Łańcuch nadzoru komputerowego na platformie Azure

W tym artykule opisano proces infrastruktury i przepływu pracy, który pomaga zespołom w dostarczaniu cyfrowych dowodów, które pokazują prawidłowy łańcuch nadzoru (CoC) w odpowiedzi na żądania prawne. Ta dyskusja prowadzi do prawidłowego coC w procesie pozyskiwania, zachowywania i uzyskiwania dostępu do dowodów.

Architektura

Projekt architektury jest zgodny z zasadami strefy docelowej platformy Azure opisanymi w przewodniku Cloud Adoption Framework dla platformy Azure.

W tym scenariuszu jest używana topologia sieci piasty i szprych, jak pokazano na poniższym diagramie:

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

W architekturze produkcyjne maszyny wirtualne są częścią sieci wirtualnej platformy Azure będącej szprychą. Ich dyski są szyfrowane za pomocą usługi Azure Disk Encryption. Aby uzyskać więcej informacji, zobacz Omówienie opcji szyfrowania dysków zarządzanych. W subskrypcji produkcyjnej usługa Azure Key Vault przechowuje klucze szyfrowania funkcji BitLocker (BEKS) maszyn wirtualnych.

Zespół ds. kontroli systemu i organizacji korzysta z dyskretnej subskrypcji SOC platformy Azure. Zespół ma wyłączny dostęp do tej subskrypcji, która zawiera zasoby, które muszą być chronione, nieużywane i monitorowane. Konto usługi Azure Storage w subskrypcji SOC hostuje kopie migawek dysków w niezmiennym magazynie obiektów blob, a dedykowany magazyn kluczy przechowuje wartości skrótów i kopii skrótów migawek maszyn wirtualnych.

W odpowiedzi na żądanie przechwycenia dowodów cyfrowych maszyny wirtualnej członek zespołu SOC loguje się do subskrypcji SOC platformy Azure i używa hybrydowej maszyny wirtualnej procesu roboczego elementu runbook platformy Azure w usłudze Automation w celu zaimplementowania elementu Runbook Copy-VmDigitalEvidence. Hybrydowy proces roboczy elementu runbook usługi Automation zapewnia kontrolę nad wszystkimi mechanizmami zaangażowanymi w przechwytywanie.

Element Runbook Copy-VmDigitalEvidence implementuje następujące kroki makra:

1. Zaloguj się do platformy Azure przy użyciu tożsamości zarządzanej przypisanej przez system dla konta usługi Automation, aby uzyskać dostęp do zasobów docelowej maszyny wirtualnej i innych usług platformy Azure wymaganych przez rozwiązanie.
2. Tworzenie migawek dysków dla dysków systemu operacyjnego i dysków danych maszyny wirtualnej.
3. Skopiuj migawki do niezmiennego magazynu obiektów blob subskrypcji SOC i w tymczasowym udziale plików.
4. Oblicz wartości skrótu migawek przy użyciu kopii w udziale plików.
5. Skopiuj uzyskane wartości skrótu i klucz szyfrowania szyfrowania maszyny wirtualnej w magazynie kluczy SOC.
6. Wyczyść wszystkie kopie migawek z wyjątkiem kopii w niezmiennym magazynie obiektów blob.

Składniki

• Usługa Azure Automation automatyzuje częste, czasochłonne i podatne na błędy zadania zarządzania chmurą.
• Magazyn to rozwiązanie magazynu w chmurze, które obejmuje magazyn obiektów, plików, dysków, kolejek i tabel.
• Usługa Azure Blob Storage zapewnia zoptymalizowany magazyn obiektów w chmurze, który zarządza ogromnymi ilościami danych bez struktury.
• Udziały usługi Azure Files . Udziały można instalować współbieżnie za pomocą wdrożeń w chmurze lub lokalnych systemów Windows, Linux i macOS. Udziały usługi Azure Files można również buforować na serwerach z systemem Windows za pomocą usługi Azure File Sync w celu uzyskania szybkiego dostępu w pobliżu miejsca, w którym są używane dane.
• Usługa Azure Monitor obsługuje operacje na dużą skalę, pomagając zmaksymalizować wydajność i dostępność zasobów oraz aktywnie identyfikować problemy.
• Usługa Key Vault pomaga chronić klucze kryptograficzne i inne wpisy tajne używane przez aplikacje i usługi w chmurze.
• Microsoft Entra ID to oparta na chmurze usługa tożsamości, która ułatwia kontrolowanie dostępu do platformy Azure i innych aplikacji w chmurze.

Automation

Zespół SOC używa konta usługi Automation do tworzenia i obsługi elementu Runbook Copy-VmDigitalEvidence. Zespół używa również usługi Automation do tworzenia hybrydowych procesów roboczych elementów Runbook, które obsługują element Runbook.

Hybrydowy proces roboczy elementu runbook

Hybrydowa maszyna wirtualna procesu roboczego elementu Runbook jest częścią konta usługi Automation. Zespół SOC używa tej maszyny wirtualnej wyłącznie do implementowania elementu Runbook Copy-VmDigitalEvidence.

Należy umieścić hybrydową maszynę wirtualną procesu roboczego elementu Runbook w podsieci, która może uzyskać dostęp do konta magazynu. Skonfiguruj dostęp do konta magazynu, dodając podsieć hybrydowej maszyny wirtualnej procesu roboczego elementu Runbook do reguł listy dozwolonych zapory konta magazynu.

Musisz udzielić dostępu do tej maszyny wirtualnej tylko członkom zespołu SOC na potrzeby działań konserwacyjnych.

Aby odizolować sieć wirtualną używaną przez maszynę wirtualną, nie należy łączyć tej sieci wirtualnej z koncentratorem.

Hybrydowy proces roboczy elementu Runbook używa przypisanej przez system tożsamości zarządzanej usługi Automation w celu uzyskania dostępu do zasobów docelowej maszyny wirtualnej i innych usług platformy Azure wymaganych przez rozwiązanie.

Minimalne uprawnienia kontroli dostępu opartej na rolach (RBAC), które muszą być przypisane do tożsamości zarządzanej przypisanej przez system, są klasyfikowane w dwóch kategoriach:

• Uprawnienia dostępu do architektury SOC platformy Azure zawierającej podstawowe składniki rozwiązania
• Uprawnienia dostępu do architektury docelowej zawierającej docelowe zasoby maszyny wirtualnej

Dostęp do architektury SOC platformy Azure obejmuje następujące role:

• Współautor konta magazynu na koncie magazynu niezmiennego SOC w usłudze Storage.
• Key Vault Secrets Officer w magazynie kluczy SOC na potrzeby zarządzania kluczami szyfrowania kluczy

Dostęp do architektury docelowej obejmuje następujące role:

• Współautor grupy zasobów docelowej maszyny wirtualnej, co zapewnia uprawnienia do migawek na dyskach maszyny wirtualnej.
• Key Vault Secrets Officer w magazynie kluczy docelowej maszyny wirtualnej używanym do przechowywania klucza SZYFROWANIA kluczy tylko wtedy, gdy kontrola dostępu oparta na rolach jest używana dla magazynu kluczy
• Zasady dostępu do uzyskiwania wpisu tajnego w magazynie kluczy docelowej maszyny wirtualnej używanej do przechowywania klucza szyfrowania kluczy tylko wtedy, gdy są używane zasady dostępu dla usługi Key Vault

Konto usługi Azure Storage

Konto usługi Azure Storage w subskrypcji SOC hostuje migawki dysków w kontenerze skonfigurowanym przy użyciu zasad archiwizacji ze względów prawnych jako niezmiennego magazynu obiektów blob platformy Azure. Niezmienny magazyn obiektów blob przechowuje obiekty danych o znaczeniu krytycznym dla działania firmy w stanie zapisu jednokrotnego, odczytujący wiele (WORM), co sprawia, że dane są niezrównoważone i niezmienialne dla interwału określonego przez użytkownika.

Pamiętaj, aby włączyć właściwości zapory bezpiecznego transferu i magazynu. Zapora udziela dostępu tylko z sieci wirtualnej SOC.

Konto magazynu hostuje również udział plików platformy Azure jako tymczasowe repozytorium do obliczania wartości skrótu migawki.

Azure Key Vault

Subskrypcja SOC ma własne wystąpienie usługi Key Vault, które hostuje kopię klucza szyfrowania kluczy, którego usługa Azure Disk Encryption używa do ochrony docelowej maszyny wirtualnej. Kopia podstawowa jest przechowywana w magazynie kluczy używanym przez docelową maszynę wirtualną, aby docelowa maszyna wirtualna mogła kontynuować normalne działanie.

Magazyn kluczy SOC zawiera również wartości skrótów migawek dysków obliczanych przez hybrydowy proces roboczy elementu Runbook podczas operacji przechwytywania.

Upewnij się, że zapora jest włączona w magazynie kluczy. Udziela dostępu tylko z sieci wirtualnej SOC.

Log Analytics

Obszar roboczy usługi Log Analytics przechowuje dzienniki aktywności używane do inspekcji wszystkich odpowiednich zdarzeń w subskrypcji SOC. Log Analytics to funkcja monitora.

Szczegóły scenariusza

Kryminalistyka cyfrowa to nauka zajmująca się odzyskiwaniem i badaniem danych cyfrowych podczas dochodzeń karnych i w postępowaniach cywilnych. Śledcza komputerowa to gałąź cyfrowych śledczego, która przechwytuje i analizuje dane z komputerów, maszyn wirtualnych i nośników magazynu cyfrowego.

Przedsiębiorstwa muszą zagwarantować, że dowody cyfrowe, które dostarczają w odpowiedzi na wnioski prawne, wykazują ważny coC w całym procesie pozyskiwania, zachowywania i uzyskiwania dostępu do dowodów.

Potencjalne przypadki użycia

• Zespół centrum operacji zabezpieczeń firmy może zaimplementować to rozwiązanie techniczne w celu obsługi prawidłowego centrum współpracy na potrzeby dowodów cyfrowych.
• Śledczy mogą dołączać kopie dysków uzyskane za pomocą tej techniki na komputerze przeznaczonym do analizy kryminalistycznej. Mogą dołączać kopie dysków bez włączenia lub uzyskania dostępu do oryginalnej źródłowej maszyny wirtualnej.

Zgodność z przepisami coC

Jeśli konieczne jest przesłanie proponowanego rozwiązania do procesu weryfikacji zgodności z przepisami, należy wziąć pod uwagę materiały w sekcji dotyczącej zagadnień podczas procesu weryfikacji rozwiązania CoC.

Kwestie wymagające rozważenia

Zasady, które weryfikują to rozwiązanie jako coC, są prezentowane w tej sekcji.

Aby zapewnić prawidłowy łańcuch nadzoru, magazyn dowodów cyfrowych musi umożliwiać odpowiednią kontrolę dostępu i ochronę danych, zapewnienie ich integralności, monitorowanie, generowanie alertów, rejestrowanie i inspekcję.

Zgodność ze standardami i przepisami dotyczącymi zabezpieczeń

Podczas weryfikacji rozwiązania CoC jednym z wymagań, które należy ocenić, jest zgodność ze standardami i przepisami dotyczącymi zabezpieczeń.

Wszystkie składniki zawarte w architekturze to standardowe usługi platformy Azure oparte na podstawach, które obsługują zaufanie, zabezpieczenia i zgodność.

Platforma Azure oferuje szeroką gamę certyfikatów zgodności, w tym certyfikaty specyficzne dla krajów lub regionów oraz dla kluczowych branż, takich jak opieka zdrowotna, instytucje rządowe, finanse i edukacja.

Aby uzyskać zaktualizowane raporty inspekcji z informacjami o zgodności standardów dla usług przyjętych w tym rozwiązaniu, zobacz Portal zaufania usług.

Usługa Azure Storage firmy Cohasset : SEC 17a-4(f) i CFTC 1.31(c)-(d) Compliance Assessment (d) zawiera szczegółowe informacje na temat następujących wymagań:

• Komisja Papierów Wartościowych i Giełd (SEC) w 17 CFR § 240.17a-4(f), która reguluje członków wymiany, brokerów lub dealerów.
• Financial Industry Regulatory Authority (FINRA) Rule 4511(c), który odchyli się od wymagań formatu i nośnika sec rule 17a-4(f).
• Commodity Futures Trading Commission (CFTC) w rozporządzeniu 17 CFR § 1.31(c)-(d), który reguluje handel kontraktami terminowymi na towary.

Uważa się, że magazyn z funkcją niezmiennego magazynu usługi Blob Storage i blokadą zasad zachowuje obiekty blob oparte na czasie (rekordy) w niemożliwym do zapamiętania formacie i spełnia odpowiednie wymagania dotyczące magazynu reguły SEC 17a-4(f), reguły FINRA 4511(c) oraz zasad dotyczących wymagań reguły CFTC 1.31(c)-(d).

Zasada najniższych uprawnień

Po przypisaniu ról zespołu SOC tylko dwie osoby w zespole powinny mieć uprawnienia do modyfikowania konfiguracji RBAC subskrypcji i jej danych. Przyznaj innym osobom tylko minimalne prawa dostępu do podzbiorów danych, których potrzebują do wykonania swojej pracy. Konfigurowanie i wymuszanie dostępu za pośrednictwem kontroli dostępu opartej na rolach platformy Azure.

Najmniejszy dostęp

Tylko sieć wirtualna w subskrypcji SOC ma dostęp do konta magazynu SOC i magazynu kluczy, który zarchiwizuje dowody.

Tymczasowy dostęp do magazynu SOC jest udostępniany śledczym, którzy wymagają dostępu do dowodów. Autoryzowani członkowie zespołu SOC mogą udzielić dostępu.

Pozyskiwanie dowodów

Dzienniki inspekcji platformy Azure mogą pokazywać dowody pozyskiwania, rejestrując akcję wykonywania migawki dysku maszyny wirtualnej z elementami takimi jak osoby, które robiły migawki i kiedy.

Integralność dowodów

Użycie usługi Automation do przeniesienia dowodów do końcowego miejsca docelowego archiwum, bez interwencji człowieka, gwarantuje, że artefakty dowodowe nie zostały zmienione.

Po zastosowaniu zasad archiwizacji ze względów prawnych do magazynu docelowego dowody są zamrożone w czasie, gdy tylko zostaną zapisane. Archiwizacja prawna pokazuje, że CoC została zachowana w całości na platformie Azure. Archiwizacja prawna pokazuje również, że nie było okazji do manipulowania dowodami między czasem, w którym obrazy dysków istniały na aktywnej maszynie wirtualnej, a kiedy zostały dodane jako dowody na koncie magazynu.

Na koniec możesz użyć dostarczonego rozwiązania jako mechanizmu integralności, aby obliczyć wartości skrótu obrazów dysków. Obsługiwane algorytmy wyznaczania wartości skrótu to: MD5, SHA256, SKEIN, KECCAK (lub SHA3).

Udostępnianie dowodów

Śledczy potrzebują dostępu do dowodów, aby mogli wykonywać analizy, a dostęp ten musi być śledzony i jawnie autoryzowany.

Zapewnij śledczym klucz magazynu identyfikatora URI sygnatur dostępu współdzielonego na potrzeby uzyskiwania dostępu do dowodów. Identyfikator URI sygnatury dostępu współdzielonego umożliwia generowanie odpowiednich informacji dziennika podczas generowania sygnatury dostępu współdzielonego. Możesz również uzyskać kopię dowodów za każdym razem, gdy sygnatura dostępu współdzielonego jest używana.

Należy jawnie umieścić adresy IP badaczy wymagających dostępu na liście dozwolonych w zaporze usługi Storage.

Jeśli na przykład zespół prawny musi przenieść zachowany wirtualny dysk twardy (VHD), jeden z dwóch opiekunów zespołu SOC generuje klucz identyfikatora URI sygnatury dostępu współdzielonego tylko do odczytu, który wygasa po ośmiu godzinach. Sygnatura dostępu współdzielonego ogranicza dostęp do adresów IP badaczy do określonego przedziału czasu.

Na koniec śledczy potrzebują zestawów BEKs zarchiwizowanych w magazynie kluczy SOC, aby uzyskać dostęp do zaszyfrowanych kopii dysku. Członek zespołu SOC musi wyodrębnić zestawy BEKs i udostępnić je za pośrednictwem bezpiecznych kanałów do śledczych.

Magazyn regionalny

W celu zapewnienia zgodności niektóre standardy lub przepisy wymagają dowodów i infrastruktury pomocy technicznej, która ma być utrzymywana w tym samym regionie świadczenia usługi Azure.

Wszystkie składniki rozwiązania, w tym konto magazynu, które archiwizuje dowody, są hostowane w tym samym regionie świadczenia usługi Azure, co badane systemy.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.

Monitorowanie i zgłaszanie alertów

Platforma Azure udostępnia wszystkim klientom usługi monitorowania i zgłaszania alertów dotyczących anomalii dotyczących ich subskrypcji i zasobów. Usługi te obejmują:

• Microsoft Sentinel.
• Microsoft Defender dla Chmury.
• Zaawansowana ochrona przed zagrożeniami (ATP) w usłudze Azure Storage.

Wdrażanie tego scenariusza

Postępuj zgodnie z instrukcjami wdrażania laboratorium CoC, aby skompilować i wdrożyć ten scenariusz w środowisku laboratoryjnym.

Środowisko laboratoryjne reprezentuje uproszczoną wersję architektury opisanej w artykule. Dwie grupy zasobów są wdrażane w ramach tej samej subskrypcji. Pierwsza grupa zasobów symuluje środowisko produkcyjne, dowody cyfrowe, a druga grupa zasobów przechowuje środowisko SOC.

Użyj poniższego przycisku, aby wdrożyć tylko grupę zasobów SOC w środowisku produkcyjnym.

Konfiguracja rozszerzona

Hybrydowy proces roboczy elementu Runbook można wdrożyć lokalnie lub w różnych środowiskach chmury.

W tym scenariuszu można dostosować element Runbook Copy-VmDigitalEvidence, aby umożliwić przechwytywanie dowodów w różnych środowiskach docelowych i archiwizowanie ich w magazynie.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Autorzy zabezpieczeń:

• Fabio Masciotra | Główny konsultant
• Simone Savi | Starszy konsultant

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Aby uzyskać więcej informacji na temat funkcji ochrony danych na platformie Azure, zobacz:

• Szyfrowanie w usłudze Azure Storage dla danych magazynowanych
• Omówienie opcji szyfrowania dysków zarządzanych
• Przechowywanie danych obiektów blob kluczowych dla działalności za pomocą magazynu niezmiennego

Aby uzyskać więcej informacji na temat funkcji rejestrowania i inspekcji, zobacz:

• Rejestrowanie i inspekcja zabezpieczeń na platformie Azure
• Rejestrowanie usługi Azure Storage Analytics
• Dzienniki zasobów platformy Azure

Aby uzyskać więcej informacji na temat zgodności platformy Microsoft Azure, zobacz:

• Zgodność platformy Azure
• Oferty zgodności platformy Microsoft Azure

Powiązane zasoby

• Projekt architektury zabezpieczeń
• Microsoft Entra IDaaS w operacjach zabezpieczeń
• Zagadnienia dotyczące zabezpieczeń dla wysoce wrażliwych aplikacji IaaS na platformie Azure