Chaîne de preuves de forensique informatique dans Azure

Cet article décrit une infrastructure et un processus de workflow pour aider les équipes à fournir des preuves numériques qui démontrent une chaîne de possession valide en réponse à des requêtes légales. Cette discussion guide une chaîne de contrôle valide tout au long des processus d'acquisition, de conservation et d'accès aux preuves.

Architecture

La conception de l'architecture suit les principes de la zone d'atterrissage Azure décrits dans le Cloud Adoption Framework for Azure.

Ce scénario utilise une topologie de réseau en étoile, comme illustré dans le diagramme suivant :

Téléchargez un fichier Visio de cette architecture.

Workflow

Dans l'architecture, les machines virtuelles (VM) de production font partie d'un réseau virtuel Azure en rayons. Leurs disques sont chiffrés avec Azure Disk Encryption. Pour plus d’informations, consultez Vue d’ensemble des options de chiffrement de disque managé. Dans l’abonnement de production, Azure Key Vault stocke les clés de chiffrement BitLocker (BEK) des machines virtuelles.

L’équipe de contrôle du système et de l’organisation (SOC) utilise un abonnement Azure SOC discret. L'équipe a un accès exclusif à cet abonnement, qui contient les ressources qui doivent être protégées, inviolables et surveillées. Le compte Stockage Microsoft Azure dans l'abonnement SOC héberge des copies des instantanés de disque dans un stockage blob immuable, et un coffre de clés dédié conserve les valeurs de hachage des instantanés et les copies des BEK des machines virtuelles.

En réponse à une requête visant à capturer les preuves numériques d'une machine virtuelle, un membre de l'équipe SOC se connecte à l'abonnement Azure SOC et utilise un runbook hybride Azure worker VM dans Automation pour mettre en œuvre le runbook Copy-VmDigitalEvidence. Le Runbook Worker hybride Automation permet de contrôler tous les mécanismes impliqués dans la capture.

Le runbook Copy-VmDigitalEvidence implémente ces macro-étapes :

1. Connectez-vous à Azure à l’aide de l’identité managée attribuée par le système pour un compte Automation afin d’accéder aux ressources de la machine virtuelle cible et aux autres services Azure requis par la solution.
2. Créez des instantanés de disque pour le système d'exploitation (OS) et les disques de données de la VM.
3. Copiez les instantanés dans le stockage blob immuable de l'abonnement SOC et dans un partage de fichiers temporaire.
4. Calculez les valeurs de hachage des instantanés en utilisant la copie sur le partage de fichiers.
5. Copiez les valeurs de hachage obtenues et le BEK de la VM dans le coffre de clés SOC.
6. Nettoyez toutes les copies des instantanés, à l'exception de celle qui se trouve dans le stockage blob immuable.

Composants

• Azure Automation automatise les tâches de gestion cloud fréquentes, fastidieuses et sujettes aux erreurs.
• Stockage est une solution de stockage cloud qui comprend un stockage d’objets, de fichiers, de disques, de files d’attente et de tables.
• Stockage Blob Azure fournit un stockage d'objets cloud optimisé qui gère d'énormes quantités de données non structurées.
• Partages de fichiers Azure. Vous pouvez monter des partages simultanément par des déploiements dans le cloud ou sur site de Windows, Linux et macOS. Vous pouvez également mettre en cache les partages Azure Files sur les serveurs Windows avec Azure File Sync pour un accès rapide à proximité de l'endroit où les données sont utilisées.
• Azure Monitor prend en charge vos opérations à grande échelle en vous aidant à optimiser les performances et la disponibilité de vos ressources et à identifier de manière proactive les problèmes.
• Key Vault vous aide à protéger les clés cryptographiques et autres secrets utilisés par les applications et services cloud.
• Microsoft Entra ID est un service d'identité basé sur le cloud qui vous aide à contrôler l'accès à Azure et à d'autres applications cloud.

Automatisation

L'équipe SOC utilise un compte Automation pour créer et gérer le runbook Copy-VmDigitalEvidence. L'équipe utilise également Automation pour créer les travailleurs de runbook hybrides qui gèrent le runbook.

Runbook Worker hybride

La machine virtuelle du runbook hybride fait partie du compte Automation. L'équipe SOC utilise cette machine virtuelle exclusivement pour mettre en œuvre le runbook Copy-VmDigitalEvidence.

Vous devez placer la machine virtuelle Runbook Worker hybride dans un sous-réseau pouvant accéder au compte de stockage. Configurez l'accès au compte Stockage en ajoutant le sous-réseau de la machine virtuelle du runbook hybride aux règles de la liste d'autorisations du pare-feu du compte Stockage.

Vous devez accorder l'accès à cette VM uniquement aux membres de l'équipe SOC pour les activités de maintenance.

Pour isoler le réseau virtuel utilisé par la machine virtuelle, ne connectez pas ce réseau virtuel au concentrateur.

Le Runbook Worker hybride utilise l’identité managée attribuée par le système Automation pour accéder aux ressources de la machine virtuelle cible et aux autres services Azure requis par la solution.

Les autorisations minimales de contrôle d'accès basé sur les rôles (RBAC) qui doivent être attribuées à l'identité managée attribuée par le système sont classées en deux catégories :

• Autorisations d'accès à l'architecture SOC Azure contenant les composants principaux de la solution
• Autorisations d'accès à l'architecture cible contenant les ressources de la VM cible

L'accès à l'architecture SOC Azure inclut les rôles suivants :

• Contributeur de compte de stockage sur le compte de stockage immuable SOC
• Key Vault Secrets Officer sur le coffre de clés SOC pour la direction de BEK

L'accès à l'architecture cible inclut les rôles suivants :

• Contributeur sur le groupe de ressources de la machine virtuelle cible, qui fournit des droits d’instantané sur les disques de la machine virtuelle
• Key Vault Secrets Officier sur le coffre-fort de clés de la machine virtuelle cible utilisé pour stocker le BEK, uniquement si RBAC est utilisé pour le coffre-fort de clés.
• Stratégie d'accès à Get Secret sur le coffre-fort de clés de la machine virtuelle cible utilisé pour stocker le BEK, uniquement si vous utilisez une stratégie d'accès pour Key Vault.

Compte de Stockage Azure

Le compte Stockage Microsoft Azure dans la souscription SOC héberge les instantanés de disque dans un conteneur configuré avec une stratégie de conservation légale en tant que stockage blob immuable Azure. Le stockage blob immuable stocke les objets de données critiques pour l'entreprise dans un état d'écriture unique, lecture multiple (WORM), ce qui rend les données non effaçables et non modifiables pendant un intervalle spécifié par l'utilisateur.

Veillez à activer le transfert sécurisé et les propriétés du pare-feu de stockage. Le pare-feu accorde l'accès uniquement à partir du réseau virtuel SOC.

Le compte de stockage héberge également un partage de fichiers Azure en tant que référentiel temporaire pour le calcul de la valeur de hachage de l'instantané.

Azure Key Vault

La souscription SOC possède sa propre instance de Key Vault, qui héberge une copie du BEK qu'Azure Disk Encryption utilise pour protéger la machine virtuelle cible. La copie principale est conservée dans le coffre de clés utilisé par la VM cible, afin que la VM cible puisse continuer à fonctionner normalement.

Le coffre de clés SOC contient également les valeurs de hachage des instantanés de disque calculées par le Runbook Worker hybride lors des opérations de capture.

Assurez-vous que le pare-feu est activé sur le coffre de clés. Il n'autorise l'accès qu'à partir du réseau virtuel SOC.

Log Analytics

Un espace de travail Log Analytics stocke les journaux d'activité utilisés pour auditer tous les événements pertinents sur l'abonnement SOC. Log Analytics est une fonctionnalité de Monitor.

Détails du scénario

La forensique numérique est une science qui se consacre à la récupération et l’investigation des données numériques pour venir en support des investigations criminelles ou des procédures judiciaires civiles. L'investigation informatique est une branche de l'investigation numérique qui capture et analyse les données des ordinateurs, des machines virtuelles et des supports de stockage numériques.

Les entreprises doivent garantir que les preuves numériques qu'elles fournissent en réponse aux demandes légales démontrent un CoC valide tout au long du processus d'acquisition, de conservation et d'accès des preuves.

Cas d’usage potentiels

• L'équipe du centre d'opérations de sécurité d'une entreprise peut mettre en œuvre cette solution technique pour prendre en charge un CoC valide pour les preuves numériques.
• Les enquêteurs peuvent joindre des copies de disque obtenues grâce à cette technique sur un ordinateur dédié à l'analyse médico-légale. Ils peuvent attacher les copies de disque sans mettre sous tension ni accéder à la VM source d'origine.

Conformité réglementaire CoC

S'il est nécessaire de soumettre la solution proposée à un processus de validation de la conformité réglementaire, tenez compte des éléments figurant dans la section des considérations au cours du processus de validation de la solution CoC.

À propos de l’installation

Les principes qui valident cette solution en tant que CoC sont présentés dans cette section.

Pour garantir une chaîne de preuves, le stockage des preuves numériques doit démontrer l’adéquation du contrôle d’accès, de la protection et de l’intégrité des données, de la supervision et des alertes, et de la journalisation et de l’audit.

Respect des normes et réglementations de sécurité

Lorsque vous validez une solution CoC, l’une des exigences à évaluer est la conformité aux normes et réglementations de sécurité.

Tous les composants inclus dans l'architecture sont des services standard Azure construits sur une base qui prend en charge la confiance, la sécurité et la conformité.

Azure propose un large éventail de certifications de conformité, notamment des certifications spécifiques à des pays ou des régions, ainsi qu'à des secteurs clés tels que la santé, le gouvernement, la finance et l'éducation.

Pour obtenir des rapports d'audit mis à jour contenant des informations sur la conformité aux normes pour les services adoptés dans cette solution, consultez Service Trust Portal.

L'évaluation de la conformité Stockage Microsoft Azure : SEC 17a-4(f) et CFTC 1.31(c)-(d) de Cohasset donne des détails sur les exigences suivantes :

• Securities and Exchange Commission (SEC) dans 17 CFR § 240.17a-4(f), qui réglemente les membres de la bourse, les courtiers ou les négociants.
• Règle 4511(c) de la Financial Industry Regulatory Authority (FINRA), qui s'en remet aux exigences de format et de support de la règle 17a-4(f) de la SEC.
• Commodity Futures Trading Commission (CFTC) dans le règlement 17 CFR § 1.31(c)-(d), qui réglemente le commerce des contrats à terme sur matières premières.

Cohasset estime que le stockage, avec la fonction de stockage immuable de Blob Storage et l'option de verrouillage de stratégie, conserve les blobs (enregistrements) basés sur le temps dans un format non effaçable et non réinscriptible et répond aux exigences de stockage pertinentes de la règle SEC 17a-4(f), de la règle FINRA 4511(c) et aux exigences basées sur les principes de la règle CFTC 1.31(c)-(d).

Privilège minimum

Lorsque les rôles de l'équipe SOC sont attribués, seules deux personnes au sein de l'équipe doivent avoir le droit de modifier la configuration RBAC de l'abonnement et de ses données. N'accordez aux autres personnes que les droits d'accès minimaux aux sous-ensembles de données dont elles ont besoin pour effectuer leur travail. Configurez et appliquez l'accès via Azure RBAC.

Accès minimum

Seul le réseau virtuel de l'abonnement SOC a accès au compte SOC Storage et au Key Vault qui archive les preuves.

Un accès temporaire au stockage SOC est accordé aux enquêteurs qui ont besoin d'accéder aux preuves. Les membres autorisés de l’équipe SOC peuvent accorder l’accès.

Acquisition des preuves

Les journaux d'audit Azure peuvent montrer l'acquisition des preuves en enregistrant l'action de prendre un instantané de disque de machine virtuelle, avec des éléments tels que qui a pris les instantanés et quand.

Intégrité des preuves

L'utilisation de l'automatisation pour déplacer les preuves vers leur destination d'archivage finale, sans intervention humaine, garantit que les artefacts de preuve n'ont pas été modifiés.

Lorsque vous appliquez une stratégie de mise en suspens juridique au stockage de destination, les preuves sont figées dans le temps dès qu'elles sont écrites. Une mise en suspens légale montre que la CdC a été entièrement maintenue dans Azure. Une mise en suspens légale montre également qu'il n'y a pas eu d'occasion de modifier les preuves entre le moment où les images de disque existaient sur une machine virtuelle active et celui où elles ont été ajoutées en tant que preuves dans le compte de stockage.

Enfin, vous pouvez utiliser la solution fournie, comme mécanisme d'intégrité, pour calculer les valeurs de hachage des images disque. Les algorithmes de hachage pris en charge sont : MD5, SHA256, SKEIN, KECCAK (ou SHA3).

Production des preuves

Les enquêteurs doivent avoir accès aux preuves pour pouvoir effectuer des analyses, et cet accès doit être suivi et explicitement autorisé.

Fournissez aux enquêteurs une clé de stockage URI de signatures d'accès partagées (SAS) pour accéder aux preuves. Vous pouvez utiliser un URI SAS pour produire des informations de journal pertinentes lorsque le SAS est généré. Vous pouvez également obtenir une copie des preuves à chaque fois que le SAS est utilisé.

Vous devez explicitement placer les adresses IP des enquêteurs nécessitant un accès sur une liste autorisée dans le pare-feu de stockage.

Par exemple, si une équipe juridique doit transférer un disque dur virtuel (VHD) préservé, l'un des deux dépositaires de l'équipe SOC génère une clé URI SAS en lecture seule qui expire après huit heures. Le SAS limite l'accès aux adresses IP des enquêteurs à une durée déterminée.

Enfin, les enquêteurs ont besoin des BEK archivées dans le coffre-fort de clés SOC pour accéder aux copies de disque chiffrées. Un membre de l’équipe SOC doit extraire les BEK et les fournir via des canaux sécurisés aux enquêteurs.

Magasin régional

Pour des raisons de conformité, certaines normes ou réglementations exigent que les preuves et l’infrastructure de support soient conservées dans la même région Azure.

Tous les composants de la solution, y compris le compte de stockage qui archive les preuves, sont hébergés dans la même région Azure que les systèmes faisant l'objet de l'enquête.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

Surveillance et signalement

Azure fournit des services à tous les clients pour surveiller et alerter sur les anomalies impliquant leurs abonnements et leurs ressources. Ces services comprennent :

• Microsoft Azure Sentinel.
• Microsoft Defender pour le cloud.
• Protection avancée contre les menaces du stockage Azure (ATP).

Déployer ce scénario

Suivez les instructions de déploiement en laboratoire du CdC pour créer et déployer ce scénario dans un environnement de laboratoire.

L'environnement de laboratoire représente une version simplifiée de l'architecture décrite dans l'article. Vous déployez deux groupes de ressources dans le même abonnement. Le premier groupe de ressources simule l'environnement de production, hébergeant les preuves numériques, tandis que le deuxième groupe de ressources contient l'environnement SOC.

Utilisez le bouton suivant pour déployer uniquement le groupe de ressources SOC dans un environnement de production.

Configuration étendue

Vous pouvez déployer un Runbook Worker hybride sur site ou dans différents environnements cloud.

Dans ce scénario, vous pouvez personnaliser le runbook Copy‑VmDigitalEvidence pour activer la capture de preuves dans différents environnements cibles et les archiver dans le stockage.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Principaux auteurs :

• Fabio Masciotra | Consultant principal
• Simone Savi | Consultante senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

Pour plus d’informations sur les fonctionnalités de protection des données d’Azure, consultez :

• Chiffrement du stockage Azure pour les données au repos
• Présentation des options de chiffrement de disque managé
• Stocker des données blob critiques pour l’entreprise avec un stockage immuable

Pour plus d’informations sur les fonctionnalités de journalisation et d’audit d’Azure, consultez :

• Journalisation et audit de sécurité d’Azure
• Journalisation Azure Storage Analytics
• Journaux de ressources Azure

Pour plus d'informations sur la conformité de Microsoft Azure, consultez :

• Conformité d'Azure
• Offres de conformité Microsoft Azure

Ressources associées

• Conception d’architecture de sécurité
• Microsoft Entra IDaaS dans les opérations de sécurité
• Considérations de sécurité pour les applications IaaS hautement sensibles dans Azure