本文介绍了一个基础结构和工作流流程,以帮助团队提供数字证据,以证明有效的监管链 (CoC) 以响应法律请求。 本讨论在整个证据获取、保存和访问过程中指导有效的 CoC。
注意
本文基于作者的理论和实践知识。 在将其用于法律目的之前,请向法律部门核实其适用性。
体系结构
该体系结构设计遵循 Azure 登陆区域原则,这些原则在适用于 Azure 的云采用框架中有所介绍。
此场景使用中心辐射型网络拓扑,如下图所示:
下载此体系结构的 Visio 文件。
工作流
在该体系结构中,生产虚拟机 (VM) 是辐射型 Azure 虚拟网络的一部分。 其磁盘使用 Azure 磁盘加密进行加密。 有关详细信息,请参阅托管磁盘加密选项概述。 在生产订阅中,Azure Key Vault 存储 VM 的 BitLocker 加密密钥 (BEK)。
注意
此场景适用于具有未加密磁盘的生产 VM。
系统和组织控制 (SOC) 团队使用离散的 Azure SOC 订阅。 团队具有对该订阅的独占访问权限,该订阅包含必须受到保护、不可侵犯和受到监视的资源。 该 SOC 订阅中的 Azure 存储帐户在不可变 Blob 存储中托管磁盘快照的副本,并且一个专用密钥保管库保留快照的哈希值和 VM 的 BEK 副本。
为了响应捕获 VM 数字证据的请求,SOC 团队成员登录 Azure SOC 订阅,并在 Automation 中使用 Azure 混合 Runbook 辅助角色 VM来实现 Copy-VmDigitalEvidence Runbook。 使用自动化混合 runbook 辅助角色可以控制捕获中涉及的所有机制。
Copy-VmDigitalEvidence runbook 实现以下宏步骤:
- 使用自动化帐户的系统分配的托管标识登录 Azure,以访问目标 VM 的资源和解决方案所需的其他 Azure 服务。
- 为 VM 的操作系统 (OS) 和数据磁盘创建磁盘快照。
- 将快照复制到 SOC 订阅的不可变 Blob 存储,以及一个临时文件共享中。
- 使用文件共享上的副本计算快照的哈希值。
- 在 SOC 密钥保管库中复制获取的哈希值和 VM 的 BEK。
- 清除快照的所有副本,不可变 blob 存储中的副本除外。
注意
生产 VM 的加密磁盘还可以使用密钥加密密钥 (KEK)。 部署方案中提供的 Copy-VmDigitalEvidence Runbook 没有涵盖此用途。
组件
- Azure 自动化自动完成频繁进行的、耗时的、易出错的云管理任务。
- 存储是一种云存储解决方案,包括对象、文件、磁盘、队列和表存储。
- Azure Blob 存储提供优化的云对象存储,用于管理大量非结构化数据。
- Azure 文件存储共享。 可以通过云或 Windows、Linux 和 macOS 的本地部署同时装载共享。 还可以使用 Azure 文件同步在 Windows 服务器上缓存 Azure 文件共享,以便从附近快速访问要使用的数据。
- Azure Monitor 通过帮助你最大程度地提高资源的性能和可用性并主动识别问题,支持大规模操作。
- Key Vault帮助你保护云应用和服务使用的加密密钥和其他机密。
- Microsoft Entra ID 是一种基于云的标识服务,帮助你控制对 Azure 和其他云应用的访问。
自动化
SOC 团队使用自动化帐户来创建和维护 Copy-VmDigitalEvidence Runbook。 团队还使用 Automation 来创建操作 runbook 的混合 runbook 辅助角色。
混合 runbook 辅助角色
混合 runbook 辅助角色 VM 是自动化帐户的一部分。 SOC 团队专门使用此 VM 来实现 Copy-VmDigitalEvidence Runbook。
必须将混合 runbook 辅助角色 VM 放置在可访问存储帐户的子网中。 通过将混合 runbook 辅助角色 VM 子网添加到存储帐户的防火墙允许列表规则,配置对存储帐户的访问。
必须仅向 SOC 团队成员授予对此 VM 的访问权限才能进行维护活动。
若要隔离 VM 正在使用的虚拟网络,请不要将该虚拟网络连接到中心。
混合 runbook 辅助角色使用自动化系统分配的托管标识来访问解决方案所需的目标 VM 资源和其他 Azure 服务。
必须分配给系统分配的托管标识的最小基于角色的访问控制 (RBAC) 权限分为两个类别:
- 对包含解决方案核心组件的 SOC Azure 体系结构的访问权限
- 对包含目标 VM 资源的目标体系结构的访问权限
对 SOC Azure 体系结构的访问包括以下角色:
- SOC 不可变存储帐户上的“存储帐户参与者”
- 针对 SOC 密钥保管库的密钥保管库机密管理人员,负责 BEK 管理
对目标体系结构的访问包括以下角色:
- 目标 VM 的资源组上的“参与者” ,它提供 VM 磁盘上的快照权限
- 仅当 RBAC 用于 Key Vault 时,目标 VM 的 Key Vault 上的 Key Vault 机密管理人员才用于存储 BEK
- 仅当使用 Key Vault 的访问策略时,才能使用访问策略在用于存储 BEK 的目标 VM 上获取密钥
注意
若要读取 BEK,必须可从混合 runbook 辅助角色 VM 访问目标 VM 的密钥保管库。 如果密钥保管库已启用防火墙,请确保允许通过防火墙访问混合 runbook 辅助角色 VM 的公共 IP 地址。
Azure 存储帐户
SOC 订阅中的 Azure 存储帐户将磁盘快照托管在一个容器中,该容器使用法定保留 策略配置为 Azure 不可变 blob 存储。 不可变 Blob 存储以“一次写入,多次读取”(WORM) 状态存储业务关键型数据对象,从而使数据在用户指定的时间间隔内不可擦除且不可编辑。
请务必启用安全传输和存储防火墙属性。 防火墙仅从 SOC 虚拟网络授予访问权限。
存储帐户还托管一个要用作临时存储库的 Azure 文件共享,以用于计算快照的哈希值。
Azure Key Vault
SOC 订阅有自己的密钥保管库实例,该实例托管 Azure 磁盘加密用于保护目标 VM 的 BEK 的副本。 主副本保存在目标 VM 使用的密钥保管库中,使目标 VM 可以继续正常运行。
SOC 密钥保管库还包含混合 runbook 辅助角色在捕获操作期间计算的磁盘快照的哈希值。
确保对密钥保管库启用防火墙。 只允许从 SOC 虚拟网络进行访问。
Log Analytics
Log Analytics 工作区存储用于审核 SOC 订阅上所有相关事件的活动日志。 Log Analytics 是 Monitor 的一项功能。
方案详细信息
数字取证是一种科学,用于处理数字数据的恢复和调查,以支持刑事侦察或民事诉讼。 计算机取证是数字取证的分支,用于从计算机、VM 和数字存储介质捕获数据,并对这些数据进行分析。
公司必须保证它们为响应法律请求而提供的数字证据在整个证据获取、保留和访问过程中都体现一个有效 CoC 的存在。
可能的用例
- 公司的安全运营中心团队可以实现此技术解决方案,以支持数字证据的有效 CoC。
- 调查人员可以在专用于取证分析的计算机上附加通过此方法获取的磁盘副本。 他们可以附加磁盘副本,而无需打开或访问原始源 VM。
CoC 法规符合性
如果有必要将提议的解决方案提交到法规符合性验证过程,请在 CoC 解决方案验证过程中考虑注意事项部分中的材料。
注意
应在验证过程中让法律部门参与进来。
注意事项
本节介绍了将该解决方案作为 CoC 进行验证的原则。
为了确保提供有效的 CoC,数字证据存储必须体现充分的访问控制、数据保护和完整性、监视和警报功能,以及日志记录和审核功能。
符合安全标准和法规
验证 CoC 解决方案时,要评估的要求之一是符合安全标准和法规。
体系结构中包含的所有组件都是基于支持信任、安全性和符合性的基础构建的 Azure 标准服务。
Azure 通过了大量符合性认证,其中包括特定于各国家或地区的认证,以及特定于医疗保健、政府、财务和教育等重要行业的认证。
有关包含此解决方案中采用的服务的标准符合性相关信息的更新审核报告,请参阅服务信任门户。
Cohasset 的 Azure 存储:SEC 17a-4(f) 和 CFTC 1.31(c)-(d) 符合性评估提供以下要求的详细信息:
- 证券交易委员会 (SEC) 17 CFR § 240.17a-4(f),其中描述了有关交易成员、经纪人或经销商的相关规定。
- 美国金融业监管局 (FINRA) 规则 4511(c),其中的规定服从 SEC 规则 17a-4(f) 的格式和媒体要求。
- 商品期货交易委员会 (CFTC) 规章 17 CFR § 1.31(c)-(d),其中描述了有关商品期货交易的相关规定。
Cohaset 认为,存储具有 Blob 存储和策略锁定选项的不可变存储功能,以不可擦除和不可写入的格式保留基于时间的 Blob(记录),满足 SEC 规则 17a-4(f)、FINRA 规则 4511(c),同时满足 CFTC 规则 1.31(c)-(d) 中基于原则的要求。
最低权限
分配 SOC 团队的角色时,团队中只有两个人有权修改订阅及其数据的 RBAC 配置。 仅向其他人授予其执行工作所需访问的数据子集的最低访问权限。 通过 Azure RBAC 配置和强制实施访问权限。
最低访问权限
只有 SOC 订阅中的虚拟网络才能访问 SOC 存储帐户和存档证据的 Key Vault。
向需要访问证据的调查人员提供对 SOC 存储的临时访问权限。 经过授权的 SOC 团队成员可以授予访问权限。
证据获取
Azure 审核日志可以通过记录创建 VM 磁盘快照的操作(其中包括创建快照的人员和位置等元素)来显示有关证据获取的信息。
证据完整性
在没有人工干预的情况下,使用自动化将证据转移到最终存档目的地,保证了证据项目没有被改变。
当对目标存储应用合法保留策略时,证据在写入后立即被冻结。 法定保留显示,CoC 完全由 Azure 维护。 法律保留还表明,从磁盘映像存在于活动 VM 上到将其作为证据添加到存储帐户中,没有机会篡改证据。
最后,可以使用提供的解决方案作为完整性机制来计算磁盘映像的哈希值。 支持的哈希算法包括:MD5、SHA256、SKEIN、KECCAK(或 SHA3)。
证据提供
调查人员需要获取证据,以便进行分析,而且这种获取必须得到跟踪和明确授权。
向调查人员提供共享访问签名 (SAS) URI 存储密钥,以用于访问证据。 当 SAS 生成时,可以使用 SAS URI 来生成相关的日志信息。 还可以在每次使用 SAS 时获取证据的副本。
必须显式地将需要访问的调查人员的 IP 地址置于存储防火墙的允许列表中。
例如,如果法律团队需要转移保留的虚拟硬盘 (VHD),则两个 SOC 团队监管员之一会生成一个只读 SAS URI 密钥,该密钥会在 8 小时后过期。 SAS 将调查人员的 IP 地址的访问限制在特定的时间范围。
最后,调查人员需要 SOC 密钥保管库中存档的 BEK 才能访问加密的磁盘副本。 SOC 团队成员必须提取 BEK,并通过安全通道将其提供给调查人员。
区域存储
为了保持符合性,某些标准或法规要求在同一 Azure 区域中维护证据和支持基础结构。
所有解决方案组件(包括存档证据的存储帐户)都托管在与正在调查的系统相同的 Azure 区域中。
卓越运营
卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅卓越运营支柱概述。
监视和警报
Azure 为所有客户提供服务,用于监视涉及他们的订阅及资源的异常情况,并针对这些异常情况发出警报。 这些服务包括:
注意
本文未介绍这些服务的配置。
部署此方案
按照 CoC 实验室部署说明,在实验室环境中生成和部署此方案。
实验室环境代表了本文所述的体系结构的简化版本。 可以在同一订阅中部署两个资源组。 第一个资源组模拟生产环境,保留数字证据,而第二个资源组则保存 SOC 环境。
使用以下按钮,仅在生产环境中部署 SOC 资源组。
注意
如果在生产环境中部署解决方案,请确保系统分配的自动化帐户的托管标识具有以下权限:
- 要处理的 VM 的生产资源组中的参与者。 此角色创建快照。
- 密钥保管库机密用户在生产密钥库中持有 BEK。 此角色读取 BEK。
此外,如果密钥保管库启用了防火墙,请确保允许混合 Runbook 辅助角色 VM 的公共 IP 地址通过防火墙。
扩展配置
可以在本地或不同的云环境中部署混合 runbook 辅助角色。
在此场景中,可以自定义 Copy-VmDigitalEvidence runbook,以便能够在不同的目标环境中捕获证据并将其存档到存储中。
注意
部署此方案部分中提供的 Copy-VmDigitalEvidence Runbook 仅在 Azure 中开发和测试。 若要将解决方案扩展到其他平台,必须自定义 runbook 才能使用这些平台。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Fabio Masciotra | 首席顾问
- Simone Savi | 高级顾问
若要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。
后续步骤
有关 Azure 数据保护功能的详细信息,请参阅:
有关 Azure 日志记录和审核功能的详细信息,请参阅:
有关 Microsoft Azure 符合性的详细信息,请参阅: