В этой статье описывается инфраструктура и рабочий процесс, помогающий командам предоставлять цифровые доказательства, демонстрирующие действительную цепочку опеки (CoC) в ответ на юридические запросы. В этом обсуждении описывается действительный coC на протяжении всего процесса приобретения, сохранения и доступа.
Примечание.
Эта статья основана на теоретических и практических знаниях авторов. Прежде чем использовать его для юридических целей, проверьте его применимость к юридическому отделу.
Архитектура
Архитектура соответствует принципам целевой зоны Azure, описанным в Cloud Adoption Framework для Azure.
В этом сценарии используется топология сети концентратора и периферийной сети, как показано на следующей схеме:
Скачайте файл Visio для этой архитектуры.
Рабочий процесс
В архитектуре рабочие виртуальные машины (виртуальные машины) являются частью периферийной виртуальной сети Azure. Их диски шифруются с помощью Шифрование дисков Azure. Дополнительные сведения см. в разделе Общие сведения о параметрах шифрования управляемых дисков. В рабочей подписке Azure Key Vault хранятся ключи шифрования BitLocker виртуальных машин (BEKs).
Примечание.
Сценарий работает для рабочих виртуальных машин с незашифрованными дисками.
Команда управления системой и организацией использует дискретную подписку Azure SOC . Команда имеет эксклюзивный доступ к этой подписке, которая содержит ресурсы, которые должны быть защищены, неприминимы и отслеживаются. Учетная запись служба хранилища Azure в подписке SOC содержит копии моментальных снимков дисков в неизменяемом хранилище BLOB-объектов, а выделенное хранилище ключей сохраняет хэш-значения моментальных снимков и копии beks виртуальных машин.
В ответ на запрос на получение цифровых доказательств виртуальной машины член команды SOC входит в подписку Azure SOC и использует гибридную рабочую виртуальную машину Runbook Azure в службе автоматизации для реализации модуля Runbook Copy-VmDigitalEvidence. Гибридная рабочая роль Runbook службы автоматизации обеспечивает контроль над всеми механизмами, участвующими в захвате.
Модуль Runbook Copy-VmDigitalEvidence реализует следующие макросы:
- Войдите в Azure с помощью управляемого удостоверения, назначаемого системой, для учетной записи службы автоматизации для доступа к ресурсам целевой виртуальной машины и другим службам Azure, необходимым для решения.
- Создайте моментальные снимки дисков для операционной системы виртуальной машины и дисков данных.
- Скопируйте моментальные снимки в неизменяемое хранилище BLOB-объектов подписки SOC и во временном файловом ресурсе.
- Вычисляйте хэш-значения моментальных снимков с помощью копии в общей папке.
- Скопируйте полученные хэш-значения и BEK виртуальной машины в хранилище ключей SOC.
- Очистка всех копий моментальных снимков, кроме неизменяемого хранилища BLOB-объектов.
Примечание.
Зашифрованные диски рабочих виртуальных машин также могут использовать ключи шифрования ключей (KEKs). Модуль Runbook Copy-VmDigitalEvidence, предоставленный в сценарии развертывания, не охватывает это использование.
Компоненты
- служба автоматизации Azure автоматизирует частые, трудоемкие и подверженные ошибкам задачи управления облачными клиентами.
- служба хранилища — это облачное хранилище, которое включает в себя хранилище объектов, файлов, дисков, очередей и таблиц.
- Хранилище BLOB-объектов Azure предоставляет оптимизированное облачное хранилище объектов, которое управляет большим объемом неструктурированных данных.
- Общие папки службы "Файлы Azure". Вы можете одновременно подключать общие ресурсы по облачным или локальным развертываниям Windows, Linux и macOS. Вы также можете кэшировать Файлы Azure общих папок на серверах Windows с Синхронизация файлов Azure для быстрого доступа рядом с используемыми данными.
- Azure Monitor поддерживает операции в большом масштабе, помогая повысить производительность и доступность ресурсов и заранее определить проблемы.
- Key Vault помогает защитить криптографические ключи и другие секреты, используемые облачными приложениями и службами.
- Идентификатор Microsoft Entra — это облачная служба удостоверений, которая помогает управлять доступом к Azure и другим облачным приложениям.
Автоматизация
Команда SOC использует учетную запись службы автоматизации для создания и обслуживания модуля Runbook Copy-VmDigitalEvidence. Команда также использует автоматизацию для создания гибридных рабочих ролей Runbook, работающих с runbook.
Гибридная рабочая роль runbook
Гибридная рабочая виртуальная машина Runbook является частью учетной записи службы автоматизации. Команда SOC использует эту виртуальную машину исключительно для реализации модуля Runbook Copy-VmDigitalEvidence.
Необходимо разместить гибридную рабочую виртуальную машину runbook в подсети, которая может получить доступ к учетной записи служба хранилища. Настройте доступ к учетной записи служба хранилища путем добавления подсети гибридной рабочей виртуальной машины Runbook в правила списка разрешений брандмауэра служба хранилища учетной записи.
Необходимо предоставить доступ к этой виртуальной машине только членам команды SOC для действий по обслуживанию.
Чтобы изолировать виртуальную сеть, используемую виртуальной машиной, не подключайте ее к концентратору.
Гибридная рабочая роль Runbook использует управляемое удостоверение , назначаемое системой автоматизации, для доступа к ресурсам целевой виртуальной машины и другим службам Azure, необходимым для решения.
Минимальные разрешения управления доступом на основе ролей (RBAC), которые должны быть назначены управляемому удостоверению, назначаемого системой, классифицируются в двух категориях:
- Доступ к архитектуре SOC Azure, содержащей основные компоненты решения
- Доступ к целевой архитектуре, содержащей ресурсы целевой виртуальной машины
Доступ к архитектуре SOC Azure включает следующие роли:
- Участник учетных записей хранения в неизменяемой учетной записи хранения SOC.
- Специалист по секретам Key Vault в хранилище ключей SOC для управления BEK
Доступ к целевой архитектуре включает следующие роли:
- Участник в группе ресурсов целевой виртуальной машины, который предоставляет права на выполнение моментального снимка на дисках виртуальных машин.
- Сотрудник по секретам Key Vault в хранилище ключей целевой виртуальной машины, используемый для хранения BEK, только если RBAC используется для хранилища ключей.
- Политика доступа для получения секрета в хранилище ключей целевой виртуальной машины, используемом для хранения BEK, только если вы используете политику доступа для Key Vault.
Примечание.
Чтобы прочитать BEK, хранилище ключей целевой виртуальной машины должно быть доступно из гибридной рабочей виртуальной машины Runbook. Если в хранилище ключей включен брандмауэр, убедитесь, что через брандмауэр разрешен общедоступный IP-адрес гибридной рабочей виртуальной машины Runbook.
Учетная запись хранения Azure
Учетная запись служба хранилища Azure в подписке SOC размещает моментальные снимки дисков в контейнере, настроенном с политикой юридического удержания в качестве неизменяемого хранилища BLOB-объектов Azure. Неизменяемое хранилище BLOB-объектов хранит критически важные для бизнеса объекты данных в состоянии записи, считывает много (WORM), что делает данные недоступными и неуправляемыми для указанного пользователем интервала.
Обязательно включите свойства брандмауэра безопасной передачи и хранилища. Брандмауэр предоставляет доступ только из виртуальной сети SOC.
Учетная запись хранения также размещает общую папку Azure в качестве временного репозитория для вычисления хэш-значения моментального снимка.
Azure Key Vault
Подписка SOC имеет собственный экземпляр Key Vault, в котором размещена копия BEK, которая Шифрование дисков Azure используется для защиты целевой виртуальной машины. Первичная копия хранится в хранилище ключей, используемом целевой виртуальной машиной, чтобы целевая виртуальная машина продолжала нормально работать.
Хранилище ключей SOC также содержит хэш-значения моментальных снимков дисков, вычисляемых гибридной рабочей ролью Runbook во время операций записи.
Убедитесь, что брандмауэр включен в хранилище ключей. Он предоставляет доступ только из виртуальной сети SOC.
Служба Log Analytics
Рабочая область Log Analytics хранит журналы действий, используемые для аудита всех соответствующих событий в подписке SOC. Log Analytics — это функция монитора.
Подробности сценария
Цифровая криминалистика — это наука, которая занимается вопросами восстановления и исследования цифровых данных для поддержки расследования уголовных дел или гражданских разбирательств. Компьютерная экспертиза — это ветвь цифровой судебной экспертизы, которая фиксирует и анализирует данные с компьютеров, виртуальных машин и цифровых носителей хранилища.
Компании должны гарантировать, что цифровые доказательства, предоставляемые в ответ на юридические запросы, демонстрируют действительный coC на протяжении всего процесса приобретения, сохранения и доступа.
Потенциальные варианты использования
- Команда центра безопасности компании может реализовать это техническое решение для поддержки допустимого coC для цифровых доказательств.
- Следователи могут присоединять копии дисков, полученные с помощью этого метода, на компьютере, выделенном для судебно-судебного анализа. Они могут присоединять копии дисков без включения или доступа к исходной виртуальной машине.
Соответствие нормативным требованиям CoC
Если необходимо отправить предлагаемое решение в процесс проверки соответствия нормативным требованиям, рассмотрите материалы в разделе "Рекомендации" во время процесса проверки решения CoC.
Примечание.
Вы должны включить свой юридический отдел в процесс проверки.
Рекомендации
Принципы, проверяющие это решение как coC, представлены в этом разделе.
Чтобы обеспечить допустимую цепочку CoC, для хранилища цифровых доказательств необходимо настроить соответствующее управление доступом, защиту и сохранение целостности данных, систему мониторинга и оповещений, а также ведение журнала и аудит.
Соответствие стандартам безопасности и нормативным требованиям
При проверке решения CoC одно из требований для оценки является соответствие стандартам безопасности и нормативным требованиям.
Все компоненты, включенные в архитектуру , — это стандартные службы Azure, основанные на основе основы, которая поддерживает доверие, безопасность и соответствие требованиям.
Azure имеет широкий спектр сертификатов соответствия, включая сертификаты, относящиеся к странам или регионам, а также для ключевых отраслей, таких как здравоохранение, правительство, финансы и образование.
Обновленные отчеты аудита с информацией о соответствии стандартам для служб, принятых в этом решении, см . на портале управления безопасностью служб.
Служба хранилища Azure Cohasset: SEC 17a-4(f) и CFTC 1.31(c)-(d) Оценка соответствия предоставляет подробные сведения о следующих требованиях:
- Комиссия по ценным бумагам и биржам (SEC) в 17 CFR § 240.17a-4(f), которая регулирует членов биржи, брокеров или дилеров.
- Правило 4511(c), которое откладывает требования к формату и мультимедиа правила SEC 17a-4(f).
- Торговая комиссия по торговле сырьевыми фьючерсами (CFTC) в регулировании 17 CFR § 1.31(c)-(d), которая регулирует торговлю сырьевыми фьючерсами.
Это мнение Кохассета о том, что хранилище, с функцией неизменяемого хранилища BLOB-объектов служба хранилища и блокировкой политики сохраняет большие двоичные объекты на основе времени (записи) в неизменяемом и незаписываемом формате и соответствует соответствующим требованиям к хранилищу правила SEC 17a-4(f), правила FINRA 4511(c), а также требования на основе принципов правила CFTC 1.31(c)-(d).
Предоставление прав по принципу минимальных разрешений
При назначении ролей команды SOC только два человека в команде должны иметь права на изменение конфигурации RBAC подписки и ее данных. Предоставьте другим пользователям только минимальные права доступа к подмножествам данных, которые им нужно выполнить. Настройка и принудительное применение доступа через Azure RBAC.
Минимальный доступ
Только виртуальная сеть в подписке SOC имеет доступ к учетной записи SOC служба хранилища и хранилищу ключей, которые архивирует доказательства.
Временный доступ к хранилищу SOC предоставляется следователям, которым требуется доступ к доказательствам. Авторизованные члены команды SOC могут предоставлять доступ.
Получение доказательства
Журналы аудита Azure могут показать получение доказательств, записав действие создания моментального снимка диска виртуальной машины, с такими элементами, как создание моментальных снимков и когда.
Целостность доказательства
Использование автоматизации для перемещения доказательств в окончательное место назначения архива без вмешательства человека гарантирует, что артефакты доказательств не были изменены.
При применении политики юридического удержания к целевому хранилищу доказательства заморожены сразу после записи. Юридическое удержание показывает, что CoC полностью поддерживается в Azure. Юридическое удержание также показывает, что не было возможности изменить доказательства между временем существования образов дисков на динамической виртуальной машине и когда они были добавлены в качестве доказательства в учетной записи хранения.
Наконец, можно использовать предоставленное решение в качестве механизма целостности для вычисления хэш-значений образов дисков. Поддерживаемые хэш-алгоритмы: MD5, SHA256, SKEIN, KECCAK (или SHA3).
Создание доказательства
Следователям нужен доступ к доказательствам, чтобы они могли выполнять анализы, и этот доступ должен отслеживаться и явно авторизован.
Предоставьте следователям ключ хранилища URI с подписанными URL-адресами (SAS) для доступа к доказательствам. URI SAS можно использовать для создания соответствующих сведений журнала при создании SAS. Вы также можете получить копию доказательств при каждом использовании SAS.
Необходимо явно поместить IP-адреса следователей, которым требуется доступ к списку разрешений в брандмауэре служба хранилища.
Например, если юридической группе необходимо передать сохраненный виртуальный жесткий диск (VHD), один из двух хранителей команды SOC создает ключ URI SAS только для чтения, срок действия которого истекает через восемь часов. SAS ограничивает доступ к IP-адресам следователей определенным временным интервалом.
Наконец, следователям требуется архивированные пакеты BEK в хранилище ключей SOC для доступа к зашифрованным копиям дисков. Член команды SOC должен извлечь BEKs и предоставить их через безопасные каналы следователям.
Региональное хранение
Для соответствия некоторым стандартам или нормативным требованиям требуются доказательства и инфраструктура поддержки, которые будут поддерживаться в одном регионе Azure.
Все компоненты решения, включая учетную запись служба хранилища, которая архивирует доказательства, размещаются в том же регионе Azure, что и исследуемые системы.
Эффективность работы
Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".
Мониторинг и оповещения
Azure предоставляет службы всем клиентам для отслеживания аномалий и оповещений о аномалиях, связанных с их подписками и ресурсами. К этим службам относятся:
- Microsoft Sentinel.
- Microsoft Defender для облака.
- служба хранилища Azure Advanced Threat Protection (ATP).
Примечание.
Конфигурация этих служб не описана в этой статье.
Развертывание этого сценария
Следуйте инструкциям по развертыванию лаборатории CoC, чтобы создать и развернуть этот сценарий в лабораторной среде.
Лабораторная среда представляет упрощенную версию архитектуры, описанной в статье. Вы развертываете две группы ресурсов в одной подписке. Первая группа ресурсов имитирует рабочую среду, цифровые доказательства жилья, а вторая группа ресурсов содержит среду SOC.
Используйте следующую кнопку, чтобы развернуть только группу ресурсов SOC в рабочей среде.
Примечание.
При развертывании решения в рабочей среде убедитесь, что управляемое удостоверение, назначаемое системой учетной записи службы автоматизации, имеет следующие разрешения:
- Участник рабочей группы ресурсов виртуальной машины для обработки. Эта роль создает моментальные снимки.
- Пользователь секретов Key Vault в рабочем хранилище ключей, в котором хранятся пакеты BEK. Эта роль считывает пакеты BEK.
Кроме того, если в хранилище ключей включен брандмауэр, убедитесь, что общедоступный IP-адрес гибридной рабочей рабочей виртуальной машины Runbook разрешен через брандмауэр.
Расширенная конфигурация
Вы можете развернуть гибридную рабочую роль Runbook в локальной среде или в разных облачных средах.
В этом сценарии можно настроить модуль Runbook Copy-VmDigitalEvidence, чтобы включить сбор доказательств в разных целевых средах и архивировать их в хранилище.
Примечание.
Модуль Runbook Copy-VmDigitalEvidence, предоставленный в разделе "Развертывание этого сценария", был разработан и протестирован только в Azure. Чтобы расширить решение на других платформах, необходимо настроить модуль Runbook для работы с этими платформами.
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.
Основные авторы:
- Fa биография Masciotra | Главный консультант
- Симона Сави | Старший консультант
Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.
Следующие шаги
Дополнительные сведения о возможностях защиты данных Azure см. на следующих страницах:
- Шифрование службы хранилища Azure для неактивных данных
- Общие сведения о параметрах шифрования управляемых дисков
- Хранение критически важных для бизнеса данных большого двоичного объекта с помощью неизменяемого хранилища
Дополнительные сведения о возможностях ведения журналов и аудита Azure см. на следующих страницах:
- Ведение журнала и аудит безопасности Azure
- Ведение журнала Аналитики Службы хранилища Azure
- Журналы ресурсов Azure
Дополнительные сведения о соответствии Microsoft Azure см. в следующей статье: