In dit artikel wordt een infrastructuur- en werkstroomproces beschreven om teams te helpen digitale bewijzen te leveren die een geldige bewakingsketen (CoC) laten zien als reactie op juridische aanvragen. Deze discussie begeleidt een geldig CoC in de processen voor het verkrijgen, behouden en openen van bewijsmateriaal.
Notitie
Dit artikel is gebaseerd op de theoretische en praktische kennis van de auteurs. Voordat u deze voor juridische doeleinden gebruikt, valideert u de toepasbaarheid ervan met uw juridische afdeling.
Architectuur
Het architectuurontwerp volgt de principes van de Azure-landingszone die worden beschreven in het Cloud Adoption Framework voor Azure.
In dit scenario wordt een hub-and-spoke-netwerktopologie gebruikt, zoals wordt weergegeven in het volgende diagram:
Een Visio-bestand van deze architectuur downloaden.
Workflow
In de architectuur maken de virtuele productiemachines (VM's) deel uit van een virtueel Spoke Azure-netwerk. Hun schijven worden versleuteld met Azure Disk Encryption. Zie Overzicht van versleutelingsopties voor beheerde schijven voor meer informatie. In het productieabonnement slaat Azure Key Vault de BitLocker-versleutelingssleutels (BEK's) van de VIRTUELE machines op.
Notitie
Het scenario werkt voor productie-VM's met niet-versleutelde schijven.
Het SOC-team (System and Organization Controls) maakt gebruik van een discreet Azure SOC-abonnement . Het team heeft exclusieve toegang tot dat abonnement, dat de resources bevat die moeten worden beveiligd, onaantastbaar en bewaakt. Het Azure Storage-account in het SOC-abonnement host kopieën van momentopnamen van schijven in onveranderbare blobopslag en een toegewezen sleutelkluis bewaart de hash-waarden en kopieën van de BEK's van de momentopnamen.
Als reactie op een verzoek om het digitale bewijs van een VIRTUELE machine vast te leggen, meldt een SOC-teamlid zich aan bij het Azure SOC-abonnement en gebruikt een azure hybrid runbook worker-VM in Automation om het Runbook Copy-VmDigitalEvidence te implementeren. De Automation Hybrid Runbook Worker biedt controle over alle mechanismen die betrokken zijn bij de opname.
In het runbook Copy-VmDigitalEvidence worden deze macrostappen geïmplementeerd:
- Meld u aan bij Azure met behulp van de door het systeem toegewezen beheerde identiteit voor een Automation-account voor toegang tot de resources van de doel-VM en de andere Azure-services die door de oplossing zijn vereist.
- Maak momentopnamen van schijven voor het besturingssysteem van de virtuele machine en gegevensschijven.
- Kopieer de momentopnamen naar de onveranderbare blobopslag van het SOC-abonnement en in een tijdelijke bestandsshare.
- Bereken hashwaarden van de momentopnamen met behulp van de kopie op de bestandsshare.
- Kopieer de verkregen hashwaarden en de BEK van de VIRTUELE machine in de SOC-sleutelkluis.
- Alle kopieën van de momentopnamen opschonen, behalve de kopie in onveranderbare blobopslag.
Notitie
De versleutelde schijven van de productie-VM's kunnen ook sleutelversleutelingssleutels (KEK's) gebruiken. Het runbook Copy-VmDigitalEvidence dat is opgegeven in het implementatiescenario heeft geen betrekking op dit gebruik.
Onderdelen
- Azure Automation automatiseert frequente, tijdrovende en foutgevoelige cloudbeheertaken.
- Opslag is een cloudopslagoplossing die object-, bestands-, schijf-, wachtrij- en tabelopslag omvat.
- Azure Blob Storage biedt geoptimaliseerde opslag voor cloudobjecten waarmee enorme hoeveelheden ongestructureerde gegevens worden beheerd.
- Azure Files-shares . U kunt shares gelijktijdig koppelen door cloud- of on-premises implementaties van Windows, Linux en macOS. U kunt ook Azure Files-shares in de cache opslaan op Windows-servers met Azure File Sync voor snelle toegang in de buurt waar de gegevens worden gebruikt.
- Azure Monitor ondersteunt uw bewerkingen op schaal door u te helpen de prestaties en beschikbaarheid van uw resources te maximaliseren en proactief problemen te identificeren.
- Key Vault helpt u bij het beveiligen van cryptografische sleutels en andere geheimen die worden gebruikt door cloud-apps en -services.
- Microsoft Entra ID is een identiteitsservice in de cloud waarmee u de toegang tot Azure en andere cloud-apps kunt beheren.
Automation
Het SOC-team gebruikt een Automation-account om het Copy-VmDigitalEvidence-runbook te maken en te onderhouden. Het team maakt ook gebruik van Automation om de hybrid runbook workers te maken die het runbook gebruiken.
Hybrid runbook worker
De hybrid runbook worker-VM maakt deel uit van het Automation-account. Het SOC-team gebruikt deze VIRTUELE machine uitsluitend om het Copy-VmDigitalEvidence-runbook te implementeren.
U moet de hybrid runbook worker-VM in een subnet plaatsen dat toegang heeft tot het opslagaccount. Configureer de toegang tot het opslagaccount door het subnet van de hybrid runbook worker VM toe te voegen aan de firewallregels van het opslagaccount.
U moet alleen toegang tot deze VM verlenen aan de SOC-teamleden voor onderhoudsactiviteiten.
Als u het virtuele netwerk wilt isoleren dat door de virtuele machine wordt gebruikt, moet u dat virtuele netwerk niet verbinden met de hub.
De hybrid runbook worker maakt gebruik van de door het Automation-systeem toegewezen beheerde identiteit voor toegang tot de resources van de doel-VM en de andere Azure-services die door de oplossing zijn vereist.
De minimale RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) die moeten worden toegewezen aan door het systeem toegewezen beheerde identiteit, worden geclassificeerd in twee categorieën:
- Toegangsmachtigingen voor de SOC Azure-architectuur met de kernonderdelen van de oplossing
- Toegangsmachtigingen voor de doelarchitectuur met de doel-VM-resources
Toegang tot de SOC Azure-architectuur omvat de volgende rollen:
- Inzender voor opslagaccounts voor het onveranderbare Storage-account in SOC
- Key Vault Secrets Officer in de SOC-sleutelkluis voor het BEK-beheer
Toegang tot de doelarchitectuur omvat de volgende rollen:
- Inzender voor de resourcegroep van de doel-VM. Deze rol verleent rechten voor momentopname op VM-schijven
- Key Vault Secrets Officer op de sleutelkluis van de doel-VM die wordt gebruikt voor het opslaan van de BEK, alleen als RBAC wordt gebruikt voor de sleutelkluis
- Toegangsbeleid voor geheim ophalen voor de sleutelkluis van de doel-VM die wordt gebruikt voor het opslaan van de BEK, alleen als u een toegangsbeleid voor Key Vault gebruikt
Notitie
Als u de BEK wilt lezen, moet de sleutelkluis van de doel-VM toegankelijk zijn vanaf de hybrid runbook worker-VM. Als de sleutelkluis de firewall heeft ingeschakeld, moet u ervoor zorgen dat het openbare IP-adres van de hybrid runbook worker-VM is toegestaan via de firewall.
Azure Storage-account
Het Azure Storage-account in het SOC-abonnement host de momentopnamen van schijven in een container die is geconfigureerd met een beleid voor juridische bewaring als onveranderbare Azure-blobopslag. Onveranderbare blobopslag slaat bedrijfskritieke gegevensobjecten eenmaal op in een schrijfstatus, veel (WORM)-status, waardoor de gegevens niet op te slaan zijn en niet kunnen worden bewerkt voor een door de gebruiker opgegeven interval.
Zorg ervoor dat u de eigenschappen van de beveiligde overdracht en opslagfirewall inschakelt. De firewall verleent alleen toegang vanuit het virtuele SOC-netwerk.
Het opslagaccount fungeert ook als host voor een Azure-bestandsshare als tijdelijke opslagplaats voor het berekenen van de hashwaarde van de momentopname.
Azure Key Vault
Het SOC-abonnement heeft een eigen exemplaar van Key Vault, dat als host fungeert voor een kopie van de BEK die door Azure Disk Encryption wordt gebruikt om de doel-VM te beveiligen. De primaire kopie wordt bewaard in de sleutelkluis die wordt gebruikt door de doel-VM, zodat de doel-VM de normale werking kan voortzetten.
De SOC-sleutelkluis bevat ook de hashwaarden van schijfmomentopnamen die worden berekend door de hybrid runbook worker tijdens de opnamebewerkingen.
Zorg ervoor dat de firewall is ingeschakeld voor de sleutelkluis. Het verleent alleen toegang vanuit het virtuele SOC-netwerk.
Log Analytics
In een Log Analytics-werkruimte worden activiteitenlogboeken opgeslagen die worden gebruikt om alle relevante gebeurtenissen in het SOC-abonnement te controleren. Log Analytics is een functie van Monitor.
Scenariodetails
Digitaal forensisch onderzoek is een wetenschap die zich bezighoudt met het achterhalen en onderzoeken van digitale gegevens ter ondersteuning van strafrechtelijke onderzoeken of civielrechtelijke procedures. Forensische computer is een vertakking van digitale forensische gegevens die gegevens van computers, VM's en digitale opslagmedia vastleggen en analyseren.
Bedrijven moeten garanderen dat het digitale bewijs dat ze verstrekken in reactie op juridische verzoeken een geldig coC is tijdens het proces voor het verkrijgen, behouden en openen van bewijs.
Potentiële gebruikscases
- Het Security Operation Center-team van een bedrijf kan deze technische oplossing implementeren ter ondersteuning van een geldig coC voor digitaal bewijs.
- Onderzoekers kunnen schijfkopieën koppelen die met deze techniek worden verkregen op een computer die is toegewezen aan forensische analyse. Ze kunnen de schijfkopieën koppelen zonder de oorspronkelijke bron-VM aan te schakelen of te openen.
Naleving van coC-regelgeving
Als het nodig is om de voorgestelde oplossing in te dienen bij een validatieproces voor naleving van regelgeving, moet u rekening houden met de materialen in de sectie overwegingen tijdens het validatieproces van de CoC-oplossing.
Notitie
U moet uw juridische afdeling betrekken bij het validatieproces.
Overwegingen
De principes die deze oplossing als coC valideren, worden in deze sectie gepresenteerd.
Om te zorgen voor een geldige bewakingsketen moet de digitale bewijsopslag beschikken over adequaat toegangsbeheer, gegevensbescherming en -integriteit, bewaking en waarschuwingen, en logboekregistratie en controle.
Naleving van beveiligingsstandaarden en -voorschriften
Wanneer u een CoC-oplossing valideert, is een van de vereisten die moeten worden geëvalueerd de naleving van beveiligingsstandaarden en -voorschriften.
Alle onderdelen in de architectuur zijn Standaardservices van Azure die zijn gebouwd op basis van een basis die ondersteuning biedt voor vertrouwen, beveiliging en naleving.
Azure heeft een breed scala aan nalevingscertificeringen, waaronder certificeringen die specifiek zijn voor landen of regio's, en voor de belangrijkste sectoren zoals gezondheidszorg, overheid, financiën en onderwijs.
Zie Service Trust Portal voor bijgewerkte controlerapporten met informatie over naleving van standaarden voor de services die in deze oplossing worden gebruikt.
Azure Storage van Cohasset: SEC 17a-4(f) en CFTC 1.31(c)-(d) Compliance Assessment geeft details over de volgende vereisten:
- Securities and Exchange Commission (SEC) in 17 CFR § 240.17a-4(f), die beursleden, brokers of dealers regelt.
- Financial Industry Regulatory Authority (FINRA) Rule 4511(c), die wordt uitgesteld tot de notatie- en mediavereisten van SEC-regel 17a-4(f).
- Commodity Futures Trading Commission (CFTC) in verordening 17 CFR § 1.31(c)-(d), die de handel in grondstoffen futures regelt.
Het is de mening van Cohasset dat opslag, met de onveranderbare opslagfunctie van Blob Storage en beleidsvergrendelingsoptie, op tijd gebaseerde blobs (records) in een notabele en niet-herschrijfbare indeling behoudt en voldoet aan relevante opslagvereisten van SEC Rule 17a-4(f), FINRA Rule 4511(c) en de op principes gebaseerde vereisten van CFTC Rule 1.31(c)-(d).
Minimale bevoegdheid
Wanneer de rollen van het SOC-team zijn toegewezen, moeten slechts twee personen binnen het team rechten hebben om de RBAC-configuratie van het abonnement en de bijbehorende gegevens te wijzigen. Geef andere personen slechts minimale toegangsrechten voor gegevenssubsets die ze nodig hebben om hun werk uit te voeren. Toegang configureren en afdwingen via Azure RBAC.
Minimale toegang
Alleen het virtuele netwerk in het SOC-abonnement heeft toegang tot het SOC-opslagaccount en de sleutelkluis waarmee het bewijs wordt gearchiveerd.
Tijdelijke toegang tot de SOC-opslag wordt verstrekt aan onderzoekers die toegang tot bewijs nodig hebben. Geautoriseerde SOC-teamleden kunnen toegang verlenen.
Verkrijgen van bewijs
Azure-auditlogboeken kunnen de bewijsverwerving weergeven door de actie van het maken van een momentopname van een VM-schijf vast te leggen, met elementen zoals wie de momentopnamen heeft gemaakt en wanneer.
Integriteit van bewijs
Het gebruik van Automation om bewijs naar de uiteindelijke archiefbestemming te verplaatsen, zonder menselijke tussenkomst, garandeert dat bewijsartefacten niet zijn gewijzigd.
Wanneer u een beleid voor juridische bewaring toepast op de doelopslag, wordt het bewijs op tijd geblokkeerd zodra het wordt geschreven. Een juridische bewaring laat zien dat het CoC volledig in Azure is onderhouden. Een juridische bewaring laat ook zien dat er geen kans was om te knoeien met het bewijs tussen het moment waarop de schijfinstallatiekopieën bestonden op een live-VM en wanneer ze als bewijs in het opslagaccount werden toegevoegd.
Ten slotte kunt u de geleverde oplossing als integriteitsmechanisme gebruiken om de hashwaarden van de schijfinstallatiekopieën te berekenen. De ondersteunde hash-algoritmen zijn: MD5, SHA256, SKEIN, KECCAK (of SHA3).
Productie van bewijs
Onderzoekers hebben toegang tot bewijs nodig, zodat ze analyses kunnen uitvoeren en deze toegang moet worden bijgehouden en expliciet geautoriseerd.
Geef onderzoekers een SAS-opslagsleutel (Shared Access Signatures) voor toegang tot bewijs. U kunt een SAS-URI gebruiken om relevante logboekinformatie te produceren wanneer de SAS wordt gegenereerd. U kunt ook een kopie van het bewijs ophalen telkens wanneer de SAS wordt gebruikt.
U moet expliciet de IP-adressen van onderzoekers plaatsen die toegang nodig hebben tot een acceptatielijst in de Storage-firewall.
Als een juridisch team bijvoorbeeld een bewaarde virtuele harde schijf (VHD) moet overdragen, genereert een van de twee SOC-teambeheerders een alleen-lezen SAS-URI-sleutel die na acht uur verloopt. De SAS beperkt de toegang tot de IP-adressen van de onderzoekers tot een specifiek tijdsbestek.
Ten slotte hebben onderzoekers de BEK's nodig die zijn gearchiveerd in de SOC-sleutelkluis om toegang te krijgen tot de versleutelde schijfkopieën. Een SOC-teamlid moet de BEK's extraheren en deze via beveiligde kanalen aan de onderzoekers verstrekken.
Regionale opslag
Voor naleving vereisen sommige standaarden of regelgeving bewijs en moet de ondersteuningsinfrastructuur in dezelfde Azure-regio worden onderhouden.
Alle oplossingsonderdelen, waaronder het opslagaccount waarin bewijsmateriaal wordt gearchiveerd, worden gehost in dezelfde Azure-regio als de systemen die worden onderzocht.
Operationele uitmuntendheid
Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.
Bewaking en waarschuwingen
Azure biedt alle klanten services voor het bewaken en waarschuwen van afwijkingen met betrekking tot hun abonnementen en resources. Deze services zijn:
- Microsoft Sentinel.
- Microsoft Defender voor Cloud.
- Azure Storage Advanced Threat Protection (ATP).
Notitie
De configuratie van deze services wordt niet beschreven in dit artikel.
Dit scenario implementeren
Volg de instructies voor coC-labimplementatie om dit scenario in een laboratoriumomgeving te bouwen en te implementeren.
De laboratoriumomgeving vertegenwoordigt een vereenvoudigde versie van de architectuur die in het artikel wordt beschreven. U implementeert twee resourcegroepen binnen hetzelfde abonnement. De eerste resourcegroep simuleert de productieomgeving, met digitaal bewijsmateriaal, terwijl de tweede resourcegroep de SOC-omgeving bevat.
Gebruik de volgende knop om alleen de SOC-resourcegroep in een productieomgeving te implementeren.
Notitie
Als u de oplossing in een productieomgeving implementeert, moet u ervoor zorgen dat de door het systeem toegewezen beheerde identiteit van het Automation-account de volgende machtigingen heeft:
- Een inzender in de productieresourcegroep van de VIRTUELE machine die moet worden verwerkt. Met deze rol worden de momentopnamen gemaakt.
- Een Key Vault-geheimengebruiker in de productiesleutelkluis met de BEK's. Met deze rol worden de BEK's gelezen.
Als de firewall is ingeschakeld voor de sleutelkluis, moet u er ook voor zorgen dat het openbare IP-adres van de hybrid runbook worker-VM is toegestaan via de firewall.
Uitgebreide configuratie
U kunt een hybride runbook worker on-premises of in verschillende cloudomgevingen implementeren.
In dit scenario kunt u het runbook Copy-VmDigitalEvidence aanpassen om het vastleggen van bewijs in verschillende doelomgevingen in te schakelen en deze in de opslag te archiveren.
Notitie
Het copy-VmDigitalEvidence-runbook dat is opgegeven in de sectie Dit scenario implementeren, is alleen ontwikkeld en getest in Azure. Als u de oplossing wilt uitbreiden naar andere platforms, moet u het runbook aanpassen om met deze platforms te werken.
Medewerkers
Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.
Belangrijkste auteurs:
- Microsoft Masciotra | Hoofdadviseur
- Simone Savi | Senior Consultant
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.
Volgende stappen
Zie voor meer informatie over Azure-functies voor gegevensbescherming:
- Azure Storage-versleuteling voor inactieve gegevens
- Overzicht van versleutelingsopties voor beheerde schijven
- Bedrijfskritieke blobgegevens opslaan met onveranderlijke opslag
Zie voor meer informatie over functies voor Azure-logboekregistratie en -controle:
- Azure-logboekregistratie en -controle van beveiligingsgegevens
- Azure Storage-analyselogboeken
- Azure-resourcelogboeken
Zie voor meer informatie over Microsoft Azure-naleving: