Computerforensische Verwahrungskette in Azure

Azure Automation

Azure Key Vault

Azure-Speicherkonten

In diesem Artikel wird ein Infrastruktur- und Workflowprozess beschrieben, der Teams bei der Bereitstellung digitaler Nachweise unterstützt, die eine gültige Verwahrungskette als Reaktion auf rechtliche Anfragen veranschaulicht. In diesem Artikel wird beschrieben, wie Sie eine gültige Beweiskette in den Phasen der Beweisbeschaffung, -sicherung und -zugriff gewährleisten.

Hinweis

Dieser Artikel basiert auf dem theoretischen und praktischen Wissen der Autoren. Bevor Sie sie für rechtliche Zwecke verwenden, sollten Sie ihre Anwendbarkeit mit Ihrer Rechtsabteilung abklären.

Aufbau

Das Architekturdesign folgt den prinzipien der Azure Landing Zone im Cloud Adoption Framework für Azure.

In diesem Szenario wird eine Hub-and-Spoke-Netzwerktopologie verwendet, die im folgenden Diagramm dargestellt wird.

Dieses Diagramm zeigt die Architektur der Verwahrungskette, in der die Produktions-VMs in einem Azure-Spoke-Virtualnetzwerk residieren. Die Datenträger des Computers werden mithilfe der Verschlüsselung auf dem Host über plattformverwaltete Schlüssel verschlüsselt. Ein separates, sicheres Azure-Security-Operations-Center (SOC)-Abonnement enthält ein Azure Storage-Konto, das Datenträgermomentaufnahmen im unveränderlichen Blob-Speicher hält. Das Abonnement enthält auch eine dedizierte Azure Key Vault, die die Hashwerte der Momentaufnahmen speichert. Nur das SOC-Team kann auf das Abonnement zugreifen. Wenn eine Anforderung zum Erfassen digitaler Nachweise gestellt wird, meldet sich ein SOC-Teammitglied beim SOC-Abonnement an und verwendet eine Azure Automation hybriden Runbook-Worker-VM, um das Copy-VmDigitalEvidence Runbook auszuführen. Das Runbook verwendet eine vom System zugewiesene verwaltete Identität, um auf die Ressourcen der Ziel-VM zuzugreifen und Momentaufnahmen des Betriebssystems und der Datenträger zu generieren. Sie überträgt diese Momentaufnahmen sowohl an den unveränderlichen Blob-Speicher als auch an eine temporäre Dateifreigabe, berechnet deren Hashwerte und speichert die Hashwerte im SOC-Schlüssel-Tresor. Schließlich werden alle temporären Kopien entfernt, mit Ausnahme der unveränderlichen Momentaufnahme.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Arbeitsablauf

In der Architektur sind die virtuellen Produktionscomputer (VMs) Teil eines Speichen-Azure virtuellen Netzwerks. Die VM-Datenträger werden über die Verschlüsselung auf dem Host mithilfe von plattformverwalteten Schlüsseln verschlüsselt. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.

Hinweis

Diese Architektur setzt die Verschlüsselung auf dem Host über plattformverwaltete Schlüssel voraus.

Wenn die Verschlüsselung auf Host Ihre Anforderungen nicht erfüllt, können Sie eine Verschlüsselungslösung auf Betriebssystemebene verwenden, z. B. BitLocker auf Windows oder dm-Verschlüsselung unter Linux. Diese Verschlüsselungsimplementierungen sind spezifisch für jede Umgebung und werden in diesem Artikel nicht beschrieben. Bewerten Sie Ihre Anforderungen, um den geeigneten Ansatz zu ermitteln.

Das SoC-Team (Security Operations Center) verwendet ein diskretes Azure SOC-Abonnement. Das Team hat exklusiven Zugriff auf dieses Abonnement, das die Ressourcen enthält, die geschützt, unverletzlich und überwacht werden müssen. Das Azure Storage Konto im SOC-Abonnement hostet Kopien von Datenträgermomentaufnahmen in unveränderlichem Blob-Speicher. Ein dedizierter Key Vault speichert Kopien von Hashwerten der Momentaufnahmen.

Als Reaktion auf eine Anforderung zur Erfassung des digitalen Nachweises einer VM meldet sich ein Mitglied des SOC-Teams beim Azure SOC-Abonnement an und verwendet einen Azure Hybrid-Runbook-Worker VM von Azure Automation zum Ausführen des Runbook Copy-VmDigitalEvidence. Der Hybrid-Runbook-Worker für die Automatisierung bietet Kontrolle über alle Mechanismen, die im Erfassungsvorgang enthalten sind.

Das Copy-VmDigitalEvidence Runbook implementiert die folgenden Makroschritte:

1. Verwenden Sie die system zugewiesene verwaltete Identität für ein Automatisierungskonto, um sich bei Azure anzumelden. Diese Identität gewährt Zugriff auf die Ressourcen des virtuellen Zielcomputers und die anderen Azure Dienste, die für die Lösung erforderlich sind.

2. Erstellen Sie Momentaufnahmen der Datenträger des Betriebssystems (OS) und der Datenfestplatten des virtuellen Computers.

3. Übertragen Sie die Momentaufnahmen sowohl auf den unveränderlichen Blob-Speicher des SOC-Abonnements als auch auf eine temporäre Dateifreigabe.

4. Berechnen Sie die Hashwerte der Momentaufnahmen mithilfe der Kopie, die in der Dateifreigabe gespeichert ist.

5. Speichern Sie die abgerufenen Hashwerte im SOC-Schlüsseltresor.

6. Entfernen Sie alle Kopien der Momentaufnahmen, mit Ausnahme der Kopie im unveränderlichen BLOB-Speicher.

Komponenten

• Azure Automation ist ein cloudbasierter Dienst, der operative Aufgaben mithilfe von Runbooks und Skripts automatisiert. In dieser Architektur koordiniert es den Beweiserfassungsprozess, indem das Copy-VmDigitalEvidence Runbook ausgeführt wird, um VM-Datenträger sicher zu snapshotn und zu übertragen. Dieser Prozess trägt zur Sicherstellung der Nachweisintegrität bei.

• Azure Storage ist eine skalierbare Cloudspeicherlösung für verschiedene Datentypen, einschließlich Objekt, Datei, Datenträger, Warteschlange und Tabellenspeicher. In dieser Architektur werden VM-Snapshots in unveränderlichen blob-Containern gespeichert, um digitale Nachweise in einem manipulationssicheren Format zu bewahren.

• Azure Blob Storage ist eine cloudbasierte Lösung, die den für unstrukturierten Daten optimierten Objektspeicher bereitstellt. In dieser Architektur enthält sie die unveränderlichen Momentaufnahmen von VM-Datenträgern, um die Integrität und Nichtabstreitbarkeit digitaler Nachweise sicherzustellen.

• Azure Files ist ein vollständig verwalteter Clouddateispeicherdienst, der gemeinsam genutzte Dateisysteme bereitstellt, auf die über das Branchenstandardprotokoll Server Message Block (SMB), das Network File System (NFS)-Protokoll und die Azure Files REST-API zugegriffen werden kann. Sie können Freigaben gleichzeitig in Cloud- oder lokalen Bereitstellungen von Windows, Linux und macOS einbinden. Sie können Dateifreigaben auch auf einem Windows Server zwischenspeichern, indem Sie Azure-Dateisynchronisierung verwenden, um schnellen Zugriff in der Nähe des Ortes zu erhalten, an dem die Daten genutzt werden. In dieser Architektur speichert Azure Files vorübergehend Momentaufnahmen von Datenträgern, um Hashwerte zu berechnen, bevor sie in unveränderlichen Speicher übertragen werden.

• Key Vault ist ein sicherer Clouddienst zum Verwalten von geheimen Schlüsseln, Verschlüsselungsschlüsseln und Zertifikaten. In dieser Architektur werden Hashwerte von Datenträgermomentaufnahmen gespeichert, um die Integrität digitaler Nachweise zu überprüfen.

• Microsoft Entra ID ist ein cloudbasierter Identitätsdienst, mit dem Sie den Zugriff auf Azure und andere Cloud-Apps steuern können. In dieser Architektur wird sichergestellt, dass nur autorisierte SOC-Mitarbeiter auf vertrauliche Nachweisbehandlungsvorgänge zugreifen und diese verwalten können.

• Azure Monitor ist ein Überwachungsdienst, der die Observability über Metriken, Protokolle und Warnungen bereitstellt. Es unterstützt Vorgänge im großen Maßstab, indem Sie die Leistung und Verfügbarkeit Ihrer Ressourcen maximieren und gleichzeitig potenzielle Probleme proaktiv identifizieren. In dieser Architektur werden Aktivitätsprotokolle archiviert, um Audits, Einhaltung der Vorschriften und die Nachweis- und Aufbewahrungskette zu unterstützen.

Automatisierung

Das SOC-Team verwendet ein Automation Konto, um das Copy-VmDigitalEvidence Runbook zu erstellen und zu verwalten. Das Team verwendet außerdem die Automatisierung, um die Hybrid-Runbook-Worker zu erstellen, die mit dem Runbook arbeiten.

Hybrid-Runbook-Worker

Der Hybrid-Runbook-Worker VM ist in das Automatisierungskonto integriert. Das SOC-Team verwendet diese VM ausschließlich, um das Copy-VmDigitalEvidence Runbook auszuführen.

Sie müssen den virtuellen Hybrid-Runbook-Arbeitscomputer in einem Subnetz platzieren, das auf das Speicherkonto zugreifen kann. Konfigurieren Sie den Zugriff auf das Speicherkonto, indem Sie das Subnetz der VM des hybriden Runbook-Workers zur Zulassungsliste der Firewall des Speicherkontos hinzufügen.

Gewähren Sie Zugriff auf diese VM nur für die SOC-Teammitglieder für Wartungsaktivitäten.

Um das virtuelle Netzwerk zu isolieren, das der virtuelle Computer verwendet, vermeiden Sie die Verbindung des virtuellen Netzwerks mit dem Hub.

Der Hybrid-Runbook-Worker verwendet die Automation vom System zugewiesene verwaltete Identität für den Zugriff auf die Ressourcen des virtuellen Zielcomputers und die anderen Azure Dienste, die die Lösung benötigt.

Die minimal erforderlichen Azure-rollenbasierte Zugriffssteuerungs-Berechtigungen (Azure RBAC), die für eine systemzugewiesene verwaltete Identität erforderlich sind, sind in zwei Kategorien unterteilt.

• Zugriffsberechtigungen für die SOC-Azure-Architektur, die die Kernkomponenten der Lösung enthält
• Zugriffsberechtigungen für die Zielarchitektur, die die Ziel-VM-Ressourcen enthält

Der Zugriff auf die SOC-Azure-Architektur umfasst die folgenden Rollen:

• Berechtigung Speicherkontomitwirkender für das unveränderliche SOC-Speicherkonto
• Key Vault Secrets Officer im SOC-Key Vault für die Hashwertverwaltung

Der Zugriff auf die Zielarchitektur umfasst die Rolle "Mitwirkender " in der Ressourcengruppe der Ziel-VM, die Snapshot-Rechte auf VM-Datenträgern bereitstellt.

Speicherkonto

Das Storage-Konto im SOC-Abonnement hostet die Datenträgermomentaufnahmen in einem Container, der nach einer Rechtssperre-Richtlinie als einem Azure unveränderlichen Blobspeicher konfiguriert ist. Unveränderlicher BLOB-Speicher speichert geschäftskritische Datenobjekte im Zustand einmal schreiben, viele Male lesen (WORM). Der WORM-Zustand macht die Daten für ein vom Benutzer angegebenes Intervall nicht löschbar und unangreifbar.

Stellen Sie sicher, dass Sie die sichere Übertragung und Speicherfirewall Eigenschaften aktivieren. Die Firewall gewährt nur Zugriff über das virtuelle SOC-Netzwerk.

Das Speicherkonto hostet auch eine Azure-Dateifreigabe als temporäres Repository, das zum Berechnen des Hashwerts der Momentaufnahme verwendet wird.

Key Vault

Das SOC-Abonnement hat eine eigene Instanz von Key Vault, die die Hashwerte von Datenträger-Snapshots speichert, die der Hybrid-Runbook-Worker während der Erfassungsvorgänge berechnet.

Stellen Sie sicher, dass die Firewall im Key Vault aktiviert ist. Der Zugriff muss ausschließlich über das virtuelle SOC-Netzwerk gewährt werden.

Log-Analytik

Ein Log Analytics Workspace speichert Aktivitätsprotokolle, die zum Überwachen aller relevanten Ereignisse im SOC-Abonnement verwendet werden. Log Analytics ist ein Feature von Monitor.

Details zum Szenario

Die digitale Forensik ist eine Wissenschaft, bei der es um die Wiederherstellung und Untersuchung von digitalen Daten zur Unterstützung von kriminologischen Ermittlungen oder zivilrechtlichen Maßnahmen geht. Die Computerforensik ist ein Zweig der digitalen Forensik, der Daten von Computern, VMs und digitalen Speichermedien erfasst und analysiert.

Unternehmen müssen sicherstellen, dass die digitalen Nachweise, die sie als Reaktion auf rechtliche Anfragen zur Verfügung stellen, eine gültige Verwahrungskette in den phasenweiser Beweisgewinnung, -erhaltung und -zugang nachweisen.

Mögliche Anwendungsfälle

• Das SOC-Team eines Unternehmens kann diese technische Lösung implementieren, um eine gültige Verwahrkette für digitale Nachweise zu unterstützen.

• Ermittler können Datenträgerkopien anfügen, die mithilfe dieser Technik auf einem Computer abgerufen werden, der für die forensische Analyse vorgesehen ist. Sie können die Datenträgerkopien anfügen, ohne die ursprüngliche Quell-VM zu aktivieren oder darauf zuzugreifen.

Kette der Einhaltung gesetzlicher Vorschriften

Wenn es erforderlich ist, die vorgeschlagene Lösung einem Überprüfungsprozess für die Einhaltung gesetzlicher Vorschriften zu unterziehen, sollten Sie die Materialien im Abschnitt Überlegungen während des Validierungsprozesses der Verwahrungskette berücksichtigen.

Hinweis

Sie sollten Ihre Rechtsabteilung in den Validierungsprozess aufnehmen.

Überlegungen

Diese Überlegungen implementieren die Säulen des Azure Well-Architected-Frameworks, die eine Reihe von Leitsätzen sind, die Sie verwenden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Well-Architected Framework.

Die Grundsätze, die diese Lösung als Verwahrkette überprüfen, werden in diesem Abschnitt beschrieben. Um eine gültige Verwahrungskette sicherzustellen, muss die Speicherung digitaler Nachweise eine angemessene Zugriffssteuerung, Datenschutz und Integrität, Überwachung und Warnung sowie Protokollierung und Überwachung nachweisen.

Sicherheit

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.

Einhaltung von Sicherheitsstandards und -vorschriften

Wenn Sie eine Verwahrkette überprüfen, ist eine der zu bewertenden Anforderungen die Einhaltung von Sicherheitsstandards und -vorschriften.

Alle in der architecture enthaltenen Komponenten sind Azure Standarddienste, die auf einer Grundlage basieren, die Vertrauen, Sicherheit und Compliance unterstützt.

Azure verfügt über eine breite Palette von Compliance-Zertifizierungen, einschließlich Zertifizierungen, die auf Länder oder Regionen zugeschnitten sind, und für wichtige Branchen wie Gesundheitswesen, Regierung, Finanzen und Bildung.

Weitere Informationen zu aktualisierten Überwachungsberichten, die die Einhaltung von Standards für die in dieser Lösung verwendeten Dienste detailliert festlegen, finden Sie unter Service Trust Portal.

Cohassets Azure Storage Compliancebewertung enthält Details zu den folgenden Anforderungen:

• Wertpapier- und Börsenaufsichtsbehörde (SEC) in 17 CFR § 240.17a-4(f), die die Börsenmitglieder, Makler oder Händler regelt.

• Die FINRA-Regel 4511(c), die sich auf die Format- und Medienanforderungen der SEC-Regel 17a-4(f) bezieht (Financial Industry Regulatory Authority).

• Commodity Futures Trading Commission (CFTC) in Vorschrift 17 CFR § 1.31(c)-(d), die die Regulierung des Warenterminhandels betrifft.

Cohasset vertritt die Auffassung, dass Azure Storage, mit der unveränderlichen Speicherfunktion von Blob Storage und der Richtliniensperroption, zeitbasierte Blobs (oder records) in einem nicht löschbaren und nicht umschreibbaren Format speichert und die relevanten Speicheranforderungen der SEC-Regel 17a-4(f), der FINRA-Regel 4511(c) sowie die prinzipienbasierten Anforderungen der CFTC-Regel 1.31(c)-(d) erfüllt.

Prinzip der geringsten Rechte

Wenn die Rollen des SOC-Teams zugewiesen werden, sollten nur zwei Personen im Team, die als SOC-Teamverwalter bezeichnet werden, die Rechte haben, die Azure RBACKonfiguration des Abonnements und der zugehörigen Daten zu ändern. Gewähren Sie anderen Personen nur ein Minimum an Zugriffsrechten auf Datenuntergruppen, die sie für ihre Arbeit benötigen.

Geringster Zugriff

Nur das virtuelle Netzwerk im SOC-Abonnement hat Zugriff auf das SOC-Speicherkonto und den Key Vault, in dem die Beweise archiviert werden. Autorisierte SOC-Teammitglieder können Ermittlern temporären Zugriff auf Nachweise im SOC-Speicher gewähren.

Betriebssystemdatenträgeranforderungen

Die Produktions-VMs, die der forensischen Erfassung unterliegen, müssen persistente verwaltete Betriebssystemdatenträger verwenden. Verwenden Sie keine kurzlebigen Betriebssystemdatenträger auf virtuellen Computern, auf denen digitale Nachweise erforderlich sind. Kurzlebige Betriebssystemdatenträger werden nur auf dem lokalen VM-Host gespeichert und unterstützen keine Snapshots. Da der snapshotbasierte Nachweiserfassungsworkflow von der Möglichkeit abhängt, Point-in-Time-Momentaufnahmen von Betriebssystem- und Datenträgern zu erstellen und zu übertragen, sind ephemere Betriebssystemdatenträger mit dieser Verwahrkette nicht kompatibel.

Beschaffung von Beweismaterial

Azure Überwachungsprotokolle können den Nachweiserwerb dokumentieren, indem die Aktion zum Erstellen einer VM-Datenträgermomentaufnahme aufgezeichnet wird. Die Protokolle enthalten Details, z. B. wer die Momentaufnahmen nimmt und wann sie aufgenommen werden.

Integrität des Beweismaterials

Verwenden Sie Automatisierungs-, um Nachweise ohne menschliches Eingreifen an ihr endgültiges Archivziel zu verschieben. Dieser Ansatz trägt dazu bei, sicherzustellen, dass Beweisartefakte unverändert bleiben.

Wenn Sie eine gesetzliche Aufbewahrungsrichtlinie auf den Zielspeicher anwenden, wird der Nachweis sofort eingefroren, sobald er geschrieben ist. Eine gesetzliche Aufbewahrungspflicht zeigt, dass die Verwahrkette innerhalb Azure vollständig beibehalten wird. Es weist auch darauf hin, dass es keine Möglichkeit gibt, die Beweise zu manipulieren, während sich die Datenträgerimages auf einer aktiven VM befinden, bis sie als Nachweis im Speicherkonto gespeichert werden.

Schließlich können Sie die bereitgestellte Lösung als Integritätsmechanismus verwenden, um die Hashwerte der Datenträgerimages zu berechnen. Die unterstützten Hashalgorithmen sind MD5, SHA256, SKEIN und KECCAK (oder SHA3).

Erzeugung von Beweismaterial

Ermittler benötigen Zugriff auf Nachweise, damit sie Analysen durchführen können. Dieser Zugriff muss nachverfolgt und explizit autorisiert werden.

Stellen Sie Ermittlern einen freigegebenen Zugriffssignaturen (SAS) uniform resource identifier (URI) Speicherschlüssel für den Zugriff auf Nachweise zur Verfügung. Ein SAS-URI kann relevante Protokollinformationen generieren, wenn er erstellt wird. Sie können jedes Mal eine Kopie des Nachweises abrufen, wenn die SAS verwendet wird.

Wenn beispielsweise ein Rechtsteam eine beibehaltene virtuelle Festplatte übertragen muss, generiert eins der beiden SOC-Teamverwalter einen schreibgeschützten SAS-URI-Schlüssel, der nach acht Stunden abläuft. Die SAS schränkt den Zugriff auf die Ermittler innerhalb eines bestimmten Zeitraums ein.

Das SOC-Team muss die IP-Adressen von Ermittlern explizit platzieren, die Zugriff auf eine Zulassungsliste in der Speicherfirewall erfordern.

Regionaler Store

Für die Einhaltung erfordern einige Standards oder Vorschriften Nachweise und die unterstützende Infrastruktur in derselben Azure Region.

Alle Lösungskomponenten, einschließlich des Speicherkontos, das Nachweise archiviert, werden in derselben Azure Region gehostet wie die zu untersuchenden Systeme.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.

Diese Architektur verfügt über eine Mischung aus Fixkosten- und Variablenkostenkomponenten. Die festen Kostenkomponenten laufen kontinuierlich und unabhängig von der Untersuchungshäufigkeit. Die variablen Kostenkomponenten werden mit dem Volumen und der Größe forensischer Erfassungen skaliert.

Fixkostenkomponenten

Die folgenden Komponenten verursachen fortlaufende Kosten, unabhängig davon, ob Sie Nachweise erfassen:

• Vm für Hybrid-Runbook-Worker: Diese VM wird kontinuierlich im SOC-Abonnement ausgeführt, sodass sie für die Erfassung von On-Demand-Nachweisen verfügbar ist. Die VM-Größe ist der Primärkostenhebel. Die Beweiserfassung erfordert, abgesehen von der Hashberechnung, keine intensive Rechenleistung. Verwenden Sie daher eine kleine universelle VM, z. B. eine Standard_D2s_v5. Um die Kosten für diese VM zu reduzieren, sollten Sie Azure Reservations oder Sparpläne für einen einjährigen oder dreijährigen Vertrag in Betracht ziehen.

• Azure Automation account: Das Automatisierungskonto, das das Runbook Copy-VmDigitalEvidence hostet, und die Hybridarbeitskonfiguration hat eine geringe Grundlage von Kosten.

• Key Vault: Die SOC-key vault speichert Hashwerte als geheime Schlüssel. Die Kosten pro geheimer Vorgang sind nominal, und die gesamten Key Vault Kosten sind für diese Arbeitsauslastung minimal.

Komponenten mit variablen Kosten

Die folgenden Komponenten werden mit der Anzahl der Untersuchungen und der Größe der erfassten Nachweise skaliert:

• Azure Storage (unveränderlicher Blob-Speicher): Speicherkosten sind der primäre variable Kostenfaktor in dieser Architektur. Jede forensische Sicherung generiert vollständige Snapshots des Betriebssystems und der Datenträger der Ziel-VM, die zwischen zehn und hunderten von GB pro VM reichen können. Die Speicherkosten sind kumulativ, da Sie keine Momentaufnahmen löschen können, die eine gesetzliche Aufbewahrungsrichtlinie angewendet haben. Die Größe einer Momentaufnahme erhöht sich bei jeder Untersuchung und mit der Anzahl und der Größe von Datenträgern auf jedem virtuellen Computer. Um Speicherkosten zu verwalten, bewerten Sie die Zugriffsebene für beibehaltene Momentaufnahmen. Momentaufnahmen, auf die Sie nach der anfänglichen Hashüberprüfung selten zugreifen, können von der Cool- oder Cold-Stufe profitieren, die niedrigere Speicherraten im Austausch für höhere Zugriffskosten bietet.

• Azure Files: Die temporäre Dateifreigabe, die Hashwerte berechnet, verursacht nur Kosten, solange die Schnappschussdaten vorhanden sind. Das Runbook entfernt diese Daten nach der Hashberechnung, sodass die Kosten vorübergehend und proportional zur Momentaufnahmegröße sind.

• Log Analytics workspace: Die Log Analytics-Kosten steigen mit der Anzahl der Vorgänge, die Sie im SOC-Abonnement ausführen. Häufigere Nachweiserfassungen und aktivere Überwachung generieren mehr Protokolldaten. Konfigurieren Sie Datenaufbewahrungsrichtlinien so, dass sie Ihren Complianceanforderungen entsprechen, und vermeiden Sie unnötige Datenaufbewahrung.

Cost Estimation (Kostenvorkalkulation)

Um die Kosten dieser Architektur für Ihre Workload zu schätzen, verwenden Sie den Azure Preisrechner. Konfigurieren Sie die folgenden Komponenten basierend auf dem erwarteten Untersuchungsvolume und vm-Datenträgergrößen:

• Eine allgemeine VM, z. B. Standard_D2s_v5, für den Hybrid-Runbook-Worker
• Azure Blob Storage mit der entsprechenden Zugriffsebene und dem geschätzten Gesamtvolumen der Momentaufnahmen
• Azure Files mit der Standardebene für vorübergehende Verwendung
• Key Vault mit der Standardebene
• Azure Automation-Job wird basierend auf der erwarteten Erfassungshäufigkeit ausgeführt.
• Log Analytics mit geschätztem Datenaufnahmevolumen

Operative Exzellenz

Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.

Überwachung und Benachrichtigung

Azure bietet allen Kunden Dienste zur Überwachung und Warnung über Anomalien im Zusammenhang mit ihren Abonnements und Ressourcen. Zu diesen Diensten gehören:

• Microsoft Sentinel
• Microsoft Defender for Cloud
• Microsoft Defender für Speicher

Hinweis

Die Konfiguration dieser Dienste wird in diesem Artikel nicht beschrieben.

Implementieren dieses Szenarios

Befolgen Sie die Kette der Bereitstellung von Verwahrungslabors Anweisungen zum Erstellen und Bereitstellen dieses Szenarios in einer Laborumgebung.

Die Laborumgebung stellt eine vereinfachte Version der in diesem Artikel beschriebenen Architektur dar. Sie stellen zwei Ressourcengruppen innerhalb desselben Abonnements bereit. Die erste Ressourcengruppe simuliert die Produktionsumgebung, wobei digitale Nachweise vorhanden sind, während die zweite Ressourcengruppe die SOC-Umgebung enthält.

Wählen Sie Deploy to Azure aus, um nur die SOC-Ressourcengruppe in einer Produktionsumgebung bereitzustellen.

Hinweis

Wenn Sie die Lösung in einer Produktionsumgebung bereitstellen, stellen Sie sicher, dass die vom System zugewiesene verwaltete Identität des Automatisierungskontos über Mitwirkendeberechtigungen in der Produktionsressourcengruppe der Ziel-VM verfügt. Die Rolle "Mitwirkender" erstellt Momentaufnahmen.

Erweiterte Konfiguration

Sie können einen hybriden Runbook Worker lokal oder in verschiedenen Cloudumgebungen bereitstellen.

In diesem Szenario müssen Sie das Copy‑VmDigitalEvidence Runbook anpassen, um die Erfassung von Nachweisen in verschiedenen Zielumgebungen zu ermöglichen und sie im Speicher zu archivieren.

Hinweis

Das im Abschnitt Dieser Szenarioabschnitt bereitgestellte Copy-VmDigitalEvidence Runbook wurde entwickelt und nur in Azure getestet. Um die Lösung auf andere Plattformen zu erweitern, müssen Sie das Runbook so anpassen, dass es mit diesen Plattformen funktioniert. Wenn Sie die Key Vault-Firewall aktivieren, lassen Sie die öffentliche IP-Adresse der Hybrid-Runbook-Worker-VM zu.

Beitragende

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautoren:

• Fabio Masciotra | Hauptberater
• Simone Savi | Senior Berater

Um nicht öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.

Nächste Schritte

Weitere Informationen zu Azure Datenschutzfeatures finden Sie unter:

• Speicherverschlüsselung für ruhende Daten
• Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger
• Speichern Sie geschäftskritische Blob-Daten mit unveränderlichem Speicher in einem WORM (Write Once, Read Many)-Zustand

Weitere Informationen zu Azure Protokollierungs- und Überwachungsfunktionen finden Sie unter:

• Azure Sicherheitsprotokollierung und -überwachung
• Speicheranalyseprotokollierung
• Azure-Ressourcenprotokolle an Log Analytics-Arbeitsbereiche, Event Hubs oder Speicher senden

Weitere Informationen zu Microsoft Azure Compliance finden Sie unter:

• Azure Compliance
• Microsoft Complianceangebote

Verwandte Ressource

• Entwurf der Sicherheitsarchitektur

In diesem Artikel wird ein Infrastruktur- und Workflowprozess beschrieben, der Teams bei der Bereitstellung digitaler Nachweise unterstützt, die eine gültige Verwahrungskette als Reaktion auf rechtliche Anfragen veranschaulicht. In diesem Artikel wird beschrieben, wie Sie eine gültige Beweiskette in den Phasen der Beweisbeschaffung, -sicherung und -zugriff gewährleisten.

Hinweis

Dieser Artikel basiert auf dem theoretischen und praktischen Wissen der Autoren. Bevor Sie sie für rechtliche Zwecke verwenden, sollten Sie ihre Anwendbarkeit mit Ihrer Rechtsabteilung abklären.

Aufbau

Das Architekturdesign folgt den prinzipien der Azure Landing Zone im Cloud Adoption Framework für Azure.

In diesem Szenario wird eine Hub-and-Spoke-Netzwerktopologie verwendet, die im folgenden Diagramm dargestellt wird.

Dieses Diagramm zeigt die Architektur der Verwahrungskette, in der die Produktions-VMs in einem Azure-Spoke-Virtualnetzwerk residieren. Die Datenträger des Computers werden mithilfe der Verschlüsselung auf dem Host über plattformverwaltete Schlüssel verschlüsselt. Ein separates, sicheres Azure-Security-Operations-Center (SOC)-Abonnement enthält ein Azure Storage-Konto, das Datenträgermomentaufnahmen im unveränderlichen Blob-Speicher hält. Das Abonnement enthält auch eine dedizierte Azure Key Vault, die die Hashwerte der Momentaufnahmen speichert. Nur das SOC-Team kann auf das Abonnement zugreifen. Wenn eine Anforderung zum Erfassen digitaler Nachweise gestellt wird, meldet sich ein SOC-Teammitglied beim SOC-Abonnement an und verwendet eine Azure Automation hybriden Runbook-Worker-VM, um das Copy-VmDigitalEvidence Runbook auszuführen. Das Runbook verwendet eine vom System zugewiesene verwaltete Identität, um auf die Ressourcen der Ziel-VM zuzugreifen und Momentaufnahmen des Betriebssystems und der Datenträger zu generieren. Sie überträgt diese Momentaufnahmen sowohl an den unveränderlichen Blob-Speicher als auch an eine temporäre Dateifreigabe, berechnet deren Hashwerte und speichert die Hashwerte im SOC-Schlüssel-Tresor. Schließlich werden alle temporären Kopien entfernt, mit Ausnahme der unveränderlichen Momentaufnahme.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Arbeitsablauf

In der Architektur sind die virtuellen Produktionscomputer (VMs) Teil eines Speichen-Azure virtuellen Netzwerks. Die VM-Datenträger werden über die Verschlüsselung auf dem Host mithilfe von plattformverwalteten Schlüsseln verschlüsselt. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.

Hinweis

Diese Architektur setzt die Verschlüsselung auf dem Host über plattformverwaltete Schlüssel voraus.

Wenn die Verschlüsselung auf Host Ihre Anforderungen nicht erfüllt, können Sie eine Verschlüsselungslösung auf Betriebssystemebene verwenden, z. B. BitLocker auf Windows oder dm-Verschlüsselung unter Linux. Diese Verschlüsselungsimplementierungen sind spezifisch für jede Umgebung und werden in diesem Artikel nicht beschrieben. Bewerten Sie Ihre Anforderungen, um den geeigneten Ansatz zu ermitteln.

Das SoC-Team (Security Operations Center) verwendet ein diskretes Azure SOC-Abonnement. Das Team hat exklusiven Zugriff auf dieses Abonnement, das die Ressourcen enthält, die geschützt, unverletzlich und überwacht werden müssen. Das Azure Storage Konto im SOC-Abonnement hostet Kopien von Datenträgermomentaufnahmen in unveränderlichem Blob-Speicher. Ein dedizierter Key Vault speichert Kopien von Hashwerten der Momentaufnahmen.

Als Reaktion auf eine Anforderung zur Erfassung des digitalen Nachweises einer VM meldet sich ein Mitglied des SOC-Teams beim Azure SOC-Abonnement an und verwendet einen Azure Hybrid-Runbook-Worker VM von Azure Automation zum Ausführen des Runbook Copy-VmDigitalEvidence. Der Hybrid-Runbook-Worker für die Automatisierung bietet Kontrolle über alle Mechanismen, die im Erfassungsvorgang enthalten sind.

Das Copy-VmDigitalEvidence Runbook implementiert die folgenden Makroschritte:

1. Verwenden Sie die system zugewiesene verwaltete Identität für ein Automatisierungskonto, um sich bei Azure anzumelden. Diese Identität gewährt Zugriff auf die Ressourcen des virtuellen Zielcomputers und die anderen Azure Dienste, die für die Lösung erforderlich sind.

2. Erstellen Sie Momentaufnahmen der Datenträger des Betriebssystems (OS) und der Datenfestplatten des virtuellen Computers.

3. Übertragen Sie die Momentaufnahmen sowohl auf den unveränderlichen Blob-Speicher des SOC-Abonnements als auch auf eine temporäre Dateifreigabe.

4. Berechnen Sie die Hashwerte der Momentaufnahmen mithilfe der Kopie, die in der Dateifreigabe gespeichert ist.

5. Speichern Sie die abgerufenen Hashwerte im SOC-Schlüsseltresor.

6. Entfernen Sie alle Kopien der Momentaufnahmen, mit Ausnahme der Kopie im unveränderlichen BLOB-Speicher.

Komponenten

• Azure Automation ist ein cloudbasierter Dienst, der operative Aufgaben mithilfe von Runbooks und Skripts automatisiert. In dieser Architektur koordiniert es den Beweiserfassungsprozess, indem das Copy-VmDigitalEvidence Runbook ausgeführt wird, um VM-Datenträger sicher zu snapshotn und zu übertragen. Dieser Prozess trägt zur Sicherstellung der Nachweisintegrität bei.

• Azure Storage ist eine skalierbare Cloudspeicherlösung für verschiedene Datentypen, einschließlich Objekt, Datei, Datenträger, Warteschlange und Tabellenspeicher. In dieser Architektur werden VM-Snapshots in unveränderlichen blob-Containern gespeichert, um digitale Nachweise in einem manipulationssicheren Format zu bewahren.

• Azure Blob Storage ist eine cloudbasierte Lösung, die den für unstrukturierten Daten optimierten Objektspeicher bereitstellt. In dieser Architektur enthält sie die unveränderlichen Momentaufnahmen von VM-Datenträgern, um die Integrität und Nichtabstreitbarkeit digitaler Nachweise sicherzustellen.

• Azure Files ist ein vollständig verwalteter Clouddateispeicherdienst, der gemeinsam genutzte Dateisysteme bereitstellt, auf die über das Branchenstandardprotokoll Server Message Block (SMB), das Network File System (NFS)-Protokoll und die Azure Files REST-API zugegriffen werden kann. Sie können Freigaben gleichzeitig in Cloud- oder lokalen Bereitstellungen von Windows, Linux und macOS einbinden. Sie können Dateifreigaben auch auf einem Windows Server zwischenspeichern, indem Sie Azure-Dateisynchronisierung verwenden, um schnellen Zugriff in der Nähe des Ortes zu erhalten, an dem die Daten genutzt werden. In dieser Architektur speichert Azure Files vorübergehend Momentaufnahmen von Datenträgern, um Hashwerte zu berechnen, bevor sie in unveränderlichen Speicher übertragen werden.

• Key Vault ist ein sicherer Clouddienst zum Verwalten von geheimen Schlüsseln, Verschlüsselungsschlüsseln und Zertifikaten. In dieser Architektur werden Hashwerte von Datenträgermomentaufnahmen gespeichert, um die Integrität digitaler Nachweise zu überprüfen.

• Microsoft Entra ID ist ein cloudbasierter Identitätsdienst, mit dem Sie den Zugriff auf Azure und andere Cloud-Apps steuern können. In dieser Architektur wird sichergestellt, dass nur autorisierte SOC-Mitarbeiter auf vertrauliche Nachweisbehandlungsvorgänge zugreifen und diese verwalten können.

• Azure Monitor ist ein Überwachungsdienst, der die Observability über Metriken, Protokolle und Warnungen bereitstellt. Es unterstützt Vorgänge im großen Maßstab, indem Sie die Leistung und Verfügbarkeit Ihrer Ressourcen maximieren und gleichzeitig potenzielle Probleme proaktiv identifizieren. In dieser Architektur werden Aktivitätsprotokolle archiviert, um Audits, Einhaltung der Vorschriften und die Nachweis- und Aufbewahrungskette zu unterstützen.

Automatisierung

Das SOC-Team verwendet ein Automation Konto, um das Copy-VmDigitalEvidence Runbook zu erstellen und zu verwalten. Das Team verwendet außerdem die Automatisierung, um die Hybrid-Runbook-Worker zu erstellen, die mit dem Runbook arbeiten.

Hybrid-Runbook-Worker

Der Hybrid-Runbook-Worker VM ist in das Automatisierungskonto integriert. Das SOC-Team verwendet diese VM ausschließlich, um das Copy-VmDigitalEvidence Runbook auszuführen.

Sie müssen den virtuellen Hybrid-Runbook-Arbeitscomputer in einem Subnetz platzieren, das auf das Speicherkonto zugreifen kann. Konfigurieren Sie den Zugriff auf das Speicherkonto, indem Sie das Subnetz der VM des hybriden Runbook-Workers zur Zulassungsliste der Firewall des Speicherkontos hinzufügen.

Gewähren Sie Zugriff auf diese VM nur für die SOC-Teammitglieder für Wartungsaktivitäten.

Um das virtuelle Netzwerk zu isolieren, das der virtuelle Computer verwendet, vermeiden Sie die Verbindung des virtuellen Netzwerks mit dem Hub.

Der Hybrid-Runbook-Worker verwendet die Automation vom System zugewiesene verwaltete Identität für den Zugriff auf die Ressourcen des virtuellen Zielcomputers und die anderen Azure Dienste, die die Lösung benötigt.

Die minimal erforderlichen Azure-rollenbasierte Zugriffssteuerungs-Berechtigungen (Azure RBAC), die für eine systemzugewiesene verwaltete Identität erforderlich sind, sind in zwei Kategorien unterteilt.

• Zugriffsberechtigungen für die SOC-Azure-Architektur, die die Kernkomponenten der Lösung enthält
• Zugriffsberechtigungen für die Zielarchitektur, die die Ziel-VM-Ressourcen enthält

Der Zugriff auf die SOC-Azure-Architektur umfasst die folgenden Rollen:

• Berechtigung Speicherkontomitwirkender für das unveränderliche SOC-Speicherkonto
• Key Vault Secrets Officer im SOC-Key Vault für die Hashwertverwaltung

Der Zugriff auf die Zielarchitektur umfasst die Rolle "Mitwirkender " in der Ressourcengruppe der Ziel-VM, die Snapshot-Rechte auf VM-Datenträgern bereitstellt.

Speicherkonto

Das Storage-Konto im SOC-Abonnement hostet die Datenträgermomentaufnahmen in einem Container, der nach einer Rechtssperre-Richtlinie als einem Azure unveränderlichen Blobspeicher konfiguriert ist. Unveränderlicher BLOB-Speicher speichert geschäftskritische Datenobjekte im Zustand einmal schreiben, viele Male lesen (WORM). Der WORM-Zustand macht die Daten für ein vom Benutzer angegebenes Intervall nicht löschbar und unangreifbar.

Stellen Sie sicher, dass Sie die sichere Übertragung und Speicherfirewall Eigenschaften aktivieren. Die Firewall gewährt nur Zugriff über das virtuelle SOC-Netzwerk.

Das Speicherkonto hostet auch eine Azure-Dateifreigabe als temporäres Repository, das zum Berechnen des Hashwerts der Momentaufnahme verwendet wird.

Key Vault

Das SOC-Abonnement hat eine eigene Instanz von Key Vault, die die Hashwerte von Datenträger-Snapshots speichert, die der Hybrid-Runbook-Worker während der Erfassungsvorgänge berechnet.

Stellen Sie sicher, dass die Firewall im Key Vault aktiviert ist. Der Zugriff muss ausschließlich über das virtuelle SOC-Netzwerk gewährt werden.

Log-Analytik

Ein Log Analytics Workspace speichert Aktivitätsprotokolle, die zum Überwachen aller relevanten Ereignisse im SOC-Abonnement verwendet werden. Log Analytics ist ein Feature von Monitor.

Details zum Szenario

Die digitale Forensik ist eine Wissenschaft, bei der es um die Wiederherstellung und Untersuchung von digitalen Daten zur Unterstützung von kriminologischen Ermittlungen oder zivilrechtlichen Maßnahmen geht. Die Computerforensik ist ein Zweig der digitalen Forensik, der Daten von Computern, VMs und digitalen Speichermedien erfasst und analysiert.

Unternehmen müssen sicherstellen, dass die digitalen Nachweise, die sie als Reaktion auf rechtliche Anfragen zur Verfügung stellen, eine gültige Verwahrungskette in den phasenweiser Beweisgewinnung, -erhaltung und -zugang nachweisen.

Mögliche Anwendungsfälle

• Das SOC-Team eines Unternehmens kann diese technische Lösung implementieren, um eine gültige Verwahrkette für digitale Nachweise zu unterstützen.

• Ermittler können Datenträgerkopien anfügen, die mithilfe dieser Technik auf einem Computer abgerufen werden, der für die forensische Analyse vorgesehen ist. Sie können die Datenträgerkopien anfügen, ohne die ursprüngliche Quell-VM zu aktivieren oder darauf zuzugreifen.

Kette der Einhaltung gesetzlicher Vorschriften

Wenn es erforderlich ist, die vorgeschlagene Lösung einem Überprüfungsprozess für die Einhaltung gesetzlicher Vorschriften zu unterziehen, sollten Sie die Materialien im Abschnitt Überlegungen während des Validierungsprozesses der Verwahrungskette berücksichtigen.

Hinweis

Sie sollten Ihre Rechtsabteilung in den Validierungsprozess aufnehmen.

Überlegungen

Diese Überlegungen implementieren die Säulen des Azure Well-Architected-Frameworks, die eine Reihe von Leitsätzen sind, die Sie verwenden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Well-Architected Framework.

Die Grundsätze, die diese Lösung als Verwahrkette überprüfen, werden in diesem Abschnitt beschrieben. Um eine gültige Verwahrungskette sicherzustellen, muss die Speicherung digitaler Nachweise eine angemessene Zugriffssteuerung, Datenschutz und Integrität, Überwachung und Warnung sowie Protokollierung und Überwachung nachweisen.

Sicherheit

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.

Einhaltung von Sicherheitsstandards und -vorschriften

Wenn Sie eine Verwahrkette überprüfen, ist eine der zu bewertenden Anforderungen die Einhaltung von Sicherheitsstandards und -vorschriften.

Alle in der architecture enthaltenen Komponenten sind Azure Standarddienste, die auf einer Grundlage basieren, die Vertrauen, Sicherheit und Compliance unterstützt.

Azure verfügt über eine breite Palette von Compliance-Zertifizierungen, einschließlich Zertifizierungen, die auf Länder oder Regionen zugeschnitten sind, und für wichtige Branchen wie Gesundheitswesen, Regierung, Finanzen und Bildung.

Weitere Informationen zu aktualisierten Überwachungsberichten, die die Einhaltung von Standards für die in dieser Lösung verwendeten Dienste detailliert festlegen, finden Sie unter Service Trust Portal.

Cohassets Azure Storage Compliancebewertung enthält Details zu den folgenden Anforderungen:

• Wertpapier- und Börsenaufsichtsbehörde (SEC) in 17 CFR § 240.17a-4(f), die die Börsenmitglieder, Makler oder Händler regelt.

• Die FINRA-Regel 4511(c), die sich auf die Format- und Medienanforderungen der SEC-Regel 17a-4(f) bezieht (Financial Industry Regulatory Authority).

• Commodity Futures Trading Commission (CFTC) in Vorschrift 17 CFR § 1.31(c)-(d), die die Regulierung des Warenterminhandels betrifft.

Cohasset vertritt die Auffassung, dass Azure Storage, mit der unveränderlichen Speicherfunktion von Blob Storage und der Richtliniensperroption, zeitbasierte Blobs (oder records) in einem nicht löschbaren und nicht umschreibbaren Format speichert und die relevanten Speicheranforderungen der SEC-Regel 17a-4(f), der FINRA-Regel 4511(c) sowie die prinzipienbasierten Anforderungen der CFTC-Regel 1.31(c)-(d) erfüllt.

Prinzip der geringsten Rechte

Wenn die Rollen des SOC-Teams zugewiesen werden, sollten nur zwei Personen im Team, die als SOC-Teamverwalter bezeichnet werden, die Rechte haben, die Azure RBACKonfiguration des Abonnements und der zugehörigen Daten zu ändern. Gewähren Sie anderen Personen nur ein Minimum an Zugriffsrechten auf Datenuntergruppen, die sie für ihre Arbeit benötigen.

Geringster Zugriff

Nur das virtuelle Netzwerk im SOC-Abonnement hat Zugriff auf das SOC-Speicherkonto und den Key Vault, in dem die Beweise archiviert werden. Autorisierte SOC-Teammitglieder können Ermittlern temporären Zugriff auf Nachweise im SOC-Speicher gewähren.

Betriebssystemdatenträgeranforderungen

Die Produktions-VMs, die der forensischen Erfassung unterliegen, müssen persistente verwaltete Betriebssystemdatenträger verwenden. Verwenden Sie keine kurzlebigen Betriebssystemdatenträger auf virtuellen Computern, auf denen digitale Nachweise erforderlich sind. Kurzlebige Betriebssystemdatenträger werden nur auf dem lokalen VM-Host gespeichert und unterstützen keine Snapshots. Da der snapshotbasierte Nachweiserfassungsworkflow von der Möglichkeit abhängt, Point-in-Time-Momentaufnahmen von Betriebssystem- und Datenträgern zu erstellen und zu übertragen, sind ephemere Betriebssystemdatenträger mit dieser Verwahrkette nicht kompatibel.

Beschaffung von Beweismaterial

Azure Überwachungsprotokolle können den Nachweiserwerb dokumentieren, indem die Aktion zum Erstellen einer VM-Datenträgermomentaufnahme aufgezeichnet wird. Die Protokolle enthalten Details, z. B. wer die Momentaufnahmen nimmt und wann sie aufgenommen werden.

Integrität des Beweismaterials

Verwenden Sie Automatisierungs-, um Nachweise ohne menschliches Eingreifen an ihr endgültiges Archivziel zu verschieben. Dieser Ansatz trägt dazu bei, sicherzustellen, dass Beweisartefakte unverändert bleiben.

Wenn Sie eine gesetzliche Aufbewahrungsrichtlinie auf den Zielspeicher anwenden, wird der Nachweis sofort eingefroren, sobald er geschrieben ist. Eine gesetzliche Aufbewahrungspflicht zeigt, dass die Verwahrkette innerhalb Azure vollständig beibehalten wird. Es weist auch darauf hin, dass es keine Möglichkeit gibt, die Beweise zu manipulieren, während sich die Datenträgerimages auf einer aktiven VM befinden, bis sie als Nachweis im Speicherkonto gespeichert werden.

Schließlich können Sie die bereitgestellte Lösung als Integritätsmechanismus verwenden, um die Hashwerte der Datenträgerimages zu berechnen. Die unterstützten Hashalgorithmen sind MD5, SHA256, SKEIN und KECCAK (oder SHA3).

Erzeugung von Beweismaterial

Ermittler benötigen Zugriff auf Nachweise, damit sie Analysen durchführen können. Dieser Zugriff muss nachverfolgt und explizit autorisiert werden.

Stellen Sie Ermittlern einen freigegebenen Zugriffssignaturen (SAS) uniform resource identifier (URI) Speicherschlüssel für den Zugriff auf Nachweise zur Verfügung. Ein SAS-URI kann relevante Protokollinformationen generieren, wenn er erstellt wird. Sie können jedes Mal eine Kopie des Nachweises abrufen, wenn die SAS verwendet wird.

Wenn beispielsweise ein Rechtsteam eine beibehaltene virtuelle Festplatte übertragen muss, generiert eins der beiden SOC-Teamverwalter einen schreibgeschützten SAS-URI-Schlüssel, der nach acht Stunden abläuft. Die SAS schränkt den Zugriff auf die Ermittler innerhalb eines bestimmten Zeitraums ein.

Das SOC-Team muss die IP-Adressen von Ermittlern explizit platzieren, die Zugriff auf eine Zulassungsliste in der Speicherfirewall erfordern.

Regionaler Store

Für die Einhaltung erfordern einige Standards oder Vorschriften Nachweise und die unterstützende Infrastruktur in derselben Azure Region.

Alle Lösungskomponenten, einschließlich des Speicherkontos, das Nachweise archiviert, werden in derselben Azure Region gehostet wie die zu untersuchenden Systeme.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.

Diese Architektur verfügt über eine Mischung aus Fixkosten- und Variablenkostenkomponenten. Die festen Kostenkomponenten laufen kontinuierlich und unabhängig von der Untersuchungshäufigkeit. Die variablen Kostenkomponenten werden mit dem Volumen und der Größe forensischer Erfassungen skaliert.

Fixkostenkomponenten

Die folgenden Komponenten verursachen fortlaufende Kosten, unabhängig davon, ob Sie Nachweise erfassen:

• Vm für Hybrid-Runbook-Worker: Diese VM wird kontinuierlich im SOC-Abonnement ausgeführt, sodass sie für die Erfassung von On-Demand-Nachweisen verfügbar ist. Die VM-Größe ist der Primärkostenhebel. Die Beweiserfassung erfordert, abgesehen von der Hashberechnung, keine intensive Rechenleistung. Verwenden Sie daher eine kleine universelle VM, z. B. eine Standard_D2s_v5. Um die Kosten für diese VM zu reduzieren, sollten Sie Azure Reservations oder Sparpläne für einen einjährigen oder dreijährigen Vertrag in Betracht ziehen.

• Azure Automation account: Das Automatisierungskonto, das das Runbook Copy-VmDigitalEvidence hostet, und die Hybridarbeitskonfiguration hat eine geringe Grundlage von Kosten.

• Key Vault: Die SOC-key vault speichert Hashwerte als geheime Schlüssel. Die Kosten pro geheimer Vorgang sind nominal, und die gesamten Key Vault Kosten sind für diese Arbeitsauslastung minimal.

Komponenten mit variablen Kosten

Die folgenden Komponenten werden mit der Anzahl der Untersuchungen und der Größe der erfassten Nachweise skaliert:

• Azure Storage (unveränderlicher Blob-Speicher): Speicherkosten sind der primäre variable Kostenfaktor in dieser Architektur. Jede forensische Sicherung generiert vollständige Snapshots des Betriebssystems und der Datenträger der Ziel-VM, die zwischen zehn und hunderten von GB pro VM reichen können. Die Speicherkosten sind kumulativ, da Sie keine Momentaufnahmen löschen können, die eine gesetzliche Aufbewahrungsrichtlinie angewendet haben. Die Größe einer Momentaufnahme erhöht sich bei jeder Untersuchung und mit der Anzahl und der Größe von Datenträgern auf jedem virtuellen Computer. Um Speicherkosten zu verwalten, bewerten Sie die Zugriffsebene für beibehaltene Momentaufnahmen. Momentaufnahmen, auf die Sie nach der anfänglichen Hashüberprüfung selten zugreifen, können von der Cool- oder Cold-Stufe profitieren, die niedrigere Speicherraten im Austausch für höhere Zugriffskosten bietet.

• Azure Files: Die temporäre Dateifreigabe, die Hashwerte berechnet, verursacht nur Kosten, solange die Schnappschussdaten vorhanden sind. Das Runbook entfernt diese Daten nach der Hashberechnung, sodass die Kosten vorübergehend und proportional zur Momentaufnahmegröße sind.

• Log Analytics workspace: Die Log Analytics-Kosten steigen mit der Anzahl der Vorgänge, die Sie im SOC-Abonnement ausführen. Häufigere Nachweiserfassungen und aktivere Überwachung generieren mehr Protokolldaten. Konfigurieren Sie Datenaufbewahrungsrichtlinien so, dass sie Ihren Complianceanforderungen entsprechen, und vermeiden Sie unnötige Datenaufbewahrung.

Cost Estimation (Kostenvorkalkulation)

Um die Kosten dieser Architektur für Ihre Workload zu schätzen, verwenden Sie den Azure Preisrechner. Konfigurieren Sie die folgenden Komponenten basierend auf dem erwarteten Untersuchungsvolume und vm-Datenträgergrößen:

• Eine allgemeine VM, z. B. Standard_D2s_v5, für den Hybrid-Runbook-Worker
• Azure Blob Storage mit der entsprechenden Zugriffsebene und dem geschätzten Gesamtvolumen der Momentaufnahmen
• Azure Files mit der Standardebene für vorübergehende Verwendung
• Key Vault mit der Standardebene
• Azure Automation-Job wird basierend auf der erwarteten Erfassungshäufigkeit ausgeführt.
• Log Analytics mit geschätztem Datenaufnahmevolumen

Operative Exzellenz

Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.

Überwachung und Benachrichtigung

Azure bietet allen Kunden Dienste zur Überwachung und Warnung über Anomalien im Zusammenhang mit ihren Abonnements und Ressourcen. Zu diesen Diensten gehören:

• Microsoft Sentinel
• Microsoft Defender for Cloud
• Microsoft Defender für Speicher

Hinweis

Die Konfiguration dieser Dienste wird in diesem Artikel nicht beschrieben.

Implementieren dieses Szenarios

Befolgen Sie die Kette der Bereitstellung von Verwahrungslabors Anweisungen zum Erstellen und Bereitstellen dieses Szenarios in einer Laborumgebung.

Die Laborumgebung stellt eine vereinfachte Version der in diesem Artikel beschriebenen Architektur dar. Sie stellen zwei Ressourcengruppen innerhalb desselben Abonnements bereit. Die erste Ressourcengruppe simuliert die Produktionsumgebung, wobei digitale Nachweise vorhanden sind, während die zweite Ressourcengruppe die SOC-Umgebung enthält.

Wählen Sie Deploy to Azure aus, um nur die SOC-Ressourcengruppe in einer Produktionsumgebung bereitzustellen.

Hinweis

Wenn Sie die Lösung in einer Produktionsumgebung bereitstellen, stellen Sie sicher, dass die vom System zugewiesene verwaltete Identität des Automatisierungskontos über Mitwirkendeberechtigungen in der Produktionsressourcengruppe der Ziel-VM verfügt. Die Rolle "Mitwirkender" erstellt Momentaufnahmen.

Erweiterte Konfiguration

Sie können einen hybriden Runbook Worker lokal oder in verschiedenen Cloudumgebungen bereitstellen.

In diesem Szenario müssen Sie das Copy‑VmDigitalEvidence Runbook anpassen, um die Erfassung von Nachweisen in verschiedenen Zielumgebungen zu ermöglichen und sie im Speicher zu archivieren.

Hinweis

Das im Abschnitt Dieser Szenarioabschnitt bereitgestellte Copy-VmDigitalEvidence Runbook wurde entwickelt und nur in Azure getestet. Um die Lösung auf andere Plattformen zu erweitern, müssen Sie das Runbook so anpassen, dass es mit diesen Plattformen funktioniert. Wenn Sie die Key Vault-Firewall aktivieren, lassen Sie die öffentliche IP-Adresse der Hybrid-Runbook-Worker-VM zu.

Beitragende

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautoren:

• Fabio Masciotra | Hauptberater
• Simone Savi | Senior Berater

Um nicht öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.

Nächste Schritte

Weitere Informationen zu Azure Datenschutzfeatures finden Sie unter:

• Speicherverschlüsselung für ruhende Daten
• Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger
• Speichern Sie geschäftskritische Blob-Daten mit unveränderlichem Speicher in einem WORM (Write Once, Read Many)-Zustand

Weitere Informationen zu Azure Protokollierungs- und Überwachungsfunktionen finden Sie unter:

• Azure Sicherheitsprotokollierung und -überwachung
• Speicheranalyseprotokollierung
• Azure-Ressourcenprotokolle an Log Analytics-Arbeitsbereiche, Event Hubs oder Speicher senden

Weitere Informationen zu Microsoft Azure Compliance finden Sie unter:

• Azure Compliance
• Microsoft Complianceangebote

Verwandte Ressource

• Entwurf der Sicherheitsarchitektur