W tym artykule opisano proces infrastruktury i przepływu pracy, który pomaga zespołom w dostarczaniu cyfrowych dowodów, które pokazują prawidłowy łańcuch nadzoru (CoC) w odpowiedzi na żądania prawne. Ta dyskusja prowadzi do prawidłowego coC w procesie pozyskiwania, zachowywania i uzyskiwania dostępu do dowodów.
Uwaga
Ten artykuł opiera się na teoretycznej i praktycznej wiedzy autorów. Zanim użyjesz go do celów prawnych, zweryfikuj jego zastosowanie z działem prawnym.
Architektura
Projekt architektury jest zgodny z zasadami strefy docelowej platformy Azure opisanymi w przewodniku Cloud Adoption Framework dla platformy Azure.
W tym scenariuszu jest używana topologia sieci piasty i szprych, jak pokazano na poniższym diagramie:
Pobierz plik programu Visio z tą architekturą.
Przepływ pracy
W architekturze produkcyjne maszyny wirtualne są częścią sieci wirtualnej platformy Azure będącej szprychą. Ich dyski są szyfrowane za pomocą usługi Azure Disk Encryption. Aby uzyskać więcej informacji, zobacz Omówienie opcji szyfrowania dysków zarządzanych. W subskrypcji produkcyjnej usługa Azure Key Vault przechowuje klucze szyfrowania funkcji BitLocker (BEKS) maszyn wirtualnych.
Uwaga
Scenariusz działa również w przypadku produkcyjnych maszyn wirtualnych z niezaszyfrowanym dyskami.
Zespół usługi Security Operation Center (SOC) korzysta z dyskretnej subskrypcji soc soc platformy Azure . Zespół ma wyłączny dostęp do tej subskrypcji, która zawiera zasoby, które muszą być chronione, nieużywane i monitorowane. Konto usługi Azure Storage w subskrypcji SOC hostuje kopie migawek dysków w niezmiennym magazynie obiektów blob, a dedykowany magazyn kluczy przechowuje wartości skrótów i kopii skrótów migawek maszyn wirtualnych.
W odpowiedzi na żądanie przechwycenia dowodów cyfrowych maszyny wirtualnej członek zespołu SOC loguje się do subskrypcji SOC platformy Azure i używa hybrydowego procesu roboczego elementu runbook platformy Azure maszyny wirtualnej usługi Automation do wykonania elementu Runbook Copy-VmDigitalEvidence
. Hybrydowy proces roboczy elementu runbook usługi Automation zapewnia kontrolę nad wszystkimi mechanizmami zaangażowanymi w przechwytywanie.
Element Runbook Copy-VmDigitalEvidence implementuje następujące kroki makra:
- Użyj tożsamości zarządzanej przypisanej przez system dla konta usługi Automation, aby zalogować się na platformie Azure i uzyskać dostęp do zasobów docelowej maszyny wirtualnej, a także innych usług platformy Azure wymaganych do rozwiązania.
- Generowanie migawek dysków systemu operacyjnego i dysków danych maszyny wirtualnej.
- Przenieś migawki do niezmiennego magazynu obiektów blob w subskrypcji SOC i w tymczasowym udziale plików.
- Oblicz wartości skrótu migawek przy użyciu kopii przechowywanej w udziale plików.
- Zapisz uzyskane wartości skrótu i klucz szyfrowania szyfrowania maszyny wirtualnej w magazynie kluczy SOC.
- Usuń wszystkie kopie migawek z wyjątkiem kopii w niezmiennym magazynie obiektów blob.
Uwaga
Zaszyfrowane dyski maszyn wirtualnych w środowisku produkcyjnym mogą również używać kluczy szyfrowania kluczy (KEKs). Element runbook Copy-VmDigitalEvidence
podany w scenariuszu wdrażania nie obejmuje tego scenariusza.
Składniki
- Usługa Azure Automation automatyzuje częste, czasochłonne i podatne na błędy zadania zarządzania chmurą. Służy do automatyzowania procesu przechwytywania i przesyłania migawek dysku maszyny wirtualnej w celu zapewnienia integralności dowodów.
- Magazyn to rozwiązanie magazynu w chmurze, które obejmuje magazyn obiektów, plików, dysków, kolejek i tabel. Hostuje migawki dysków w niezmiennym magazynie obiektów blob, aby zachować dowody w stanie niezmienialnym i niezmienialnym.
- Usługa Azure Blob Storage zapewnia zoptymalizowany magazyn obiektów w chmurze, który zarządza ogromnymi ilościami danych bez struktury. Oferuje zoptymalizowany magazyn obiektów w chmurze do przechowywania migawek dysków jako niezmiennych obiektów blob.
- Udziały usługi Azure Files . Udziały można instalować współbieżnie za pośrednictwem wdrożeń w chmurze lub lokalnych systemów Windows, Linux i macOS. Ponadto można buforować udziały usługi Azure Files na serwerach z systemem Windows przy użyciu usługi Azure File Sync, aby uzyskać szybki dostęp w pobliżu lokalizacji użycia danych. Jest on używany jako tymczasowe repozytorium do obliczania wartości skrótu migawek dysku.
- Usługa Key Vault pomaga chronić klucze kryptograficzne i inne wpisy tajne używane przez aplikacje i usługi w chmurze. Służy do przechowywania kluczy szyfrowania funkcji BitLocker (BEK) i wartości skrótów migawek dysków w celu zapewnienia bezpiecznego dostępu i integralności.
- Microsoft Entra ID to oparta na chmurze usługa tożsamości, która ułatwia kontrolowanie dostępu do platformy Azure i innych aplikacji w chmurze. Służy do kontrolowania dostępu do zasobów platformy Azure, zapewniając bezpieczne zarządzanie tożsamościami.
- usługi Azure Monitor obsługuje operacje na dużą skalę, pomagając zmaksymalizować wydajność i dostępność zasobów, a jednocześnie aktywnie identyfikować potencjalne problemy. Archiwizowanie dzienników aktywności w celu inspekcji wszystkich odpowiednich zdarzeń pod kątem zgodności i monitorowania.
Automation
Zespół SOC używa konta usługi Automation do tworzenia i obsługi elementu Runbook Copy-VmDigitalEvidence. Zespół używa również Automation do tworzenia hybrydowych procesów roboczych elementów Runbook, które wykonują element Runbook.
Hybrydowy proces roboczy elementu runbook
Hybrydowy proces roboczy elementu runbook jest zintegrowany z kontem usługi Automation. Zespół SOC używa tej maszyny wirtualnej wyłącznie do wykonywania Copy-VmDigitalEvidence
elementu Runbook.
Należy umieścić hybrydową maszynę wirtualną procesu roboczego elementu Runbook w podsieci, która może uzyskać dostęp do konta magazynu. Skonfiguruj dostęp do konta magazynu, dodając podsieć hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook do reguł listy dozwolonych zapory konta magazynu.
Musisz udzielić dostępu do tej maszyny wirtualnej tylko członkom zespołu SOC na potrzeby działań konserwacyjnych.
Aby odizolować sieć wirtualną używaną przez maszynę wirtualną, należy unikać łączenia tej sieci wirtualnej z koncentratorem.
Hybrydowy proces roboczy elementu Runbook używa przypisanej przez system tożsamości zarządzanej usługi Automation w celu uzyskania dostępu do zasobów docelowej maszyny wirtualnej i innych usług platformy Azure wymaganych przez rozwiązanie.
Minimalne uprawnienia kontroli dostępu opartej na rolach (RBAC), które muszą być przypisane do tożsamości zarządzanej przypisanej przez system, są klasyfikowane w dwóch kategoriach:
- Uprawnienia dostępu do architektury SOC platformy Azure zawierającej podstawowe składniki rozwiązania
- Uprawnienia dostępu do architektury docelowej zawierającej docelowe zasoby maszyny wirtualnej
Dostęp do architektury SOC platformy Azure obejmuje następujące role:
- Współautor konta magazynu na koncie magazynu niezmiennego SOC w usłudze Storage.
- Key Vault Secrets Officer w magazynie kluczy SOC na potrzeby zarządzania kluczami szyfrowania kluczy
Dostęp do architektury docelowej obejmuje następujące role:
- Współautor grupy zasobów docelowej maszyny wirtualnej, co zapewnia uprawnienia do migawek na dyskach maszyny wirtualnej.
- key vault Secrets Officer w magazynie kluczy docelowej maszyny wirtualnej używanym do przechowywania klucza szyfrowania kluczy tylko wtedy, gdy kontrola dostępu oparta na rolach jest używana do kontrolowania dostępu do usługi Key Vault
- Zasady dostępu do Uzyskiwanie wpisu tajnego w magazynie kluczy docelowej maszyny wirtualnej używanej do przechowywania klucza szyfrowania kluczy tylko wtedy, gdy zasady dostępu są używane do kontrolowania dostępu do usługi Key Vault
Uwaga
Aby odczytać klucz szyfrowania kluczy, docelowy magazyn kluczy maszyny wirtualnej musi być dostępny z hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook. Jeśli zapora magazynu kluczy jest włączona, upewnij się, że publiczny adres IP hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook jest dozwolony przez zaporę.
Konto usługi Azure Storage
Konto usługi Azure Storage w subskrypcji SOC hostuje migawki dysków w kontenerze skonfigurowanym przy użyciu zasad archiwizacji ze względów prawnych jako niezmiennego magazynu obiektów blob platformy Azure. Niezmienny magazyn obiektów blob przechowuje obiekty danych o znaczeniu krytycznym dla działania firmy w stanie zapisu jednokrotnego, odczytujący wiele (WORM), co sprawia, że dane są niezrównoważone i niezmienialne dla interwału określonego przez użytkownika.
Pamiętaj, aby włączyć właściwości zapory bezpiecznego transferu i magazynu. Zapora udziela dostępu tylko z sieci wirtualnej SOC.
Konto magazynu hostuje również udział plików platformy Azure jako tymczasowe repozytorium używane do obliczania wartości skrótu migawki.
Azure Key Vault
Subskrypcja SOC ma własne wystąpienie usługi Key Vault, które hostuje kopię klucza szyfrowania kluczy, którego usługa Azure Disk Encryption używa do ochrony docelowej maszyny wirtualnej. Kopia podstawowa jest przechowywana w magazynie kluczy używanym przez docelową maszynę wirtualną, umożliwiając docelowej maszynie wirtualnej kontynuowanie normalnych operacji.
Magazyn kluczy SOC przechowuje również wartości skrótów migawek dysków obliczanych przez hybrydowy proces roboczy elementu Runbook podczas operacji przechwytywania.
Upewnij się, że zapora jest włączona w magazynie kluczy. Musi ona udzielać dostępu wyłącznie z sieci wirtualnej SOC.
Log Analytics
Obszar roboczy usługi Log Analytics przechowuje dzienniki aktywności używane do inspekcji wszystkich odpowiednich zdarzeń w subskrypcji SOC. Log Analytics to funkcja monitora.
Szczegóły scenariusza
Kryminalistyka cyfrowa to nauka zajmująca się odzyskiwaniem i badaniem danych cyfrowych podczas dochodzeń karnych i w postępowaniach cywilnych. Śledcza komputerowa to gałąź cyfrowych śledczego, która przechwytuje i analizuje dane z komputerów, maszyn wirtualnych i nośników magazynu cyfrowego.
Przedsiębiorstwa muszą zagwarantować, że dowody cyfrowe, które dostarczają w odpowiedzi na wnioski prawne, wykazują ważny coC w całym procesie pozyskiwania, zachowywania i uzyskiwania dostępu do dowodów.
Potencjalne przypadki użycia
- Zespół SOC firmy może zaimplementować to rozwiązanie techniczne w celu zapewnienia prawidłowego kontrolera domeny na potrzeby dowodów cyfrowych.
- Śledczy mogą dołączać kopie dysków uzyskane za pomocą tej techniki na komputerze przeznaczonym do analizy kryminalistycznej. Mogą dołączać kopie dysków bez włączenia lub uzyskania dostępu do oryginalnej źródłowej maszyny wirtualnej.
Zgodność z przepisami coC
Jeśli konieczne jest przesłanie proponowanego rozwiązania do procesu weryfikacji zgodności z przepisami, należy wziąć pod uwagę materiały w sekcji dotyczącej zagadnień podczas procesu weryfikacji rozwiązania CoC.
Uwaga
W procesie weryfikacji należy zaangażować dział prawny.
Kwestie wymagające rozważenia
Zasady, które weryfikują to rozwiązanie jako coC, są prezentowane w tej sekcji.
Aby zapewnić prawidłowy łańcuch nadzoru, magazyn dowodów cyfrowych musi umożliwiać odpowiednią kontrolę dostępu i ochronę danych, zapewnienie ich integralności, monitorowanie, generowanie alertów, rejestrowanie i inspekcję.
Zgodność ze standardami i przepisami dotyczącymi zabezpieczeń
Podczas weryfikacji rozwiązania CoC jednym z wymagań, które należy ocenić, jest zgodność ze standardami i przepisami dotyczącymi zabezpieczeń.
Wszystkie składniki zawarte w architekturze to standardowe usługi platformy Azure oparte na podstawach, które obsługują zaufanie, zabezpieczenia i zgodność.
Platforma Azure oferuje szeroką gamę certyfikatów zgodności, w tym certyfikaty specyficzne dla krajów lub regionów oraz dla kluczowych branż, takich jak opieka zdrowotna, instytucje rządowe, finanse i edukacja.
Aby uzyskać zaktualizowane raporty inspekcji z informacjami o zgodności standardów dla usług przyjętych w tym rozwiązaniu, zobacz Portal zaufania usług.
Usługa Azure Storage firmy Cohasset : SEC 17a-4(f) i CFTC 1.31(c)-(d) Compliance Assessment (d) zawiera szczegółowe informacje na temat następujących wymagań:
- Komisja Papierów Wartościowych i Giełd (SEC) w 17 CFR § 240.17a-4(f), która reguluje członków wymiany, brokerów lub dealerów.
- Financial Industry Regulatory Authority (FINRA) Rule 4511(c), który odchyli się od wymagań formatu i nośnika sec rule 17a-4(f).
- Commodity Futures Trading Commission (CFTC) w rozporządzeniu 17 CFR § 1.31(c)-(d), który reguluje handel kontraktami terminowymi na towary.
Uważa się, że magazyn z funkcją niezmiennego magazynu usługi Blob Storage i blokadą zasad zachowuje obiekty blob oparte na czasie (rekordy) w niemożliwym do zapamiętania formacie i spełnia odpowiednie wymagania dotyczące magazynu reguły SEC 17a-4(f), reguły FINRA 4511(c) oraz zasad dotyczących wymagań reguły CFTC 1.31(c)-(d).
Zasada najniższych uprawnień
Po przypisaniu ról zespołu SOC tylko dwie osoby w zespole, nazywane opiekunami zespołu SOC, powinny mieć uprawnienia do modyfikowania konfiguracji RBAC subskrypcji i jej danych. Przyznaj innym osobom tylko minimalne prawa dostępu do podzbiorów danych, których potrzebują do wykonania swojej pracy. Konfigurowanie i wymuszanie dostępu za pośrednictwem kontroli dostępu opartej na rolach platformy Azure.
Najmniejszy dostęp
Tylko sieć wirtualna w subskrypcji SOC ma dostęp do konta magazynu SOC i magazynu kluczy, który zarchiwizuje dowody.
Tymczasowy dostęp do magazynu SOC jest udostępniany śledczym, którzy wymagają dostępu do dowodów. Autoryzowani członkowie zespołu SOC mogą udzielić tego dostępu.
Pozyskiwanie dowodów
Dzienniki inspekcji platformy Azure mogą udokumentować pozyskiwanie dowodów, rejestrując akcję wykonywania migawki dysku maszyny wirtualnej, w tym szczegółowe informacje, takie jak osoba, która wykonała migawki i kiedy.
Integralność dowodów
Użycie usługi Automation do przeniesienia dowodów do końcowego miejsca docelowego archiwum, bez interwencji człowieka, gwarantuje, że artefakty dowodowe nie zostały zmienione.
Po zastosowaniu zasad archiwizacji ze względów prawnych do magazynu docelowego dowody są natychmiast zamrożone natychmiast po zapisaniu. Archiwizacja ze względów prawnych pokazuje, że coC została w pełni zachowana na platformie Azure. Wskazuje również, że nie było możliwości manipulowania dowodami z czasu, w którym obrazy dysków znajdowały się na aktywnej maszynie wirtualnej do momentu ich przechowywania jako dowodów na koncie magazynu.
Na koniec możesz użyć dostarczonego rozwiązania jako mechanizmu integralności, aby obliczyć wartości skrótu obrazów dysków. Obsługiwane algorytmy wyznaczania wartości skrótu to: MD5, SHA256, SKEIN, KECCAK (lub SHA3).
Udostępnianie dowodów
Śledczy potrzebują dostępu do dowodów, aby mogli wykonywać analizy, a dostęp ten musi być śledzony i jawnie autoryzowany.
Zapewnij śledczym klucz magazynu identyfikatora URI sygnatur dostępu współdzielonego na potrzeby uzyskiwania dostępu do dowodów. Identyfikator URI sygnatury dostępu współdzielonego może generować odpowiednie informacje dziennika podczas jego tworzenia i można uzyskać kopię dowodów za każdym razem, gdy sygnatura dostępu współdzielonego jest używana.
Jeśli na przykład zespół prawny musi przenieść zachowany wirtualny dysk twardy (VHD), jeden z dwóch opiekunów zespołu SOC generuje klucz identyfikatora URI sygnatury dostępu współdzielonego tylko do odczytu, który wygasa po ośmiu godzinach. Sygnatura dostępu współdzielonego ogranicza dostęp do badaczy w określonym przedziale czasu.
Ponadto zespół SOC musi jawnie umieścić adresy IP badaczy wymagających dostępu na liście dozwolonych w zaporze magazynu.
Na koniec śledczy potrzebują zestawów BEKs zarchiwizowanych w magazynie kluczy SOC, aby uzyskać dostęp do zaszyfrowanych kopii dysku. Członek zespołu SOC musi wyodrębnić zestawy BEKs i udostępnić je za pośrednictwem bezpiecznych kanałów do śledczych.
Magazyn regionalny
W celu zapewnienia zgodności niektóre standardy lub przepisy wymagają dowodów i infrastruktury pomocy technicznej, która ma być utrzymywana w tym samym regionie świadczenia usługi Azure.
Wszystkie składniki rozwiązania, w tym konto magazynu, które archiwizuje dowody, są hostowane w tym samym regionie świadczenia usługi Azure, co badane systemy.
Doskonałość operacyjna
Doskonałość operacyjna obejmuje procesy, które wdrażają aplikację i zapewniają ciągłą pracę w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.
Monitorowanie i zgłaszanie alertów
Platforma Azure oferuje usługi wszystkim klientom na potrzeby monitorowania i zgłaszania alertów dotyczących anomalii związanych z ich subskrypcjami i zasobami. Usługi te obejmują:
- Microsoft Sentinel.
- Microsoft Defender dla Chmury.
- usługi Microsoft Defender for Storage.
Uwaga
Konfiguracja tych usług nie została opisana w tym artykule.
Wdrażanie tego scenariusza
Postępuj zgodnie z instrukcjami wdrażania laboratorium CoC, aby skompilować i wdrożyć ten scenariusz w środowisku laboratoryjnym.
Środowisko laboratoryjne reprezentuje uproszczoną wersję architektury opisanej w artykule. Dwie grupy zasobów są wdrażane w ramach tej samej subskrypcji. Pierwsza grupa zasobów symuluje środowisko produkcyjne, dowody cyfrowe, a druga grupa zasobów przechowuje środowisko SOC.
Użyj poniższego przycisku, aby wdrożyć tylko grupę zasobów SOC w środowisku produkcyjnym.
Uwaga
W przypadku wdrożenia rozwiązania w środowisku produkcyjnym upewnij się, że tożsamość zarządzana przypisana przez system konta usługi Automation ma następujące uprawnienia:
- Współautor w produkcyjnej grupie zasobów maszyny wirtualnej do przetworzenia. Ta rola tworzy migawki.
- Użytkownik wpisu tajnego usługi Key Vault w magazynie kluczy produkcyjnych, który przechowuje klucze BEKS. Ta rola odczytuje pliki BEKs.
Ponadto jeśli magazyn kluczy ma włączoną zaporę, upewnij się, że publiczny adres IP hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook jest dozwolony przez zaporę.
Konfiguracja rozszerzona
Hybrydowy proces roboczy elementu Runbook można wdrożyć lokalnie lub w różnych środowiskach chmury.
W tym scenariuszu należy dostosować element runbook Copy‑VmDigitalEvidence
, aby umożliwić przechwytywanie dowodów w różnych środowiskach docelowych i archiwizować je w magazynie.
Uwaga
Element runbook Copy-VmDigitalEvidence
podany w sekcji Deploy this scenario (Wdrażanie tego scenariusza) został opracowany i przetestowany tylko na platformie Azure. Aby rozszerzyć rozwiązanie na inne platformy, należy dostosować element Runbook do pracy z tymi platformami.
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Autorzy zabezpieczeń:
- Fabio Masciotra | Główny konsultant
- Simone Savi | Starszy konsultant
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
Aby uzyskać więcej informacji na temat funkcji ochrony danych na platformie Azure, zobacz:
- Szyfrowanie w usłudze Azure Storage dla danych magazynowanych
- Omówienie opcji szyfrowania dysków zarządzanych
- Przechowywanie danych obiektów blob kluczowych dla działalności za pomocą magazynu niezmiennego
Aby uzyskać więcej informacji na temat funkcji rejestrowania i inspekcji, zobacz:
- Rejestrowanie i inspekcja zabezpieczeń na platformie Azure
- Rejestrowanie usługi Azure Storage Analytics
- Dzienniki zasobów platformy Azure
Aby uzyskać więcej informacji na temat zgodności platformy Microsoft Azure, zobacz: