Počítačový forenzní řetězec opatrovnictví v Azure

Tento článek popisuje proces infrastruktury a pracovního postupu, který pomáhá týmům poskytovat digitální důkazy, které demonstrují platný řetěz opatrovnictví (CoC) v reakci na právní žádosti. Tato diskuze vás provede platným coC v rámci procesů získávání, uchovávání důkazů a přístupu.

Architektura

Návrh architektury se řídí principy cílových zón Azure, které jsou popsané v architektuře přechodu na cloud pro Azure.

Tento scénář používá hvězdicovou síťovou topologii, jak je znázorněno v následujícím diagramu:

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

V architektuře jsou produkční virtuální počítače součástí paprskové virtuální sítě Azure. Jejich disky jsou šifrované pomocí služby Azure Disk Encryption. Další informace najdete v tématu Přehled možností šifrování spravovaných disků. Azure Key Vault ukládá v produkčním předplatném šifrovací klíče BitLockeru (BEK) virtuálních počítačů.

Tým pro řízení systému a organizace (SOC) používá samostatné předplatné Azure SOC . Tým má výhradní přístup k danému předplatnému, který obsahuje prostředky, které musí být chráněny, inviolovatelné a monitorované. Účet azure Storage v předplatném SOC hostuje kopie snímků disků v neměnném úložišti objektů blob a vyhrazený trezor klíčů uchovává hodnoty hash snímků a kopie sad BEK virtuálních počítačů.

V reakci na žádost o zachycení digitálních důkazů virtuálního počítače se člen týmu SOC přihlásí k předplatnému Azure SOC a k implementaci runbooku Copy-VmDigitalEvidence použije virtuální počítač pracovního procesu Runbooku Azure ve službě Automation . Funkce Hybrid Runbook Worker služby Automation poskytuje kontrolu nad všemi mechanismy, které jsou součástí zachycení.

Runbook Copy-VmDigitalEvidence implementuje tyto kroky makra:

1. Přihlaste se k Azure pomocí spravované identity přiřazené systémem pro účet Automation pro přístup k prostředkům cílového virtuálního počítače a dalším službám Azure vyžadovaným řešením.
2. Vytvořte snímky disků pro operační systém virtuálního počítače a datové disky.
3. Zkopírujte snímky do neměnného úložiště objektů blob předplatného SOC a do dočasné sdílené složky.
4. Vypočítejte hodnoty hash snímků pomocí kopie ve sdílené složce.
5. Zkopírujte získané hodnoty hash a bek virtuálního počítače v trezoru klíčů SOC.
6. Vyčistěte všechny kopie snímků s výjimkou kopie v neměnném úložišti objektů blob.

Komponenty

• Azure Automation automatizuje časté, časově náročné a náchylné úlohy správy cloudu k chybám.
• Úložiště je řešení cloudového úložiště, které zahrnuje úložiště objektů, souborů, disků, front a tabulek.
• Azure Blob Storage poskytuje optimalizované cloudové úložiště objektů, které spravuje obrovské objemy nestrukturovaných dat.
• Sdílené složky Azure Files . Sdílené složky můžete připojit souběžně cloudovým nebo místním nasazením systémů Windows, Linux a macOS. Sdílené složky Azure Files můžete také ukládat do mezipaměti na Windows Serverech s Synchronizace souborů Azure pro rychlý přístup poblíž místa, kde se data používají.
• Azure Monitor podporuje vaše operace ve velkém měřítku tím, že vám pomůže maximalizovat výkon a dostupnost vašich prostředků a proaktivně identifikovat problémy.
• Key Vault pomáhá chránit kryptografické klíče a další tajné kódy používané cloudovými aplikacemi a službami.
• Microsoft Entra ID je cloudová služba identit, která pomáhá řídit přístup k Azure a dalším cloudovým aplikacím.

Automation

Tým SOC používá účet Automation k vytvoření a údržbě runbooku Copy-VmDigitalEvidence. Tým také používá automatizaci k vytvoření hybridních pracovních procesů runbooku, které pracují s runbookem.

Hybrid Runbook Worker

Hybridní virtuální počítač Runbook Worker je součástí účtu Automation. Tým SOC používá tento virtuální počítač výhradně k implementaci runbooku Copy-VmDigitalEvidence.

Virtuální počítač Hybrid Runbook Worker musíte umístit do podsítě, která má přístup k účtu úložiště. Nakonfigurujte přístup k účtu úložiště přidáním podsítě virtuálního počítače Hybrid Runbook Worker do pravidel povolených seznamů firewallů účtu úložiště.

Přístup k tomuto virtuálnímu počítači musíte udělit pouze členům týmu SOC pro aktivity údržby.

Pokud chcete izolovat virtuální síť, kterou virtuální počítač používá, nepřipojujte tuto virtuální síť k centru.

Hybrid Runbook Worker používá spravovanou identitu přiřazenou systémem automation pro přístup k prostředkům cílového virtuálního počítače a dalším službám Azure, které řešení vyžaduje.

Minimální oprávnění řízení přístupu na základě role (RBAC), která musí být přiřazena spravované identitě přiřazené systémem, jsou klasifikována ve dvou kategoriích:

• Přístupová oprávnění k architektuře Azure SOC obsahující základní komponenty řešení
• Přístupová oprávnění k cílové architektuře obsahující cílové prostředky virtuálního počítače

Přístup k architektuře Azure SOC zahrnuje následující role:

• Role Přispěvatel účtů úložiště v účtu neměnného úložiště SOC
• Key Vault Secrets Officer v trezoru klíčů SOC pro správu BEK

Přístup k cílové architektuře zahrnuje následující role:

• Role Přispěvatel ve skupině prostředků cílového virtuálního počítače, která poskytuje práva k snímkům na discích virtuálního počítače
• Key Vault Secrets Officer na trezoru klíčů cílového virtuálního počítače použitém k uložení klíče BEK, pouze pokud se pro trezor klíčů používá RBAC
• Zásady přístupu pro získání tajného kódu v trezoru klíčů cílového virtuálního počítače používaném k uložení klíče BEK, pouze pokud používáte zásady přístupu pro Key Vault

Účet služby Azure Storage

Účet Azure Storage v předplatném SOC hostuje snímky disků v kontejneru nakonfigurovaném se zásadami blokování z právních důvodů jako neměnné úložiště objektů blob v Azure. Neměnné úložiště objektů blob ukládá objekty pro důležité obchodní informace do stavu zápisu , číst mnoho (WORM), což znepřístupňuje data pro uživatelem zadaný interval.

Nezapomeňte povolit vlastnosti zabezpečeného přenosu a brány firewall úložiště. Brána firewall uděluje přístup pouze z virtuální sítě SOC.

Účet úložiště také hostuje sdílenou složku Azure jako dočasné úložiště pro výpočet hodnoty hash snímku.

Azure Key Vault

Předplatné SOC má vlastní instanci služby Key Vault, která hostuje kopii klíče BEK, kterou Azure Disk Encryption používá k ochraně cílového virtuálního počítače. Primární kopie se uchovává v trezoru klíčů, který používá cílový virtuální počítač, aby cílový virtuální počítač mohl pokračovat v normálním provozu.

Trezor klíčů SOC obsahuje také hodnoty hash snímků disků vypočítané funkcí Hybrid Runbook Worker během operací zachytávání.

Ujistěte se, že je v trezoru klíčů povolená brána firewall . Uděluje přístup pouze z virtuální sítě SOC.

Log Analytics

Pracovní prostor služby Log Analytics ukládá protokoly aktivit používané k auditování všech relevantních událostí v předplatném SOC. Log Analytics je funkce monitorování.

Podrobnosti scénáře

Digitální forenzní věda se zabývá obnovováním a zkoumáním digitálních dat pro účely zajištění podpory vyšetřování trestné činnosti a občanskoprávních řízení. Počítačový forenzní obor je větev digitálních forenzních věd, která zachycuje a analyzuje data z počítačů, virtuálních počítačů a digitálních úložných médií.

Společnosti musí zaručit, že digitální důkazy, které poskytují v reakci na právní žádosti, ukazují platný koC v průběhu procesu získávání, uchovávání a přístupu k důkazům.

Potenciální případy použití

• Tým Security Operation Center společnosti může implementovat toto technické řešení pro podporu platného coC pro digitální důkazy.
• Vyšetřovatelé můžou připojit kopie disku získané touto technikou na počítači vyhrazeném pro forenzní analýzu. Můžou připojit kopie disku bez zapnutí nebo přístupu k původnímu zdrojovému virtuálnímu počítači.

Dodržování právních předpisů coC

Pokud je nutné předložit navrhované řešení procesu ověření dodržování právních předpisů, zvažte materiály v části Důležité informace během procesu ověření řešení CoC.

Důležité informace

Principy, které ověřují toto řešení jako coC, jsou uvedeny v této části.

Aby se zajistil silný řetězec dozoru, úložiště digitálních důkazů musí vykazovat odpovídající řízení přístupu, ochranu a integritu dat, monitorování a upozorňování a protokolování a auditování.

Dodržování bezpečnostních standardů a předpisů

Při ověřování řešení CoC je jedním z požadavků na vyhodnocení dodržování bezpečnostních standardů a předpisů.

Všechny komponenty zahrnuté v architektuře jsou standardní služby Azure založené na základech, které podporují důvěryhodnost, zabezpečení a dodržování předpisů.

Azure má širokou škálu certifikací dodržování předpisů, včetně certifikací specifických pro země nebo oblasti, a pro klíčová odvětví, jako je zdravotnictví, státní správa, finance a vzdělávání.

Aktualizované sestavy auditu s informacemi o dodržování standardů pro služby, které jsou v tomto řešení přijaty, najdete v tématu Service Trust Portal.

Služba Azure Storage společnosti Cohasset : SEC 17a-4(f) a CFTC 1.31(c)-(d) Hodnocení dodržování předpisů poskytuje podrobnosti o následujících požadavcích:

• Komise pro cenné papíry a výměnu (SEC) v 17 CFR § 240.17a-4(f), která reguluje členy výměn, makléře nebo obchodníky.
• Regulační orgán finančního odvětví (FINRA) Pravidlo 4511(c), které vzdoruje požadavkům na formát a média pravidla SEC 17a-4(f).
• Komoditní Futures Trading Komise (CFTC) v nařízení 17 CFR § 1.31(c)-(d), který reguluje obchodování s komoditami futures.

Cohasset se domnívá, že úložiště s neměnnou funkcí uzamčení služby Blob Storage a možností uzamčení zásad uchovává objekty blob založené na čase (záznamy) v nezařazené a nepřepisovatelném formátu a splňuje relevantní požadavky na úložiště pravidla SEC Rule 17a-4(f), pravidlo FINRA 4511(c) a požadavky cfTC založené na zásadách pravidla 1.31(c)-(d).

Nejnižší možné oprávnění

Pokud jsou přiřazeny role týmu SOC, měli by mít oprávnění ke změně konfigurace RBAC předplatného a jeho dat pouze dva jednotlivci v týmu. Udělte ostatním jednotlivcům pouze minimální přístupová práva k podmnožinám dat, které potřebují ke své práci. Nakonfigurujte a vynucujte přístup prostřednictvím Azure RBAC.

Nejnižší přístup

K účtu úložiště SOC a trezoru klíčů, který archivuje důkazy, má přístup pouze virtuální síť v předplatném SOC.

Dočasný přístup k úložišti SOC je poskytován vyšetřovatelům, kteří vyžadují přístup k důkazům. Oprávnění členové týmu SOC můžou udělit přístup.

Získání důkazů

Protokoly auditu Azure můžou zobrazit pořízení důkazů tím, že zaznamenávají akci pořízení snímku disku virtuálního počítače s prvky, jako je například to, kdo snímky pořídil a kdy.

Integrita důkazů

Použití služby Automation k přesunu důkazů do konečného archivního cíle bez lidského zásahu zaručuje, že artefakty důkazů nebyly změněny.

Když použijete zásadu blokování z právních důvodů na cílové úložiště, důkazy se zablokuje včas, jakmile se zapíšou. Blokování z právních důvodů ukazuje, že coC bylo v Azure udržováno zcela. Blokování z právních důvodů také ukazuje, že mezi časem, kdy image disků existovaly na živém virtuálním počítači, a kdy byly přidány jako důkazy v účtu úložiště, nebylo možné manipulovat s důkazy.

Nakonec můžete použít poskytnuté řešení jako mechanismus integrity k výpočtu hodnot hash imagí disku. Podporované hashovací algoritmy jsou: MD5, SHA256, SKEIN, KECCAK (nebo SHA3).

Předložení důkazů

Vyšetřovatelé potřebují přístup k důkazům, aby mohli provádět analýzy, a tento přístup musí být sledován a explicitně autorizovaný.

Poskytněte vyšetřovatelům sdílený přístupový podpis (SAS) klíč úložiště pro přístup k důkazům. Identifikátor URI SAS můžete použít k vytvoření relevantních informací protokolu při generování SAS. Můžete také získat kopii důkazů při každém použití sdíleného přístupového podpisu.

Ip adresy vyšetřovatelů vyžadujících přístup na seznam povolených v bráně firewall služby Storage musíte explicitně umístit.

Pokud například právní tým potřebuje přenést zachovaný virtuální pevný disk (VHD), jeden ze dvou členů týmu SOC vygeneruje klíč identifikátoru URI SAS jen pro čtení, jehož platnost vyprší po osmi hodinách. Sas omezuje přístup k IP adresám vyšetřovatelů na určitý časový rámec.

Nakonec musí vyšetřovatelé archivovat klíče BEK v trezoru klíčů SOC pro přístup k šifrovaným kopiím disku. Člen týmu SOC musí extrahovat sady BEK a poskytnout je prostřednictvím zabezpečených kanálů pro vyšetřovatele.

Místní úložiště

V případě dodržování předpisů vyžadují některé standardy nebo předpisy důkaz a infrastrukturu podpory, které se mají udržovat ve stejné oblasti Azure.

Všechny komponenty řešení, včetně účtu úložiště, který archivuje důkazy, jsou hostované ve stejné oblasti Azure jako vyšetřované systémy.

Provozní dokonalost

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Monitorování a upozorňování

Azure poskytuje všem zákazníkům služby, které monitorují a upozorňují na anomálie související s předplatnými a prostředky. Jsou to například tyto služby:

• Microsoft Sentinel.
• Microsoft Defender for Cloud.
• Azure Storage Advanced Threat Protection (ATP)

Nasazení tohoto scénáře

Postupujte podle pokynů k nasazení testovacího prostředí coC a sestavte a nasaďte tento scénář v laboratorním prostředí.

Laboratorní prostředí představuje zjednodušenou verzi architektury popsané v článku. Nasadíte dvě skupiny prostředků ve stejném předplatném. První skupina prostředků simuluje produkční prostředí, digitální důkazy o bydlení, zatímco druhá skupina prostředků obsahuje prostředí SOC.

Pomocí následujícího tlačítka nasaďte pouze skupinu prostředků SOC v produkčním prostředí.

Rozšířená konfigurace

Hybridní pracovní proces runbooku můžete nasadit místně nebo v různých cloudových prostředích.

V tomto scénáři můžete přizpůsobit runbook Copy-VmDigitalEvidence, abyste umožnili zachycení důkazů v různých cílových prostředích a archivovali je v úložišti.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autoři:

• Fabio Masciotra | Hlavní konzultant
• Simone Savi | Vedoucí konzultant

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Další informace o funkcích ochrany dat v Azure najdete tady:

• Šifrování služby Azure Storage pro neaktivní uložená data
• Přehled možností šifrování spravovaných disků
• Ukládání důležitých podnikových dat objektů blob s využitím neměnného úložiště

Další informace o funkcích protokolování a auditování v Azure najdete tady:

• Protokolování a auditování zabezpečení Azure
• Protokolování Analýzy úložiště Azure
• Protokoly prostředků Azure

Další informace o dodržování předpisů v Microsoft Azure najdete tady:

• Dodržování předpisů Azure
• Nabídky pro dodržování předpisů v Microsoft Azure

Související prostředky

• Návrh architektury zabezpečení
• Microsoft Entra IDaaS v operacích zabezpečení
• Důležité informace o zabezpečení pro vysoce citlivé aplikace IaaS v Azure