本文說明基礎結構和工作流程程式,以協助小組提供數字證據,以示範有效的監管鏈結,以回應法律要求。 此討論會在整個辨識項擷取、保留和存取程序中引導有效的CoC。
注意
本文以作者的理論和實踐知識為基礎。 在您將其用於法律用途之前,請先向您的法律部門驗證其適用性。
架構
架構設計遵循 Azure 雲端採用架構 中所述的 Azure 登陸區域原則。
此案例使用中樞和輪輻網路拓撲,如下圖所示:
下載此架構的 Visio 檔案。
工作流程
在架構中,生產虛擬機(VM)是輪輻 Azure 虛擬網路的一部分。 其磁碟會以 Azure 磁碟加密 加密。 如需詳細資訊,請參閱受控磁碟加密選項概觀。 在生產訂用帳戶中,Azure 金鑰保存庫 會儲存 VM 的 BitLocker 加密密鑰 (BEK)。
注意
此案例也適用於具有未加密磁碟的生產 VM。
安全性作業中心 (SOC) 小組會使用離散的 Azure SOC 訂用帳戶。 小組具有該訂用帳戶的獨佔存取權,其中包含必須受到保護、不可侵犯和監視的資源。 SOC 訂用帳戶中的 Azure 儲存體 帳戶會裝載固定 Blob 記憶體中磁碟快照集的復本,而專用密鑰保存庫會保留快照集的哈希值和 VM BEK 的複本。
為了回應擷取 VM 數位辨識項的要求,SOC 小組成員會登入 Azure SOC 訂用帳戶,並使用 AutomationVM Azure 混合式 Runbook 背景工作角色來執行 Copy-VmDigitalEvidence Runbook。
自動化混合式 Runbook 背景工作角色可控制擷取所涉及的所有機制。
Copy-VmDigitalEvidence Runbook 會實作下列巨集步驟:
- 使用自動化帳戶 系統指派的受控識別 來登入 Azure 並存取目標 VM 的資源,以及解決方案所需的其他 Azure 服務。
- 產生 VM作系統 (OS) 和數據磁碟的磁碟快照集。
- 將快照集傳送至SOC訂用帳戶的固定 Blob 記憶體和暫存檔案共用中。
- 使用儲存在檔案共用上的復本來計算快照集的哈希值。
- 將取得的哈希值和 VM 的 BEK 儲存在 SOC 金鑰保存庫中。
- 拿掉快照集的所有複本,但不可變 Blob 記憶體中的複本除外。
注意
生產 VM 的加密磁碟也可以使用金鑰加密金鑰(KEK)。
部署案例中提供的 Copy-VmDigitalEvidence Runbook 未涵蓋此案例。
元件
- Azure 自動化 自動化頻繁、耗時且容易出錯的雲端管理工作。 它用來自動化擷取和傳輸 VM 磁碟快照集的程式,以確保辨識項完整性。
- 記憶體是雲端記憶體解決方案,其中包含物件、檔案、磁碟、佇列和數據表記憶體。 它會裝載不可變 Blob 記憶體中的磁碟快照集,以保留處於不可轉譯和不可編輯狀態的辨識項。
- Azure Blob 儲存體 提供優化的雲端物件記憶體,可管理大量的非結構化數據。 它提供優化的雲端物件記憶體,以將磁碟快照集儲存為不可變的 Blob。
- Azure 檔案儲存體共用。 您可以透過 Windows、Linux 和 macOS 的雲端或內部部署部署,同時掛接共用。 此外,您可以使用 Azure 檔案同步在 Windows Server 上快取 Azure 檔案共用,以在數據使用量位置附近快速存取。 它用來做為暫存存放庫來計算磁碟快照集的哈希值。
- 金鑰保存庫 可協助您保護雲端應用程式和服務所使用的密碼編譯密鑰和其他秘密。 它用來儲存 BitLocker 加密金鑰 (BEK) 和磁碟快照集的哈希值,以確保安全存取和完整性。
- Microsoft Entra ID 是雲端式身分識別服務,可協助您控制 Azure 和其他雲端應用程式的存取。 它用來控制 Azure 資源的存取權,以確保安全的身分識別管理。
- Azure 監視器 可協助您將資源的效能和可用性最大化,同時主動找出潛在問題,以大規模支援您的作業。 它會封存活動記錄,以稽核所有相關事件以進行合規性和監視。
自動化
SOC 小組會使用 自動化 帳戶來建立和維護 Copy-VmDigitalEvidence Runbook。 小組也會使用自動化 來建立執行 Runbook 的混合式 Runbook 背景工作角色。
混合式 Runbook 背景工作角色
混合式 Runbook 背景工作角色 VM 已整合到自動化帳戶中。 SOC 小組會專門使用此 VM 來執行 Copy-VmDigitalEvidence Runbook。
您必須將混合式 Runbook 背景工作角色 VM 放在可存取記憶體帳戶的子網中。 將混合式 Runbook 背景工作角色 VM 子網新增至記憶體帳戶的防火牆允許清單規則,以設定記憶體帳戶的存取權。
您必須只將此 VM 的存取權授與 SOC 小組成員,才能進行維護活動。
若要隔離 VM 所使用的虛擬網路,請避免將該虛擬網路連線到中樞。
混合式 Runbook 背景工作角色會使用 自動化系統指派的受控識別 來存取目標 VM 的資源,以及解決方案所需的其他 Azure 服務。
必須指派給系統指派受控識別的最低角色型訪問控制 (RBAC) 許可權分為兩個類別:
- SOC Azure 架構的存取權,其中包含解決方案核心元件
- 包含目標 VM 資源的目標架構存取許可權
SOC Azure 架構的存取權包含下列角色:
- SOC 不可變記憶體帳戶上的記憶體帳戶參與者
- #D2D1C1B8B91D7489B9EDA2BCE1E340801 BEK 管理 SOC 金鑰保存庫上的秘密官員
存取目標架構包含下列角色:
- 目標 VM 資源群組上的參與者 ,其提供 VM 磁碟的快照集許可權
- 金鑰保存庫秘密官員 目標 VM 用來儲存 BEK 的金鑰保存庫,只有當 RBAC 用來控制 Key Vault 存取權時
- 存取原則 在用來儲存 BEK 的目標 VM 金鑰保存庫上取得秘密,只有當存取原則用來控制 Key Vault 存取權時
注意
若要讀取 BEK,必須可從混合式 Runbook 背景工作角色 VM 存取目標 VM 的金鑰保存庫。 如果密鑰保存庫的防火牆已啟用,請確定允許透過防火牆的混合式 Runbook 背景工作角色 VM 的公用 IP 位址。
Azure 儲存體帳戶
SOC 訂用帳戶中的 Azure 儲存體 帳戶會將磁碟快照集裝載在以合法保留原則設定為 Azure 固定 Blob 記憶體的容器中。 不可變的 Blob 記憶體會將業務關鍵性資料物件儲存在寫入一 次、讀取許多 (WORM) 狀態,讓數據無法復原且無法編輯使用者指定的間隔。
請務必啟用 安全傳輸 和 記憶體防火牆 屬性。 防火牆只會從SOC虛擬網路授與存取權。
記憶體帳戶也會裝載 Azure 檔案共享 作為用來計算快照集哈希值的暫存存放庫。
Azure Key Vault
SOC 訂用帳戶有自己的 金鑰保存庫 實例,其裝載 Azure 磁碟加密 用來保護目標 VM 的 BEK 複本。 主要復本會儲存在目標 VM 所使用的金鑰保存庫中,讓目標 VM 能夠繼續正常作業。
SOC 金鑰保存庫也會儲存在擷取作業期間由混合式 Runbook 背景工作角色計算的磁碟快照集哈希值。
確定金鑰保存庫上已啟用防火牆。 它必須僅授與SOC虛擬網路的存取權。
Log Analytics
Log Analytics 工作區會儲存用來稽核 SOC 訂用帳戶上所有相關事件的活動記錄。 Log Analytics 是監視器的功能。
案例詳細資料
數位鑑識是一門處理數位資料復原和調查的科學,以支援刑事調查或民事訴訟。 計算機鑑識是數位鑑識的分支,可從計算機、VM 和數位儲存媒體擷取和分析數據。
公司必須保證他們提供的數字證據,以回應法律要求,在整個證據取得、保存和存取過程中都證明有效的 CoC。
潛在使用案例
- 公司的SOC小組可以實作此技術解決方案,以支援有效的CoC數位辨識項。
- 調查人員可以在專用於鑑識分析的計算機上,附加使用這項技術取得的磁碟副本。 他們可以連結磁碟復本,而不需開啟電源或存取原始來源 VM。
CoC 法規合規性
如果需要將建議的解決方案提交至法規合規性驗證程式,請考慮 CoC 解決方案驗證程式期間考慮一節中的數據。
注意
您應該在驗證過程中讓法律部門參與其中。
考量
本節將說明驗證此解決方案為 CoC 的原則。
若要確保有效的 CoC,數位證據儲存體必須表明足夠的存取控制、資料保護和完整性、監視和警示,以及記錄和稽核。
符合安全性標準和法規
當您驗證 CoC 解決方案時,要評估的其中一個需求是符合安全性標準和法規。
架構中包含的所有元件都是以支援信任、安全性和合規性的基礎為基礎的 Azure 標準服務。
Azure 具有廣泛的合規性認證,包括國家或地區特有的認證,以及醫療保健、政府、金融和教育等重要產業。
如需更新的稽核報告,其中包含此解決方案中採用之服務的標準合規性資訊,請參閱 服務信任入口網站。
Cohasset 的 Azure 儲存體:SEC 17a-4(f) 和 CFTC 1.31(c)-(d) 合規性評估提供下列需求的詳細數據:
- 證券交易委員會(SEC)在17個CFR - 240.17a-4(f),監管交易所成員,經紀人或轉銷商。
- 金融業監管局 (FINRA) 規則 4511(c),其遵循 SEC 規則 17a-4(f) 的格式和媒體要求。
- 商品期貨交易委員會(CFTC)在監管商品期貨交易的17個CFR - 1.31(c)-(d),監管商品期貨交易。
Cohasset 認為,記憶體具有 Blob 記憶體和原則鎖定選項的固定記憶體功能,以不可轉譯和不可寫入的格式保留 以時間為基礎的 Blob(記錄),並符合 SEC 規則 17a-4(f)、FINRA 規則 4511(c)的相關儲存需求,以及 CFTC 規則 1.31(c)-(d) 的原則型需求。
最低權限
指派SOC小組的角色時,小組內只有兩個人,稱為SOC小組監管人,應該有權修改訂用帳戶的 RBAC 組態及其數據。 只授與其他個人對執行其工作所需之數據子集的最小訪問許可權。 設定並強制執行透過 Azure RBAC 的存取。
最低存取權
只有SOC訂用帳戶中的虛擬網路可以存取封存辨識項的SOC記憶體帳戶和金鑰保存庫。
SOC 記憶體的暫時存取權會提供給需要存取辨識項的調查人員。 授權的SOC小組成員可以授與此存取權。
辨識項
Azure 稽核記錄可以記錄擷取 VM 磁碟快照集的動作來記錄辨識項擷取,包括擷取快照集和時間等詳細數據。
辨識項完整性
使用 自動化 將辨識項移至其最終封存目的地,而不需人為介入,就保證不會改變辨識項成品。
當您將法律保留原則套用至目的地記憶體時,證據會在寫入后立即凍結。 法律保留證明 CoC 已在 Azure 內完全維護。 它也會指出,當磁碟映像儲存為記憶體帳戶中的辨識項時,沒有機會竄改磁碟映像在即時 VM 上的辨識項。
最後,您可以使用所提供的解決方案作為完整性機制,以計算磁碟映像的哈希值。 支援的哈希演算法包括:MD5、SHA256、SKEIN、KECCAK(或 SHA3)。
辨識項生產
調查人員需要存取證據,才能執行分析,而且必須追蹤並明確授權此存取權。
為調查人員提供 共用存取簽章 (SAS) URI 記憶體密鑰,以存取辨識項。 SAS URI 可以在建立時產生相關的記錄資訊,而且您可以在每次使用 SAS 時取得辨識項複本。
例如,如果法律小組需要轉移保留的虛擬硬碟(VHD),則兩個 SOC 小組監管人之一會產生在八小時後到期的唯讀 SAS URI 密鑰。 SAS 會限制在指定的時間範圍內存取調查人員。
此外,SOC 小組必須明確放置需要存取記憶體防火牆允許清單之調查人員的IP位址。
最後,調查人員需要封存於SOC金鑰保存庫中的BEK,才能存取加密的磁碟復本。 SOC 小組成員必須擷取 BEK,並透過安全通道提供給調查人員。
區域商店
為了符合規範,某些標準或法規需要辨識項和支援基礎結構,才能在相同的 Azure 區域中維護。
所有解決方案元件,包括封存辨識項的記憶體帳戶,都裝載在與所調查系統相同的 Azure 區域中。
卓越營運
卓越營運包含部署應用程式的程式,並確保其在生產環境中的持續作業。 如需詳細資訊,請參閱卓越營運支柱的概觀 (部分機器翻譯)。
監視和警示
Azure 為所有客戶提供服務,以監視和警示與其訂用帳戶和資源相關的異常狀況。 這些服務包括:
注意
本文並未說明這些服務的設定。
部署此案例
請遵循 CoC 實驗室部署指示,在實驗室環境中建置和部署此案例。
實驗室環境代表本文所述架構的簡化版本。 您會在相同的訂用帳戶內部署兩個資源群組。 第一個資源群組會模擬生產環境、住房數字辨識項,而第二個資源群組則保存SOC環境。
使用下列按鈕,在生產環境中只部署SOC資源群組。
注意
如果您在生產環境中部署解決方案,請確定自動化帳戶的系統指派受控識別具有下列許可權:
- 要處理的 VM 生產資源群組中的參與者。 此角色會建立快照集。
- 金鑰保存庫 保存 BEK 的生產金鑰保存庫中的秘密使用者。 此角色會讀取 BEK。
此外,如果金鑰保存庫已啟用防火牆,請確定允許透過防火牆的混合式 Runbook 背景工作角色 VM 的公用 IP 位址。
擴充組態
您可以在內部部署或不同的雲端環境中部署混合式 Runbook 背景工作角色。
在此案例中,您必須自定義 Copy‑VmDigitalEvidence Runbook,以在不同的目標環境中擷取辨識項,並將其封存於記憶體中。
注意
部署此案例一節中提供的 Copy-VmDigitalEvidence Runbook 只在 Azure 中開發及測試。 若要將解決方案延伸至其他平臺,您必須自定義 Runbook 以使用這些平臺。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Fabio Masciotra |首席顧問
- Simone Savi |資深顧問
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
如需 Azure 資料保護功能的詳細資訊,請參閱:
如需 Azure 記錄和稽核功能的詳細資訊,請參閱:
如需Microsoft Azure 合規性的詳細資訊,請參閱: