Este artigo descreve um processo de infraestrutura e fluxo de trabalho para ajudar as equipes a fornecer evidências digitais que demonstrem uma cadeia de custódia (CoC) válida em resposta a solicitações legais. Esta discussão orienta um CoC válido ao longo dos processos de aquisição, preservação e acesso de evidências.
Nota
Este artigo baseia-se no conhecimento teórico e prático dos autores. Antes de usá-lo para fins legais, valide sua aplicabilidade com seu departamento jurídico.
Arquitetura
O design de arquitetura segue os princípios da zona de aterrissagem do Azure descritos no Cloud Adoption Framework for Azure.
Este cenário usa uma topologia de rede hub-and-spoke, conforme mostrado no diagrama a seguir:
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de Trabalho
Na arquitetura, as máquinas virtuais (VMs) de produção fazem parte de uma rede virtual do Azure falada. Seus discos são criptografados com a Criptografia de Disco do Azure. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado. Na assinatura de produção, o Cofre de Chaves do Azure armazena as chaves de criptografia BitLocker (BEKs) das VMs.
Nota
O cenário também funciona para VMs de produção com discos não criptografados.
A equipe do Centro de Operação de Segurança (SOC) usa uma assinatura discreta do Azure SOC. A equipe tem acesso exclusivo a essa assinatura, que contém os recursos que devem ser mantidos protegidos, invioláveis e monitorados. A conta de Armazenamento do Azure na assinatura SOC hospeda cópias de instantâneos de disco em armazenamento de blob imutável, e um cofre de chaves dedicado mantém os valores de hash dos instantâneos e cópias dos BEKs das VMs.
Em resposta a uma solicitação para capturar a evidência digital de uma VM, um membro da equipe SOC faz logon na assinatura SOC do Azure e usa um runbook worker híbrido do Azure VM de Automation para executar o runbook Copy-VmDigitalEvidence. O runbook worker híbrido de automação fornece controle de todos os mecanismos envolvidos na captura.
O runbook Copy-VmDigitalEvidence implementa estas etapas de macro:
- Use o identidade gerenciada atribuída ao Sistema para uma conta de Automação entrar no Azure e acessar os recursos da VM de destino, juntamente com os outros serviços do Azure necessários para a solução.
- Gere instantâneos de disco do sistema operacional (SO) e dos discos de dados da VM.
- Transfira os instantâneos para o armazenamento de blob imutável da assinatura SOC e em um compartilhamento de arquivos temporário.
- Calcule os valores de hash dos instantâneos usando a cópia armazenada no compartilhamento de arquivos.
- Armazene os valores de hash obtidos e o BEK da VM no cofre de chaves SOC.
- Remova todas as cópias dos snapshots, exceto a que está no armazenamento de blob imutável.
Nota
Os discos criptografados das VMs de produção também podem usar chaves de criptografia de chave (KEKs). O runbook de Copy-VmDigitalEvidence fornecido no cenário implantar não cobre esse cenário.
Componentes
- A Automação do Azure automatiza tarefas de gerenciamento de nuvem frequentes, demoradas e propensas a erros. Ele é usado para automatizar o processo de captura e transferência de instantâneos de disco de VM para garantir a integridade das evidências.
- O armazenamento é uma solução de armazenamento em nuvem que inclui armazenamento de objetos, arquivos, discos, filas e tabelas. Ele hospeda instantâneos de disco em armazenamento de blob imutável para preservar evidências em um estado não apagável e não editável.
- O Armazenamento de Blobs do Azure fornece armazenamento otimizado de objetos na nuvem que gerencia grandes quantidades de dados não estruturados. Ele oferece armazenamento otimizado de objetos na nuvem para armazenar instantâneos de disco como blobs imutáveis.
- Compartilhamentos do Azure Files . Você pode montar compartilhamentos simultaneamente por meio de implantações na nuvem ou locais do Windows, Linux e macOS. Além disso, você pode armazenar em cache compartilhamentos de Arquivos do Azure em Servidores Windows usando a Sincronização de Arquivos do Azure para acesso rápido perto do local de uso de dados. Ele é usado como um repositório temporário para calcular os valores de hash de instantâneos de disco.
- O Cofre de Chaves ajuda-o a proteger chaves criptográficas e outros segredos utilizados por aplicações e serviços na nuvem. Ele é usado para armazenar as chaves de criptografia BitLocker (BEKs) e valores de hash de instantâneos de disco para garantir acesso seguro e integridade.
- O Microsoft Entra ID é um serviço de identidade baseado na nuvem que o ajuda a controlar o acesso ao Azure e a outras aplicações na nuvem. Ele é usado para controlar acessos aos recursos do Azure, garantindo o gerenciamento seguro de identidades.
- Azure Monitor suporta as suas operações em escala, ajudando-o a maximizar o desempenho e a disponibilidade dos seus recursos, ao mesmo tempo que identifica proativamente potenciais problemas. Ele arquiva registros de atividades para auditar todos os eventos relevantes para fins de conformidade e monitoramento.
Automatização
A equipe SOC usa uma conta de automação para criar e manter o runbook Copy-VmDigitalEvidence. A equipe também usa Automation para criar os runbook workers híbridos que executam o runbook.
Função de Trabalho de Runbook Híbrida
O runbook worker híbrido VM é integrado à conta de automação. A equipe SOC usa essa VM exclusivamente para executar o runbook Copy-VmDigitalEvidence.
Você deve colocar a VM de trabalhador de runbook híbrido em uma sub-rede que possa acessar a conta de armazenamento. Configure o acesso à conta de armazenamento adicionando a sub-rede VM de runbook worker híbrida às regras da lista de permissões do firewall da conta de armazenamento.
Você deve conceder acesso a essa VM somente aos membros da equipe SOC para atividades de manutenção.
Para isolar a rede virtual usada pela VM, evite conectar essa rede virtual ao hub.
O runbook worker híbrido usa a identidade gerenciada atribuída ao sistema de automação para acessar os recursos da VM de destino e os outros serviços do Azure exigidos pela solução.
As permissões mínimas de controle de acesso baseado em função (RBAC) que devem ser atribuídas à identidade gerenciada atribuída ao sistema são classificadas em duas categorias:
- Permissões de acesso à arquitetura SOC Azure que contém os componentes principais da solução
- Permissões de acesso à arquitetura de destino que contém os recursos da VM de destino
O acesso à arquitetura SOC Azure inclui as seguintes funções:
- Contribuidor de Conta de Armazenamento na conta de Armazenamento imutável do SOC
- Key Vault Secrets Officer no cofre de chaves SOC para o gerenciamento BEK
O acesso à arquitetura de destino inclui as seguintes funções:
- Contribuidor no grupo de recursos da VM de destino, que fornece direitos de instantâneos em discos de VM
- Key Vault Secrets Officer no cofre de chaves da VM de destino usado para armazenar o BEK, somente se o RBAC for usado para controlar o acesso ao Cofre de Chaves
- Política de acesso para obter secreto no cofre de chaves da VM de destino usado para armazenar o BEK, somente se a política de acesso for usada para controlar o acesso ao Cofre da Chave
Nota
Para ler o BEK, o cofre de chaves da VM de destino deve estar acessível a partir da VM de trabalho de runbook híbrida. Se o firewall do cofre de chaves estiver habilitado, verifique se o endereço IP público da VM de trabalho de runbook híbrido é permitido através do firewall.
Conta de armazenamento do Azure
A conta de Armazenamento do Azure na assinatura SOC hospeda os instantâneos de disco em um contêiner configurado com uma política de retenção legal como armazenamento de blob imutável do Azure. O armazenamento de blob imutável armazena objetos de dados críticos para os negócios em um estado WORM (write once, read many), o que torna os dados não apagáveis e não editáveis por um intervalo especificado pelo usuário.
Certifique-se de ativar as propriedades seguras do firewall de transferência e armazenamento. O firewall concede acesso somente da rede virtual SOC.
A conta de armazenamento também hospeda um de compartilhamento de arquivos do Azure como um repositório temporário usado para calcular o valor de hash do instantâneo.
Azure Key Vault
A assinatura SOC tem sua própria instância do Cofre da Chave, que hospeda uma cópia do BEK que o Azure Disk Encryption usa para proteger a VM de destino. A cópia primária é armazenada no cofre de chaves utilizado pela VM de destino, permitindo que a VM de destino continue as operações normais.
O cofre de chaves SOC também armazena os valores de hash de instantâneos de disco calculados pelo operador de runbook híbrido durante as operações de captura.
Verifique se o firewall está ativado no cofre de chaves. Ele deve conceder acesso exclusivamente a partir da rede virtual SOC.
Log Analytics
Um espaço de trabalho do Log Analytics armazena registros de atividades usados para auditar todos os eventos relevantes na assinatura SOC. O Log Analytics é um recurso do Monitor.
Detalhes do cenário
A ciência forense digital é uma ciência que trata da recuperação e investigação de dados digitais para apoiar investigações criminais ou processos civis. A perícia forense computacional é um ramo da perícia digital que captura e analisa dados de computadores, VMs e mídias de armazenamento digital.
As empresas devem garantir que as provas digitais que fornecem em resposta a solicitações legais demonstram um CoC válido durante todo o processo de aquisição, preservação e acesso de provas.
Potenciais casos de utilização
- A equipe SOC de uma empresa pode implementar essa solução técnica para dar suporte a um CoC válido para evidências digitais.
- Os investigadores podem anexar cópias de disco obtidas com esta técnica num computador dedicado à análise forense. Eles podem anexar as cópias de disco sem ligar ou acessar a VM de origem original.
Conformidade regulatória de CoC
Se for necessário submeter a solução proposta a um processo de validação de conformidade regulamentar, considere os materiais na seção de considerações durante o processo de validação da solução CoC.
Nota
Deve envolver o seu departamento jurídico no processo de validação.
Considerações
Os princípios que validam esta solução como um CoC estão sendo apresentados nesta seção.
Para garantir uma CoC válida, o armazenamento de provas digitais tem de demonstrar um controlo de acesso adequado, proteção de dados e integridade, monitorização e alertas, bem como registo e auditoria.
Conformidade com normas e regulamentos de segurança
Quando você valida uma solução CoC, um dos requisitos a serem avaliados é a conformidade com normas e regulamentos de segurança.
Todos os componentes incluídos na arquitetura são serviços padrão do Azure criados sobre uma base que dá suporte à confiança, segurança e conformidade.
O Azure tem uma ampla gama de certificações de conformidade, incluindo certificações específicas para países ou regiões e para os principais setores, como saúde, governo, finanças e educação.
Para obter relatórios de auditoria atualizados com informações sobre a conformidade com os padrões para os serviços adotados nesta solução, consulte Portal de Confiança do Serviço.
A Avaliação de Conformidade do Armazenamento do Azure da Cohasset: SEC 17a-4(f) e CFTC 1.31(c)-(d) fornece detalhes sobre os seguintes requisitos:
- Securities and Exchange Commission (SEC) em 17 CFR § 240.17a-4(f), que regula os membros da bolsa, corretores ou dealers.
- Regra 4511(c) da Autoridade Reguladora do Setor Financeiro (FINRA), que defere os requisitos de formato e mídia da Regra 17a-4(f) da SEC.
- Commodity Futures Trading Commission (CFTC) no regulamento 17 CFR § 1.31(c)-(d), que regula a negociação de futuros de mercadorias.
É opinião da Cohasset que o armazenamento, com o recurso de armazenamento imutável do Armazenamento de Blobs e a opção de bloqueio de política, retém blobs (registros) baseados no tempo em um formato não apagável e não regravável e atende aos requisitos de armazenamento relevantes da Regra 17a-4(f) da SEC, da Regra 4511(c) da FINRA e dos requisitos baseados em princípios da Regra 1.31(c)-(d) da CFTC.
Privilégio mínimo
Quando as funções da equipe SOC são atribuídas, apenas dois indivíduos dentro da equipe, referidos como custodiantes da equipe SOC, devem ter direitos para modificar a configuração RBAC da assinatura e seus dados. Conceda a outros indivíduos apenas direitos mínimos de acesso aos subconjuntos de dados de que necessitam para realizar o seu trabalho. Configure e imponha o acesso por meio do Azure RBAC.
Menos acesso
Somente a rede virtual na assinatura SOC tem acesso à conta de armazenamento SOC e ao cofre de chaves que arquiva as evidências.
O acesso temporário ao armazenamento SOC é fornecido aos investigadores que necessitam de acesso a provas. Os membros autorizados da equipe SOC podem conceder esse acesso.
Aquisição de provas
Os logs de auditoria do Azure podem documentar a aquisição de evidências registrando a ação de tirar um instantâneo de disco da VM, incluindo detalhes como quem tirou os instantâneos e quando.
Integridade da prova
O uso de de automação para mover evidências para seu destino final de arquivo, sem intervenção humana, garante que os artefatos de evidência não foram alterados.
Quando você aplica uma política de retenção legal ao armazenamento de destino, as provas são imediatamente congeladas assim que são escritas. Uma retenção legal demonstra que o CoC foi totalmente mantido no Azure. Também indica que não houve oportunidade de adulterar as provas desde o momento em que as imagens de disco estavam em uma VM ao vivo até quando foram armazenadas como provas na conta de armazenamento.
Por fim, você pode usar a solução fornecida como um mecanismo de integridade para calcular os valores de hash das imagens de disco. Os algoritmos de hash suportados são: MD5, SHA256, SKEIN, KECCAK (ou SHA3).
Produção de provas
Os investigadores precisam de ter acesso às provas para poderem realizar análises, e esse acesso deve ser rastreado e explicitamente autorizado.
Forneça aos investigadores uma chave de armazenamento de URI de assinaturas de acesso compartilhado (SAS) para acessar evidências. Um URI SAS pode gerar informações de log relevantes quando é criado, e você pode obter uma cópia da evidência cada vez que o SAS é usado.
Por exemplo, se uma equipe jurídica precisar transferir um VHD (disco rígido virtual) preservado, um dos dois custodiantes da equipe SOC gerará uma chave URI SAS somente leitura que expira após oito horas. O SAS restringe o acesso aos investigadores dentro de um período de tempo especificado.
Além disso, a equipe SOC deve colocar explicitamente os endereços IP dos investigadores que precisam de acesso em uma lista de permissões no firewall de armazenamento.
Finalmente, os investigadores precisam dos BEKs arquivados no cofre de chaves SOC para acessar as cópias de disco criptografadas. Um membro da equipe SOC deve extrair os BEKs e fornecê-los através de canais seguros para os investigadores.
Arquivo regional
Para fins de conformidade, alguns padrões ou regulamentos exigem evidências e que a infraestrutura de suporte seja mantida na mesma região do Azure.
Todos os componentes da solução, incluindo a conta de armazenamento que arquiva evidências, são hospedados na mesma região do Azure que os sistemas que estão sendo investigados.
Excelência operacional
A excelência operacional engloba os processos que implantam uma aplicação e garantem a sua operação contínua na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.
Monitorização e alertas
O Azure oferece serviços a todos os clientes para monitorizar e alertar sobre anomalias relacionadas com as respetivas subscrições e recursos. Estes serviços incluem:
Nota
A configuração desses serviços não é descrita neste artigo.
Implementar este cenário
Siga as instruções de implantação do laboratório CoC para criar e implantar esse cenário em um ambiente de laboratório.
O ambiente de laboratório representa uma versão simplificada da arquitetura descrita no artigo. Você implanta dois grupos de recursos na mesma assinatura. O primeiro grupo de recursos simula o ambiente de produção, abrigando evidências digitais, enquanto o segundo grupo de recursos detém o ambiente SOC.
Use o botão a seguir para implantar somente o grupo de recursos SOC em um ambiente de produção.
Nota
Se você implantar a solução em um ambiente de produção, verifique se a identidade gerenciada atribuída ao sistema da conta de automação tem as seguintes permissões:
- Um Colaborador no grupo de recursos de produção da VM a ser processada. Essa função cria os instantâneos.
- Um usuário de segredos do cofre de chaves no cofre de chaves de produção que contém os BEKs. Esta função lê os BEKs.
Além disso, se o cofre de chaves tiver o firewall habilitado, certifique-se de que o endereço IP público da VM de trabalho de runbook híbrido seja permitido através do firewall.
Configuração estendida
Você pode implantar um runbook worker híbrido no local ou em diferentes ambientes de nuvem.
Nesse cenário, você deve personalizar o runbook de Copy‑VmDigitalEvidence para habilitar a captura de evidências em diferentes ambientes de destino e arquivá-las no armazenamento.
Nota
O runbook de Copy-VmDigitalEvidence fornecido na seção Implantar este cenário foi desenvolvido e testado somente no Azure. Para estender a solução para outras plataformas, você deve personalizar o runbook para trabalhar com essas plataformas.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Principais autores:
- Fabio Masciotra - Brasil | Consultor Principal
- Simone Savi - Brasil | Consultor Sénior
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
Para obter mais informações sobre as funcionalidades de proteção de dados do Azure, veja:
- Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
- Visão geral das opções de criptografia de disco gerenciado
- Armazenar dados de blobs críticos para a empresa com o armazenamento imutável
Para obter mais informações sobre as funcionalidades de registo e auditoria do Azure, veja:
- Azure security logging and auditing (Registo e auditoria de segurança do Azure)
- Azure Storage analytics logging (Registo de análise do Armazenamento do Azure)
- Registos de recursos do Azure
Para obter mais informações sobre a conformidade com o Microsoft Azure, consulte: