Cadeia de custódia forense computacional no Azure
Este artigo descreve um processo de infraestrutura e fluxo de trabalho projetado para ajudar as equipes a fornecer provas digitais que demonstrem uma cadeia de custódia válida em resposta a solicitações legais. Este artigo descreve como manter uma cadeia de custódia válida durante os estágios de aquisição, preservação e acesso de evidências.
Nota
Este artigo baseia-se no conhecimento teórico e prático dos autores. Antes de usá-lo para fins legais, valide sua aplicabilidade com seu departamento jurídico.
Arquitetura
O design de arquitetura segue os princípios da zona de aterrissagem do Azure no Cloud Adoption Framework for Azure.
Este cenário usa uma topologia de rede hub-and-spoke, que é mostrada no diagrama a seguir:
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de Trabalho
Na arquitetura, as máquinas virtuais (VMs) de produção fazem parte de uma rede virtual do Azure falada. Os discos de VM são criptografados com a Criptografia de Disco do Azure. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado. Na assinatura de produção, Azure Key Vault armazena as chaves de criptografia BitLocker (BEKs) das VMs.
Nota
O cenário também oferece suporte a VMs de produção que têm discos não criptografados.
A equipe do centro de operações de segurança (SOC) usa uma assinatura discreta do SOC do Azure. A equipe tem acesso exclusivo a essa assinatura, que contém os recursos que devem ser mantidos protegidos, invioláveis e monitorados. A conta do de Armazenamento do Azure na assinatura SOC hospeda cópias de instantâneos de disco em de armazenamento de blob imutável. Um cofre de chaves dedicado armazena cópias dos valores de hash dos instantâneos e BEKs das VMs.
Em resposta a uma solicitação para capturar a evidência digital de uma VM, um membro da equipe SOC entra na assinatura SOC do Azure e usa um runbook worker híbrido do Azure VM de de Automação do Azure para executar o runbook Copy-VmDigitalEvidence
. O de trabalho de runbook híbrido da Automation fornece controle de todos os mecanismos incluídos na captura.
O runbook Copy-VmDigitalEvidence
implementa as seguintes etapas de macro:
Use a identidade gerenciada atribuída ao sistema para uma conta de Automação entrar no Azure. Essa identidade concede acesso aos recursos da VM de destino e aos outros serviços do Azure necessários para a solução.
Gere instantâneos de disco do sistema operacional (SO) e dos discos de dados da VM.
Transfira os instantâneos para o armazenamento de blob imutável da assinatura SOC e para um compartilhamento de arquivos temporário.
Calcule os valores de hash dos instantâneos usando a cópia armazenada no compartilhamento de arquivos.
Armazene os valores de hash obtidos e o BEK da VM no cofre de chaves SOC.
Remova todas as cópias dos snapshots, exceto a cópia no armazenamento de blob imutável.
Nota
Os discos criptografados das VMs de produção também podem usar chaves de criptografia de chave (KEKs). O runbook de Copy-VmDigitalEvidence
fornecido no cenário implantar não cobre esse cenário.
Componentes
A Automação do Azure automatiza tarefas de gerenciamento de nuvem frequentes, demoradas e propensas a erros. Ele é usado para automatizar o processo de captura e transferência de instantâneos de disco de VM para ajudar a garantir a integridade das evidências.
O armazenamento é uma solução de armazenamento em nuvem que inclui armazenamento de objetos, arquivos, discos, filas e tabelas. Ele hospeda instantâneos de disco em armazenamento de blob imutável para preservar evidências em um estado não apagável e não editável.
O Armazenamento de Blobs do Azure fornece armazenamento otimizado de objetos na nuvem que gerencia grandes quantidades de dados não estruturados. Ele fornece armazenamento otimizado de objetos na nuvem para armazenar instantâneos de disco como blobs imutáveis.
de Arquivos do Azure fornece compartilhamentos de arquivos totalmente gerenciados na nuvem que podem ser acessados por meio do protocolo SMB (Server Message Block) padrão do setor, do protocolo NFS (Network File System) e da API REST do Azure Files. Você pode montar compartilhamentos simultaneamente por meio de implantações na nuvem ou locais do Windows, Linux e macOS. Você também pode armazenar em cache compartilhamentos de arquivos no Windows Server usando a Sincronização de Arquivos do Azure para acesso rápido perto do local de uso de dados. Os Arquivos do Azure são usados como um repositório temporário para calcular os valores de hash de instantâneos de disco.
Key Vault ajuda-o a proteger chaves criptográficas e outros segredos que as aplicações e serviços na nuvem utilizam. Você pode usar o Cofre da Chave para armazenar os BEKs e os valores de hash dos instantâneos de disco para ajudar a garantir o acesso seguro e a integridade dos dados.
O Microsoft Entra ID é um serviço de identidade baseado na nuvem que o ajuda a controlar o acesso ao Azure e a outras aplicações na nuvem. Ele é usado para controlar o acesso aos recursos do Azure, o que ajuda a garantir o gerenciamento seguro de identidades.
Azure Monitor dá suporte às suas operações em escala, ajudando-o a maximizar o desempenho e a disponibilidade dos seus recursos, ao mesmo tempo que identifica proativamente potenciais problemas. Ele arquiva registros de atividades para auditar todos os eventos relevantes para fins de conformidade e monitoramento.
Automatização
A equipe SOC usa uma conta Automation para criar e manter o runbook Copy-VmDigitalEvidence
. A equipe também usa a automação para criar os trabalhadores de runbook híbridos que implementam o runbook.
Função de Trabalho de Runbook Híbrida
O runbook worker híbrido VM é integrado à conta de automação. A equipe SOC usa essa VM exclusivamente para executar o runbook Copy-VmDigitalEvidence
.
Você deve colocar a VM de trabalhador de runbook híbrido em uma sub-rede que possa acessar a conta de armazenamento. Configure o acesso à conta de armazenamento adicionando a sub-rede VM de runbook worker híbrida às regras da lista de permissões do firewall da conta de armazenamento.
Conceda acesso a essa VM somente aos membros da equipe SOC para atividades de manutenção.
Para isolar a rede virtual que a VM usa, evite conectar a rede virtual ao hub.
O runbook worker híbrido usa a de identidade gerenciada atribuída ao sistema de Automação do para acessar os recursos da VM de destino e os outros serviços do Azure que a solução exige.
As permissões mínimas de controle de acesso baseado em função (RBAC) necessárias para uma identidade gerenciada atribuída ao sistema são divididas em duas categorias:
- Permissões de acesso à arquitetura SOC Azure que contém os componentes principais da solução
- Permissões de acesso à arquitetura de destino que contém os recursos da VM de destino
O acesso à arquitetura SOC Azure inclui as seguintes funções:
- Contribuidor de Conta de Armazenamento na conta de Armazenamento imutável do SOC
- Key Vault Secrets Officer no cofre de chaves SOC para gerenciamento BEK
O acesso à arquitetura de destino inclui as seguintes funções:
Contribuidor no grupo de recursos da VM de destino, que fornece direitos de instantâneos em discos de VM
Responsável pelos Segredos do Cofre da Chave no cofre de chaves da VM de destino que é usado para armazenar o BEK, somente se o RBAC for usado para controlar o acesso ao Cofre da Chave
Política de acesso para Obter Segredo no cofre de chaves da VM de destino usado para armazenar o BEK, somente se a política de acesso for usada para controlar o acesso ao Cofre de Chaves
Nota
Para ler o BEK, o cofre de chaves da VM de destino deve estar acessível a partir da VM de trabalho de runbook híbrida. Se o firewall do cofre de chaves estiver habilitado, verifique se o endereço IP público da VM de trabalho de runbook híbrido é permitido através do firewall.
Conta de armazenamento
A conta Storage na assinatura SOC hospeda os instantâneos de disco em um contêiner configurado com uma política de retenção legal como armazenamento de blob imutável do Azure. O armazenamento de blob imutável armazena objetos de dados críticos para os negócios em um estado WORM (write once, read many). O estado WORM torna os dados não apagáveis e não editáveis para um intervalo especificado pelo usuário.
Certifique-se de ativar o de transferência segura e firewall de armazenamento propriedades. O firewall concede acesso somente da rede virtual SOC.
A conta de armazenamento também hospeda um de compartilhamento de arquivos do Azure como um repositório temporário usado para calcular o valor de hash do instantâneo.
Repositório de Chaves
A assinatura SOC tem sua própria instância do Cofre da Chave, que hospeda uma cópia do BEK que o Azure Disk Encryption usa para proteger a VM de destino. A cópia primária é armazenada no cofre de chaves usado pela VM de destino. Essa configuração permite que a VM de destino continue as operações normais sem interrupção.
O cofre de chaves SOC também armazena os valores de hash de instantâneos de disco que o runbook worker híbrido calcula durante as operações de captura.
Verifique se o de firewall está ativado no cofre de chaves. Deve conceder acesso exclusivamente a partir da rede virtual SOC.
Análise de logs
Um espaço de trabalho do Log Analytics armazena registros de atividades usados para auditar todos os eventos relevantes na assinatura SOC. O Log Analytics é um recurso do Monitor.
Detalhes do cenário
A ciência forense digital é uma ciência que trata da recuperação e investigação de dados digitais para apoiar investigações criminais ou processos civis. A perícia forense computacional é um ramo da perícia digital que captura e analisa dados de computadores, VMs e mídias de armazenamento digital.
As empresas devem garantir que as provas digitais que fornecem em resposta a solicitações legais demonstram uma cadeia de custódia válida ao longo das etapas de aquisição, preservação e acesso de provas.
Potenciais casos de utilização
A equipe SOC de uma empresa pode implementar essa solução técnica para dar suporte a uma cadeia de custódia válida para provas digitais.
Os investigadores podem anexar cópias de disco obtidas usando esta técnica em um computador dedicado à análise forense. Eles podem anexar as cópias de disco sem ligar ou acessar a VM de origem original.
Conformidade regulamentar da cadeia de custódia
Se for necessário submeter a solução proposta a um processo de validação de conformidade regulamentar, considere os materiais na seção considerações durante o processo de validação da solução da cadeia de custódia.
Nota
Deve incluir o seu departamento jurídico no processo de validação.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.
Os princípios que validam essa solução como uma cadeia de custódia são descritos nesta seção. Para ajudar a garantir uma cadeia de custódia válida, o armazenamento de provas digitais deve demonstrar controle de acesso adequado, proteção e integridade de dados, monitoramento e alerta, registro e auditoria.
Segurança
A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.
Conformidade com normas e regulamentos de segurança
Quando você valida uma solução de cadeia de custódia, um dos requisitos a serem avaliados é a conformidade com normas e regulamentos de segurança.
Todos os componentes incluídos no de arquitetura são serviços padrão do Azure criados sobre uma base que dá suporte a confiança, segurança e conformidade.
O Azure tem uma vasta gama de certificações de conformidade, incluindo certificações adaptadas a países ou regiões e para setores-chave como cuidados de saúde, governo, finanças e educação.
Para obter mais informações sobre relatórios de auditoria atualizados que detalham a conformidade dos padrões para os serviços usados nesta solução, consulte Service Trust Portal.
de avaliação de conformidade do Armazenamento do Azure da Cohasset fornece detalhes sobre os seguintes requisitos:
Securities and Exchange Commission (SEC) em 17 CFR § 240.17a-4(f), que regula os membros da bolsa, corretores ou dealers.
Regra 4511(c) da Autoridade Reguladora do Setor Financeiro (FINRA), que defere os requisitos de formato e mídia da Regra 17a-4(f) da SEC.
Commodity Futures Trading Commission (CFTC) no regulamento 17 CFR § 1.31(c)-(d), que regula a negociação de futuros de mercadorias.
É opinião da Cohasset que o Armazenamento do Azure, com o recurso de armazenamento imutável do Armazenamento de Blobs e a opção de bloqueio de política, retém blobs baseados no tempo (ou registros de ) em um formato não apagável e não regravável e atende aos requisitos de armazenamento relevantes da Regra 17a-4(f) da SEC, da Regra 4511(c) da FINRA e dos requisitos baseados em princípios da Regra 1.31(c)-(d) da CFTC.
Privilégio mínimo
Quando as funções da equipe SOC são atribuídas, apenas dois indivíduos na equipe, conhecidos como custodiantes da equipe SOC, devem ter direitos para modificar a RBAC configuração da assinatura e seus dados. Conceda a outros indivíduos apenas direitos mínimos de acesso aos subconjuntos de dados de que necessitam para realizar o seu trabalho.
Menos acesso
Somente a rede virtual na assinatura SOC tem acesso à conta de armazenamento SOC e ao cofre de chaves que arquiva as evidências. Os membros autorizados da equipe SOC podem conceder aos investigadores acesso temporário às evidências no armazenamento SOC.
Aquisição de provas
Os logs de auditoria do Azure podem documentar a aquisição de evidências registrando a ação de tirar um instantâneo de disco da VM. Os logs incluem detalhes como quem tira os instantâneos e quando eles são tirados.
Integridade da prova
Use Automation para mover evidências para seu destino final de arquivamento, sem intervenção humana. Essa abordagem ajuda a garantir que os artefatos de evidência permaneçam inalterados.
Quando você aplica uma política de retenção legal ao armazenamento de destino, as provas são imediatamente congeladas assim que são escritas. Uma retenção legal demonstra que a cadeia de custódia é totalmente mantida no Azure. Ele também indica que não há oportunidade de adulterar as evidências desde o momento em que as imagens de disco estão em uma VM ao vivo até quando elas são armazenadas como evidência na conta de armazenamento.
Por fim, você pode usar a solução fornecida como um mecanismo de integridade para calcular os valores de hash das imagens de disco. Os algoritmos de hash suportados são MD5, SHA256, SKEIN e KECCAK (ou SHA3).
Produção de provas
Os investigadores precisam de ter acesso às provas para poderem realizar análises. Esse acesso deve ser rastreado e explicitamente autorizado.
Forneça aos investigadores um URI (identificador uniforme de recursos) de assinaturas de acesso compartilhado (SAS) chave de armazenamento para acessar evidências. Um URI SAS pode gerar informações de log relevantes quando é criado. Pode obter uma cópia das provas sempre que for utilizado o SAS.
Por exemplo, se uma equipe jurídica precisar transferir um disco rígido virtual preservado, um dos dois custodiantes da equipe SOC gerará uma chave URI SAS somente leitura que expira após oito horas. O SAS restringe o acesso aos investigadores dentro de um período de tempo especificado.
A equipe SOC deve colocar explicitamente os endereços IP dos investigadores que exigem acesso em uma lista de permissões no firewall de armazenamento.
Finalmente, os investigadores precisam dos BEKs arquivados no cofre de chaves SOC para acessar as cópias de disco criptografadas. Um membro da equipe SOC deve extrair os BEKs e fornecê-los através de canais seguros para os investigadores.
Arquivo regional
Para fins de conformidade, alguns padrões ou regulamentos exigem evidências e que a infraestrutura de suporte seja mantida na mesma região do Azure.
Todos os componentes da solução, incluindo a conta de armazenamento que arquiva evidências, são hospedados na mesma região do Azure que os sistemas que estão sendo investigados.
Excelência Operacional
A Excelência Operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para excelência operacional.
Monitorização e alertas
O Azure fornece serviços a todos os clientes para monitorizar e alertar sobre anomalias relacionadas com as respetivas subscrições e recursos. Estes serviços incluem:
Nota
A configuração desses serviços não é descrita neste artigo.
Implementar este cenário
Siga as instruções de implantação do laboratório de cadeia de custódia para criar e implantar esse cenário em um ambiente de laboratório.
O ambiente de laboratório representa uma versão simplificada da arquitetura descrita neste artigo. Você implanta dois grupos de recursos na mesma assinatura. O primeiro grupo de recursos simula o ambiente de produção, abrigando evidências digitais, enquanto o segundo grupo de recursos detém o ambiente SOC.
Selecione Implantar no Azure para implantar somente o grupo de recursos SOC em um ambiente de produção.
Nota
Se você implantar a solução em um ambiente de produção, verifique se a identidade gerenciada atribuída ao sistema da conta de automação tem as seguintes permissões:
- Um Colaborador no grupo de recursos de produção da VM a ser processada. Essa função cria os instantâneos.
- Um usuário de segredos do cofre de chaves no cofre de chaves de produção que contém os BEKs. Esta função lê os BEKs.
Se o cofre de chaves tiver o firewall habilitado, certifique-se de que o endereço IP público da VM de trabalho de runbook híbrido seja permitido através do firewall.
Configuração estendida
Você pode implantar um runbook worker híbrido no local ou em diferentes ambientes de nuvem.
Nesse cenário, você deve personalizar o runbook de Copy‑VmDigitalEvidence
para habilitar a captura de evidências em diferentes ambientes de destino e arquivá-las no armazenamento.
Nota
O runbook de Copy-VmDigitalEvidence
fornecido na seção Implantar este cenário foi desenvolvido e testado somente no Azure. Para estender a solução para outras plataformas, você deve personalizar o runbook para trabalhar com essas plataformas.
Contribuidores
A Microsoft mantém este artigo. Os seguintes colaboradores escreveram este artigo.
Principais autores:
- Fabio Masciotra - Brasil | Consultor Principal
- Simone Savi - Brasil | Consultor Sénior
Para ver perfis não públicos do LinkedIn, faça login no LinkedIn.
Próximos passos
Para obter mais informações sobre as funcionalidades de proteção de dados do Azure, veja:
- Criptografia de armazenamento para dados em repouso
- Visão geral das opções de criptografia de disco gerenciado
- armazene dados de blob críticos para os negócios com armazenamento imutável em um estado WORM
Para obter mais informações sobre as funcionalidades de registo e auditoria do Azure, veja:
- Azure security logging and auditing (Registo e auditoria de segurança do Azure)
- de log de análise de armazenamento
- Enviar logs de recursos do Azure para espaços de trabalho do Log Analytics, Hubs de Eventos ou de Armazenamento
Para obter mais informações sobre a conformidade com o Microsoft Azure, consulte: