Számítógépes kriminalisztikai felügyeleti lánc az Azure-ban

Azure Automation

Azure Disk Encryption

Azure Key Vault

Azure Storage-tárfiókok

Ez a cikk egy olyan infrastruktúra- és munkafolyamat-folyamatot vázol fel, amelynek célja, hogy segítse a csapatokat olyan digitális bizonyítékok biztosításában, amelyek érvényes felügyeleti láncot mutatnak be a jogi kérésekre válaszul. Ez a cikk azt ismerteti, hogyan tarthat fenn érvényes felügyeleti láncot a bizonyítékok beszerzésének, megőrzésének és elérésének szakaszaiban.

Feljegyzés

Ez a cikk a szerzők elméleti és gyakorlati ismeretén alapul. Mielőtt jogi célokra használod, ellenőrizd annak alkalmazhatóságát a jogi részlegeddel.

Architektúra

Az architektúra kialakítása az Azure-beli felhőadaptálási keretrendszer Azure-beli kezdőlap alapelveit követi.

Ez a forgatókönyv küllős hálózati topológiát használ, amely az alábbi ábrán látható:

Ez az ábra azt a felügyeleti láncot mutatja be, ahol az éles virtuális gépek egy küllős Azure-beli virtuális hálózatban találhatók. Ezeknek a gépeknek a lemezei az Azure Disk Encryption használatával vannak titkosítva, és a BitLocker titkosítási kulcsok éles Azure Key Vault. Egy különálló, biztonságos Azure SOC-előfizetés, amely csak a biztonsági műveleti központ (SOC) csapata számára érhető el, tartalmaz egy Azure Storage-fiókot, amely nem módosítható blobtárolóban tárolja a lemez pillanatképeit. Emellett tartalmaz egy dedikált Azure Key Vault is, amely tárolja a virtuális gépek titkosítási kulcsainak pillanatképeinek és másolatainak kivonatértékeit. Amikor digitális bizonyítékok rögzítésére vonatkozó kérést kérnek, az SOC-csapat egyik tagja bejelentkezik az SOC-előfizetésbe, és egy Azure Automation hibrid runbook-feldolgozó virtuális géppel futtatja a Copy-VmDigitalEvidence runbookot. A runbook egy rendszer által hozzárendelt felügyelt identitással fér hozzá a cél virtuális gép erőforrásaihoz, és pillanatképeket hoz létre az operációs rendszerről és az adatlemezekről. Ezeket a pillanatképeket a nem módosítható blobtárolóba és egy ideiglenes fájlmegosztásba is átviszi, kiszámítja a kivonatértékeket, és tárolja a kivonatértékeket és a virtuális gép titkosítási kulcsát az SOC-kulcstartóban. Végül eltávolítja az összes ideiglenes másolatot, kivéve a nem módosítható pillanatképet.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

Az architektúrában az éles virtuális gépek (VM-ek) egy küllős Azure-beli virtuális hálózat részei. A virtuálisgép-lemezek titkosítása Azure Disk Encryption. További információ: A felügyelt lemeztitkosítási lehetőségek áttekintése. Az éles előfizetésben a Azure Key Vault tárolja a virtuális gépek BitLocker titkosítási kulcsait (BEK).

Feljegyzés

A forgatókönyv a titkosítatlan lemezekkel rendelkező éles virtuális gépeket is támogatja.

A biztonsági műveleti központ (SOC) csapata különálló Azure SOC-előfizetést használ. A csapat kizárólagos hozzáféréssel rendelkezik az előfizetéshez, amely tartalmazza azokat az erőforrásokat, amelyeket védeni, sérthetetlennek és monitorozni kell. Az SOC-előfizetés Azure Storage-fiókja a lemez pillanatképeinek másolatait tárolja a nem módosítható blobtárolóban. A dedikált kulcstartó tárolja a pillanatképek kivonatértékeinek és a virtuális gépek BEK-jeinek másolatait.

A virtuális gép digitális bizonyítékainak rögzítésére vonatkozó kérésre válaszul az SOC-csapat egyik tagja bejelentkezik az Azure SOC-előfizetésbe, és egy Azure AutomationAzure Hybrid runbook feldolgozó virtuális gépet használ a Copy-VmDigitalEvidence runbook futtatásához. Az Automation hibrid runbook-feldolgozó biztosítja a rögzítésben szereplő összes mechanizmus vezérlését.

A Copy-VmDigitalEvidence runbook a következő makrólépéseket valósítja meg:

1. Az Azure-ba való bejelentkezéshez használja a rendszer által hozzárendelt felügyelt identitást egy Automation-fiókhoz . Ez az identitás hozzáférést biztosít a cél virtuális gép erőforrásaihoz és a megoldáshoz szükséges egyéb Azure-szolgáltatásokhoz.

2. Lemezpillanatképek készítése a virtuális gép operációs rendszeréről és adatlemezeiről.

3. Vigye át a pillanatképeket az SOC-előfizetés nem módosítható blobtárolójába és egy ideiglenes fájlmegosztásba is.

4. Számítsa ki a pillanatképek kivonatértékeit a fájlmegosztásban tárolt másolat használatával.

5. Tárolja a kapott kivonatértékeket és a virtuális gép BEK-jét az SOC kulcstartójában.

6. Távolítsa el a pillanatképek összes másolatát, kivéve a nem módosítható blobtárolóban lévő másolatot.

Feljegyzés

Az éles virtuális gépek titkosított lemezei kulcstitkosítási kulcsokat (KEK) is használhatnak. A üzembe helyezési forgatókönyvben megadott Copy-VmDigitalEvidence runbook nem fedi le ezt a forgatókönyvet.

Összetevők

• Az Azure Automation automatizálja a gyakori, időigényes és hibalehetőségű felhőfelügyeleti feladatokat. A virtuálisgép-lemez pillanatképeinek rögzítésének és átvitelének automatizálására szolgál a bizonyítékok integritásának biztosítása érdekében.

• A Storage egy felhőalapú tárolási megoldás, amely objektumot, fájlt, lemezt, üzenetsort és táblatárolót tartalmaz. A lemez pillanatképeit nem módosítható blobtárolóban tárolja, hogy a bizonyítékokat nem módosítható és nem szerkeszthető állapotban őrizze meg.

• Az Azure Blob Storage optimalizált felhőalapú objektumtárolást biztosít, amely nagy mennyiségű strukturálatlan adatot kezel. Optimalizált felhőobjektum-tárolást biztosít a lemez-pillanatképek nem módosítható blobokként való tárolásához.

• Azure Files teljes körűen felügyelt fájlmegosztásokat biztosít a felhőben, amelyek az iparági szabványnak megfelelő Server Message Block (SMB) protokollon, a hálózati fájlrendszer (NFS) protokollon és a Azure Files REST API-n keresztül érhetők el. A megosztásokat egyidejűleg csatlakoztathatja a Windows, Linux és macOS felhőbeli vagy helyszíni üzembe helyezésével. A fájlmegosztásokat a Windows Serveren is gyorsítótárazhatja a Azure File Sync az adathasználati hely közelében lévő gyors hozzáféréshez. Azure Files ideiglenes adattárként használható a lemez-pillanatképek kivonatértékeinek kiszámításához.

• Key Vault segít megvédeni a titkosítási kulcsokat és a felhőalkalmazások és -szolgáltatások által használt egyéb titkos kulcsokat. A Key Vault tárolhatja a lemez-pillanatképek BEK-jeit és kivonatértékeit a biztonságos hozzáférés és az adatintegritás biztosítása érdekében.

• A Microsoft Entra ID egy felhőalapú identitásszolgáltatás, amely segít szabályozni az Azure-hoz és más felhőalkalmazásokhoz való hozzáférést. Az Azure-erőforrásokhoz való hozzáférés szabályozására szolgál, ami segít a biztonságos identitáskezelésben.

• Azure Monitor támogatja a műveleteket nagy méretekben azáltal, hogy segít maximalizálni az erőforrások teljesítményét és rendelkezésre állását, miközben proaktívan azonosítja a lehetséges problémákat. A tevékenységnaplók archiválása az összes releváns esemény megfelelőségi és monitorozási célú naplózásához.

Automatizálás

Az SOC-csapat egy Automation-fiókkal hozza létre és tartja karban a Copy-VmDigitalEvidence runbookot. A csapat az Automation használatával is létrehozza a runbookot megvalósító hibrid runbook-feldolgozókat.

Hibrid runbook-feldolgozó

A hibrid runbook-feldolgozó virtuális gép integrálva van az Automation-fiókba. Az SOC-csapat kizárólag ezt a virtuális gépet használja a Copy-VmDigitalEvidence runbook futtatásához.

A hibrid runbook-feldolgozó virtuális gépet egy olyan alhálózatba kell helyeznie, amely hozzáfér a Storage-fiókhoz. Konfigurálja a Tárfiókhoz való hozzáférést úgy, hogy hozzáadja a hibrid runbook-feldolgozó virtuálisgép-alhálózatot a Storage-fiók tűzfalengedélyezési szabályaihoz.

Ehhez a virtuális géphez csak az SOC-csapat tagjai számára adjon hozzáférést karbantartási tevékenységekhez.

A virtuális gép által használt virtuális hálózat elkülönítéséhez kerülje a virtuális hálózat és a központ csatlakoztatását.

A hibrid runbook-feldolgozó az Automation rendszer által hozzárendelt felügyelt identitással fér hozzá a cél virtuális gép erőforrásaihoz és a megoldáshoz szükséges egyéb Azure-szolgáltatásokhoz.

A rendszer által hozzárendelt felügyelt identitáshoz szükséges minimális szerepköralapú hozzáférés-vezérlési (RBAC) engedélyek két kategóriába sorolhatók:

• Hozzáférési engedélyek a megoldás alapvető összetevőit tartalmazó SOC Azure-architektúrához
• Hozzáférési engedélyek a cél virtuálisgép-erőforrásokat tartalmazó célarchitektúrához

Az SOC Azure-architektúrához való hozzáférés a következő szerepköröket foglalja magában:

• Tárfiók-közreműködő az SOC nem módosítható tárfiókján
• Key Vault titkos kulcsok tisztviselője a BEK felügyeletéhez használt SOC-kulcstartón

A célarchitektúra elérése a következő szerepköröket foglalja magában:

• Közreműködő a cél VM-erőforráscsoportban, amely jogosultságot ad a VM lemezeiről készült pillanatképek rögzítéséhez

• Key Vault titkos kulcsok tisztviselője a cél virtuális gép kulcstartóján, amely a BEK tárolására szolgál, csak akkor, ha az RBAC a Key Vault hozzáférés szabályozására szolgál

• Hozzáférési szabályzat a titkos kulcs lekéréséhez a cél virtuális gép kulcstartóján, amely a BEK tárolására szolgál, csak akkor, ha a hozzáférési szabályzat a Key Vault hozzáférés szabályozására szolgál

Feljegyzés

A BEK olvasásához a cél virtuális gép kulcstartójának elérhetőnek kell lennie a hibrid runbook-feldolgozó virtuális gépről. Ha a kulcstartó tűzfala engedélyezve van, győződjön meg arról, hogy a hibrid runbook-feldolgozó virtuális gép nyilvános IP-címe engedélyezve van a tűzfalon keresztül.

Tároló fiók

Az SOC-előfizetés Storage-fiókja egy olyan tárolóban tárolja a lemez pillanatképeit, amely jogi visszatartási szabályzattal van konfigurálva Azure nem módosítható blobtárolóként. A nem módosítható blobtároló az üzletileg kritikus fontosságú adatobjektumokat egyszer írható, több olvasási (WORM) állapotban tárolja. A WORM állapot miatt az adatok nem törölhetők és szerkeszthetetlenek a felhasználó által megadott időközönként.

Győződjön meg arról, hogy engedélyezte a biztonságos átviteli és tárolási tűzfal tulajdonságait. A tűzfal csak az SOC virtuális hálózatról biztosít hozzáférést.

A tárfiók egy Azure-fájlmegosztást is üzemeltet ideiglenes adattárként, amely a pillanatkép kivonatértékének kiszámítására szolgál.

Key Vault (kulcs tároló)

Az SOC-előfizetés saját Key Vault-példánysal rendelkezik, amely az Azure Disk Encryption által a cél virtuális gép védelmére használt BEK másolatát tárolja. Az elsődleges másolat a cél virtuális gép által használt kulcstartóban van tárolva. Ez a beállítás lehetővé teszi, hogy a cél virtuális gép megszakítás nélkül folytassa a normál műveleteket.

Az SOC-kulcstartó a hibrid runbook-feldolgozó által a rögzítési műveletek során kiszámított lemez-pillanatképek kivonatértékeit is tárolja.

Győződjön meg arról, hogy a tűzfal engedélyezve van a kulcstartóban. Kizárólag a SOC virtuális hálózatról kell hozzáférést biztosítania.

Naplóanalitika

A Log Analytics-munkaterületek az SOC-előfizetés összes releváns eseményének naplózásához használt tevékenységnaplókat tárolják. A Log Analytics a Monitor egyik funkciója.

Forgatókönyv részletei

A digitális kriminalisztika tudománya a digitális adatok helyreállítását és vizsgálatát kezeli bűnügyi nyomozások vagy polgári peres eljárások támogatására. A számítógépes kriminalisztika a digitális kriminalisztika egyik ága, amely számítógépekről, virtuális gépekről és digitális tárolóeszközökről származó adatokat rögzít és elemez.

A vállalatoknak garantálniuk kell, hogy a jogi kérésekre válaszul szolgáltatott digitális bizonyítékok érvényes felügyeleti láncot mutatnak a bizonyítékok megszerzésének, megőrzésének és hozzáférésének szakaszaiban.

Lehetséges használati esetek

• A vállalat SOC-csapata megvalósíthatja ezt a technikai megoldást a digitális bizonyítékok érvényes felügyeleti láncának támogatására.

• A nyomozók csatolhatnak lemezmásolatokat, amelyeket ezzel a technikával szereztek be egy kriminalisztikai elemzésre szánt számítógépen. Az eredeti forrás virtuális gép bekapcsolása vagy elérése nélkül csatolhatják a lemezpéldányokat.

A felügyeleti lánc szabályozási megfelelősége

Ha a javasolt megoldást jogszabályi megfelelőségi ellenőrzési folyamatnak kell benyújtania, vegye figyelembe a felügyeleti lánc megoldásának érvényesítési folyamata során a megfontolások szakaszban található anyagokat.

Feljegyzés

Be kell vonnia a jogi osztályt az érvényesítési folyamatba.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Well-Architected Framework.

A megoldást felügyeleti láncként érvényesítő alapelveket ebben a szakaszban ismertetjük. Az érvényes felügyeleti lánc biztosítása érdekében a digitális bizonyítékok tárolásának megfelelő hozzáférés-vezérlést, adatvédelmet és integritást, figyelést és riasztást, valamint naplózást és naplózást kell bizonyítania.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információkért lásd a Biztonsági terv felülvizsgálati ellenőrzőlistát.

A biztonsági szabványoknak és előírásoknak való megfelelés

A felügyeleti lánc megoldásának validálásakor az egyik kiértékelendő követelmény a biztonsági szabványoknak és előírásoknak való megfelelés.

Az architektúrában szereplő összes összetevő olyan alapra épülő standard Azure-szolgáltatás, amely támogatja a megbízhatóságot, a biztonságot és a megfelelőséget.

Az Azure megfelelőségi tanúsítványok széles skálájával rendelkezik, beleértve az országokra vagy régiókra szabott tanúsítványokat, valamint a kulcsfontosságú iparágakat, például az egészségügyet, a kormányzatot, a pénzügyeket és az oktatást.

A megoldásban használt szolgáltatások szabványmegfelelőségét részletező frissített naplózási jelentésekkel kapcsolatos további információkért lásd: Szolgáltatásmegbízhatósági portál.

A Cohasset Azure Storage megfelelőségi felmérése a következő követelményekkel kapcsolatos részleteket tartalmazza:

• Értékpapír- és Tőzsdei Bizottság (SEC) 17 CFR § 240.17a-4(f), amely szabályozza a tőzsdetagok, brókerek, vagy kereskedők.

• Pénzügyi iparági szabályozó hatóság (FINRA) 4511(c) szabály, amely ellentmond a SEC 17a-4(f) szabályának formátumára és médiakövetelményére.

• Árutőzsdei Kereskedési Bizottság (CFTC) a 17 CFR § 1.31(c)-(d), amely szabályozza az árutőzsdei kereskedés.

Cohasset véleménye szerint az Azure Storage a Blob Storage és a szabályzatzárolási lehetőség nem módosítható tárolási funkciójával nem törölhető és nem újraírható formátumban őrzi meg az időalapú blobokat (vagy rekordokat), és megfelel a SEC 17a-4(f), a FINRA 4511(c) szabály vonatkozó tárolási követelményeinek, valamint a CFTC 1.31(c)-(d) szabályának elveken alapuló követelményeinek.

Minimális jogosultság

Az SOC-csapat szerepköreinek hozzárendelésekor a csapatban csak két személy, más néven SOC-csapatfelügyelők jogosultak az előfizetés és az adatok RBAC-konfigurációjának módosítására. Csak minimális hozzáférési jogosultságot adjon más személyeknek a munkájuk elvégzéséhez szükséges adathalmazokhoz.

Minimális hozzáférés

Csak az SOC-előfizetésben lévő virtuális hálózat rendelkezik hozzáféréssel az SOC Storage-fiókhoz és a kulcstartóhoz, amely a bizonyítékot archiválja. A SOC-csapat felhatalmazott tagjai ideiglenes hozzáférést biztosíthatnak a nyomozóknak a SOC-tárolóban lévő bizonyítékokhoz.

Bizonyítékok beszerzése

Az Azure-auditnaplók dokumentálhatják a bizonyítékok megszerzését a virtuálisgép-lemez pillanatképének rögzítésével. A naplók olyan részleteket tartalmaznak, mint például, hogy ki készíti a pillanatképeket, és mikor készülnek.

Bizonyítékok integritása

Az automatizálás segítségével emberi beavatkozás nélkül áthelyezheti a bizonyítékokat a végső archiválási célhelyre. Ez a megközelítés segít garantálni, hogy a bizonyítékok műtermékei változatlanok maradjanak.

Ha jogi visszatartási szabályzatot alkalmaz a céltárolóra, a bizonyítékok azonnal lefagyasztanak, amint megírják. A jogi visszatartás azt mutatja, hogy a felügyeleti lánc teljes mértékben karbantartva van az Azure-ban. Azt is jelzi, hogy nincs lehetőség a bizonyítékok illetéktelen módosítására attól az időponttól kezdve, hogy a lemezképek élő virtuális gépen vannak, egészen addig, amíg bizonyítékként vannak tárolva a tárfiókban.

Végül használhatja a megadott megoldást integritási mechanizmusként a lemezképek kivonatértékeinek kiszámításához. A támogatott kivonatoló algoritmusok az MD5, az SHA256, a SKEIN és a KECCAK (vagy SHA3).

Bizonyítékok létrehozása

A nyomozóknak hozzá kell férniük a bizonyítékokhoz, hogy elemzéseket végezhessenek. Ezt a hozzáférést nyomon kell követni és explicit módon engedélyezni kell.

Biztosítson a nyomozóknak egy közös hozzáférésű jogosultságkódok (SAS) egységes erőforrás-azonosító (URI) tárolókulcsot a bizonyítékok eléréséhez. Az SAS URI a létrehozásakor releváns naplóadatokat hozhat létre. A bizonyítékok másolatát minden alkalommal megkaphatja, amikor az SAS-t használják.

Ha például egy jogi csapatnak át kell vinnie egy megőrzött virtuális merevlemezt, a két SOC-csapat felügyelőjének egyike létrehoz egy csak olvasható SAS URI-kulcsot, amely nyolc óra elteltével lejár. Az SAS egy meghatározott időkereten belül korlátozza a nyomozók hozzáférését.

Az SOC-csapatnak explicit módon el kell helyeznie a hozzáférést igénylő nyomozók IP-címét a Storage tűzfal engedélyezési listáján.

Végül a nyomozóknak az SOC kulcstartóban archivált BEK-kre van szükségük a titkosított lemezpéldányok eléréséhez. Az SOC csapatának tagjainak ki kell nyerniük a BEK-ket, és biztonságos csatornákon keresztül kell biztosítaniuk őket a nyomozóknak.

Regionális tároló

A megfelelőség érdekében egyes szabványok vagy előírások megkövetelik, hogy a bizonyítékok és a támogató infrastruktúra ugyanabban az Azure-régióban legyen fenntartva.

Az összes megoldásösszetevő, beleértve a bizonyítékokat archiváló Storage-fiókot is, ugyanabban az Azure-régióban található, mint a vizsgált rendszerek.

Működési kiválóság

Az Operational Excellence azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben működtetik. További információ: Az operatív kiválóság tervezési felülvizsgálati ellenőrzőlistája.

Figyelés és riasztás

Az Azure minden ügyfél számára szolgáltatásokat nyújt az előfizetéseikkel és erőforrásaikkal kapcsolatos anomáliák monitorozásához és riasztásához. Ilyen szolgáltatások többek között a következők:

• Microsoft Sentinel.
• Felhőhöz készült Microsoft Defender.
• Microsoft Defender Storage.

Feljegyzés

Ezeknek a szolgáltatásoknak a konfigurációját ebben a cikkben nem ismertetjük.

A forgatókönyv üzembe helyezése

Kövesse a felügyeleti lánc tesztkörnyezetének üzembe helyezésére vonatkozó utasításokat a forgatókönyv laboratóriumi környezetben való felépítéséhez és üzembe helyezéséhez.

A laboratóriumi környezet a cikkben ismertetett architektúra egyszerűsített változatát képviseli. Két erőforráscsoportot helyez üzembe ugyanazon az előfizetésen belül. Az első erőforráscsoport az éles környezetet szimulálja, digitális bizonyítékokkal, míg a második erőforráscsoport az SOC-környezetet tartalmazza.

Válassza az Üzembe helyezés az Azure-ban lehetőséget, ha csak az SOC-erőforráscsoportot szeretné éles környezetben üzembe helyezni.

Feljegyzés

Ha éles környezetben telepíti a megoldást, győződjön meg arról, hogy az Automation-fiók rendszer által hozzárendelt felügyelt identitása rendelkezik a következő engedélyekkel:

• A feldolgozandó virtuális gép éles erőforráscsoportjának közreműködője. Ez a szerepkör hozza létre a pillanatképeket.
• Key Vault titkos kulcsfelhasználó az éles kulcstartóban, amely a BEK-ket tartalmazza. Ez a szerepkör beolvassa a BEK-ket.

Ha a kulcstartóban engedélyezve van a tűzfal, győződjön meg arról, hogy a hibrid runbook-feldolgozó virtuális gép nyilvános IP-címe engedélyezve van a tűzfalon keresztül.

Kiterjesztett konfiguráció

Hibrid runbook-feldolgozót telepítheti a helyszínen vagy különböző felhőkörnyezetekben.

Ebben a forgatókönyvben testre kell szabnia a Copy‑VmDigitalEvidence runbookot, hogy lehetővé tegye a bizonyítékok rögzítését különböző célkörnyezetekben, és archiválja őket a tárolóban.

Feljegyzés

A forgatókönyv üzembe helyezésének szakaszában megadott Copy-VmDigitalEvidence runbook ot csak az Azure-ban fejlesztették ki és tesztelték. A megoldás más platformokra való kiterjesztéséhez testre kell szabnia a runbookot, hogy működjön ezekkel a platformokkal.

Közreműködők

A Microsoft fenntartja ezt a cikket. A következő közreműködők írták ezt a cikket.

Fő szerzők:

• Fabio Masciotra | Főtanácsadó
• Simone Savi | Vezető tanácsadó

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

További információ az Azure adatvédelmi funkcióiról:

• Tárolási titkosítás az inaktív adatokhoz
• A felügyelt lemeztitkosítási lehetőségek áttekintése
• Üzletileg kritikus blobadatok tárolása nem módosítható tárolóval WORM állapotban

További információ az Azure naplózási funkcióiról:

• Azure biztonsági naplózás
• Tárolási elemzés naplózása
• Azure-erőforrásnaplók küldése Log Analytics-munkaterületekre, Event Hubsba vagy Storage-ba

A Microsoft Azure-megfelelőségről további információt a következő témakörben talál:

• Az Azure megfelelősége
• Microsoft megfelelőségi ajánlatai

Kapcsolódó erőforrás

• Biztonsági architektúra tervezése

Ez a cikk egy olyan infrastruktúra- és munkafolyamat-folyamatot vázol fel, amelynek célja, hogy segítse a csapatokat olyan digitális bizonyítékok biztosításában, amelyek érvényes felügyeleti láncot mutatnak be a jogi kérésekre válaszul. Ez a cikk azt ismerteti, hogyan tarthat fenn érvényes felügyeleti láncot a bizonyítékok beszerzésének, megőrzésének és elérésének szakaszaiban.

Feljegyzés

Ez a cikk a szerzők elméleti és gyakorlati ismeretén alapul. Mielőtt jogi célokra használod, ellenőrizd annak alkalmazhatóságát a jogi részlegeddel.

Architektúra

Az architektúra kialakítása az Azure-beli felhőadaptálási keretrendszer Azure-beli kezdőlap alapelveit követi.

Ez a forgatókönyv küllős hálózati topológiát használ, amely az alábbi ábrán látható:

Ez az ábra azt a felügyeleti láncot mutatja be, ahol az éles virtuális gépek egy küllős Azure-beli virtuális hálózatban találhatók. Ezeknek a gépeknek a lemezei az Azure Disk Encryption használatával vannak titkosítva, és a BitLocker titkosítási kulcsok éles Azure Key Vault. Egy különálló, biztonságos Azure SOC-előfizetés, amely csak a biztonsági műveleti központ (SOC) csapata számára érhető el, tartalmaz egy Azure Storage-fiókot, amely nem módosítható blobtárolóban tárolja a lemez pillanatképeit. Emellett tartalmaz egy dedikált Azure Key Vault is, amely tárolja a virtuális gépek titkosítási kulcsainak pillanatképeinek és másolatainak kivonatértékeit. Amikor digitális bizonyítékok rögzítésére vonatkozó kérést kérnek, az SOC-csapat egyik tagja bejelentkezik az SOC-előfizetésbe, és egy Azure Automation hibrid runbook-feldolgozó virtuális géppel futtatja a Copy-VmDigitalEvidence runbookot. A runbook egy rendszer által hozzárendelt felügyelt identitással fér hozzá a cél virtuális gép erőforrásaihoz, és pillanatképeket hoz létre az operációs rendszerről és az adatlemezekről. Ezeket a pillanatképeket a nem módosítható blobtárolóba és egy ideiglenes fájlmegosztásba is átviszi, kiszámítja a kivonatértékeket, és tárolja a kivonatértékeket és a virtuális gép titkosítási kulcsát az SOC-kulcstartóban. Végül eltávolítja az összes ideiglenes másolatot, kivéve a nem módosítható pillanatképet.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

Az architektúrában az éles virtuális gépek (VM-ek) egy küllős Azure-beli virtuális hálózat részei. A virtuálisgép-lemezek titkosítása Azure Disk Encryption. További információ: A felügyelt lemeztitkosítási lehetőségek áttekintése. Az éles előfizetésben a Azure Key Vault tárolja a virtuális gépek BitLocker titkosítási kulcsait (BEK).

Feljegyzés

A forgatókönyv a titkosítatlan lemezekkel rendelkező éles virtuális gépeket is támogatja.

A biztonsági műveleti központ (SOC) csapata különálló Azure SOC-előfizetést használ. A csapat kizárólagos hozzáféréssel rendelkezik az előfizetéshez, amely tartalmazza azokat az erőforrásokat, amelyeket védeni, sérthetetlennek és monitorozni kell. Az SOC-előfizetés Azure Storage-fiókja a lemez pillanatképeinek másolatait tárolja a nem módosítható blobtárolóban. A dedikált kulcstartó tárolja a pillanatképek kivonatértékeinek és a virtuális gépek BEK-jeinek másolatait.

A virtuális gép digitális bizonyítékainak rögzítésére vonatkozó kérésre válaszul az SOC-csapat egyik tagja bejelentkezik az Azure SOC-előfizetésbe, és egy Azure AutomationAzure Hybrid runbook feldolgozó virtuális gépet használ a Copy-VmDigitalEvidence runbook futtatásához. Az Automation hibrid runbook-feldolgozó biztosítja a rögzítésben szereplő összes mechanizmus vezérlését.

A Copy-VmDigitalEvidence runbook a következő makrólépéseket valósítja meg:

1. Az Azure-ba való bejelentkezéshez használja a rendszer által hozzárendelt felügyelt identitást egy Automation-fiókhoz . Ez az identitás hozzáférést biztosít a cél virtuális gép erőforrásaihoz és a megoldáshoz szükséges egyéb Azure-szolgáltatásokhoz.

2. Lemezpillanatképek készítése a virtuális gép operációs rendszeréről és adatlemezeiről.

3. Vigye át a pillanatképeket az SOC-előfizetés nem módosítható blobtárolójába és egy ideiglenes fájlmegosztásba is.

4. Számítsa ki a pillanatképek kivonatértékeit a fájlmegosztásban tárolt másolat használatával.

5. Tárolja a kapott kivonatértékeket és a virtuális gép BEK-jét az SOC kulcstartójában.

6. Távolítsa el a pillanatképek összes másolatát, kivéve a nem módosítható blobtárolóban lévő másolatot.

Feljegyzés

Az éles virtuális gépek titkosított lemezei kulcstitkosítási kulcsokat (KEK) is használhatnak. A üzembe helyezési forgatókönyvben megadott Copy-VmDigitalEvidence runbook nem fedi le ezt a forgatókönyvet.

Összetevők

• Az Azure Automation automatizálja a gyakori, időigényes és hibalehetőségű felhőfelügyeleti feladatokat. A virtuálisgép-lemez pillanatképeinek rögzítésének és átvitelének automatizálására szolgál a bizonyítékok integritásának biztosítása érdekében.

• A Storage egy felhőalapú tárolási megoldás, amely objektumot, fájlt, lemezt, üzenetsort és táblatárolót tartalmaz. A lemez pillanatképeit nem módosítható blobtárolóban tárolja, hogy a bizonyítékokat nem módosítható és nem szerkeszthető állapotban őrizze meg.

• Az Azure Blob Storage optimalizált felhőalapú objektumtárolást biztosít, amely nagy mennyiségű strukturálatlan adatot kezel. Optimalizált felhőobjektum-tárolást biztosít a lemez-pillanatképek nem módosítható blobokként való tárolásához.

• Azure Files teljes körűen felügyelt fájlmegosztásokat biztosít a felhőben, amelyek az iparági szabványnak megfelelő Server Message Block (SMB) protokollon, a hálózati fájlrendszer (NFS) protokollon és a Azure Files REST API-n keresztül érhetők el. A megosztásokat egyidejűleg csatlakoztathatja a Windows, Linux és macOS felhőbeli vagy helyszíni üzembe helyezésével. A fájlmegosztásokat a Windows Serveren is gyorsítótárazhatja a Azure File Sync az adathasználati hely közelében lévő gyors hozzáféréshez. Azure Files ideiglenes adattárként használható a lemez-pillanatképek kivonatértékeinek kiszámításához.

• Key Vault segít megvédeni a titkosítási kulcsokat és a felhőalkalmazások és -szolgáltatások által használt egyéb titkos kulcsokat. A Key Vault tárolhatja a lemez-pillanatképek BEK-jeit és kivonatértékeit a biztonságos hozzáférés és az adatintegritás biztosítása érdekében.

• A Microsoft Entra ID egy felhőalapú identitásszolgáltatás, amely segít szabályozni az Azure-hoz és más felhőalkalmazásokhoz való hozzáférést. Az Azure-erőforrásokhoz való hozzáférés szabályozására szolgál, ami segít a biztonságos identitáskezelésben.

• Azure Monitor támogatja a műveleteket nagy méretekben azáltal, hogy segít maximalizálni az erőforrások teljesítményét és rendelkezésre állását, miközben proaktívan azonosítja a lehetséges problémákat. A tevékenységnaplók archiválása az összes releváns esemény megfelelőségi és monitorozási célú naplózásához.

Automatizálás

Az SOC-csapat egy Automation-fiókkal hozza létre és tartja karban a Copy-VmDigitalEvidence runbookot. A csapat az Automation használatával is létrehozza a runbookot megvalósító hibrid runbook-feldolgozókat.

Hibrid runbook-feldolgozó

A hibrid runbook-feldolgozó virtuális gép integrálva van az Automation-fiókba. Az SOC-csapat kizárólag ezt a virtuális gépet használja a Copy-VmDigitalEvidence runbook futtatásához.

A hibrid runbook-feldolgozó virtuális gépet egy olyan alhálózatba kell helyeznie, amely hozzáfér a Storage-fiókhoz. Konfigurálja a Tárfiókhoz való hozzáférést úgy, hogy hozzáadja a hibrid runbook-feldolgozó virtuálisgép-alhálózatot a Storage-fiók tűzfalengedélyezési szabályaihoz.

Ehhez a virtuális géphez csak az SOC-csapat tagjai számára adjon hozzáférést karbantartási tevékenységekhez.

A virtuális gép által használt virtuális hálózat elkülönítéséhez kerülje a virtuális hálózat és a központ csatlakoztatását.

A hibrid runbook-feldolgozó az Automation rendszer által hozzárendelt felügyelt identitással fér hozzá a cél virtuális gép erőforrásaihoz és a megoldáshoz szükséges egyéb Azure-szolgáltatásokhoz.

A rendszer által hozzárendelt felügyelt identitáshoz szükséges minimális szerepköralapú hozzáférés-vezérlési (RBAC) engedélyek két kategóriába sorolhatók:

• Hozzáférési engedélyek a megoldás alapvető összetevőit tartalmazó SOC Azure-architektúrához
• Hozzáférési engedélyek a cél virtuálisgép-erőforrásokat tartalmazó célarchitektúrához

Az SOC Azure-architektúrához való hozzáférés a következő szerepköröket foglalja magában:

• Tárfiók-közreműködő az SOC nem módosítható tárfiókján
• Key Vault titkos kulcsok tisztviselője a BEK felügyeletéhez használt SOC-kulcstartón

A célarchitektúra elérése a következő szerepköröket foglalja magában:

• Közreműködő a cél VM-erőforráscsoportban, amely jogosultságot ad a VM lemezeiről készült pillanatképek rögzítéséhez

• Key Vault titkos kulcsok tisztviselője a cél virtuális gép kulcstartóján, amely a BEK tárolására szolgál, csak akkor, ha az RBAC a Key Vault hozzáférés szabályozására szolgál

• Hozzáférési szabályzat a titkos kulcs lekéréséhez a cél virtuális gép kulcstartóján, amely a BEK tárolására szolgál, csak akkor, ha a hozzáférési szabályzat a Key Vault hozzáférés szabályozására szolgál

Feljegyzés

A BEK olvasásához a cél virtuális gép kulcstartójának elérhetőnek kell lennie a hibrid runbook-feldolgozó virtuális gépről. Ha a kulcstartó tűzfala engedélyezve van, győződjön meg arról, hogy a hibrid runbook-feldolgozó virtuális gép nyilvános IP-címe engedélyezve van a tűzfalon keresztül.

Tároló fiók

Az SOC-előfizetés Storage-fiókja egy olyan tárolóban tárolja a lemez pillanatképeit, amely jogi visszatartási szabályzattal van konfigurálva Azure nem módosítható blobtárolóként. A nem módosítható blobtároló az üzletileg kritikus fontosságú adatobjektumokat egyszer írható, több olvasási (WORM) állapotban tárolja. A WORM állapot miatt az adatok nem törölhetők és szerkeszthetetlenek a felhasználó által megadott időközönként.

Győződjön meg arról, hogy engedélyezte a biztonságos átviteli és tárolási tűzfal tulajdonságait. A tűzfal csak az SOC virtuális hálózatról biztosít hozzáférést.

A tárfiók egy Azure-fájlmegosztást is üzemeltet ideiglenes adattárként, amely a pillanatkép kivonatértékének kiszámítására szolgál.

Key Vault (kulcs tároló)

Az SOC-előfizetés saját Key Vault-példánysal rendelkezik, amely az Azure Disk Encryption által a cél virtuális gép védelmére használt BEK másolatát tárolja. Az elsődleges másolat a cél virtuális gép által használt kulcstartóban van tárolva. Ez a beállítás lehetővé teszi, hogy a cél virtuális gép megszakítás nélkül folytassa a normál műveleteket.

Az SOC-kulcstartó a hibrid runbook-feldolgozó által a rögzítési műveletek során kiszámított lemez-pillanatképek kivonatértékeit is tárolja.

Győződjön meg arról, hogy a tűzfal engedélyezve van a kulcstartóban. Kizárólag a SOC virtuális hálózatról kell hozzáférést biztosítania.

Naplóanalitika

A Log Analytics-munkaterületek az SOC-előfizetés összes releváns eseményének naplózásához használt tevékenységnaplókat tárolják. A Log Analytics a Monitor egyik funkciója.

Forgatókönyv részletei

A digitális kriminalisztika tudománya a digitális adatok helyreállítását és vizsgálatát kezeli bűnügyi nyomozások vagy polgári peres eljárások támogatására. A számítógépes kriminalisztika a digitális kriminalisztika egyik ága, amely számítógépekről, virtuális gépekről és digitális tárolóeszközökről származó adatokat rögzít és elemez.

A vállalatoknak garantálniuk kell, hogy a jogi kérésekre válaszul szolgáltatott digitális bizonyítékok érvényes felügyeleti láncot mutatnak a bizonyítékok megszerzésének, megőrzésének és hozzáférésének szakaszaiban.

Lehetséges használati esetek

• A vállalat SOC-csapata megvalósíthatja ezt a technikai megoldást a digitális bizonyítékok érvényes felügyeleti láncának támogatására.

• A nyomozók csatolhatnak lemezmásolatokat, amelyeket ezzel a technikával szereztek be egy kriminalisztikai elemzésre szánt számítógépen. Az eredeti forrás virtuális gép bekapcsolása vagy elérése nélkül csatolhatják a lemezpéldányokat.

A felügyeleti lánc szabályozási megfelelősége

Ha a javasolt megoldást jogszabályi megfelelőségi ellenőrzési folyamatnak kell benyújtania, vegye figyelembe a felügyeleti lánc megoldásának érvényesítési folyamata során a megfontolások szakaszban található anyagokat.

Feljegyzés

Be kell vonnia a jogi osztályt az érvényesítési folyamatba.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Well-Architected Framework.

A megoldást felügyeleti láncként érvényesítő alapelveket ebben a szakaszban ismertetjük. Az érvényes felügyeleti lánc biztosítása érdekében a digitális bizonyítékok tárolásának megfelelő hozzáférés-vezérlést, adatvédelmet és integritást, figyelést és riasztást, valamint naplózást és naplózást kell bizonyítania.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információkért lásd a Biztonsági terv felülvizsgálati ellenőrzőlistát.

A biztonsági szabványoknak és előírásoknak való megfelelés

A felügyeleti lánc megoldásának validálásakor az egyik kiértékelendő követelmény a biztonsági szabványoknak és előírásoknak való megfelelés.

Az architektúrában szereplő összes összetevő olyan alapra épülő standard Azure-szolgáltatás, amely támogatja a megbízhatóságot, a biztonságot és a megfelelőséget.

Az Azure megfelelőségi tanúsítványok széles skálájával rendelkezik, beleértve az országokra vagy régiókra szabott tanúsítványokat, valamint a kulcsfontosságú iparágakat, például az egészségügyet, a kormányzatot, a pénzügyeket és az oktatást.

A megoldásban használt szolgáltatások szabványmegfelelőségét részletező frissített naplózási jelentésekkel kapcsolatos további információkért lásd: Szolgáltatásmegbízhatósági portál.

A Cohasset Azure Storage megfelelőségi felmérése a következő követelményekkel kapcsolatos részleteket tartalmazza:

• Értékpapír- és Tőzsdei Bizottság (SEC) 17 CFR § 240.17a-4(f), amely szabályozza a tőzsdetagok, brókerek, vagy kereskedők.

• Pénzügyi iparági szabályozó hatóság (FINRA) 4511(c) szabály, amely ellentmond a SEC 17a-4(f) szabályának formátumára és médiakövetelményére.

• Árutőzsdei Kereskedési Bizottság (CFTC) a 17 CFR § 1.31(c)-(d), amely szabályozza az árutőzsdei kereskedés.

Cohasset véleménye szerint az Azure Storage a Blob Storage és a szabályzatzárolási lehetőség nem módosítható tárolási funkciójával nem törölhető és nem újraírható formátumban őrzi meg az időalapú blobokat (vagy rekordokat), és megfelel a SEC 17a-4(f), a FINRA 4511(c) szabály vonatkozó tárolási követelményeinek, valamint a CFTC 1.31(c)-(d) szabályának elveken alapuló követelményeinek.

Minimális jogosultság

Az SOC-csapat szerepköreinek hozzárendelésekor a csapatban csak két személy, más néven SOC-csapatfelügyelők jogosultak az előfizetés és az adatok RBAC-konfigurációjának módosítására. Csak minimális hozzáférési jogosultságot adjon más személyeknek a munkájuk elvégzéséhez szükséges adathalmazokhoz.

Minimális hozzáférés

Csak az SOC-előfizetésben lévő virtuális hálózat rendelkezik hozzáféréssel az SOC Storage-fiókhoz és a kulcstartóhoz, amely a bizonyítékot archiválja. A SOC-csapat felhatalmazott tagjai ideiglenes hozzáférést biztosíthatnak a nyomozóknak a SOC-tárolóban lévő bizonyítékokhoz.

Bizonyítékok beszerzése

Az Azure-auditnaplók dokumentálhatják a bizonyítékok megszerzését a virtuálisgép-lemez pillanatképének rögzítésével. A naplók olyan részleteket tartalmaznak, mint például, hogy ki készíti a pillanatképeket, és mikor készülnek.

Bizonyítékok integritása

Az automatizálás segítségével emberi beavatkozás nélkül áthelyezheti a bizonyítékokat a végső archiválási célhelyre. Ez a megközelítés segít garantálni, hogy a bizonyítékok műtermékei változatlanok maradjanak.

Ha jogi visszatartási szabályzatot alkalmaz a céltárolóra, a bizonyítékok azonnal lefagyasztanak, amint megírják. A jogi visszatartás azt mutatja, hogy a felügyeleti lánc teljes mértékben karbantartva van az Azure-ban. Azt is jelzi, hogy nincs lehetőség a bizonyítékok illetéktelen módosítására attól az időponttól kezdve, hogy a lemezképek élő virtuális gépen vannak, egészen addig, amíg bizonyítékként vannak tárolva a tárfiókban.

Végül használhatja a megadott megoldást integritási mechanizmusként a lemezképek kivonatértékeinek kiszámításához. A támogatott kivonatoló algoritmusok az MD5, az SHA256, a SKEIN és a KECCAK (vagy SHA3).

Bizonyítékok létrehozása

A nyomozóknak hozzá kell férniük a bizonyítékokhoz, hogy elemzéseket végezhessenek. Ezt a hozzáférést nyomon kell követni és explicit módon engedélyezni kell.

Biztosítson a nyomozóknak egy közös hozzáférésű jogosultságkódok (SAS) egységes erőforrás-azonosító (URI) tárolókulcsot a bizonyítékok eléréséhez. Az SAS URI a létrehozásakor releváns naplóadatokat hozhat létre. A bizonyítékok másolatát minden alkalommal megkaphatja, amikor az SAS-t használják.

Ha például egy jogi csapatnak át kell vinnie egy megőrzött virtuális merevlemezt, a két SOC-csapat felügyelőjének egyike létrehoz egy csak olvasható SAS URI-kulcsot, amely nyolc óra elteltével lejár. Az SAS egy meghatározott időkereten belül korlátozza a nyomozók hozzáférését.

Az SOC-csapatnak explicit módon el kell helyeznie a hozzáférést igénylő nyomozók IP-címét a Storage tűzfal engedélyezési listáján.

Végül a nyomozóknak az SOC kulcstartóban archivált BEK-kre van szükségük a titkosított lemezpéldányok eléréséhez. Az SOC csapatának tagjainak ki kell nyerniük a BEK-ket, és biztonságos csatornákon keresztül kell biztosítaniuk őket a nyomozóknak.

Regionális tároló

A megfelelőség érdekében egyes szabványok vagy előírások megkövetelik, hogy a bizonyítékok és a támogató infrastruktúra ugyanabban az Azure-régióban legyen fenntartva.

Az összes megoldásösszetevő, beleértve a bizonyítékokat archiváló Storage-fiókot is, ugyanabban az Azure-régióban található, mint a vizsgált rendszerek.

Működési kiválóság

Az Operational Excellence azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben működtetik. További információ: Az operatív kiválóság tervezési felülvizsgálati ellenőrzőlistája.

Figyelés és riasztás

Az Azure minden ügyfél számára szolgáltatásokat nyújt az előfizetéseikkel és erőforrásaikkal kapcsolatos anomáliák monitorozásához és riasztásához. Ilyen szolgáltatások többek között a következők:

• Microsoft Sentinel.
• Felhőhöz készült Microsoft Defender.
• Microsoft Defender Storage.

Feljegyzés

Ezeknek a szolgáltatásoknak a konfigurációját ebben a cikkben nem ismertetjük.

A forgatókönyv üzembe helyezése

Kövesse a felügyeleti lánc tesztkörnyezetének üzembe helyezésére vonatkozó utasításokat a forgatókönyv laboratóriumi környezetben való felépítéséhez és üzembe helyezéséhez.

A laboratóriumi környezet a cikkben ismertetett architektúra egyszerűsített változatát képviseli. Két erőforráscsoportot helyez üzembe ugyanazon az előfizetésen belül. Az első erőforráscsoport az éles környezetet szimulálja, digitális bizonyítékokkal, míg a második erőforráscsoport az SOC-környezetet tartalmazza.

Válassza az Üzembe helyezés az Azure-ban lehetőséget, ha csak az SOC-erőforráscsoportot szeretné éles környezetben üzembe helyezni.

Feljegyzés

Ha éles környezetben telepíti a megoldást, győződjön meg arról, hogy az Automation-fiók rendszer által hozzárendelt felügyelt identitása rendelkezik a következő engedélyekkel:

• A feldolgozandó virtuális gép éles erőforráscsoportjának közreműködője. Ez a szerepkör hozza létre a pillanatképeket.
• Key Vault titkos kulcsfelhasználó az éles kulcstartóban, amely a BEK-ket tartalmazza. Ez a szerepkör beolvassa a BEK-ket.

Ha a kulcstartóban engedélyezve van a tűzfal, győződjön meg arról, hogy a hibrid runbook-feldolgozó virtuális gép nyilvános IP-címe engedélyezve van a tűzfalon keresztül.

Kiterjesztett konfiguráció

Hibrid runbook-feldolgozót telepítheti a helyszínen vagy különböző felhőkörnyezetekben.

Ebben a forgatókönyvben testre kell szabnia a Copy‑VmDigitalEvidence runbookot, hogy lehetővé tegye a bizonyítékok rögzítését különböző célkörnyezetekben, és archiválja őket a tárolóban.

Feljegyzés

A forgatókönyv üzembe helyezésének szakaszában megadott Copy-VmDigitalEvidence runbook ot csak az Azure-ban fejlesztették ki és tesztelték. A megoldás más platformokra való kiterjesztéséhez testre kell szabnia a runbookot, hogy működjön ezekkel a platformokkal.

Közreműködők

A Microsoft fenntartja ezt a cikket. A következő közreműködők írták ezt a cikket.

Fő szerzők:

• Fabio Masciotra | Főtanácsadó
• Simone Savi | Vezető tanácsadó

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

További információ az Azure adatvédelmi funkcióiról:

• Tárolási titkosítás az inaktív adatokhoz
• A felügyelt lemeztitkosítási lehetőségek áttekintése
• Üzletileg kritikus blobadatok tárolása nem módosítható tárolóval WORM állapotban

További információ az Azure naplózási funkcióiról:

• Azure biztonsági naplózás
• Tárolási elemzés naplózása
• Azure-erőforrásnaplók küldése Log Analytics-munkaterületekre, Event Hubsba vagy Storage-ba

A Microsoft Azure-megfelelőségről további információt a következő témakörben talál:

• Az Azure megfelelősége
• Microsoft megfelelőségi ajánlatai

Kapcsolódó erőforrás

• Biztonsági architektúra tervezése