Computerforensik: Rückverfolgbarkeit in Azure

In diesem Artikel werden eine Infrastruktur und ein Workflow-Prozess beschrieben, mit denen Teams digitale Beweise bereitstellen können, die eine gültige Beweiskette (Chain of Custody, CoC) als Reaktion auf rechtliche Anfragen nachweisen. Diese Diskussion dient als Leitfaden für einen gültigen CoC während des gesamten Prozesses der Beschaffung, Aufbewahrung und des Zugangs zu Beweismitteln.

Aufbau

Das Architekturdesign folgt den Prinzipien der Azure-Zielzone, die im Cloud Adoption Framework für Azurebeschrieben werden.

In diesem Szenario wird eine Hub-and-Spoke-Netzwerktopologie verwendet, wie im folgenden Diagramm dargestellt:

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

In der Architektur sind die virtuellen Produktionscomputer (VMs) Teil eines virtuellen Azure-Speichennetzwerks. Ihre Datenträger werden mit Azure Disk Encryption verschlüsselt. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger. Im Produktionsabonnement speichert Azure Key Vault die BitLocker-Verschlüsselungsschlüssel (VMs).

Das System- und Organisationssteuerungsteam (SOC) verwendet ein diskretes Azure SOC-Abonnement. Das Team hat exklusiven Zugriff auf dieses Abonnement, das die Ressourcen enthält, die geschützt, unveränderlich und überwacht werden müssen. Unter dem Azure Storage-Konto des SOC-Abonnements werden Kopien von Datenträgermomentaufnahmen im unveränderlichen Blobspeicher gehostet und ein spezieller Key Vault bewahrt die Hash-Werte der Momentaufnahmen und Kopien der BEKs der VMs auf.

Als Reaktion auf eine Anfrage zur Erfassung der digitalen Beweise einer VM meldet sich ein SOC-Teammitglied beim Azure-SOC-Abonnement an und verwendet eine Azure-Hybrid-Runbook-Worker-VM in Automation zur Implementierung des Runbooks Copy-VmDigitalEvidence. Der Hybrid Runbook Worker ermöglicht die Steuerung aller Mechanismen, die am Aufzeichnungsvorgang beteiligt sind.

Das Runbook „Copy-VmDigitalEvidence“ implementiert die folgenden Makroschritte:

1. Melden Sie sich bei Azure mithilfe der vom System zugewiesenen verwalteten Identität für ein Automatisierungskonto an, um auf die Ressourcen des virtuellen Zielcomputers und die anderen Azure-Dienste zuzugreifen, die von der Lösung benötigt werden.
2. Erstellen Sie Festplatten-Snapshots für das Betriebssystem (OS) und die Datenfestplatten der VM.
3. Kopieren Sie die Snapshots in den unveränderlichen Blob-Speicher des SOC-Abonnements und in eine temporäre Dateifreigabe.
4. Berechnen Sie Hashwerte der Momentaufnahmen mithilfe der Kopie in der Dateifreigabe.
5. Kopieren Sie die abgerufenen Hashwerte und den BEK des virtuellen Computers im SOC-Schlüsseltresor.
6. Bereinigen Sie alle Kopien der Snapshots mit Ausnahme derjenigen im unveränderlichen Blob-Speicher.

Komponenten

• Azure Automation automatisiert häufige, zeitaufwendige und fehleranfällige Cloudverwaltungsaufgaben.
• Azure Storage ist eine Cloudspeicherlösung, die Objekt-, Datei-, Datenträger-, Warteschlangen- und Tabellenspeicher bietet.
• Azure Blob Storage bietet einen optimierten Cloudobjektspeicher, der große Mengen nicht strukturierter Daten verwaltet.
• Azure Files-Freigaben Sie können Freigaben gleichzeitig über Cloud- oder lokale Bereitstellungen von Windows, Linux und macOS einhängen. Sie können auch Azure Files-Freigaben auf Windows-Servern mit Azure File Sync zwischenspeichern, um einen schnellen Zugriff in der Nähe des Verwendungsortes der Daten zu ermöglichen.
• Azure Monitor unterstützt Ihre Vorgänge im großen Maßstab, indem Sie die Leistung und Verfügbarkeit Ihrer Ressourcen maximieren und Probleme proaktiv identifizieren.
• Key Vault hilft Ihnen, kryptografische Schlüssel und andere Geheimnisse zu schützen, die von Cloud-Anwendungen und -Diensten verwendet werden.
• Microsoft Entra ID ist ein cloudbasierter Identitätsdienst, mit dem Sie den Zugriff auf Azure und andere Cloud-Apps kontrollieren können.

Automation

Das SOC-Team nutzt ein Automation-Konto, um das Runbook „Copy-VmDigitalEvidence“ zu erstellen und zu pflegen. Das Team verwendet auch Automation, um die hybriden Runbook-Arbeiter zu erstellen, die das Runbook betreiben.

Hybrid-Runbook-Worker

Die Hybrid Runbook Worker-VM ist Teil des Automation-Kontos. Das SOC-Team verwendet diese VM ausschließlich zur Implementierung des Runbooks Copy-VmDigitalEvidence.

Sie müssen den virtuellen Hybrid-Runbook-Arbeitscomputer in einem Subnetz platzieren, das auf das Speicherkonto zugreifen kann. Konfigurieren Sie den Zugriff auf das Speicherkonto, indem Sie das Teilnetz der Hybrid-Runbook-Worker-VM zu den Regeln der Firewall-Zulassungsliste des Speicherkontos hinzufügen.

Sie müssen nur den SOC-Teammitgliedern Zugriff auf diese VM für Wartungsaktivitäten gewähren.

Um das virtuelle Netzwerk, das von der VM verwendet wird, zu isolieren, verbinden Sie dieses virtuelle Netzwerk nicht mit dem Hub.

Der Hybrid Runbook Worker verwendet die vom Automatisierungssystem zugewiesene verwaltete Identität, um auf die Ressourcen der Ziel-VM und die anderen Azure-Dienste zuzugreifen, die von der Lösung benötigt werden.

Die minimalen rollenbasierten Zugriffssteuerungsberechtigungen (RBAC), die der vom System zugewiesenen verwalteten Identität zugewiesen werden müssen, werden in zwei Kategorien klassifiziert:

• Zugriffsberechtigungen für die SOC Azure-Architektur, die die Kernkomponenten der Lösung enthält
• Zugriffsberechtigungen für die Zielarchitektur, welche die Ziel-VM-Ressourcen enthält

Der Zugriff auf die SOC Azure-Architektur umfasst die folgenden Rollen:

• Berechtigung Speicherkontomitwirkender für das unveränderliche SOC-Speicherkonto
• Key Vault Secrets Officer im SOC-Schlüsseltresor für die BEK-Verwaltung

Der Zugriff auf die Zielarchitektur umfasst die folgenden Rollen:

• Berechtigung Mitwirkender für die Ressourcengruppe der Ziel-VM, um Rechte für Momentaufnahmen auf VM-Datenträgern bereitzustellen
• Key Vault Secrets Officer auf dem Key Vault der Ziel-VM, der zum Speichern des BEK verwendet wird, nur wenn RBAC für den Key Vault verwendet wird
• Zugriffsrichtlinie auf Get Secret auf den Key Vault der Ziel-VM, der zum Speichern des BEK verwendet wird, nur wenn Sie eine Zugriffsrichtlinie für Key Vault verwenden

Azure Storage-Konto

Das Azure Storage-Konto im SOC-Abonnement hostet die Festplatten-Snapshots in einem Container, der mit einer Legal Hold Policy als unveränderlicher Azure Blob-Speicher konfiguriert ist. Immutable Blob-Storage speichert geschäftskritische Datenobjekte in einem WORM-Status Write Once, Read Many, wodurch die Daten für ein vom Benutzer festgelegtes Intervall nicht löschbar und nicht editierbar sind.

Stellen Sie sicher, dass die Eigenschaften secure transfer und storage firewall aktiviert sind. Die Firewall gewährt nur Zugriff über das virtuelle SOC-Netzwerk.

Das Speicherkonto hostet auch eine Azure-Dateifreigabe als temporäres Repository für die Berechnung des Hashwerts des Snapshots.

Azure Key Vault

Das SOC-Abonnement verfügt über eine eigene Instanz von Key Vault, die eine Kopie des BEK hosten, die Azure Disk Encryption zum Schutz der Ziel-VM verwendet. Die primäre Kopie wird im Schlüsseltresor gespeichert, der von der Ziel-VM verwendet wird, sodass der virtuelle Zielcomputer den normalen Betrieb fortsetzen kann.

Der SOC-Schlüsseltresor enthält auch die Hashwerte von Datenträgermomentaufnahmen, die vom Hybrid Runbook Worker während der Aufnahmevorgänge berechnet werden.

Stellen Sie sicher, dass die Firewall im Schlüsseltresor aktiviert ist. Sie gewährt den Zugang nur vom virtuellen SOC-Netz aus.

Log Analytics

Ein Log Analytics-Arbeitsbereich speichert Aktivitätsprotokolle, die zum Überwachen aller relevanten Ereignisse im SOC-Abonnement verwendet werden. Log Analytics ist eine Funktion von Monitor.

Szenariodetails

Die digitale Forensik ist eine Wissenschaft, bei der es um die Wiederherstellung und Untersuchung von digitalen Daten zur Unterstützung von kriminologischen Ermittlungen oder zivilrechtlichen Maßnahmen geht. Die Computerforensik ist ein Zweig der digitalen Forensik, der Daten von Computern, VMs und digitalen Speichermedien erfasst und analysiert.

Unternehmen müssen sicherstellen, dass die digitalen Beweise, die sie als Antwort auf rechtliche Anfragen zur Verfügung stellen, während des gesamten Prozesses der Beschaffung, Aufbewahrung und des Zugriffs auf die Beweise einen gültigen CoC nachweisen.

Mögliche Anwendungsfälle

• Das Team des Security Operation Center eines Unternehmens kann diese technische Lösung implementieren, um einen gültigen CoC für digitale Beweise zu unterstützen.
• Ermittler können Datenträgerkopien anfügen, die mit dieser Technik auf einem Computer abgerufen werden, der für die forensische Analyse vorgesehen ist. Sie können die Datenträgerkopien anfügen, ohne die ursprüngliche Quell-VM zu aktivieren oder darauf zuzugreifen.

CoC-Einhaltung gesetzlicher Vorschriften

Wenn es notwendig ist, die vorgeschlagene Lösung einem Prozess zur Validierung der Einhaltung gesetzlicher Vorschriften zu unterziehen, sollten Sie die Materialien im Abschnitt Erwägungen während des Prozesses zur Validierung der VHC-Lösung berücksichtigen.

Überlegungen

Die Grundsätze, die diese Lösung als CoC validieren, werden in diesem Abschnitt vorgestellt.

Damit die Gültigkeit der Rückverfolgbarkeit gegeben ist, muss in Bezug auf die Speicherung von digitalem Beweismaterial in angemessener Weise für Zugriffssteuerung, Schutz und Integrität von Daten, Überwachung und Benachrichtigung sowie Protokollierung und Überprüfung gesorgt sein.

Einhaltung von Sicherheitsstandards und -vorschriften

Wenn Sie eine CoC-Lösung überprüfen, ist eine der zu bewertenden Anforderungen die Einhaltung von Sicherheitsstandards und -vorschriften.

Bei allen Komponenten, die in der obigen Architektur enthalten sind, handelt es sich um Azure-Standarddienste, die auf Vertrauenswürdigkeit, Sicherheit und Compliance basieren.

Azure verfügt über eine breite Palette von Compliance-Zertifizierungen, einschließlich länder- oder regionenspezifischer Zertifizierungen und für die wichtigsten Branchen wie Gesundheitswesen, Behörden, Finanzen und Bildung.

Aktualisierte Überwachungsberichte mit Informationen zur Standardskonformität für die Dienste, die in dieser Lösung übernommen werden, finden Sie unter Service Trust Portal.

Cohassets Azure Storage: SEC 17a-4(f) und CFTC 1.31(c)-(d) Compliance Assessment enthält Details zu den folgenden Anforderungen:

• Securities and Exchange Commission (SEC) in 17 CFR § 240.17a-4(f) mit den Bestimmungen zur Regulierung von Mitgliedern, Brokern oder Händlern an der Börse.
• FINRA-Regel 4511(c) (Financial Industry Regulatory Authority) zu den Format- und Medienanforderungen von SEC-Regel 17a-4(f).
• Commodity Futures Trading Commission (CFTC) in Bestimmung 17 CFR § 1.31(c)-(d) zur Regulierung des Warenterminhandels.

Cohasset ist der Meinung, dass die Speicherung mit der unveränderlichen Speicherfunktion des Blob-Speichers und der Policy-Lock-Option zeitbasierte Blobs (Datensätze) in einem nicht löschbaren und nicht überschreibbaren Format aufbewahrt und die relevanten Speicheranforderungen von SEC Rule 17a-4(f), FINRA Rule 4511(c) und die prinzipienbasierten Anforderungen von CFTC Rule 1.31(c)-(d) erfüllt.

Regel der geringsten Rechte

Wenn die Rollen des SOC-Teams zugewiesen werden, sollten nur zwei Personen innerhalb des Teams berechtigt sein, die RBAC-Konfiguration des Abonnements und deren Daten zu ändern. Gewähren Sie anderen Personen nur ein Minimum an Zugriffsrechten auf Datenuntergruppen, die sie für ihre Arbeit benötigen. Konfigurieren und Erzwingen des Zugriffs über Azure RBAC.

Geringster Zugriff

Nur das virtuelle Netzwerk im SOC-Abonnement hat Zugriff auf das SOC-Speicherkonto und den Key Vault, in dem die Beweise archiviert werden.

Temporärer Zugriff auf den SOC-Speicher wird Ermittlern zur Verfügung gestellt, die Zugriff auf Nachweise benötigen. Autorisierte SOC-Teammitglieder können Zugriff gewähren.

Beschaffung von Beweismaterial

Azure-Audit-Protokolle können die Beweiserfassung zeigen, indem sie die Aktion der Erstellung eines VM-Festplatten-Snapshots aufzeichnen, mit Elementen wie wer die Snapshots erstellt hat und wann.

Integrität des Beweismaterials

Der Einsatz von Automation, um Beweismaterial ohne menschliches Zutun an seinen endgültigen Bestimmungsort im Archiv zu bringen, garantiert, dass die Artefakte nicht verändert wurden.

Wenn Sie eine Legal Hold Policy auf den Zielspeicher anwenden, werden die Beweise in der Zeit eingefroren, sobald sie geschrieben werden. Eine rechtliche Überprüfung zeigt, dass der CoC vollständig in Azure gepflegt wurde. Ein Legal Hold zeigt auch, dass zwischen dem Zeitpunkt, an dem die Disk-Images auf einer Live-VM existierten, und dem Zeitpunkt, an dem sie dem Speicherkonto als Beweismittel hinzugefügt wurden, keine Möglichkeit bestand, die Beweise zu manipulieren.

Schließlich können Sie die bereitgestellte Lösung als Integritätsmechanismus verwenden, um die Hashwerte der Datenträgerimages zu berechnen. Die unterstützten Hashalgorithmen sind: MD5, SHA256, SKEIN, KECCAK (oder SHA3).

Erzeugung von Beweismaterial

Die Ermittler müssen Zugang zu den Beweismitteln haben, um Analysen durchführen zu können, und dieser Zugang muss nachverfolgt und ausdrücklich genehmigt werden.

Stellen Sie den Ermittlern einen shared access signatures (SAS) URI Speicherschlüssel für den Zugriff auf Beweismittel zur Verfügung. Sie können einen SAS-URI verwenden, um relevante Protokollinformationen zu erzeugen, wenn der SAS generiert. Sie können auch jedes Mal eine Kopie des Nachweises erhalten, wenn die SAS verwendet wird.

Sie müssen explizit die IP-Adressen von Ermittlern platzieren, die Zugriff auf eine Zulassungsliste in der Speicherfirewall erfordern.

Wenn beispielsweise ein Rechtsteam eine beibehaltene virtuelle Festplatte (VHD) übertragen muss, generiert eins der beiden SOC-Teamverwalter einen schreibgeschützten SAS-URI-Schlüssel, der nach acht Stunden abläuft. Die SAS beschränkt den Zugriff auf die IP-Adressen der Ermittler auf einen bestimmten Zeitrahmen.

Schließlich benötigen Ermittler die IM SOC-Schlüsseltresor archivierten BEKs, um auf die verschlüsselten Datenträgerkopien zuzugreifen. Ein SOC-Teammitglied muss die BEKs extrahieren und über sichere Kanäle für die Ermittler bereitstellen.

Regionale Speicherung

Für die Einhaltung einiger Standards oder Vorschriften müssen Nachweise und die unterstützende Infrastruktur in derselben Azure-Region verwaltet werden.

Alle Lösungskomponenten, einschließlich des Speicherkontos, das Beweise archiviert, werden in derselben Azure-Region gehostet wie die untersuchten Systeme.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Überwachung und Benachrichtigung

Azure bietet allen Kunden Dienste zur Überwachung und Meldung von Anomalien in Bezug auf ihre Abonnements und Ressourcen. Zu diesen Diensten gehören:

• Microsoft Sentinel.
• Microsoft Defender für Cloud:
• Advanced Threat Protection (ATP) für Azure Storage.

Bereitstellen dieses Szenarios

Befolgen Sie die Anweisungen unter CoC Lab Deployment, um dieses Szenario in einer Laborumgebung zu erstellen und einzusetzen.

Die Laborumgebung stellt eine vereinfachte Version der in diesem Artikel beschriebenen Architektur dar. Sie stellen zwei Ressourcengruppen innerhalb desselben Abonnements bereit. Die erste Ressourcengruppe simuliert die Produktionsumgebung, wobei digitale Nachweise vorhanden sind, während die zweite Ressourcengruppe die SOC-Umgebung enthält.

Verwenden Sie die folgende Schaltfläche, um nur die SOC-Ressourcengruppe in einer Produktionsumgebung bereitzustellen.

Erweiterte Konfiguration

Sie können einen hybriden Runbook Worker lokal oder in verschiedenen Cloudumgebungen bereitstellen.

In diesem Szenario können Sie das Runbook "Copy-VmDigitalEvidence" anpassen, um die Erfassung von Nachweisen in verschiedenen Zielumgebungen zu ermöglichen und sie im Speicher zu archivieren.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautoren:

• Fabio Masciotra | Hauptberater
• Simone Savi | Senior Consultant

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

Weitere Informationen zu den Azure-Features für den Schutz von Daten finden Sie unter:

• Azure Storage encryption for data at rest (Azure Storage-Verschlüsselung für ruhende Daten)
• Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger
• Speichern unternehmenskritischer Blobdaten mit unveränderlichem Speicher

Weitere Informationen zu den Azure-Features für die Protokollierung und Überwachung finden Sie unter:

• Azure-Sicherheitsprotokollierung und -Überwachung
• Azure Storage Analytics-Protokollierung
• Azure-Ressourcenprotokolle

Weitere Informationen zur Microsoft Azure-Konformität finden Sie unter:

• Microsoft Trust Center (Azure-Konformität)
• Microsoft Azure Angebote zur Einhaltung von Vorschriften

Zugehörige Ressourcen

• Entwurf der Sicherheitsarchitektur
• Microsoft Entra IDaaS in Sicherheitsvorgängen
• Sicherheitsüberlegungen zu höchst sensiblen IaaS-Apps in Azure