Este artigo descreve um processo de infraestrutura e fluxo de trabalho para ajudar as equipes a fornecer evidências digitais que demonstrem uma cadeia de custódia (CoC) válida em resposta a solicitações legais. Essa discussão guia uma CoC válida em todos os processos de aquisição, preservação e acesso de evidências.
Observação
Este artigo baseia-se no conhecimento teórico e prático dos autores. Antes de usá-la para fins legais, valide a sua aplicabilidade com seu departamento jurídico.
Arquitetura
O design da arquitetura segue os princípios da zona de destino do Azure descritos na Estrutura de Adoção de Nuvem para Azure.
Esse cenário usa uma topologia de rede hub-and-spoke, conforme mostrado no diagrama a seguir:
Baixe um Arquivo Visio dessa arquitetura.
Workflow
Na arquitetura, as máquinas virtuais (VMs) de produção fazem parte de uma rede virtual do Azure. Seus discos são encriptados com Azure Disk Encryption. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado. Na assinatura de produção, o Azure Key Vault armazena as chaves de criptografia BitLocker (BEKs) das VMs.
Observação
O cenário funciona para VMs de produção com discos não criptografados.
A equipe de controles de sistema e organização (SOC) usa uma assinatura discreta do SOC do Azure. A equipe tem acesso exclusivo a essa assinatura, que contém os recursos que devem ser mantidos protegidos, invioláveis e monitorados. A conta do Azure Storage na assinatura do SOC hospeda cópias de instantâneos de disco no armazenamento de Blobs imutável, e um cofre de chaves dedicado mantém os valores de hash dos instantâneos e cópias dos BEKs das VMs.
Em resposta a uma solicitação de captura de evidência digital de uma VM, um membro da equipe do SOC entra na assinatura do SOC do Azure e usa uma VM do Azure Hybrid Runbook Worker em Automação para implementar o runbook Copy-VmDigitalEvidence. O Automation hybrid runbook worker fornece controle de todos os mecanismos envolvidos na captura.
O runbook Copy-VmDigitalEvidence implementa estas etapas de macro:
- Entre no Azure usando a identidade gerenciada atribuída pelo sistema para uma conta de automação para acessar os recursos da VM de destino e os outros serviços do Azure exigidos pela solução.
- Crie instantâneos de disco para o SO (sistema operacional) e os discos de dados da VM.
- Copie os instantâneos para o armazenamento de blobs imutável da assinatura do SOC e um compartilhamento de arquivo temporário
- Calcule os valores de hash dos instantâneos usando a cópia no compartilhamento de arquivos.
- Copie os valores de hash obtidos e o BEK da VM no cofre de chaves SOC.
- Limpe todas as cópias dos instantâneos, exceto aquela no armazenamento imutável de blobs.
Observação
Os discos criptografados das VMs de produção também podem usar chaves de criptografia de chave (KEKs). O runbook Copy-VmDigitalEvidence fornecido no cenário de implantação não cobre esse uso.
Componentes
- O Azure Automation automatiza tarefas de gerenciamento de nuvem frequentes, demoradas e propensas a erros.
- O Armazenamento é uma solução de armazenamento em nuvem que inclui armazenamento de tabela, arquivo, disco, fila e objeto.
- O Azure Blob Storage é um armazenamento otimizado para objetos de nuvem que gerencia grandes quantidades de dados não estruturados.
- Compartilhamentos dos Arquivos do Azure. Você pode montar compartilhamentos de maneira simultânea por implantações locais ou na nuvem do Windows, Linux e macOS. Você também pode armazenar em cache compartilhamentos dos Arquivos do Azure nos servidores Windows com a Sincronização de Arquivos do Azure para acesso rápido perto de onde os dados são usados.
- O Azure Monitor dá suporte às suas operações em escala, ajudando-o a maximizar o desempenho e a disponibilidade de seus recursos e a identificar problemas de forma proativa.
- O Key Vault: ajuda você a proteger chaves criptográficas e outros segredos usados por aplicativos e serviços de nuvem.
- O Microsoft Entra ID é um serviço de identidade baseado em nuvem que ajuda você a controlar o acesso ao Azure e a outros aplicativos de nuvem.
Automação
A equipe do SOC usa uma conta da Automação para criar e manter o runbook Copy-VmDigitalEvidence. A equipe também usa a Automação para criar os trabalhos de runbook híbridos que operam o runbook.
Trabalho de runbook híbrido
A VM de trabalho de runbook híbrido faz parte da conta de automação. A equipe do SOC usa essa VM exclusivamente para implementar o runbook Copy-VmDigitalEvidence.
Você deve colocar a VM de trabalho do runbook híbrido em uma sub-rede que possa acessar a conta de armazenamento. Configure o acesso à conta de armazenamento adicionando a sub-rede de VM de trabalho de runbook híbrido às regras de lista de permissões de firewall da conta de armazenamento.
Você deve conceder acesso a essa VM somente aos membros da equipe do SOC para atividades de manutenção.
Para isolar a rede virtual que está sendo usada pela VM, não conecte essa rede virtual ao hub.
O trabalhador de runbook híbrido usa a identidade gerenciada atribuída ao sistema de automação para acessar os recursos da VM de destino e os outros serviços do Azure exigidos pela solução.
As permissões RBAC (controle de acesso baseado em função) mínimas que devem ser atribuídas à identidade gerenciada atribuída pelo sistema são classificadas em duas categorias:
- Permissões de acesso à arquitetura SOC do Azure que contém os componentes principais da solução
- Permissões de acesso à arquitetura de destino que contém os recursos da VM de destino
O acesso à arquitetura SOC do Azure inclui as seguintes funções:
- Colaborador da Conta de Armazenamento na conta de armazenamento imutável do SOC
- Key Vault Secrets Officer no cofre de chaves SOC para o gerenciamento BEK
O acesso à arquitetura de destino inclui as seguintes funções:
- Colaborador no grupo de recursos da VM de destino, que fornece direitos de instantâneo em discos de VM
- Responsável pelos segredos do Key Vault no Key Vault da VM de destino usado para armazenar BEK, somente se o RBAC for usado para o Key Vault
- Política de acesso para Obter segredo no Key Vault da VM de destino usado para armazenar BEK, somente se você usar uma política de acesso para o Key Vault
Observação
Para ler o BEK, o cofre de chaves da VM de destino deve estar acessível a partir da VM de trabalho de runbook híbrida. Se o cofre de chaves tiver o firewall habilitado, verifique se o endereço IP público da VM de trabalho do runbook híbrido é permitido através do firewall.
Conta do Armazenamento do Azure
A conta do Azure Storage na assinatura SOC hospeda os instantâneos de disco em um contêiner configurado com uma política de retenção legal como armazenamento de blob imutável do Azure. O armazenamento de blobs imutável armazena objetos de dados críticos para os negócios em um estado do tipo grave uma vez, leia muitas (WORM), o que torna os dados não apagáveis e não editáveis por um intervalo especificado pelo usuário.
Certifique-se de habilitar as propriedades do firewall de transferência segura e armazenamento. O firewall concede acesso somente a partir da rede virtual SOC.
A conta de armazenamento também hospeda um compartilhamento de arquivos do Azure como um repositório temporário para calcular o valor de hash SHA-256 do instantâneo.
Cofre de Chave do Azure
A assinatura SOC tem sua própria instância do Cofre de Chaves, que hospeda uma cópia do BEK que a Criptografia de Disco do Azure usa para proteger a VM de destino. A cópia primária da chave permanece no cofre de chaves usado pela VM de destino, de modo que a VM de destino possa continuar a operação normal.
O cofre de chaves SOC também contém os valores de hash de instantâneos de disco calculados pelo trabalhador de runbook híbrido durante as operações de captura.
Certifique-se de que o firewall esteja habilitado no cofre de chaves. Ele concede acesso somente a partir da rede virtual SOC.
Log Analytics
Um espaço de trabalho do Log Analytics armazena logs de atividades usados para auditar todos os eventos relevantes na assinatura SOC. O Log Analytics é um recurso do Monitor.
Detalhes do cenário
A análise forense digital é uma ciência que aborda a recuperação e a investigação de dados digitais para dar suporte a investigações criminais ou processos civis. A computação forense é uma ramificação da análise forense digital que captura e analisa dados de computadores, VMs e mídia de armazenamento digital.
As empresas precisam garantir que as evidências digitais fornecidas por elas em resposta a solicitações legais demonstrem uma CoC válida em todo o processo de aquisição, preservação e acesso de evidências.
Possíveis casos de uso
- A equipe do Centro de Operações de Segurança de uma empresa poderá implementar essa solução técnica para dar suporte a uma CoC válida a fim de obter evidências digitais.
- Os investigadores podem anexar cópias de disco obtidas com essa técnica em um computador dedicado à análise forense. Eles podem anexar as cópias de disco sem ligar ou acessar a VM de origem original.
Conformidade regulatória do CoC
Se for necessário submeter a solução proposta a um processo de validação de conformidade normativa, considere os materiais na seção de considerações durante o processo de validação da solução CoC.
Observação
Você deve envolver seu departamento jurídico no processo de validação.
Considerações
Os princípios que validam essa solução como uma CoC são apresentados nesta seção.
Para garantir uma CoC válida, o armazenamento de evidências digitais precisa demonstrar controle de acesso, proteção e integridade de dados, monitoramento e alertas adequados, bem como log e auditoria.
Conformidade com padrões e regulamentos de segurança
Ao validar uma solução CoC, um dos requisitos a avaliar é a conformidade com padrões e regulamentos de segurança.
Todos os componentes incluídos na arquitetura são serviços padrão do Azure criados com base em confiança, segurança e conformidade.
O Azure tem uma ampla variedade de certificações de conformidade, incluindo certificações específicas para países ou regiões globais, além de setores importantes, como serviços de saúde, administração pública, finanças e educação.
Para obter relatórios de auditoria atualizados com informações sobre a conformidade de padrões para os serviços adotados nesta solução, consulte Portal de Confiança de Serviço.
A Avaliação de Conformidade do Armazenamento do Azure da Cohasset: SEC 17a-4(f) e CFTC 1.31(c)-(d) fornece detalhes sobre os seguintes requisitos:
- A Regra 17 CFR § 240.17a-4(f) da SEC (Comissão de Valores Mobiliários dos Estados Unidos), que regula membros, agentes ou revendedores de uma bolsa de valores.
- A Regra 4511(c) da FINRA (Autoridade Regulatória da Indústria Financeira), que segue o formato e os requisitos de mídia da Regra 17a-4(f) da SEC.
- O regulamento 17 CFR § 1.31(c)-(d) da CFTC (Comissão de Negociação de Contratos Futuros de Commodities), que regula negociações futuras de commodities.
É opinião da Cohasset que armazenamento, com o recurso de armazenamento imutável do armazenamento de blobs e a opção de bloqueio de política, mantém blobs (registros) baseados em tempo em um formato não apagável e não regravável e atende aos requisitos de armazenamento relevantes da regra 17a-4(f) da SEC, da regra 4511(c) da FINRA e dos requisitos baseados em princípios da regra 1.31(c)-(d) da CFTC.
Privilégios mínimos
Quando as funções da equipe SOC são atribuídas, apenas dois indivíduos dentro da equipe devem ter direitos para modificar a configuração RBAC da assinatura e seus dados. Conceda aos outros indivíduos apenas os direitos de acesso mínimos aos subconjuntos de dados que precisam para realizar o trabalho. Configure e imponha o acesso por meio do RBAC do Azure.
Menos acesso
Somente a rede virtual na assinatura do SOC tem acesso à conta de armazenamento do SOC e ao Key Vault que arquiva as evidências.
O acesso temporário ao armazenamento SOC é fornecido aos investigadores que necessitam de acesso a evidências. Membros autorizados da equipe do SOC podem conceder acesso.
Aquisição de evidências
Os logs de auditoria do Azure podem mostrar a aquisição de evidências registrando a ação de criação de um instantâneo de disco de VM, com elementos como quem criou os instantâneos e em que local.
Integridade das evidências
O uso da automação para mover evidências ao seu destino final de arquivo, sem intervenção humana, garante que os artefatos de evidência não foram alterados.
Quando você aplicar a política de retenção legal ao armazenamento de destino, a evidência será congelada no tempo assim que for gravada. Uma retenção legal mostra que a CoC foi mantida inteiramente no Azure. Uma retenção legal também mostra que não houve uma oportunidade de adulteração da evidência entre o momento em que as imagens de disco existiam em uma VM ativa e quando elas foram adicionadas como evidência na conta de armazenamento.
Por fim, você pode usar a solução fornecida, como um mecanismo de integridade, para calcular os valores de hash das imagens de disco. Os algoritmos de hash suportados são: MD5, SHA256, SKEIN, KECCAK (ou SHA3).
Produção de evidências
Os investigadores precisam de acesso às evidências para que possam realizar análises e esse acesso deve ser rastreado e explicitamente autorizado.
Forneça aos investigadores uma chave de armazenamento URI de assinaturas de acesso compartilhado (SAS) para acessar as evidências. Você pode usar uma URI SAS para produzir informações de log relevantes quando o SAS gera. Você também pode obter uma cópia das provas toda vez que o SAS for usado.
Você deve colocar explicitamente os endereços IP dos investigadores que exigem acesso em uma lista de permissões no firewall de armazenamento.
Por exemplo, se uma equipe jurídica precisar transferir um VHD (disco rígido virtual) preservado, um dos dois custodiantes da equipe SOC gerará uma chave SAS URI somente leitura que expirará após oito horas. O SAS limita o acesso aos endereços IP dos investigadores a um período de tempo específico.
Finalmente, os investigadores precisam dos BEKs arquivados no cofre de chaves SOC para acessar as cópias de disco criptografadas. Um membro da equipe do SOC deve extrair os BEKs e fornecê-los por meio de canais seguros aos investigadores.
Repositório regional
Para fins de conformidade, alguns padrões ou regulamentos exigem que as evidências e toda a infraestrutura de suporte sejam mantidas na mesma região do Azure.
Todos os componentes da solução, incluindo a conta de armazenamento que arquiva evidências, são hospedados na mesma região do Azure que os sistemas investigados.
Excelência operacional
A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.
Monitoramento e alertas
O Azure fornece serviços a todos os clientes de monitoramento e alerta sobre anomalias que envolvem as respectivas assinaturas e os recursos. Esses serviços incluem:
- Microsoft Sentinel.
- Microsoft Defender para Nuvem.
- ATP (Proteção Avançada contra Ameaças do Armazenamento do Azure)
Observação
A configuração desses serviços não é descrita neste artigo.
Implantar este cenário
Siga as instruções de implantação do laboratório de CoC para criar e implantar esse cenário em um ambiente de laboratório.
O ambiente de laboratório representa uma versão simplificada da arquitetura descrita no artigo. Você implanta dois grupos de recursos na mesma assinatura. O primeiro grupo de recursos simula o ambiente de produção, abrigando evidências digitais, enquanto o segundo grupo de recursos contém o ambiente SOC.
Use o botão a seguir para implantar somente o grupo de recursos SOC em um ambiente de produção.
Observação
Se você implantar a solução em um ambiente de produção, certifique-se de que a identidade gerenciada atribuída pelo sistema da conta de automação possui as seguintes permissões:
- Um colaborador no grupo de recursos de produção da VM a ser processada. Essa função cria os instantâneos.
- Um usuário de segredos do Key Vault no Key Vault de produção que contém os BEKs. Essa função lê os BEKs.
Além disso, se o Key Vault tiver o firewall habilitado, certifique-se de que o endereço IP público da VM de trabalho do runbook híbrido é permitido através do firewall.
Configuração estendida
Você pode implantar um trabalhador de runbook híbrido no local ou em diferentes ambientes de nuvem.
Nesse cenário, você pode personalizar o runbook Copy-VmDigitalEvidence para habilitar a captura de evidências em diferentes ambientes de destino e arquivá-las no armazenamento.
Observação
O runbook Copy-VmDigitalEvidence fornecido na seção Implantar este cenário foi desenvolvido e testado somente no Azure. Para estender a solução para outras plataformas, você deve personalizar o runbook para trabalhar com essas plataformas.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Principais autores:
- Fabio Masciotra Consultor Principal
- Simone Savi | Consultor Sênior
Para ver perfis não públicos do LinkedIn, entre no LinkedIn.
Próximas etapas
Para obter mais informações sobre os recursos de proteção de dados do Azure, confira:
- Criptografia do Armazenamento do Azure para dados em repouso
- Visão geral das opções de criptografia de discos gerenciados
- Armazenar dados de blob comercialmente críticos com armazenamento imutável
Para obter mais informações sobre os recursos de log e auditoria do Azure, confira:
- Log de segurança e auditoria do Azure
- Registro em log da Análise de Armazenamento do Azure
- Logs de recursos do Azure
Para obter mais informações sobre a conformidade do Microsoft Azure, confira: