Цепочка обеспечения сохранности для компьютерной криминалистики в Azure

В этой статье описывается инфраструктура и рабочий процесс, помогающий командам предоставлять цифровые доказательства, демонстрирующие действительную цепочку опеки (CoC) в ответ на юридические запросы. В этом обсуждении описывается действительный coC на протяжении всего процесса приобретения, сохранения и доступа.

Архитектура

Архитектура соответствует принципам целевой зоны Azure, описанным в Cloud Adoption Framework для Azure.

В этом сценарии используется топология сети концентратора и периферийной сети, как показано на следующей схеме:

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

В архитектуре рабочие виртуальные машины (виртуальные машины) являются частью периферийной виртуальной сети Azure. Их диски шифруются с помощью Шифрование дисков Azure. Дополнительные сведения см. в разделе Общие сведения о параметрах шифрования управляемых дисков. В рабочей подписке Azure Key Vault хранятся ключи шифрования BitLocker виртуальных машин (BEKs).

Команда Центра операций безопасности (SOC) использует дискретную подписку azure SOC. Команда имеет эксклюзивный доступ к этой подписке, которая содержит ресурсы, которые должны быть защищены, неприминимы и отслеживаются. Учетная запись служба хранилища Azure в подписке SOC содержит копии моментальных снимков дисков в неизменяемом хранилище BLOB-объектов, а выделенное хранилище ключей сохраняет хэш-значения моментальных снимков и копии beks виртуальных машин.

В ответ на запрос на получение цифровых доказательств виртуальной машины член команды SOC входит в подписку Azure SOC и использует гибридную рабочую роль Runbook Azure виртуальной машины службы автоматизации службы автоматизации для выполнения модуля Runbook Copy-VmDigitalEvidence. Гибридная рабочая роль Runbook службы автоматизации обеспечивает контроль над всеми механизмами, участвующими в захвате.

Модуль Runbook Copy-VmDigitalEvidence реализует следующие макросы:

1. Используйте управляемое удостоверение, назначаемое системой , для учетной записи службы автоматизации для входа в Azure и доступа к ресурсам целевой виртуальной машины, а также другим службам Azure, необходимым для решения.
2. Создайте моментальные снимки дисков операционной системы виртуальной машины (ОС) и дисков данных.
3. Передайте моментальные снимки в неизменяемое хранилище BLOB-объектов подписки SOC и во временной общей папке.
4. Вычислить хэш-значения моментальных снимков с помощью копии, хранящейся в общей папке.
5. Сохраните полученные хэш-значения и BEK виртуальной машины в хранилище ключей SOC.
6. Удалите все копии моментальных снимков, кроме неизменяемого хранилища BLOB-объектов.

Компоненты

• служба автоматизации Azure автоматизирует частые, трудоемкие и подверженные ошибкам задачи управления облачными клиентами. Он используется для автоматизации процесса записи и передачи моментальных снимков дисков виртуальной машины для обеспечения целостности доказательств.
• Хранилище — это облачное хранилище, которое включает в себя объект, файл, диск, очередь и хранилище таблиц. Он размещает моментальные снимки дисков в неизменяемом хранилище BLOB-объектов, чтобы сохранить доказательства в неизменяемом и неизменяемом состоянии.
• Хранилище BLOB-объектов Azure предоставляет оптимизированное облачное хранилище объектов, которое управляет большим объемом неструктурированных данных. Он предлагает оптимизированное облачное хранилище объектов для хранения моментальных снимков дисков в виде неизменяемых больших двоичных объектов.
• Общие папки службы "Файлы Azure". Вы можете одновременно подключать общие ресурсы через облачные или локальные развертывания Windows, Linux и macOS. Кроме того, вы можете кэшировать общие папки Azure на серверах Windows Server с помощью службы "Синхронизация файлов Azure" для быстрого доступа к расположению использования данных. Он используется в качестве временного репозитория для вычисления хэш-значений моментальных снимков дисков.
• Key Vault помогает защитить криптографические ключи и другие секреты, используемые облачными приложениями и службами. Он используется для хранения ключей шифрования BitLocker и хэш-значений моментальных снимков дисков, чтобы обеспечить безопасный доступ и целостность.
• Идентификатор Microsoft Entra — это облачная служба удостоверений, которая помогает управлять доступом к Azure и другим облачным приложениям. Он используется для управления доступом к ресурсам Azure, обеспечивая безопасное управление удостоверениями.
• Azure Monitor поддерживает операции в масштабе, помогая повысить производительность и доступность ресурсов, а также заранее определить потенциальные проблемы. Он архивирует журналы действий для аудита всех соответствующих событий в целях соответствия требованиям и мониторинга.

Автоматизация

Команда SOC использует учетную запись службы автоматизации для создания и обслуживания модуля Runbook Copy-VmDigitalEvidence. Команда также использует службы автоматизации для создания гибридных рабочих ролей Runbook, которые выполняют модуль Runbook.

Гибридная рабочая роль runbook

Виртуальная машина гибридной рабочей роли Runbook интегрирована в учетную запись службы автоматизации. Команда SOC использует эту виртуальную машину исключительно для выполнения модуля Runbook Copy-VmDigitalEvidence.

Необходимо разместить гибридную рабочую рабочую виртуальную машину Runbook в подсети, которая может получить доступ к учетной записи хранения. Настройте доступ к учетной записи хранения, добавив подсеть гибридной рабочей виртуальной машины Runbook в правила списка разрешений брандмауэра учетной записи хранения.

Необходимо предоставить доступ к этой виртуальной машине только членам команды SOC для действий по обслуживанию.

Чтобы изолировать виртуальную сеть, используемую виртуальной машиной, избежать подключения этой виртуальной сети к концентратору.

Гибридная рабочая роль Runbook использует управляемое удостоверение , назначаемое системой автоматизации, для доступа к ресурсам целевой виртуальной машины и другим службам Azure, необходимым для решения.

Минимальные разрешения управления доступом на основе ролей (RBAC), которые должны быть назначены управляемому удостоверению, назначаемого системой, классифицируются в двух категориях:

• Доступ к архитектуре SOC Azure, содержащей основные компоненты решения
• Доступ к целевой архитектуре, содержащей ресурсы целевой виртуальной машины

Доступ к архитектуре SOC Azure включает следующие роли:

• Участник учетных записей хранения в неизменяемой учетной записи хранения SOC.
• Специалист по секретам Key Vault в хранилище ключей SOC для управления BEK

Доступ к целевой архитектуре включает следующие роли:

• Участник в группе ресурсов целевой виртуальной машины, который предоставляет права на выполнение моментального снимка на дисках виртуальных машин.
• офицер секретов Key Vault в хранилище ключей целевой виртуальной машины, используемом для хранения BEK, только если RBAC используется для управления доступом к Key Vault.
• Политика доступа для получения секрета в хранилище ключей целевой виртуальной машины, используемом для хранения BEK, только если политика доступа используется для управления доступом Key Vault

Учетная запись хранения Azure

Учетная запись служба хранилища Azure в подписке SOC размещает моментальные снимки дисков в контейнере, настроенном с политикой юридического удержания в качестве неизменяемого хранилища BLOB-объектов Azure. Неизменяемое хранилище BLOB-объектов хранит критически важные для бизнеса объекты данных в состоянии записи, считывает много (WORM), что делает данные недоступными и неуправляемыми для указанного пользователем интервала.

Обязательно включите свойства брандмауэра безопасной передачи и хранилища. Брандмауэр предоставляет доступ только из виртуальной сети SOC.

Учетная запись хранения также размещает общую папку Azure в качестве временного репозитория, используемого для вычисления хэш-значения моментального снимка.

Azure Key Vault

Подписка SOC имеет собственный экземпляр Key Vault, в котором размещена копия BEK, которая Шифрование дисков Azure используется для защиты целевой виртуальной машины. Первичная копия хранится в хранилище ключей, используемом целевой виртуальной машиной, что позволяет целевой виртуальной машине продолжать обычные операции.

Хранилище ключей SOC также сохраняет хэш-значения моментальных снимков дисков, вычисляемых гибридной рабочей ролью Runbook во время операций записи.

Убедитесь, что брандмауэр включен в хранилище ключей. Он должен предоставить доступ исключительно из виртуальной сети SOC.

Служба Log Analytics

Рабочая область Log Analytics хранит журналы действий, используемые для аудита всех соответствующих событий в подписке SOC. Log Analytics — это функция монитора.

Подробности сценария

Цифровая криминалистика — это наука, которая занимается вопросами восстановления и исследования цифровых данных для поддержки расследования уголовных дел или гражданских разбирательств. Компьютерная экспертиза — это ветвь цифровой судебной экспертизы, которая фиксирует и анализирует данные с компьютеров, виртуальных машин и цифровых носителей хранилища.

Компании должны гарантировать, что цифровые доказательства, предоставляемые в ответ на юридические запросы, демонстрируют действительный coC на протяжении всего процесса приобретения, сохранения и доступа.

Потенциальные варианты использования

• Команда SOC компании может реализовать это техническое решение для поддержки допустимого coC для цифровых доказательств.
• Следователи могут присоединять копии дисков, полученные с помощью этого метода, на компьютере, выделенном для судебно-судебного анализа. Они могут присоединять копии дисков без включения или доступа к исходной виртуальной машине.

Соответствие нормативным требованиям CoC

Если необходимо отправить предлагаемое решение в процесс проверки соответствия нормативным требованиям, рассмотрите материалы в разделе "Рекомендации" во время процесса проверки решения CoC.

Рекомендации

Принципы, проверяющие это решение как coC, представлены в этом разделе.

Чтобы обеспечить допустимую цепочку CoC, для хранилища цифровых доказательств необходимо настроить соответствующее управление доступом, защиту и сохранение целостности данных, систему мониторинга и оповещений, а также ведение журнала и аудит.

Соответствие стандартам безопасности и нормативным требованиям

При проверке решения CoC одно из требований для оценки является соответствие стандартам безопасности и нормативным требованиям.

Все компоненты, включенные в архитектуру , — это стандартные службы Azure, основанные на основе основы, которая поддерживает доверие, безопасность и соответствие требованиям.

Azure имеет широкий спектр сертификатов соответствия, включая сертификаты, относящиеся к странам или регионам, а также для ключевых отраслей, таких как здравоохранение, правительство, финансы и образование.

Обновленные отчеты аудита с информацией о соответствии стандартам для служб, принятых в этом решении, см . на портале управления безопасностью служб.

Служба хранилища Azure Cohasset: SEC 17a-4(f) и CFTC 1.31(c)-(d) Оценка соответствия предоставляет подробные сведения о следующих требованиях:

• Комиссия по ценным бумагам и биржам (SEC) в 17 CFR § 240.17a-4(f), которая регулирует членов биржи, брокеров или дилеров.
• Правило 4511(c), которое откладывает требования к формату и мультимедиа правила SEC 17a-4(f).
• Торговая комиссия по торговле сырьевыми фьючерсами (CFTC) в регулировании 17 CFR § 1.31(c)-(d), которая регулирует торговлю сырьевыми фьючерсами.

Это мнение Cohasset о том, что хранилище с неизменяемым компонентом хранилища BLOB-объектов и параметром блокировки политики сохраняет большие двоичные объекты на основе времени (записи) в неизменяемом и неизменяемом формате и соответствует соответствующим требованиям к хранилищу правила SEC 17a-4(f), правила FINRA 4511(c) и принципов, основанных на правилах CFTC 1.31(c)-(d).

Предоставление прав по принципу минимальных разрешений

Когда роли команды SOC назначены, только два человека в команде, называемые хранителями команды SOC, должны иметь права на изменение конфигурации RBAC подписки и ее данных. Предоставьте другим пользователям только минимальные права доступа к подмножествам данных, которые им нужно выполнить. Настройка и принудительное применение доступа через Azure RBAC.

Минимальный доступ

Только виртуальная сеть в подписке SOC имеет доступ к учетной записи хранения SOC и хранилищу ключей, которые архивирует доказательства.

Временный доступ к хранилищу SOC предоставляется следователям, которым требуется доступ к доказательствам. Авторизованные члены команды SOC могут предоставить этому доступу.

Получение доказательства

Журналы аудита Azure могут документирует получение доказательств, записав действие создания моментального снимка диска виртуальной машины, включая сведения, например, кто принял моментальные снимки и когда.

Целостность доказательства

Использование автоматизации для перемещения доказательств в окончательное место назначения архива без вмешательства человека гарантирует, что артефакты доказательств не были изменены.

При применении политики юридического удержания к целевому хранилищу доказательства немедленно заморожены, как только он написан. Юридическое удержание демонстрирует, что CoC полностью поддерживается в Azure. Он также указывает, что с момента изменения образов дисков на динамической виртуальной машине нет возможности изменения в качестве доказательств в учетной записи хранения.

Наконец, можно использовать предоставленное решение в качестве механизма целостности для вычисления хэш-значений образов дисков. Поддерживаемые хэш-алгоритмы: MD5, SHA256, SKEIN, KECCAK (или SHA3).

Создание доказательства

Следователям нужен доступ к доказательствам, чтобы они могли выполнять анализы, и этот доступ должен отслеживаться и явно авторизован.

Предоставьте следователям ключ хранилища URI с подписанными URL-адресами (SAS) для доступа к доказательствам. Универсальный код ресурса (URI) SAS может создавать соответствующие сведения журнала при его создании, и при каждом использовании SAS можно получить копию доказательств.

Например, если юридической группе необходимо передать сохраненный виртуальный жесткий диск (VHD), один из двух хранителей команды SOC создает ключ URI SAS только для чтения, срок действия которого истекает через восемь часов. SAS ограничивает доступ к следователям в течение указанного интервала времени.

Кроме того, команда SOC должна явно разместить IP-адреса следователей, которым требуется доступ к списку разрешений в брандмауэре хранилища.

Наконец, следователям требуется архивированные пакеты BEK в хранилище ключей SOC для доступа к зашифрованным копиям дисков. Член команды SOC должен извлечь BEKs и предоставить их через безопасные каналы следователям.

Региональное хранение

Для соответствия некоторым стандартам или нормативным требованиям требуются доказательства и инфраструктура поддержки, которые будут поддерживаться в одном регионе Azure.

Все компоненты решения, включая учетную запись хранения, которая архивирует доказательства, размещаются в том же регионе Azure, что и исследуемые системы.

Эффективность работы

Операционное превосходство охватывает процессы, которые развертывают приложение и обеспечивают непрерывную работу в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

Мониторинг и оповещения

Azure предлагает службы всем клиентам для мониторинга и оповещения о аномалиях, связанных с их подписками и ресурсами. К этим службам относятся:

• Microsoft Sentinel.
• Microsoft Defender для облака.
• Microsoft Defender для хранилища.

Развертывание этого сценария

Следуйте инструкциям по развертыванию лаборатории CoC, чтобы создать и развернуть этот сценарий в лабораторной среде.

Лабораторная среда представляет упрощенную версию архитектуры, описанной в статье. Вы развертываете две группы ресурсов в одной подписке. Первая группа ресурсов имитирует рабочую среду, цифровые доказательства жилья, а вторая группа ресурсов содержит среду SOC.

Используйте следующую кнопку, чтобы развернуть только группу ресурсов SOC в рабочей среде.

Расширенная конфигурация

Вы можете развернуть гибридную рабочую роль Runbook в локальной среде или в разных облачных средах.

В этом сценарии необходимо настроить модуль Runbook Copy‑VmDigitalEvidence, чтобы обеспечить сбор доказательств в разных целевых средах и архивировать их в хранилище.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Основные авторы:

• Fabio Masciotra | Главный консультант
• Симона Сави | Старший консультант

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

Дополнительные сведения о возможностях защиты данных Azure см. на следующих страницах:

• Шифрование службы хранилища Azure для неактивных данных
• Общие сведения о параметрах шифрования управляемых дисков
• Хранение критически важных для бизнеса данных большого двоичного объекта с помощью неизменяемого хранилища

Дополнительные сведения о возможностях ведения журналов и аудита Azure см. на следующих страницах:

• Ведение журнала и аудит безопасности Azure
• Ведение журнала Аналитики Службы хранилища Azure
• Журналы ресурсов Azure

Дополнительные сведения о соответствии Microsoft Azure см. в следующей статье:

• Соответствие Azure нормативным требованиям
• предложения Microsoft по соблюдению нормативных требований

Связанный ресурс

• Проектирование архитектуры безопасности