Catena informatica forense di custodia in Azure

Automazione di Azure

Azure Key Vault

Account di archiviazione di Azure

Questo articolo descrive un processo di infrastruttura e flusso di lavoro progettato per aiutare i team a fornire prove digitali che illustrano una catena valida di custodia in risposta alle richieste legali. Questo articolo descrive come mantenere una catena di custodia valida in tutte le fasi dell'acquisizione, della conservazione e dell'accesso alle prove.

Nota

Questo articolo si basa sulla conoscenza teorica e pratica degli autori. Prima di usarlo per scopi legali, convalidarne l'applicabilità con il reparto legale.

Architettura

La progettazione dell'architettura segue i principi delle zone di destinazione di Azure nel Cloud Adoption Framework per Azure.

Questo scenario usa una topologia di rete hub-spoke, illustrata nel diagramma seguente.

Questo diagramma mostra l'architettura della catena di custodia in cui risiedono le macchine virtuali di produzione che risiedono in una rete virtuale Azure spokes. I dischi del computer vengono crittografati usando la crittografia nell'host tramite chiavi gestite dalla piattaforma. Una sottoscrizione separata del Centro Operativo di Sicurezza (SOC) di Azure contiene un account Azure Storage che ospita gli snapshot del disco in un'archiviazione BLOB immutabile. La sottoscrizione include anche un Azure Key Vault dedicato che archivia i valori hash degli snapshot. Solo il team SOC può accedere alla sottoscrizione. Quando viene effettuata una richiesta di acquisizione di prove digitali, un membro del team SOC accede alla sottoscrizione SOC e usa la macchina virtuale del lavoratore runbook ibrido di Azure Automation per eseguire il runbook denominato Copy-VmDigitalEvidence. Il runbook usa un'identità gestita assegnata dal sistema per accedere alle risorse della macchina virtuale di destinazione e genera snapshot del sistema operativo e dei dischi dati. Trasferisce questi snapshot sia all'archivio blob non modificabile che a una condivisione file temporanea, calcola i valori hash e li archivia nel vault delle chiavi SOC. Rimuove infine tutte le copie temporanee ad eccezione dello snapshot non modificabile.

Scaricare un file Visio di questa architettura.

Flusso di lavoro

Nell'architettura, le macchine virtuali di produzione fanno parte di una rete virtuale di Azure spoke Azure rete virtuale. I dischi delle macchine virtuali vengono crittografati tramite crittografia nell'host usando chiavi gestite dalla piattaforma. Per altre informazioni, vedere Panoramica delle opzioni di crittografia del disco gestito.

Nota

Questa architettura presuppone la crittografia nell'host tramite chiavi gestite dalla piattaforma.

Se la crittografia nell'host non soddisfa i requisiti, è possibile usare una soluzione di crittografia a livello di sistema operativo, ad esempio BitLocker in Windows o dm-crypt in Linux. Queste implementazioni di crittografia sono specifiche di ogni ambiente e non sono descritte in questo articolo. Valutare i requisiti per determinare l'approccio appropriato.

Il team del Centro operazioni di sicurezza usa una sottoscrizione Azure SOC discreta. Il team ha accesso esclusivo a quella sottoscrizione, che contiene le risorse che devono essere mantenute protette, inviolabili e monitorate. L'account Azure Storage nella sottoscrizione SOC ospita copie degli snapshot del disco in archiviazione BLOB immutabile. Un Key Vault dedicato archivia copie dei valori hash degli snapshot.

In risposta a una richiesta di acquisizione dell'evidenza digitale di una macchina virtuale, un membro del team SOC accede alla sottoscrizione SOC di Azure e utilizza una macchina virtuale Azure hybrid runbook worker da Azure Automation per eseguire il runbook Copy-VmDigitalEvidence. Il lavoratore ibrido del runbook di automazione fornisce il controllo di tutti i meccanismi inclusi nell'acquisizione delle informazioni.

Il runbook Copy-VmDigitalEvidence implementa i passaggi della macro seguenti:

1. Usare l'identità gestita assegnata dal sistema per un account di Automazione per accedere a Azure. Questa identità concede l'accesso alle risorse della macchina virtuale di destinazione e agli altri servizi Azure necessari per la soluzione.

2. Generare snapshot del disco dei dischi del sistema operativo e dei dischi dati della macchina virtuale.

3. Trasferire gli snapshot nell'archiviazione BLOB non modificabile della sottoscrizione SOC e in una condivisione file temporanea.

4. Calcolare i valori hash degli snapshot usando la copia archiviata nella condivisione file.

5. Archiviare i valori hash ottenuti nell'archivio di chiavi SOC.

6. Rimuovere tutte le copie degli snapshot, ad eccezione della copia nell'archivio BLOB non modificabile.

Componenti

• Azure Automation è un servizio basato sul cloud che automatizza le attività operative usando runbook e script. In questa architettura orchestra il processo di acquisizione delle prove eseguendo il Copy-VmDigitalEvidence runbook per creare snapshot e trasferire i dischi delle macchine virtuali in modo sicuro. Questo processo consente di garantire l'integrità delle prove.

• Azure Storage è una soluzione di archiviazione cloud scalabile per vari tipi di dati, tra cui oggetto, file, disco, coda e archiviazione tabelle. In questa architettura archivia gli snapshot dei dischi delle macchine virtuali in contenitori BLOB non modificabili per mantenere le prove digitali in un formato a prova di manomissione.

• Azure Blob Storage è una soluzione basata sul cloud che fornisce l'archiviazione degli oggetti ottimizzata per i dati non strutturati. In questa architettura, essa detiene gli snapshot immutabili dei dischi delle macchine virtuali per garantire l'integrità e il non ripudio delle prove digitali.

• Azure Files è un servizio di archiviazione file cloud completamente gestito che fornisce file system condivisi accessibili tramite il protocollo SMB (Server Message Block) standard del settore, il protocollo NFS (Network File System) e l'API REST Azure Files. È possibile montare le condivisioni contemporaneamente tramite distribuzioni cloud o locali di Windows, Linux e macOS. È anche possibile memorizzare nella cache le condivisioni file in Windows Server usando Azure File Sync per accedere rapidamente alla posizione di utilizzo dei dati. In questa architettura, Azure Files archivia temporaneamente gli snapshot del disco per calcolare i valori hash prima di trasferirli nell'archiviazione non modificabile.

• Key Vault è un servizio cloud sicuro per la gestione di segreti, chiavi di crittografia e certificati. In questa architettura archivia i valori hash degli snapshot del disco per verificare l'integrità delle prove digitali.

• Microsoft Entra ID è un servizio di gestione delle identità basato sul cloud che consente di controllare l'accesso a Azure e ad altre app cloud. In questa architettura, garantisce che solo il personale SOC autorizzato possa accedere e gestire operazioni di gestione delle prove sensibili.

• Azure Monitor è un servizio di monitoraggio che fornisce l'osservabilità tramite metriche, log e avvisi. Supporta le operazioni su larga scala consentendo di ottimizzare le prestazioni e la disponibilità delle risorse, identificando in modo proattivo potenziali problemi. In questa architettura, i log delle attività vengono archiviati per supportare la verifica, la conformità e il monitoraggio della catena di custodia delle prove.

Automazione

Il SOC team usa un Automation account per creare e gestire il runbook Copy-VmDigitalEvidence. Anche il team usa Automazione per creare i worker ibridi di runbook che implementano il runbook.

Ruolo di lavoro ibrido per runbook

La macchina virtuale del worker ibrido del runbook è integrata nell'account di Automazione. Il team SOC usa questa macchina virtuale esclusivamente per eseguire il runbook Copy-VmDigitalEvidence.

È necessario inserire la macchina virtuale del ruolo di lavoro ibrido per runbook in una subnet in grado di accedere all'account di archiviazione. Configurare l'accesso all'account di archiviazione aggiungendo la subnet della macchina virtuale di un worker ibrido per runbook alle regole di autorizzazione del firewall dell'account di archiviazione.

Concedere l'accesso a questa macchina virtuale solo ai membri del team SOC per le attività di manutenzione.

Per isolare la rete virtuale usata dalla macchina virtuale, evitare di connettere la rete virtuale all'hub.

Il worker runbook ibrido utilizza l'identità gestita assegnata dal sistema di Automation per accedere alle risorse della macchina virtuale di destinazione e agli altri servizi Azure richiesti dalla soluzione.

Le autorizzazioni minime di controllo degli accessi basato sui ruoli di Azure (Azure RBAC) necessarie per un'identità gestita assegnata dal sistema sono suddivise in due categorie:

• Autorizzazioni di accesso all'architettura Azure SOC che contiene i componenti di base della soluzione
• Autorizzazioni di accesso all'architettura di destinazione che contiene le risorse della macchina virtuale di destinazione

L'accesso all'architettura Azure SOC include i ruoli seguenti:

• Collaboratore dell'Account di archiviazione nell'account di archiviazione SOC immutabile
• Key Vault Secrets Officer nel key vault SOC per la gestione dei valori hash

L'accesso all'architettura di destinazione include il ruolo Collaboratore nel gruppo di risorse della macchina virtuale di destinazione, che fornisce i diritti di snapshot sui dischi delle macchine virtuali.

Account di archiviazione

L'account Archiviazione nella sottoscrizione SOC ospita gli snapshot del disco in un contenitore configurato con una politica di blocco legale come archiviazione BLOB non modificabile di Azure. L'archiviazione BLOB non modificabile archivia gli oggetti dati critici per l'azienda in una sola volta e legge molti stati (WORM). Lo stato WORM rende i dati nonerasable e non modificabili per un intervallo specificato dall'utente.

Assicurarsi di abilitare il trasferimento sicuro e le proprietà del firewall di archiviazione. Il firewall concede l'accesso solo dalla rete virtuale SOC.

L'account di archiviazione ospita anche una condivisione file Azure come repository temporaneo usato per calcolare il valore hash dello snapshot.

Key Vault

La sottoscrizione SOC ha una propria istanza di Key Vault, che archivia i valori hash degli snapshot del disco, calcolati dal lavoratore ibrido runbook durante le operazioni di acquisizione.

Assicurarsi che il firewall sia abilitato nell'insieme di credenziali delle chiavi. Deve concedere l'accesso esclusivamente dalla rete virtuale SOC.

Log Analytics

Un'area di lavoro Log Analytics archivia i log attività usati per controllare tutti gli eventi rilevanti nella sottoscrizione SOC. Log Analytics è una funzionalità di Monitor.

Dettagli dello scenario

La scienza digitale forense riguarda il recupero e l'analisi di dati digitali a supporto di indagini penali o procedimenti civili. Le analisi forensi informatiche sono un ramo di analisi forensi digitali che acquisisce e analizza i dati da computer, macchine virtuali e supporti di archiviazione digitale.

Le aziende devono garantire che le prove digitali fornite in risposta alle richieste legali dimostrino una valida catena di custodia in tutte le fasi dell'acquisizione, della conservazione e dell'accesso alle prove.

Potenziali casi d'uso

• Il team SOC di un'azienda può implementare questa soluzione tecnica per supportare una catena valida di custodia per prove digitali.

• Gli investigatori possono collegare copie disco ottenute usando questa tecnica su un computer dedicato all'analisi forense. Possono collegare le copie del disco senza accendere o accedere alla macchina virtuale di origine originale.

Catena di custodia per la conformità alle normative

Se è necessario inviare la soluzione proposta a un processo di convalida della conformità alle normative, prendere in considerazione i materiali nella sezione considerazioni durante il processo di convalida della soluzione di custodia.

Nota

È necessario includere il reparto legale nel processo di convalida.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che è possibile usare per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Well-Architected Framework.

I principi che convalidano questa soluzione come catena di custodia sono descritti in questa sezione. Per garantire una catena valida di custodia, l'archiviazione delle prove digitali deve dimostrare un controllo di accesso adeguato, la protezione e l'integrità dei dati, il monitoraggio e l'avviso e la registrazione e il controllo.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'uso improprio dei dati e dei sistemi preziosi. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per la sicurezza.

Conformità agli standard e alle normative di sicurezza

Quando si convalida una catena di soluzioni di custodia, uno dei requisiti da valutare è la conformità agli standard e alle normative di sicurezza.

Tutti i componenti inclusi nel architecture sono Azure servizi standard basati su una base che supporta attendibilità, sicurezza e compliance.

Azure dispone di un'ampia gamma di certificazioni di conformità, tra cui certificazioni personalizzate per paesi o aree geografiche e per settori chiave come sanità, governo, finanza e istruzione.

Per altre informazioni sui report di controllo aggiornati che illustrano in dettaglio la conformità degli standard per i servizi usati in questa soluzione, vedere Service Trust Portal.

Valutazione della conformità di Azure Storage di Cohasset fornisce informazioni dettagliate sui requisiti seguenti:

• Commissione per i Titoli e gli Scambi (SEC) in 17 CFR § 240.17a-4(f), che regola membri di borsa, broker o operatori.

• Financial Industry Regulatory Authority (FINRA), Norma 4511(c), che rinvia ai requisiti relativi al formato e ai supporti della Norma SEC 17a-4(f).

• Commodity Futures Trading Commission (CFTC) nel regolamento 17 CFR § 1.31(c)-(d), che regola la negoziazione di futures sulle materie prime.

È opinione di Cohasset che Azure Storage, con la funzionalità di archiviazione non modificabile di Blob Storage e l'opzione di blocco dei criteri, conserva i BLOB basati sul tempo (o records) in un formato nonerasable e non scrivibile e soddisfa i requisiti di archiviazione pertinenti della regola SEC 17a-4(f), la regola FINRA 4511(c) e i requisiti basati sui principi della regola CFTC 1.31(c)-(d).

Privilegi minimi

Quando vengono assegnati i ruoli del team SOC, solo due individui del team, noti come custodi del team SOC, devono avere i diritti per modificare la configurazione del Azure RBAC (controllo degli accessi in base al ruolo) della sottoscrizione e i dati correlati. Concedere ad altri utenti solo diritti di accesso minimi ai subset di dati necessari per svolgere il proprio lavoro.

Accesso minimo

Solo la rete virtuale nella sottoscrizione SOC ha accesso all'account di archiviazione SOC e al Key Vault che archivia le evidenze. I membri del team SOC autorizzati possono concedere agli investigatori l'accesso temporaneo alle prove conservate nell'archiviazione SOC.

Requisiti del disco del sistema operativo

Le macchine virtuali di produzione soggette all'acquisizione forense devono usare dischi del sistema operativo gestiti in modo persistente. Non usare dischi temporanei del sistema operativo nelle macchine virtuali in cui è necessaria la raccolta di prove digitali. I dischi temporanei del sistema operativo vengono archiviati solo nell'host della macchina virtuale locale e non supportano gli snapshot del disco. Poiché il flusso di lavoro di acquisizione delle prove basato sugli snapshot dipende dalla possibilità di creare e trasferire snapshot in un punto specifico nel tempo del sistema operativo e dei dischi dati, i dischi temporanei del sistema operativo non sono compatibili con questa catena di custodia.

Acquisizione delle prove

Azure i log di controllo possono documentare l'acquisizione delle prove registrando l'azione di esecuzione di uno snapshot del disco della macchina virtuale. I log includono dettagli, ad esempio chi acquisisce gli snapshot e quando vengono acquisiti.

Integrità delle prove

Usare automazione per spostare le prove nella destinazione dell'archivio finale, senza intervento umano. Questo approccio consente di garantire che gli artefatti di evidenza rimangano invariati.

Quando si applica una politica di blocco giuridico al supporto di archiviazione di destinazione, le prove vengono immediatamente bloccate non appena sono scritte. Un blocco legale dimostra che la catena di custodia è completamente mantenuta all'interno di Azure. Indica anche che non è possibile manomettere l'evidenza dal momento in cui le immagini del disco si trovano in una macchina virtuale attiva a quando vengono archiviate come prove nell'account di archiviazione.

Infine, è possibile usare la soluzione fornita come meccanismo di integrità per calcolare i valori hash delle immagini del disco. Gli algoritmi hash supportati sono MD5, SHA256, SKEIN e KECCAK (o SHA3).

Produzione delle prove

Gli investigatori devono accedere alle prove in modo che possano eseguire analisi. Questo accesso deve essere monitorato e autorizzato in modo esplicito.

Fornire agli investigatori una chiave di archiviazione con Shared Access Signatures (SAS) uniform resource identifier (URI) per accedere alle prove. Un URI SAS può generare informazioni di log pertinenti quando viene creato. È possibile ottenere una copia della prova ogni volta che viene utilizzato il SAS.

Ad esempio, se un team legale deve trasferire un disco rigido virtuale conservato, uno dei due responsabili del team SOC genera una chiave SAS URI di sola lettura, che scade dopo otto ore. Il SAS limita l'accesso agli investigatori entro un intervallo di tempo specificato.

Il team SOC deve inserire in modo esplicito gli indirizzi IP degli investigatori che richiedono l'accesso a un elenco di elementi consentiti nel firewall di archiviazione.

Negozio regionale

Per la conformità, alcuni standard o normative richiedono prove e l'infrastruttura di supporto da mantenere nella stessa area Azure.

Tutti i componenti della soluzione, incluso l'account di archiviazione che archivia le prove, sono ospitati nella stessa area Azure dei sistemi in fase di analisi.

Ottimizzazione dei costi

L'ottimizzazione dei costi è incentrata sui modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'ottimizzazione dei costi.

Questa architettura include una combinazione di componenti a costo fisso e a costo variabile. I componenti a costo fisso vengono eseguiti continuamente e indipendentemente dalla frequenza dell'analisi. I componenti a costo variabile vengono ridimensionati con il volume e le dimensioni delle acquisizioni forensi.

Componenti a costo fisso

I componenti seguenti comportano costi continui indipendentemente dal fatto che l'utente esegua o meno acquisizioni di prove:

• VM del lavoratore ibrido per runbook: Questa macchina virtuale viene eseguita continuamente nella sottoscrizione SOC in modo da essere disponibile per l'acquisizione di evidenze su richiesta. Le dimensioni della macchina virtuale sono la leva di costo principale. L'acquisizione di prove non è a elevato utilizzo di calcolo, ad eccezione del calcolo hash, quindi usare una macchina virtuale per utilizzo generico di piccole dimensioni, ad esempio un Standard_D2s_v5. Per ridurre il costo di questa macchina virtuale, prendere in considerazione le prenotazioni Azure o i piani di risparmio per un contratto annuale o triennale.

• Azure Automation account: L'account di Automazione che ospita il runbook Copy-VmDigitalEvidence e la configurazione del ruolo di lavoro ibrido ha un costo di base ridotto.

• Key Vault: SoC key vault archivia i valori hash come segreti. Il costo per operazione segreta è nominale e il costo complessivo Key Vault è minimo per questo carico di lavoro.

Componenti a costo variabile

I componenti seguenti vengono ridimensionati con il numero di indagini e le dimensioni delle prove acquisite:

• Azure Storage (archiviazione BLOB non modificabile): L'archiviazione è il principale costo variabile in questa architettura. Ogni acquisizione forense genera snapshot completi del disco del sistema operativo e dei dischi dati della macchina virtuale di destinazione, che possono variare da decine a centinaia di GB per macchina virtuale. I costi di archiviazione sono cumulativi perché non è possibile eliminare snapshot con criteri di blocco legali applicati. Le dimensioni di uno snapshot aumentano con ogni indagine e con il numero e le dimensioni dei dischi in ogni macchina virtuale. Per gestire i costi di archiviazione, valutare il livello di accesso per gli snapshot conservati. Gli snapshot a cui si accede raramente dopo la verifica hash iniziale possono trarre vantaggio dal livello Cool o Cold, che offre tariffe di archiviazione inferiori in cambio di costi di accesso più elevati.

• Azure Files: La condivisione file temporanea che calcola i valori hash comporta un costo solo per la durata in cui sono presenti i dati dello snapshot. Il runbook rimuove questi dati dopo il calcolo hash, quindi il costo è temporaneo e proporzionale alle dimensioni dello snapshot.

• Log Analytics workspace: I costi di inserimento di Log Analytics aumentano con il numero di operazioni eseguite nella sottoscrizione SOC. Acquisizioni di prove più frequenti e monitoraggio più attivo generano più dati di log. Configurare i criteri di conservazione dei dati in modo che corrispondano ai requisiti di conformità ed evitare la conservazione dei dati non necessaria.

Stima del costo

Per stimare il costo di questa architettura per il carico di lavoro, usare il calcolatore prezzi Azure. Configurare i componenti seguenti in base alle dimensioni previste del volume di indagine e del disco della macchina virtuale:

• Una macchina virtuale per utilizzo generico, ad esempio Standard_D2s_v5, per il ruolo di lavoro ibrido per runbook
• Azure Blob Storage con il livello di accesso appropriato e il volume totale di snapshot stimato
• Azure Files con il livello Standard per l'utilizzo temporaneo
• Key Vault con il livello Standard
• Esecuzione del processo di Azure Automation secondo la frequenza di acquisizione stabilita.
• Log Analytics con volume di ingestione stimato

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e lo mantengono in esecuzione nell'ambiente di produzione. Per ulteriori informazioni, vedere Lista di controllo per la revisione del design per l'Eccellenza Operativa.

Monitoraggio e avvisi

Azure fornisce servizi a tutti i clienti per il monitoraggio e l'invio di avvisi sulle anomalie correlate alle sottoscrizioni e alle risorse. Tali servizi includono:

• Microsoft Sentinel
• Microsoft Defender for Cloud
• Microsoft Defender per Archiviazione

Nota

La configurazione di questi servizi non è descritta in questo articolo.

Distribuire questo scenario

Seguire le istruzioni della catena di custodia per l'implementazione del laboratorio per configurare e distribuire questo scenario in un ambiente di laboratorio.

L'ambiente di laboratorio rappresenta una versione semplificata dell'architettura descritta in questo articolo. Si distribuiscono due gruppi di risorse all'interno della stessa sottoscrizione. Il primo gruppo di risorse simula l'ambiente di produzione, ospitando prove digitali, mentre il secondo gruppo di risorse contiene l'ambiente SOC.

Selezionare Deploy in Azure per distribuire solo il gruppo di risorse SOC in un ambiente di produzione.

Nota

Se si distribuisce la soluzione in un ambiente di produzione, assicurarsi che l'identità gestita assegnata dal sistema dell'account di Automazione disponga delle autorizzazioni Collaboratore nel gruppo di risorse di produzione della macchina virtuale di destinazione. Il ruolo Collaboratore crea istantanee.

Configurazione estesa

È possibile distribuire un ruolo di lavoro ibrido per runbook in locale o in ambienti cloud diversi.

In questo scenario, è necessario personalizzare il runbook Copy‑VmDigitalEvidence per abilitare l'acquisizione di prove in ambienti di destinazione diversi e archiviarli nell'archiviazione.

Nota

Il runbook Copy-VmDigitalEvidence fornito nella sezione Deploy di questo scenario è stato sviluppato e testato solo in Azure. Per estendere la soluzione ad altre piattaforme, è necessario personalizzare il runbook per l'uso con tali piattaforme. Se abiliti il firewall del Key Vault, consenti l'indirizzo IP pubblico della macchina virtuale del worker ibrido per il runbook.

Collaboratori

Microsoft gestisce questo articolo. I collaboratori seguenti hanno scritto questo articolo.

Autori principali:

• Fabio Masciotra | Consulente principale
• Simone Savi | Consulente senior

Per visualizzare i profili di LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Per altre informazioni sulle funzionalità di protezione dei dati Azure, vedere:

• Crittografia dei dati archiviati per i dati a riposo
• Panoramica delle opzioni di crittografia dei dischi gestiti
• Archiviare dati blob critici per l'azienda con archiviazione non modificabile nello stato WORM

Per altre informazioni sulle funzionalità di registrazione e controllo Azure, vedere:

• Azure registrazione e controllo della sicurezza
• Registrazione analisi di archiviazione
• Invia i log delle risorse di Azure a spazi di lavoro di Log Analytics, Event Hubs o archiviazione

Per altre informazioni sulla conformità Microsoft Azure, vedere:

• conformità Azure
• Microsoft soluzioni di conformità

Risorsa correlata

• Progettazione dell'architettura di sicurezza

Questo articolo descrive un processo di infrastruttura e flusso di lavoro progettato per aiutare i team a fornire prove digitali che illustrano una catena valida di custodia in risposta alle richieste legali. Questo articolo descrive come mantenere una catena di custodia valida in tutte le fasi dell'acquisizione, della conservazione e dell'accesso alle prove.

Nota

Questo articolo si basa sulla conoscenza teorica e pratica degli autori. Prima di usarlo per scopi legali, convalidarne l'applicabilità con il reparto legale.

Architettura

La progettazione dell'architettura segue i principi delle zone di destinazione di Azure nel Cloud Adoption Framework per Azure.

Questo scenario usa una topologia di rete hub-spoke, illustrata nel diagramma seguente.

Questo diagramma mostra l'architettura della catena di custodia in cui risiedono le macchine virtuali di produzione che risiedono in una rete virtuale Azure spokes. I dischi del computer vengono crittografati usando la crittografia nell'host tramite chiavi gestite dalla piattaforma. Una sottoscrizione separata del Centro Operativo di Sicurezza (SOC) di Azure contiene un account Azure Storage che ospita gli snapshot del disco in un'archiviazione BLOB immutabile. La sottoscrizione include anche un Azure Key Vault dedicato che archivia i valori hash degli snapshot. Solo il team SOC può accedere alla sottoscrizione. Quando viene effettuata una richiesta di acquisizione di prove digitali, un membro del team SOC accede alla sottoscrizione SOC e usa la macchina virtuale del lavoratore runbook ibrido di Azure Automation per eseguire il runbook denominato Copy-VmDigitalEvidence. Il runbook usa un'identità gestita assegnata dal sistema per accedere alle risorse della macchina virtuale di destinazione e genera snapshot del sistema operativo e dei dischi dati. Trasferisce questi snapshot sia all'archivio blob non modificabile che a una condivisione file temporanea, calcola i valori hash e li archivia nel vault delle chiavi SOC. Rimuove infine tutte le copie temporanee ad eccezione dello snapshot non modificabile.

Scaricare un file Visio di questa architettura.

Flusso di lavoro

Nell'architettura, le macchine virtuali di produzione fanno parte di una rete virtuale di Azure spoke Azure rete virtuale. I dischi delle macchine virtuali vengono crittografati tramite crittografia nell'host usando chiavi gestite dalla piattaforma. Per altre informazioni, vedere Panoramica delle opzioni di crittografia del disco gestito.

Nota

Questa architettura presuppone la crittografia nell'host tramite chiavi gestite dalla piattaforma.

Se la crittografia nell'host non soddisfa i requisiti, è possibile usare una soluzione di crittografia a livello di sistema operativo, ad esempio BitLocker in Windows o dm-crypt in Linux. Queste implementazioni di crittografia sono specifiche di ogni ambiente e non sono descritte in questo articolo. Valutare i requisiti per determinare l'approccio appropriato.

Il team del Centro operazioni di sicurezza usa una sottoscrizione Azure SOC discreta. Il team ha accesso esclusivo a quella sottoscrizione, che contiene le risorse che devono essere mantenute protette, inviolabili e monitorate. L'account Azure Storage nella sottoscrizione SOC ospita copie degli snapshot del disco in archiviazione BLOB immutabile. Un Key Vault dedicato archivia copie dei valori hash degli snapshot.

In risposta a una richiesta di acquisizione dell'evidenza digitale di una macchina virtuale, un membro del team SOC accede alla sottoscrizione SOC di Azure e utilizza una macchina virtuale Azure hybrid runbook worker da Azure Automation per eseguire il runbook Copy-VmDigitalEvidence. Il lavoratore ibrido del runbook di automazione fornisce il controllo di tutti i meccanismi inclusi nell'acquisizione delle informazioni.

Il runbook Copy-VmDigitalEvidence implementa i passaggi della macro seguenti:

1. Usare l'identità gestita assegnata dal sistema per un account di Automazione per accedere a Azure. Questa identità concede l'accesso alle risorse della macchina virtuale di destinazione e agli altri servizi Azure necessari per la soluzione.

2. Generare snapshot del disco dei dischi del sistema operativo e dei dischi dati della macchina virtuale.

3. Trasferire gli snapshot nell'archiviazione BLOB non modificabile della sottoscrizione SOC e in una condivisione file temporanea.

4. Calcolare i valori hash degli snapshot usando la copia archiviata nella condivisione file.

5. Archiviare i valori hash ottenuti nell'archivio di chiavi SOC.

6. Rimuovere tutte le copie degli snapshot, ad eccezione della copia nell'archivio BLOB non modificabile.

Componenti

• Azure Automation è un servizio basato sul cloud che automatizza le attività operative usando runbook e script. In questa architettura orchestra il processo di acquisizione delle prove eseguendo il Copy-VmDigitalEvidence runbook per creare snapshot e trasferire i dischi delle macchine virtuali in modo sicuro. Questo processo consente di garantire l'integrità delle prove.

• Azure Storage è una soluzione di archiviazione cloud scalabile per vari tipi di dati, tra cui oggetto, file, disco, coda e archiviazione tabelle. In questa architettura archivia gli snapshot dei dischi delle macchine virtuali in contenitori BLOB non modificabili per mantenere le prove digitali in un formato a prova di manomissione.

• Azure Blob Storage è una soluzione basata sul cloud che fornisce l'archiviazione degli oggetti ottimizzata per i dati non strutturati. In questa architettura, essa detiene gli snapshot immutabili dei dischi delle macchine virtuali per garantire l'integrità e il non ripudio delle prove digitali.

• Azure Files è un servizio di archiviazione file cloud completamente gestito che fornisce file system condivisi accessibili tramite il protocollo SMB (Server Message Block) standard del settore, il protocollo NFS (Network File System) e l'API REST Azure Files. È possibile montare le condivisioni contemporaneamente tramite distribuzioni cloud o locali di Windows, Linux e macOS. È anche possibile memorizzare nella cache le condivisioni file in Windows Server usando Azure File Sync per accedere rapidamente alla posizione di utilizzo dei dati. In questa architettura, Azure Files archivia temporaneamente gli snapshot del disco per calcolare i valori hash prima di trasferirli nell'archiviazione non modificabile.

• Key Vault è un servizio cloud sicuro per la gestione di segreti, chiavi di crittografia e certificati. In questa architettura archivia i valori hash degli snapshot del disco per verificare l'integrità delle prove digitali.

• Microsoft Entra ID è un servizio di gestione delle identità basato sul cloud che consente di controllare l'accesso a Azure e ad altre app cloud. In questa architettura, garantisce che solo il personale SOC autorizzato possa accedere e gestire operazioni di gestione delle prove sensibili.

• Azure Monitor è un servizio di monitoraggio che fornisce l'osservabilità tramite metriche, log e avvisi. Supporta le operazioni su larga scala consentendo di ottimizzare le prestazioni e la disponibilità delle risorse, identificando in modo proattivo potenziali problemi. In questa architettura, i log delle attività vengono archiviati per supportare la verifica, la conformità e il monitoraggio della catena di custodia delle prove.

Automazione

Il SOC team usa un Automation account per creare e gestire il runbook Copy-VmDigitalEvidence. Anche il team usa Automazione per creare i worker ibridi di runbook che implementano il runbook.

Ruolo di lavoro ibrido per runbook

La macchina virtuale del worker ibrido del runbook è integrata nell'account di Automazione. Il team SOC usa questa macchina virtuale esclusivamente per eseguire il runbook Copy-VmDigitalEvidence.

È necessario inserire la macchina virtuale del ruolo di lavoro ibrido per runbook in una subnet in grado di accedere all'account di archiviazione. Configurare l'accesso all'account di archiviazione aggiungendo la subnet della macchina virtuale di un worker ibrido per runbook alle regole di autorizzazione del firewall dell'account di archiviazione.

Concedere l'accesso a questa macchina virtuale solo ai membri del team SOC per le attività di manutenzione.

Per isolare la rete virtuale usata dalla macchina virtuale, evitare di connettere la rete virtuale all'hub.

Il worker runbook ibrido utilizza l'identità gestita assegnata dal sistema di Automation per accedere alle risorse della macchina virtuale di destinazione e agli altri servizi Azure richiesti dalla soluzione.

Le autorizzazioni minime di controllo degli accessi basato sui ruoli di Azure (Azure RBAC) necessarie per un'identità gestita assegnata dal sistema sono suddivise in due categorie:

• Autorizzazioni di accesso all'architettura Azure SOC che contiene i componenti di base della soluzione
• Autorizzazioni di accesso all'architettura di destinazione che contiene le risorse della macchina virtuale di destinazione

L'accesso all'architettura Azure SOC include i ruoli seguenti:

• Collaboratore dell'Account di archiviazione nell'account di archiviazione SOC immutabile
• Key Vault Secrets Officer nel key vault SOC per la gestione dei valori hash

L'accesso all'architettura di destinazione include il ruolo Collaboratore nel gruppo di risorse della macchina virtuale di destinazione, che fornisce i diritti di snapshot sui dischi delle macchine virtuali.

Account di archiviazione

L'account Archiviazione nella sottoscrizione SOC ospita gli snapshot del disco in un contenitore configurato con una politica di blocco legale come archiviazione BLOB non modificabile di Azure. L'archiviazione BLOB non modificabile archivia gli oggetti dati critici per l'azienda in una sola volta e legge molti stati (WORM). Lo stato WORM rende i dati nonerasable e non modificabili per un intervallo specificato dall'utente.

Assicurarsi di abilitare il trasferimento sicuro e le proprietà del firewall di archiviazione. Il firewall concede l'accesso solo dalla rete virtuale SOC.

L'account di archiviazione ospita anche una condivisione file Azure come repository temporaneo usato per calcolare il valore hash dello snapshot.

Key Vault

La sottoscrizione SOC ha una propria istanza di Key Vault, che archivia i valori hash degli snapshot del disco, calcolati dal lavoratore ibrido runbook durante le operazioni di acquisizione.

Assicurarsi che il firewall sia abilitato nell'insieme di credenziali delle chiavi. Deve concedere l'accesso esclusivamente dalla rete virtuale SOC.

Log Analytics

Un'area di lavoro Log Analytics archivia i log attività usati per controllare tutti gli eventi rilevanti nella sottoscrizione SOC. Log Analytics è una funzionalità di Monitor.

Dettagli dello scenario

La scienza digitale forense riguarda il recupero e l'analisi di dati digitali a supporto di indagini penali o procedimenti civili. Le analisi forensi informatiche sono un ramo di analisi forensi digitali che acquisisce e analizza i dati da computer, macchine virtuali e supporti di archiviazione digitale.

Le aziende devono garantire che le prove digitali fornite in risposta alle richieste legali dimostrino una valida catena di custodia in tutte le fasi dell'acquisizione, della conservazione e dell'accesso alle prove.

Potenziali casi d'uso

• Il team SOC di un'azienda può implementare questa soluzione tecnica per supportare una catena valida di custodia per prove digitali.

• Gli investigatori possono collegare copie disco ottenute usando questa tecnica su un computer dedicato all'analisi forense. Possono collegare le copie del disco senza accendere o accedere alla macchina virtuale di origine originale.

Catena di custodia per la conformità alle normative

Se è necessario inviare la soluzione proposta a un processo di convalida della conformità alle normative, prendere in considerazione i materiali nella sezione considerazioni durante il processo di convalida della soluzione di custodia.

Nota

È necessario includere il reparto legale nel processo di convalida.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che è possibile usare per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Well-Architected Framework.

I principi che convalidano questa soluzione come catena di custodia sono descritti in questa sezione. Per garantire una catena valida di custodia, l'archiviazione delle prove digitali deve dimostrare un controllo di accesso adeguato, la protezione e l'integrità dei dati, il monitoraggio e l'avviso e la registrazione e il controllo.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'uso improprio dei dati e dei sistemi preziosi. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per la sicurezza.

Conformità agli standard e alle normative di sicurezza

Quando si convalida una catena di soluzioni di custodia, uno dei requisiti da valutare è la conformità agli standard e alle normative di sicurezza.

Tutti i componenti inclusi nel architecture sono Azure servizi standard basati su una base che supporta attendibilità, sicurezza e compliance.

Azure dispone di un'ampia gamma di certificazioni di conformità, tra cui certificazioni personalizzate per paesi o aree geografiche e per settori chiave come sanità, governo, finanza e istruzione.

Per altre informazioni sui report di controllo aggiornati che illustrano in dettaglio la conformità degli standard per i servizi usati in questa soluzione, vedere Service Trust Portal.

Valutazione della conformità di Azure Storage di Cohasset fornisce informazioni dettagliate sui requisiti seguenti:

• Commissione per i Titoli e gli Scambi (SEC) in 17 CFR § 240.17a-4(f), che regola membri di borsa, broker o operatori.

• Financial Industry Regulatory Authority (FINRA), Norma 4511(c), che rinvia ai requisiti relativi al formato e ai supporti della Norma SEC 17a-4(f).

• Commodity Futures Trading Commission (CFTC) nel regolamento 17 CFR § 1.31(c)-(d), che regola la negoziazione di futures sulle materie prime.

È opinione di Cohasset che Azure Storage, con la funzionalità di archiviazione non modificabile di Blob Storage e l'opzione di blocco dei criteri, conserva i BLOB basati sul tempo (o records) in un formato nonerasable e non scrivibile e soddisfa i requisiti di archiviazione pertinenti della regola SEC 17a-4(f), la regola FINRA 4511(c) e i requisiti basati sui principi della regola CFTC 1.31(c)-(d).

Privilegi minimi

Quando vengono assegnati i ruoli del team SOC, solo due individui del team, noti come custodi del team SOC, devono avere i diritti per modificare la configurazione del Azure RBAC (controllo degli accessi in base al ruolo) della sottoscrizione e i dati correlati. Concedere ad altri utenti solo diritti di accesso minimi ai subset di dati necessari per svolgere il proprio lavoro.

Accesso minimo

Solo la rete virtuale nella sottoscrizione SOC ha accesso all'account di archiviazione SOC e al Key Vault che archivia le evidenze. I membri del team SOC autorizzati possono concedere agli investigatori l'accesso temporaneo alle prove conservate nell'archiviazione SOC.

Requisiti del disco del sistema operativo

Le macchine virtuali di produzione soggette all'acquisizione forense devono usare dischi del sistema operativo gestiti in modo persistente. Non usare dischi temporanei del sistema operativo nelle macchine virtuali in cui è necessaria la raccolta di prove digitali. I dischi temporanei del sistema operativo vengono archiviati solo nell'host della macchina virtuale locale e non supportano gli snapshot del disco. Poiché il flusso di lavoro di acquisizione delle prove basato sugli snapshot dipende dalla possibilità di creare e trasferire snapshot in un punto specifico nel tempo del sistema operativo e dei dischi dati, i dischi temporanei del sistema operativo non sono compatibili con questa catena di custodia.

Acquisizione delle prove

Azure i log di controllo possono documentare l'acquisizione delle prove registrando l'azione di esecuzione di uno snapshot del disco della macchina virtuale. I log includono dettagli, ad esempio chi acquisisce gli snapshot e quando vengono acquisiti.

Integrità delle prove

Usare automazione per spostare le prove nella destinazione dell'archivio finale, senza intervento umano. Questo approccio consente di garantire che gli artefatti di evidenza rimangano invariati.

Quando si applica una politica di blocco giuridico al supporto di archiviazione di destinazione, le prove vengono immediatamente bloccate non appena sono scritte. Un blocco legale dimostra che la catena di custodia è completamente mantenuta all'interno di Azure. Indica anche che non è possibile manomettere l'evidenza dal momento in cui le immagini del disco si trovano in una macchina virtuale attiva a quando vengono archiviate come prove nell'account di archiviazione.

Infine, è possibile usare la soluzione fornita come meccanismo di integrità per calcolare i valori hash delle immagini del disco. Gli algoritmi hash supportati sono MD5, SHA256, SKEIN e KECCAK (o SHA3).

Produzione delle prove

Gli investigatori devono accedere alle prove in modo che possano eseguire analisi. Questo accesso deve essere monitorato e autorizzato in modo esplicito.

Fornire agli investigatori una chiave di archiviazione con Shared Access Signatures (SAS) uniform resource identifier (URI) per accedere alle prove. Un URI SAS può generare informazioni di log pertinenti quando viene creato. È possibile ottenere una copia della prova ogni volta che viene utilizzato il SAS.

Ad esempio, se un team legale deve trasferire un disco rigido virtuale conservato, uno dei due responsabili del team SOC genera una chiave SAS URI di sola lettura, che scade dopo otto ore. Il SAS limita l'accesso agli investigatori entro un intervallo di tempo specificato.

Il team SOC deve inserire in modo esplicito gli indirizzi IP degli investigatori che richiedono l'accesso a un elenco di elementi consentiti nel firewall di archiviazione.

Negozio regionale

Per la conformità, alcuni standard o normative richiedono prove e l'infrastruttura di supporto da mantenere nella stessa area Azure.

Tutti i componenti della soluzione, incluso l'account di archiviazione che archivia le prove, sono ospitati nella stessa area Azure dei sistemi in fase di analisi.

Ottimizzazione dei costi

L'ottimizzazione dei costi è incentrata sui modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'ottimizzazione dei costi.

Questa architettura include una combinazione di componenti a costo fisso e a costo variabile. I componenti a costo fisso vengono eseguiti continuamente e indipendentemente dalla frequenza dell'analisi. I componenti a costo variabile vengono ridimensionati con il volume e le dimensioni delle acquisizioni forensi.

Componenti a costo fisso

I componenti seguenti comportano costi continui indipendentemente dal fatto che l'utente esegua o meno acquisizioni di prove:

• VM del lavoratore ibrido per runbook: Questa macchina virtuale viene eseguita continuamente nella sottoscrizione SOC in modo da essere disponibile per l'acquisizione di evidenze su richiesta. Le dimensioni della macchina virtuale sono la leva di costo principale. L'acquisizione di prove non è a elevato utilizzo di calcolo, ad eccezione del calcolo hash, quindi usare una macchina virtuale per utilizzo generico di piccole dimensioni, ad esempio un Standard_D2s_v5. Per ridurre il costo di questa macchina virtuale, prendere in considerazione le prenotazioni Azure o i piani di risparmio per un contratto annuale o triennale.

• Azure Automation account: L'account di Automazione che ospita il runbook Copy-VmDigitalEvidence e la configurazione del ruolo di lavoro ibrido ha un costo di base ridotto.

• Key Vault: SoC key vault archivia i valori hash come segreti. Il costo per operazione segreta è nominale e il costo complessivo Key Vault è minimo per questo carico di lavoro.

Componenti a costo variabile

I componenti seguenti vengono ridimensionati con il numero di indagini e le dimensioni delle prove acquisite:

• Azure Storage (archiviazione BLOB non modificabile): L'archiviazione è il principale costo variabile in questa architettura. Ogni acquisizione forense genera snapshot completi del disco del sistema operativo e dei dischi dati della macchina virtuale di destinazione, che possono variare da decine a centinaia di GB per macchina virtuale. I costi di archiviazione sono cumulativi perché non è possibile eliminare snapshot con criteri di blocco legali applicati. Le dimensioni di uno snapshot aumentano con ogni indagine e con il numero e le dimensioni dei dischi in ogni macchina virtuale. Per gestire i costi di archiviazione, valutare il livello di accesso per gli snapshot conservati. Gli snapshot a cui si accede raramente dopo la verifica hash iniziale possono trarre vantaggio dal livello Cool o Cold, che offre tariffe di archiviazione inferiori in cambio di costi di accesso più elevati.

• Azure Files: La condivisione file temporanea che calcola i valori hash comporta un costo solo per la durata in cui sono presenti i dati dello snapshot. Il runbook rimuove questi dati dopo il calcolo hash, quindi il costo è temporaneo e proporzionale alle dimensioni dello snapshot.

• Log Analytics workspace: I costi di inserimento di Log Analytics aumentano con il numero di operazioni eseguite nella sottoscrizione SOC. Acquisizioni di prove più frequenti e monitoraggio più attivo generano più dati di log. Configurare i criteri di conservazione dei dati in modo che corrispondano ai requisiti di conformità ed evitare la conservazione dei dati non necessaria.

Stima del costo

Per stimare il costo di questa architettura per il carico di lavoro, usare il calcolatore prezzi Azure. Configurare i componenti seguenti in base alle dimensioni previste del volume di indagine e del disco della macchina virtuale:

• Una macchina virtuale per utilizzo generico, ad esempio Standard_D2s_v5, per il ruolo di lavoro ibrido per runbook
• Azure Blob Storage con il livello di accesso appropriato e il volume totale di snapshot stimato
• Azure Files con il livello Standard per l'utilizzo temporaneo
• Key Vault con il livello Standard
• Esecuzione del processo di Azure Automation secondo la frequenza di acquisizione stabilita.
• Log Analytics con volume di ingestione stimato

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e lo mantengono in esecuzione nell'ambiente di produzione. Per ulteriori informazioni, vedere Lista di controllo per la revisione del design per l'Eccellenza Operativa.

Monitoraggio e avvisi

Azure fornisce servizi a tutti i clienti per il monitoraggio e l'invio di avvisi sulle anomalie correlate alle sottoscrizioni e alle risorse. Tali servizi includono:

• Microsoft Sentinel
• Microsoft Defender for Cloud
• Microsoft Defender per Archiviazione

Nota

La configurazione di questi servizi non è descritta in questo articolo.

Distribuire questo scenario

Seguire le istruzioni della catena di custodia per l'implementazione del laboratorio per configurare e distribuire questo scenario in un ambiente di laboratorio.

L'ambiente di laboratorio rappresenta una versione semplificata dell'architettura descritta in questo articolo. Si distribuiscono due gruppi di risorse all'interno della stessa sottoscrizione. Il primo gruppo di risorse simula l'ambiente di produzione, ospitando prove digitali, mentre il secondo gruppo di risorse contiene l'ambiente SOC.

Selezionare Deploy in Azure per distribuire solo il gruppo di risorse SOC in un ambiente di produzione.

Nota

Se si distribuisce la soluzione in un ambiente di produzione, assicurarsi che l'identità gestita assegnata dal sistema dell'account di Automazione disponga delle autorizzazioni Collaboratore nel gruppo di risorse di produzione della macchina virtuale di destinazione. Il ruolo Collaboratore crea istantanee.

Configurazione estesa

È possibile distribuire un ruolo di lavoro ibrido per runbook in locale o in ambienti cloud diversi.

In questo scenario, è necessario personalizzare il runbook Copy‑VmDigitalEvidence per abilitare l'acquisizione di prove in ambienti di destinazione diversi e archiviarli nell'archiviazione.

Nota

Il runbook Copy-VmDigitalEvidence fornito nella sezione Deploy di questo scenario è stato sviluppato e testato solo in Azure. Per estendere la soluzione ad altre piattaforme, è necessario personalizzare il runbook per l'uso con tali piattaforme. Se abiliti il firewall del Key Vault, consenti l'indirizzo IP pubblico della macchina virtuale del worker ibrido per il runbook.

Collaboratori

Microsoft gestisce questo articolo. I collaboratori seguenti hanno scritto questo articolo.

Autori principali:

• Fabio Masciotra | Consulente principale
• Simone Savi | Consulente senior

Per visualizzare i profili di LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Per altre informazioni sulle funzionalità di protezione dei dati Azure, vedere:

• Crittografia dei dati archiviati per i dati a riposo
• Panoramica delle opzioni di crittografia dei dischi gestiti
• Archiviare dati blob critici per l'azienda con archiviazione non modificabile nello stato WORM

Per altre informazioni sulle funzionalità di registrazione e controllo Azure, vedere:

• Azure registrazione e controllo della sicurezza
• Registrazione analisi di archiviazione
• Invia i log delle risorse di Azure a spazi di lavoro di Log Analytics, Event Hubs o archiviazione

Per altre informazioni sulla conformità Microsoft Azure, vedere:

• conformità Azure
• Microsoft soluzioni di conformità

Risorsa correlata

• Progettazione dell'architettura di sicurezza