Rantai pengawasan forensik komputer di Azure

Azure Automation
Azure Disk Encryption
Azure Key Vault
Azure Storage Accounts

Artikel ini menjelaskan infrastruktur dan proses alur kerja untuk membantu tim memberikan bukti digital yang menunjukkan rantai penahanan (CoC) yang valid sebagai respons terhadap permintaan hukum. Diskusi ini memandu CoC yang valid di seluruh proses akuisisi, pelestarian, dan akses bukti.

Catatan

Artikel ini didasarkan pada pengetahuan teoritis dan praktis tentang penulis. Sebelum Anda menggunakannya untuk tujuan hukum, validasi penerapannya dengan departemen hukum Anda.

Sistem

Desain arsitektur mengikuti prinsip zona pendaratan Azure yang dijelaskan dalam Cloud Adoption Framework untuk Azure.

Skenario ini menggunakan topologi jaringan hub-and-spoke seperti yang ditunjukkan pada diagram berikut:

Diagram memperlihatkan rantai arsitektur tahanan.

Unduh file Visio arsitektur ini.

Alur kerja

Dalam arsitektur, komputer virtual produksi (VM) adalah bagian dari jaringan virtual Azure spoke. Disk mereka dienkripsi dengan Azure Disk Encryption. Untuk informasi selengkapnya, lihat Gambaran umum opsi enkripsi disk terkelola. Dalam langganan produksi, Azure Key Vault menyimpan kunci enkripsi BitLocker (BEK) VM.

Catatan

Skenario ini berfungsi untuk VM produksi dengan disk yang tidak terenkripsi.

Tim kontrol sistem dan organisasi (SOC) menggunakan langganan Azure SOC diskrit. Tim memiliki akses eksklusif ke langganan tersebut, yang berisi sumber daya yang harus dilindungi, tidak dapat diganggu gugat, dan dipantau. Akun Azure Storage di langganan SOC menghosting salinan rekam jepret disk di penyimpanan blob yang tidak dapat diubah, dan brankas kunci khusus menyimpan nilai hash rekam jepret dan salinan BEK VM.

Sebagai respons terhadap permintaan untuk menangkap bukti digital VM, anggota tim SOC masuk ke langganan Azure SOC dan menggunakan VM pekerja runbook hibrid Azure di Automation untuk mengimplementasikan runbook Copy-VmDigitalEvidence. Pekerja runbook hibrid Automation menyediakan kontrol atas semua mekanisme yang terlibat dalam penangkapan.

Runbook Copy-VmDigitalEvidence mengimplementasikan langkah-langkah makro ini:

  1. Masuk ke Azure dengan menggunakan identitas terkelola yang ditetapkan sistem untuk akun Automation untuk mengakses sumber daya VM target dan layanan Azure lainnya yang diperlukan oleh solusi.
  2. Buat rekam jepret disk untuk sistem operasi (OS) VM dan disk data.
  3. Salin rekam jepret ke penyimpanan blob langganan SOC yang tidak dapat diubah, dan dalam berbagi file sementara.
  4. Hitung nilai hash rekam jepret dengan menggunakan salinan pada berbagi file.
  5. Salin nilai hash yang diperoleh dan BEK VM di brankas kunci SOC.
  6. Bersihkan semua salinan rekam jepret kecuali yang ada di penyimpanan blob yang tidak dapat diubah.

Catatan

Disk terenkripsi VM produksi juga dapat menggunakan kunci enkripsi kunci (KEK). Runbook Copy-VmDigitalEvidence yang disediakan dalam skenario penyebaran tidak mencakup penggunaan ini.

Komponen

  • Azure Automation mengotomatiskan tugas manajemen cloud yang sering, memakan waktu, dan rawan kesalahan.
  • Penyimpanan adalah solusi penyimpanan cloud yang mencakup penyimpanan objek, file, disk, antrean, dan tabel.
  • Azure Blob Storage menyediakan penyimpanan objek cloud yang dioptimalkan yang mengelola sejumlah besar data yang tidak terstruktur.
  • Berbagi Azure Files. Anda dapat memasang berbagi secara bersamaan oleh cloud atau penyebaran lokal Windows, Linux, dan macOS. Anda juga dapat menyimpan berbagi Azure Files di Windows Server dengan Azure File Sync untuk akses cepat di dekat tempat data digunakan.
  • Azure Monitor mendukung operasi Anda dalam skala besar dengan membantu Anda memaksimalkan performa dan ketersediaan sumber daya Anda dan secara proaktif mengidentifikasi masalah.
  • Key Vault membantu Anda melindungi kunci kriptografi dan rahasia lain yang digunakan oleh aplikasi dan layanan cloud.
  • MICROSOFT Entra ID adalah layanan identitas berbasis cloud yang membantu Anda mengontrol akses ke Azure dan aplikasi cloud lainnya.

Automation

Tim SOC menggunakan akun Automation untuk membuat dan memelihara runbook Copy-VmDigitalEvidence. Tim juga menggunakan Automation untuk membuat pekerja runbook hibrid yang mengoperasikan runbook.

Hybrid Runbook Worker

VM hybrid runbook worker adalah bagian dari akun Automation. Tim SOC menggunakan VM ini secara eksklusif untuk mengimplementasikan runbook Copy-VmDigitalEvidence.

Anda harus menempatkan VM hybrid runbook worker di subnet yang dapat mengakses akun Storage. Konfigurasikan akses ke akun Storage dengan menambahkan subnet VM pekerja runbook hibrid ke aturan daftar izin firewall akun Penyimpanan.

Anda harus memberikan akses ke VM ini hanya kepada anggota tim SOC untuk aktivitas pemeliharaan.

Untuk mengisolasi jaringan virtual yang digunakan oleh VM, jangan sambungkan jaringan virtual tersebut ke hub.

Pekerja runbook hibrid menggunakan identitas terkelola yang ditetapkan sistem Automation untuk mengakses sumber daya VM target dan layanan Azure lainnya yang diperlukan oleh solusi.

Izin kontrol akses berbasis peran minimal (RBAC) yang harus ditetapkan ke identitas terkelola yang ditetapkan sistem diklasifikasikan dalam dua kategori:

  • Akses izin ke arsitektur SOC Azure yang berisi komponen inti solusi
  • Izin akses ke arsitektur target yang berisi sumber daya VM target

Akses ke arsitektur SOC Azure mencakup peran berikut:

  • Kontributor Akun Storage di akun Storage SOC yang tidak dapat diubah
  • Petugas Rahasia Key Vault pada brankas kunci SOC untuk manajemen BEK

Akses ke arsitektur target mencakup peran berikut:

  • Kontributor pada grup sumber daya VM target, yang memberikan hak snapshot pada disk VM
  • Petugas Rahasia Key Vault pada brankas kunci VM target yang digunakan untuk menyimpan BEK, hanya jika RBAC digunakan untuk brankas kunci
  • Kebijakan akses ke Dapatkan Rahasia pada brankas kunci VM target yang digunakan untuk menyimpan BEK, hanya jika Anda menggunakan kebijakan akses untuk Key Vault

Catatan

Untuk membaca BEK, brankas kunci VM target harus dapat diakses dari VM hybrid runbook worker. Jika brankas kunci mengaktifkan firewall, pastikan bahwa alamat IP publik VM hybrid runbook worker diizinkan melalui firewall.

Akun Azure Storage

Akun Azure Storage dalam langganan SOC menghosting rekam jepret disk dalam kontainer yang dikonfigurasi dengan kebijakan penahanan legal sebagai penyimpanan blob Azure yang tidak dapat diubah. Penyimpanan blob yang tidak dapat diubah menyimpan objek data penting bisnis dalam status tulis sekali, membaca banyak (WORM), yang membuat data tidak dapat diedarkan dan tidak dapat diedarkan untuk interval yang ditentukan pengguna.

Pastikan untuk mengaktifkan properti firewall transfer dan penyimpanan yang aman. Firewall hanya memberikan akses dari jaringan virtual SOC.

Akun penyimpanan juga menghosting berbagi file Azure sebagai repositori sementara untuk menghitung nilai hash rekam jepret.

Azure Key Vault

Langganan SOC memiliki instans Key Vault sendiri, yang menghosting salinan BEK yang digunakan Azure Disk Encryption untuk melindungi VM target. Salinan utama disimpan di brankas kunci yang digunakan oleh VM target, sehingga VM target dapat melanjutkan operasi normal.

Brankas kunci SOC juga berisi nilai hash rekam jepret disk yang dihitung oleh pekerja runbook hibrid selama operasi pengambilan.

Pastikan firewall diaktifkan pada brankas kunci. Ini hanya memberikan akses dari jaringan virtual SOC.

Log Analytics

Ruang kerja Analitik Log menyimpan log aktivitas yang digunakan untuk mengaudit semua peristiwa yang relevan pada langganan SOC. Log Analytics adalah fitur Monitor.

Detail skenario

Forensik digital adalah ilmu yang membahas pemulihan dan investigasi data digital untuk mendukung investigasi kriminal atau proses perdata. Forensik komputer adalah cabang forensik digital yang menangkap dan menganalisis data dari komputer, VM, dan media penyimpanan digital.

Perusahaan harus menjamin bahwa bukti digital yang mereka berikan sebagai respons terhadap permintaan hukum menunjukkan CoC yang valid sepanjang proses akuisisi, pelestarian, dan akses bukti.

Kemungkinan kasus penggunaan

  • Tim Security Operation Center perusahaan dapat menerapkan solusi teknis ini untuk mendukung CoC yang valid untuk bukti digital.
  • Penyelidik dapat melampirkan salinan disk yang diperoleh dengan teknik ini pada komputer yang didedikasikan untuk analisis forensik. Mereka dapat melampirkan salinan disk tanpa menyalakan atau mengakses VM sumber asli.

Kepatuhan terhadap peraturan CoC

Jika perlu mengirimkan solusi yang diusulkan ke proses validasi kepatuhan peraturan, pertimbangkan materi di bagian pertimbangan selama proses validasi solusi CoC.

Catatan

Anda harus melibatkan departemen hukum Anda dalam proses validasi.

Pertimbangan

Prinsip-prinsip yang memvalidasi solusi ini sebagai CoC sedang disajikan di bagian ini.

Untuk memastikan CoC yang valid, penyimpanan bukti digital harus menunjukkan kontrol akses yang memadai, perlindungan dan integritas data, pemantauan dan peringatan, serta pencatatan dan audit.

Kepatuhan terhadap standar dan peraturan keamanan

Saat Anda memvalidasi solusi CoC, salah satu persyaratan untuk dievaluasi adalah kepatuhan terhadap standar dan peraturan keamanan.

Semua komponen yang disertakan dalam arsitektur adalah layanan standar Azure yang dibangun di atas fondasi yang mendukung kepercayaan, keamanan, dan kepatuhan.

Azure memiliki berbagai sertifikasi kepatuhan, termasuk sertifikasi khusus untuk negara atau wilayah, dan untuk industri utama seperti layanan kesehatan, pemerintah, keuangan, dan pendidikan.

Untuk laporan audit yang diperbarui dengan informasi tentang kepatuhan standar untuk layanan yang diadopsi dalam solusi ini, lihat Portal Kepercayaan Layanan.

Penilaian Kepatuhan Azure Storage: SEC 17a-4(f) dan CFTC 1.31(c)-(d) Cohasset memberikan detail tentang persyaratan berikut:

  • Securities and Exchange Commission (SEC) dalam 17 CFR § 240,17a-4(f), yang mengatur anggota pertukaran, broker, atau dealer.
  • Aturan Otoritas Peraturan Industri Keuangan (FINRA) 4511(c), yang menunggak format dan persyaratan media Aturan SEC 17a-4(f).
  • Commodity Futures Trading Commission (CFTC) dalam peraturan 17 CFR § 1,31(c)-(d), yang mengatur perdagangan berjangka komoditas.

Ini pendapat Cohasset bahwa penyimpanan, dengan fitur penyimpanan Blob Storage dan opsi kunci kebijakan yang tidak dapat diubah, mempertahankan blob berbasis waktu (rekaman) dalam format yang tidak dapat ditulis dan tidak dapat ditulis dan memenuhi persyaratan penyimpanan yang relevan dari Aturan SEC 17a-4(f), Aturan FINRA 4511(c), dan persyaratan berbasis prinsip Aturan CFTC 1.31(c)-(d).

Hak istimewa minimal

Ketika peran tim SOC ditetapkan, hanya dua individu dalam tim yang harus memiliki hak untuk memodifikasi konfigurasi RBAC langganan dan datanya. Berikan individu lain hanya hak akses minimum kosong ke subset data yang mereka butuhkan untuk melakukan pekerjaan mereka. Mengonfigurasi dan menerapkan akses melalui Azure RBAC.

Akses paling sedikit

Hanya jaringan virtual dalam langganan SOC yang memiliki akses ke akun Penyimpanan SOC dan brankas kunci yang mengarsipkan bukti.

Akses sementara ke penyimpanan SOC disediakan kepada penyelidik yang memerlukan akses ke bukti. Anggota tim SOC yang berwenang dapat memberikan akses.

Akuisisi bukti

Log audit Azure dapat menunjukkan akuisisi bukti dengan merekam tindakan mengambil rekam jepret disk VM, dengan elemen seperti yang mengambil rekam jepret dan kapan.

Integritas bukti

Penggunaan Automation untuk memindahkan bukti ke tujuan arsip akhir, tanpa intervensi manusia, menjamin bahwa artefak bukti tidak diubah.

Ketika Anda menerapkan kebijakan penahanan legal ke penyimpanan tujuan, bukti dibekukan tepat waktu segera setelah ditulis. Penahanan legal menunjukkan bahwa CoC dipertahankan sepenuhnya di Azure. Penahanan hukum juga menunjukkan bahwa tidak ada kesempatan untuk mengubah bukti antara waktu gambar disk ada di VM langsung dan ketika ditambahkan sebagai bukti di akun penyimpanan.

Terakhir, Anda dapat menggunakan solusi yang disediakan, sebagai mekanisme integritas, untuk menghitung nilai hash gambar disk. Algoritma hash yang didukung adalah: MD5, SHA256, SKEIN, KECCAK (atau SHA3).

Produksi bukti

Penyelidik memerlukan akses ke bukti sehingga mereka dapat melakukan analisis, dan akses ini harus dilacak dan diotorisasi secara eksplisit.

Berikan kunci penyimpanan URI tanda tangan akses bersama (SAS) kepada penyelidik untuk mengakses bukti. Anda dapat menggunakan URI SAS untuk menghasilkan informasi log yang relevan saat SAS menghasilkan. Anda juga bisa mendapatkan salinan bukti setiap kali SAS digunakan.

Anda harus secara eksplisit menempatkan alamat IP penyelidik yang memerlukan akses pada daftar yang diizinkan di firewall Penyimpanan.

Misalnya, jika tim hukum perlu mentransfer hard drive virtual (VHD) yang dipertahankan, salah satu dari dua kustodian tim SOC menghasilkan kunci SAS URI baca-saja yang kedaluwarsa setelah delapan jam. SAS membatasi akses ke alamat IP penyelidik ke jangka waktu tertentu.

Akhirnya, penyelidik memerlukan BEK yang diarsipkan di brankas kunci SOC untuk mengakses salinan disk terenkripsi. Anggota tim SOC harus mengekstrak BEK dan menyediakannya melalui saluran aman kepada penyelidik.

Penyimpanan wilayah

Untuk kepatuhan, beberapa standar atau peraturan memerlukan bukti dan infrastruktur dukungan untuk dipertahankan di wilayah Azure yang sama.

Semua komponen solusi, termasuk akun Penyimpanan yang mengarsipkan bukti, dihosting di wilayah Azure yang sama dengan sistem yang sedang diselidiki.

Keunggulan operasional

Keunggulan operasional mencakup proses operasi yang menyebarkan aplikasi dan membuatnya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.

Pemantauan dan Pemberitahuan

Azure menyediakan layanan kepada semua pelanggan untuk memantau dan memperingatkan anomali yang melibatkan langganan dan sumber daya mereka. Layanan ini meliputi:

Catatan

Konfigurasi layanan ini tidak dijelaskan dalam artikel ini.

Menyebarkan skenario ini

Ikuti instruksi penyebaran lab CoC untuk membangun dan menyebarkan skenario ini di lingkungan laboratorium.

Lingkungan laboratorium mewakili versi arsitektur yang disederhanakan yang dijelaskan dalam artikel. Anda menyebarkan dua grup sumber daya dalam langganan yang sama. Grup sumber daya pertama mensimulasikan lingkungan produksi, bukti digital perumahan, sementara grup sumber daya kedua memegang lingkungan SOC.

Gunakan tombol berikut untuk menyebarkan hanya grup sumber daya SOC di lingkungan produksi.

Sebarkan ke Azure

Catatan

Jika Anda menyebarkan solusi di lingkungan produksi, pastikan bahwa identitas terkelola yang ditetapkan sistem dari akun otomatisasi memiliki izin berikut:

  • Kontributor dalam grup sumber daya produksi VM yang akan diproses. Peran ini membuat rekam jepret.
  • Pengguna Rahasia Key Vault di brankas kunci produksi yang menyimpan BEK. Peran ini membaca BEK.

Selain itu, jika brankas kunci mengaktifkan firewall, pastikan alamat IP publik VM hybrid runbook worker diizinkan melalui firewall.

Konfigurasi yang diperluas

Anda dapat menyebarkan hybrid runbook worker lokal atau di lingkungan cloud yang berbeda.

Dalam skenario ini, Anda dapat menyesuaikan runbook Copy-VmDigitalEvidence untuk mengaktifkan pengambilan bukti di lingkungan target yang berbeda dan mengarsipkannya di penyimpanan.

Catatan

Runbook Copy-VmDigitalEvidence yang disediakan di bagian Sebarkan skenario ini dikembangkan dan diuji hanya di Azure. Untuk memperluas solusi ke platform lain, Anda harus menyesuaikan runbook untuk bekerja dengan platform tersebut.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya

Untuk informasi selengkapnya tentang fitur perlindungan data Azure, lihat:

Untuk informasi selengkapnya tentang fitur pengelogan dan pengauditan Azure, lihat:

Untuk informasi selengkapnya tentang kepatuhan Microsoft Azure, lihat: