłudze Storage.
- key Vault Secrets Officer w magazynie kluczy SOC na potrzeby zarządzania kluczami BEK
Dostęp do architektury docelowej obejmuje następujące role:
Współautor grupy zasobów docelowej maszyny wirtualnej, co zapewnia uprawnienia do migawek na dyskach maszyny wirtualnej.
key Vault Secrets Officer w magazynie kluczy docelowej maszyny wirtualnej, który jest używany do przechowywania klucza SZYFROWANIA kluczy, tylko wtedy, gdy kontrola dostępu oparta na rolach jest używana do kontrolowania dostępu do usługi Key Vault
Zasady dostępu do uzyskiwania tajnych w magazynie kluczy docelowej maszyny wirtualnej, który jest używany do przechowywania klucza szyfrowania kluczy, tylko wtedy, gdy zasady dostępu są używane do kontrolowania dostępu do usługi Key Vault
Uwaga
Aby odczytać klucz szyfrowania kluczy, docelowy magazyn kluczy maszyny wirtualnej musi być dostępny z hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook. Jeśli zapora magazynu kluczy jest włączona, upewnij się, że publiczny adres IP hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook jest dozwolony przez zaporę.
Konto magazynu
Konto usługi Storage w subskrypcji SOC hostuje migawki dysków w kontenerze skonfigurowanym przy użyciu zasad archiwizacji ze względów prawnych jako niezmiennego magazynu obiektów blob platformy Azure. Niezmienny magazyn obiektów blob przechowuje obiekty danych o znaczeniu krytycznym dla działania firmy w stanie zapisu jednokrotnego odczytu wielu (WORM). Stan WORM sprawia, że dane są niezrównoważone i niezmienialne dla interwału określonego przez użytkownika.
Upewnij się, że włączono właściwości bezpiecznego transferu i zapory magazynu. Zapora udziela dostępu tylko z sieci wirtualnej SOC.
Konto magazynu hostuje również udział plików platformy Azure jako tymczasowe repozytorium używane do obliczania wartości skrótu migawki.
Skrzynka Kluczy (Key Vault)
Subskrypcja SOC ma własne wystąpienie usługi Key Vault, które hostuje kopię klucza szyfrowania kluczy, którego usługa Azure Disk Encryption używa do ochrony docelowej maszyny wirtualnej. Kopia podstawowa jest przechowywana w magazynie kluczy używanym przez docelową maszynę wirtualną. Ta konfiguracja umożliwia docelowej maszynie wirtualnej kontynuowanie normalnych operacji bez przerw.
Magazyn kluczy SOC przechowuje również wartości skrótów migawek dysków, które są obliczane przez hybrydowy proces roboczy elementu Runbook podczas operacji przechwytywania.
Upewnij się, że zapora jest włączona w magazynie kluczy. Musi ona udzielać dostępu wyłącznie z sieci wirtualnej SOC.
Log Analytics
Obszar roboczy usługi Log Analytics przechowuje dzienniki aktywności używane do inspekcji wszystkich odpowiednich zdarzeń w subskrypcji SOC. Log Analytics to funkcja monitora.
Szczegóły scenariusza
Kryminalistyka cyfrowa to nauka zajmująca się odzyskiwaniem i badaniem danych cyfrowych podczas dochodzeń karnych i w postępowaniach cywilnych. Śledcza komputerowa to gałąź cyfrowych śledczego, która przechwytuje i analizuje dane z komputerów, maszyn wirtualnych i nośników magazynu cyfrowego.
Przedsiębiorstwa muszą zagwarantować, że dowody cyfrowe, które dostarczają w odpowiedzi na wnioski prawne, wykazują ważny łańcuch nadzoru na wszystkich etapach pozyskiwania, zachowywania i dostępu do dowodów.
Potencjalne przypadki użycia
Zespół SOC firmy może zaimplementować to rozwiązanie techniczne w celu zapewnienia prawidłowego łańcucha nadzoru dla dowodów cyfrowych.
Śledczy mogą dołączać kopie dysków uzyskane przy użyciu tej techniki na komputerze przeznaczonym do analizy kryminalistycznej. Mogą dołączać kopie dysków bez włączenia lub uzyskania dostępu do oryginalnej źródłowej maszyny wirtualnej.
Łańcuch zgodności z przepisami dotyczącymi nadzoru
Jeśli konieczne jest przesłanie proponowanego rozwiązania do procesu weryfikacji zgodności z przepisami, należy wziąć pod uwagę materiały w sekcji zagadnienia dotyczące podczas procesu weryfikacji rozwiązania do nadzoru.
Uwaga
W procesie weryfikacji należy uwzględnić dział prawny.
Kwestie wymagające rozważenia
Te zagadnienia implementują filary platformy Azure Well-Architected Framework, która jest zestawem wytycznych, których można użyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Well-Architected Framework.
Zasady, które weryfikują to rozwiązanie jako łańcuch nadzoru, zostały opisane w tej sekcji. Aby zapewnić prawidłowy łańcuch nadzoru, magazyn dowodów cyfrowych musi wykazać odpowiednią kontrolę dostępu, ochronę danych i integralność, monitorowanie i alerty oraz rejestrowanie i inspekcję.
Zgodność ze standardami i przepisami dotyczącymi zabezpieczeń
Podczas weryfikowania łańcucha nadzoru jednym z wymagań, które należy ocenić, jest zgodność ze standardami i przepisami dotyczącymi zabezpieczeń.
Wszystkie składniki zawarte w architekturze to standardowe usługi platformy Azure oparte na podstawach, które obsługują relacje zaufania, zabezpieczeń i zgodności .
Platforma Azure oferuje szeroką gamę certyfikatów zgodności, w tym certyfikaty dostosowane do krajów lub regionów oraz dla kluczowych branż, takich jak opieka zdrowotna, instytucje rządowe, finanse i edukacja.
Aby uzyskać więcej informacji na temat zaktualizowanych raportów inspekcji, które szczegółowo opisują zgodność ze standardami usług używanych w tym rozwiązaniu, zobacz Service Trust Portal.
oceny zgodności usługi Azure Storage z platformy Cohasset zawiera szczegółowe informacje na temat następujących wymagań:
Komisja Papierów Wartościowych i Giełd (SEC) w 17 CFR § 240.17a-4(f), która reguluje członków wymiany, brokerów lub dealerów.
Financial Industry Regulatory Authority (FINRA) Rule 4511(c), który odchyli się od wymagań formatu i nośnika sec rule 17a-4(f).
Commodity Futures Trading Commission (CFTC) w rozporządzeniu 17 CFR § 1.31(c)-(d), który reguluje handel kontraktami terminowymi na towary.
To opinia Cohasset, że Azure Storage, dzięki funkcji niezmiennego magazynu usługi Blob Storage i opcji blokady zasad zachowuje obiekty blob oparte na czasie (lub rekordy ) w niezmienialnym i nierekrypowalnym formacie i spełnia odpowiednie wymagania dotyczące magazynu reguły SEC 17a-4(f), reguły FINRA 4511(c) i zasad dotyczących wymagań dotyczących reguły CFTC 1.31(c)-(d).
Zasada najniższych uprawnień
Po przypisaniu ról zespołu SOC tylko dwie osoby w zespole, znane jako opiekunowie zespołu SOC, powinny mieć uprawnienia do modyfikowania RBAC konfiguracji subskrypcji i jej danych. Przyznaj innym osobom tylko minimalne prawa dostępu do podzbiorów danych, których potrzebują do wykonania swojej pracy.
Najmniejszy dostęp
Tylko sieć wirtualna w subskrypcji SOC ma dostęp do konta magazynu SOC i magazynu kluczy, który zarchiwizuje dowody. Autoryzowani członkowie zespołu SOC mogą udzielić śledczym tymczasowego dostępu do dowodów w magazynie SOC.
Pozyskiwanie dowodów
Dzienniki inspekcji platformy Azure mogą udokumentować pozyskiwanie dowodów, rejestrując akcję wykonywania migawki dysku maszyny wirtualnej. Dzienniki zawierają szczegółowe informacje, takie jak osoby, które pobierają migawki i kiedy są wykonywane.
Integralność dowodów
Użyj Automation, aby przenieść dowody do końcowego miejsca docelowego archiwum bez interwencji człowieka. Takie podejście pomaga zagwarantować, że artefakty dowodów pozostaną niezachwiane.
Po zastosowaniu zasad archiwizacji ze względów prawnych do magazynu docelowego dowody są natychmiast zamrożone, gdy tylko zostaną zapisane. Archiwizacja prawna pokazuje, że łańcuch nadzoru jest w pełni utrzymywany na platformie Azure. Wskazuje również, że nie ma możliwości manipulowania dowodami z czasu, gdy obrazy dysków znajdują się na aktywnej maszynie wirtualnej do momentu ich przechowywania jako dowodów na koncie magazynu.
Na koniec możesz użyć dostarczonego rozwiązania jako mechanizmu integralności, aby obliczyć wartości skrótu obrazów dysków. Obsługiwane algorytmy wyznaczania wartości skrótu to MD5, SHA256, SKEIN i KECCAK (lub SHA3).
Udostępnianie dowodów
Śledczy potrzebują dostępu do dowodów, aby mogli wykonywać analizy. Ten dostęp musi być śledzony i jawnie autoryzowany.
Zapewnij badaczom sygnatur dostępu współdzielonego (SAS) jednolity identyfikator zasobu (URI) klucz magazynu na potrzeby uzyskiwania dostępu do dowodów. Identyfikator URI sygnatury dostępu współdzielonego może generować odpowiednie informacje dziennika podczas jego tworzenia. Kopię dowodów można uzyskać za każdym razem, gdy sygnatura dostępu współdzielonego jest używana.
Jeśli na przykład zespół prawny musi przenieść zachowany wirtualny dysk twardy, jeden z dwóch opiekunów zespołu SOC generuje klucz identyfikatora URI sygnatury dostępu współdzielonego tylko do odczytu, który wygasa po ośmiu godzinach. Sygnatura dostępu współdzielonego ogranicza dostęp do badaczy w określonym przedziale czasu.
Zespół SOC musi jawnie umieścić adresy IP badaczy, którzy wymagają dostępu na liście dozwolonych w zaporze magazynu.
Na koniec śledczy potrzebują zestawów BEKs zarchiwizowanych w magazynie kluczy SOC, aby uzyskać dostęp do zaszyfrowanych kopii dysku. Członek zespołu SOC musi wyodrębnić zestawy BEKs i udostępnić je za pośrednictwem bezpiecznych kanałów do śledczych.
Magazyn regionalny
W celu zapewnienia zgodności niektóre standardy lub przepisy wymagają dowodów i infrastruktury pomocniczej, która ma być utrzymywana w tym samym regionie świadczenia usługi Azure.
Wszystkie składniki rozwiązania, w tym konto magazynu, które archiwizuje dowody, są hostowane w tym samym regionie świadczenia usługi Azure, co badane systemy.
Doskonałość operacyjna
Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna projektu dotycząca doskonałości operacyjnej.
Monitorowanie i zgłaszanie alertów
Platforma Azure udostępnia usługi wszystkim klientom w celu monitorowania i zgłaszania alertów dotyczących anomalii związanych z ich subskrypcjami i zasobami. Usługi te obejmują:
- Microsoft Sentinel.
- Microsoft Defender dla Chmury.
- usługi Microsoft Defender for Storage.
Uwaga
Konfiguracja tych usług nie została opisana w tym artykule.
Wdrażanie tego scenariusza
Postępuj zgodnie z łańcuchem wdrażania laboratorium nadzoru instrukcje, aby skompilować i wdrożyć ten scenariusz w środowisku laboratoryjnym.
Środowisko laboratoryjne reprezentuje uproszczoną wersję architektury opisanej w tym artykule. Dwie grupy zasobów są wdrażane w ramach tej samej subskrypcji. Pierwsza grupa zasobów symuluje środowisko produkcyjne, dowody cyfrowe, a druga grupa zasobów przechowuje środowisko SOC.
Wybierz pozycję Wdróż na platformie Azure, aby wdrożyć tylko grupę zasobów SOC w środowisku produkcyjnym.
Uwaga
W przypadku wdrożenia rozwiązania w środowisku produkcyjnym upewnij się, że tożsamość zarządzana przypisana przez system konta usługi Automation ma następujące uprawnienia:
- Współautor w produkcyjnej grupie zasobów maszyny wirtualnej do przetworzenia. Ta rola tworzy migawki.
- Użytkownik wpisu tajnego usługi Key Vault w magazynie kluczy produkcyjnych, który przechowuje klucze BEKS. Ta rola odczytuje pliki BEKs.
Jeśli magazyn kluczy ma włączoną zaporę, upewnij się, że publiczny adres IP hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook jest dozwolony przez zaporę.
Konfiguracja rozszerzona
Hybrydowy proces roboczy elementu Runbook można wdrożyć lokalnie lub w różnych środowiskach chmury.
W tym scenariuszu należy dostosować element runbook Copy‑VmDigitalEvidence, aby umożliwić przechwytywanie dowodów w różnych środowiskach docelowych i archiwizować je w magazynie.
Uwaga
Element runbook Copy-VmDigitalEvidence podany w sekcji Deploy this scenario (Wdrażanie tego scenariusza) został opracowany i przetestowany tylko na platformie Azure. Aby rozszerzyć rozwiązanie na inne platformy, należy dostosować element Runbook do pracy z tymi platformami.
Współautorzy
Firma Microsoft utrzymuje ten artykuł. Następujący współautorzy napisali ten artykuł.
Autorzy zabezpieczeń:
- Fabio Masciotra | Główny konsultant
- Simone Savi | Starszy konsultant
Aby wyświetlić niepubliczne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
Aby uzyskać więcej informacji na temat funkcji ochrony danych na platformie Azure, zobacz:
- szyfrowanie Storage dla danych magazynowanych
- Omówienie opcji szyfrowania dysków zarządzanych
- Przechowywanie danych obiektów blob o krytycznym znaczeniu dla działania firmy z niezmiennym magazynem w stanie WORM
Aby uzyskać więcej informacji na temat funkcji rejestrowania i inspekcji, zobacz:
- Rejestrowanie i inspekcja zabezpieczeń na platformie Azure
- rejestrowanie analizy magazynu
- wysyłanie dzienników zasobów platformy Azure do obszarów roboczych usługi Log Analytics, usługi Event Hubs lub usługi Storage
Aby uzyskać więcej informacji na temat zgodności platformy Microsoft Azure, zobacz: