Azure中的计算机取证证据保全链

Azure 自动化

Azure Key Vault

Azure 存储帐户

本文概述了一个基础结构和工作流过程，旨在帮助团队提供数字证据，以演示有效的监护链，以响应法律请求。 本文介绍如何在整个证据获取、保存和访问阶段维护有效的监护链。

注意

本文基于作者的理论和实践知识。 在将其用于法律目的之前，请向法律部门核实其适用性。

体系结构

体系结构设计遵循 Azure Cloud Adoption Framework 中的 Azure 登陆区域原则。

此方案使用中心辐射型网络拓扑，如下图所示。

显示监管链体系结构的

此图显示了生产虚拟机（VM）所在的分支 Azure 虚拟网络中的链条式监控架构。 计算机的磁盘使用主机加密和平台管理密钥进行加密。 单独的 Azure 安全操作中心 (SOC) 订阅包含一个 Azure Storage 帐户，该帐户将磁盘快照存储在不可变的 Blob 存储中。 订阅还包括一个专用Azure Key Vault，用于存储快照的哈希值。 只有 SOC 团队可以访问订阅。 发出捕获数字证据的请求时，SOC 团队成员登录到 SOC 订阅，然后使用 Azure Automation 混合 Runbook 工作器 VM 来运行 Copy-VmDigitalEvidence Runbook。 Runbook 使用系统分配的托管标识来访问目标 VM 的资源，并生成其 OS 和数据磁盘的快照。 它将这些快照传输到不可变 Blob 存储和临时文件共享，计算其哈希值，并将哈希值存储在 SOC 密钥保管库中。 最后，它会删除除不可变快照之外的所有临时副本。

下载此架构的Visio 文件

Workflow

在体系结构中，生产虚拟机（VM）是分支Azure虚拟网络的一部分。 VM 磁盘通过主机上的加密功能，使用平台管理的密钥进行加密。 有关详细信息，请参阅托管磁盘加密选项的Overview。

注意

此体系结构假定通过平台管理的密钥在主机上进行加密。

如果主机加密不符合要求，则可以使用 OS 级加密解决方案，例如 Windows linux 上的 bitLocker 或 dm-crypt。 这些加密实现特定于每个环境，本文未介绍。 评估要求以确定适当的方法。

安全运营中心 （SOC） 团队使用离散的 Azure SOC 订阅。 团队具有对该订阅的独占访问权限，该订阅包含必须受到保护、不可侵犯和受到监视的资源。 SOC 订阅中的 Azure Storage 帐户托管在 不可变 blob 存储中的磁盘快照副本。 专用 密钥保管库 存储快照的哈希值的副本。

为了响应捕获 VM 数字证据的请求，SOC 团队成员登录到 Azure SOC 订阅，并使用 Azure 自动化的 Azure Hybrid Runbook Worker VM 来运行 Runbook。 自动化混合 Runbook 工作器 提供对捕获中包含的所有机制的控制。

Copy-VmDigitalEvidence 运行手册实现以下宏步骤：

1. 使用系统分配的托管标识为自动化帐户登录Azure。 此标识授予对目标 VM 资源的访问权限，以及解决方案所需的其他Azure服务。

2. 生成 VM 的操作系统 (OS) 和数据磁盘的磁盘快照。

3. 将快照传输到 SOC 订阅的不可变 Blob 存储空间和临时文件共享空间。

4. 使用文件共享中存储的副本计算快照的哈希值。

5. 将获取的哈希值存储在 SOC 密钥保管库中。

6. 删除快照的所有副本，除了不可变的 Blob 存储中的副本。

组件

• Azure Automation是一种基于云的服务，它使用 Runbook 和脚本自动执行操作任务。 在此体系结构中，它通过运行 Copy-VmDigitalEvidence Runbook 安全地快照和传输 VM 磁盘来协调证据捕获过程。 此过程有助于确保证据完整性。

• Azure Storage是适用于各种数据类型（包括对象、文件、磁盘、队列和表存储）的可缩放云存储解决方案。 在此体系结构中，它将 VM 磁盘快照存储在不可变的 Blob 容器中，以防篡改格式保存数字证据。

• Azure Blob Storage是一种基于云的解决方案，它为非结构化数据提供优化的对象存储。 在此体系结构中，它保存 VM 磁盘的不可变快照，以确保数字证据的完整性和非可否认性。

• Azure Files是一项完全托管的云文件存储服务，它提供可通过行业标准服务器消息块（SMB）协议、网络文件系统（NFS）协议和Azure Files REST API 访问的共享文件系统。 可以通过Windows、Linux 和 macOS 的云部署或本地部署同时装载共享。 还可以使用Azure File Sync在Windows Server上缓存文件共享，以便在数据使用位置附近快速访问。 在此体系结构中，Azure Files临时存储磁盘快照以计算哈希值，然后再将其传输到不可变存储。

• Key Vault是用于管理机密、加密密钥和证书的安全云服务。 在此体系结构中，它将存储磁盘快照的哈希值，以验证数字证据的完整性。

• Microsoft Entra ID是一种基于云的标识服务，可帮助控制对Azure和其他云应用的访问。 在此体系结构中，它确保只有经过授权的 SOC 人员才能访问和管理敏感的证据处理作。

• Azure Monitor是一种监视服务，通过指标、日志和警报提供可观测性。 它通过帮助你最大程度地提高资源的性能和可用性，并主动识别潜在问题，从而支持大规模操作。 在此体系结构中，它会存档活动日志，以支持审核、合规性和监视证据监管链。

自动化

SOC 团队使用 自动化 帐户来创建和维护 Copy-VmDigitalEvidence 运行手册。 该团队还使用自动化来创建实现 Runbook 的混合 Runbook 辅助角色。

混合 runbook 执行器

Hybrid Runbook Worker VM 已集成至自动化帐户。 SOC 团队专门使用此 VM 来运行 Copy-VmDigitalEvidence Runbook。

必须将混合 runbook 工作器 VM 放置在可以访问存储账户的子网中。 通过将混合 Runbook 工作器 VM 子网添加到存储帐户的防火墙允许规则列表来配置对存储帐户的访问。

仅向 SOC 团队成员授予对该虚拟机的访问权限，以便进行维护活动。

若要隔离 VM 使用的虚拟网络，请避免将虚拟网络连接到中心。

混合 Runbook 工作器使用 Automation 系统分配的托管身份访问目标 VM 的资源和解决方案所需的其他 Azure 服务。

系统分配的托管标识所需的最低Azure基于角色的访问控制（Azure RBAC）权限分为两个类别：

• 对包含解决方案核心组件的 SOC Azure体系结构的访问权限
• 对包含目标 VM 资源的目标体系结构的访问权限

SOC Azure 体系结构的访问权限包括以下角色：

• SOC 不可变存储帐户的存储帐户贡献者
• Key Vault 机密主管 负责 SOC 密钥保管库的哈希值管理

访问目标体系结构包括目标 VM 资源组上的 “参与者” 角色，该角色提供 VM 磁盘的快照权限。

存储帐户

SOC 订阅中的 Storage 帐户在配置为 legal hold 策略的容器中托管磁盘快照，作为Azure不可变 blob 存储。 不可变 Blob 存储将业务关键型数据对象存储在一次写入，多次读取（WORM）状态。 对于用户指定的间隔，WORM 状态使数据不可恢复且不可编辑。

请确保启用 安全传输 和 存储防火墙 属性。 防火墙仅授予来自 SOC 虚拟网络的访问权限。

存储帐户还托管Azure文件共享作为临时存储库，用于计算快照的哈希值。

Key Vault

SOC 订阅有自己的 Key Vault 实例，该实例存储混合 Runbook 工作器在捕获操作期间计算的磁盘快照的哈希值。

确保在密钥保管库上启用 防火墙。 必须仅授予来自 SOC 虚拟网络的访问权限。

Log Analytics

Log Analytics 工作区存储用于审核 SOC 订阅上所有相关事件的活动日志。 Log Analytics是 Monitor 的一项功能。

方案详细信息

数字取证是一种科学，用于处理数字数据的恢复和调查，以支持刑事侦察或民事诉讼。 计算机取证是数字取证的分支，用于从计算机、VM 和数字存储介质捕获数据，并对这些数据进行分析。

公司必须保证他们提供的数字证据，以响应法律请求，表明在证据获取、保存和访问的各个阶段都存在有效的监护链。

可能的用例

• 公司的 SOC 团队可以实现此技术解决方案，以支持有效的数字证据监管链。

• 调查人员可以在专用于取证分析的计算机上附加使用此技术获取的磁盘副本。 他们可以附加磁盘副本，而无需打开或访问原始源 VM。

监管合规的保管链

如果需要将建议的解决方案提交到法规合规性验证过程，请考虑在监管解决方案验证过程中 注意事项 部分中的材料。

注意

应在验证过程中纳入法律部门。

注意事项

这些注意事项实现 Azure Well-Architected 框架的支柱，这是一组指导原则，可用于提高工作负荷的质量。 有关详细信息，请参阅 Well-Architected Framework。

本部分描述了验证该解决方案作为保全链的原则。 为了帮助确保有效的保管链，数字证据存储必须演示足够的访问控制、数据保护和完整性、监视和警报以及日志记录和审核。

安全性

安全措施提供针对故意攻击和防止滥用宝贵数据和系统的保证。 有关详细信息，请参阅 安全设计评审清单。

符合安全标准和法规

在验证保管链解决方案时，要评估的要求之一是符合安全标准与法规。

architecture中包含的所有组件 Azure都是基于支持信任、安全性和 符合性的基础构建的标准服务。

Azure具有广泛的合规性认证，包括针对国家或地区定制的认证，以及医疗保健、政府、金融和教育等关键行业。

有关更新的审核报告的详细信息，这些报告详细说明了此解决方案中使用的服务的标准符合性，请参阅 服务信任门户。

Cohasset 的Azure Storage合规性评估提供了以下要求的详细信息：

• 证券交易委员会（SEC）在 17 CFR § 240.17a-4(f) 中，规范交易所成员、经纪人或交易商。

• 美国金融业监管局 (FINRA) 规则 4511(c)，其规定依从 SEC 规则 17a-4(f) 的媒体格式要求。

• 商品期货交易委员会 (CFTC) 在规章 17 CFR § 1.31(c)-(d)中，对商品期货交易进行了规范。

Cohasset 认为，Azure Storage 中的 Blob 存储具有不可变存储功能和策略锁定选项，可以将基于时间的 blob（或 records）保留为不可擦除且不可重写的格式，满足 SEC 规则 17a-4(f)、FINRA 规则 4511(c) 以及 CFTC 规则 1.31(c)-(d) 的相关存储要求。

最低权限

分配 SOC 团队的角色时，团队中只有两个人（称为 SOC 团队保管人）有权修改订阅及其数据的 Azure RBAC 配置。 仅向其他人授予其执行工作所需访问的数据子集的最低访问权限。

最低限度的访问权限

只有 SOC 订阅中的虚拟网络才能访问 SOC 存储帐户和存档证据的 Key Vault。 经过授权的 SOC 团队成员可以授予调查人员对 SOC 存储中证据的临时访问权限。

OS 磁盘要求

受取证捕获约束的生产 VM 必须使用持久性托管 OS 磁盘。 请勿在需要数字证据收集的 VM 上使用 临时 OS 磁盘 。 临时 OS 磁盘仅存储在本地 VM 主机上，不支持磁盘快照。 由于基于快照的证据捕获工作流依赖于创建和传输 OS 和数据磁盘的时间点快照的能力，因此临时性 OS 磁盘不适用于此保管链流程。

证据获取

Azure审核日志可以通过记录执行 VM 磁盘快照的操作来记录证据获取。 日志包括详细信息，例如拍摄快照的人员和拍摄时间。

证据完整性

使用 自动化 将证据移动到其最终存档目标，而无需人工干预。 此方法有助于确保证据物品保持不变。

当您将法定保留策略应用于目标存储时，证据一旦被写入就会立即被冻结。 法律保留表明，拘留链在Azure内得到完全维护。 ** 从磁盘映像被放置在实时 VM 上的那一刻起，直到它们被存储到存储帐户中作为证据，都没有机会篡改这些证据。

最后，可以使用提供的解决方案作为完整性机制来计算磁盘映像的哈希值。 支持的哈希算法包括 MD5、SHA256、SKEIN 和 KECCAK（或 SHA3）。

证据提供

调查人员需要获得证据，以便他们可以执行分析。 必须跟踪和显式授权此访问权限。

为调查人员提供 共享访问签名（SAS）统一资源标识符（URI） 存储密钥来访问证据。 SAS URI 可以在创建时生成相关的日志信息。 每次使用 SAS 时，都可以获取证据的副本。

例如，如果法律团队需要转移保留的虚拟硬盘，则两个 SOC 团队保管人之一会生成一个只读 SAS URI 密钥，该密钥会在 8 小时后过期。 SAS 限制在指定时间范围内对指定的调查人员的访问权限。

SOC 团队必须将需要访问的调查人员的 IP 地址明确添加到存储防火墙的允许列表中。

区域商店

为了符合性，某些标准或法规要求在同一Azure区域中维护证据和支持基础结构。

所有解决方案组件（包括存档证据的存储帐户）都托管在所调查系统的同一Azure区域中。

成本优化

成本优化侧重于减少不必要的开支和提高运营效率的方法。 有关详细信息，请参阅 成本优化的设计评审清单。

此体系结构包含固定成本和可变成本的混合组件。 无论调查频率如何，固定成本组件都会持续运行。 可变成本的组件会随着法务捕获数据的量和大小进行调整。

固定成本组件

无论是否执行证据捕获，以下组件都会产生持续成本：

• 混合运行簿辅助角色虚拟机： 此虚拟机在 SOC 订阅中持续运行，以便用于按需捕获证据。 VM 大小是主要成本杠杆。 证据捕获过程除了在进行哈希计算时需要较高的计算量外，其余部分并不计算密集，因此建议使用小型通用VM，比如Standard_D2s_v5。 若要降低此 VM 的成本，请考虑Azure保留项或节省计划，签订一年或三年的合同。

• Azure Automation account：托管 Copy-VmDigitalEvidence Runbook 的自动化帐户和混合辅助角色配置具有较小的基线成本。

• Key Vault： SOC key vault将哈希值存储为机密。 每个机密操作的成本微不足道，此工作负荷的整体密钥保管库成本也很低。

可变成本组件

以下组件随调查数量和已捕获证据的大小进行缩放：

• Azure Storage（不可变 Blob 存储）：在此架构中，存储是主要的可变成本。 每个取证捕获都会生成目标 VM 的 OS 和数据磁盘的完整磁盘快照，每个 VM 可以有数十到数百 GB 不等。 存储成本是累积的，因为无法删除应用法定保留策略的快照。 快照的大小随每个调查以及每个 VM 中的磁盘数量和大小而增加。 若要管理存储成本，请评估 保留快照的访问层。 初始哈希验证后很少访问的快照可以受益于冷层或冰冷层，后者提供较低的存储速率，以换取更高的访问成本。

• Azure Files： 计算哈希值的临时文件共享仅在快照数据存在期间产生费用。 在计算哈希值后，Runbook 删除这些数据，因此成本是暂时性的，与快照大小成正比。

• Log Analytics workspace： Log Analytics引入成本随你在 SOC 订阅中执行的操作数而增加。 更频繁的证据捕获和更活跃的监视会生成更多的日志数据。 配置 数据保留策略 以符合合规性要求，并避免不必要的数据保留。

成本估算

若要估算工作负荷的此体系结构成本，请使用 Azure 定价计算器。 根据您预期的调查量和 VM 磁盘大小配置以下组件：

• 混合 Runbook 工作器的一个通用虚拟机，例如 Standard_D2s_v5
• Azure Blob Storage 使用适当的访问层和估算的总快照体积
• 使用 Azure Files 的标准层进行临时使用
• 使用标准层的 Key Vault
• Azure Automation作业基于预期的捕获频率运行
• 估计摄入量的日志分析

卓越运营

卓越运营涵盖部署应用程序并使其在生产环境中运行的运营流程。 有关详细信息，请参阅 卓越运营的设计评审清单。

监视和警报

Azure为所有客户提供服务，以监视和警报与其订阅和资源相关的异常情况。 这些服务包括：

• Microsoft Sentinel
• Microsoft Defender for Cloud
• 适用于存储的 Microsoft Defender

注意

本文未介绍这些服务的配置。

部署此方案

请按照保管链实验室部署说明，在实验室环境中构建和部署此场景。

实验室环境表示本文中所述的体系结构的简化版本。 可以在同一订阅中部署两个资源组。 第一个资源组模拟生产环境，保留数字证据，而第二个资源组则保存 SOC 环境。

选择 部署到 Azure 仅在生产环境中部署 SOC 资源组。

注意

如果在生产环境中部署解决方案，请确保自动化帐户的系统分配托管标识在目标 VM 的生产资源组中具有“贡献者”权限。 参与者角色创建快照。

扩展配置

您可以在本地环境或不同的云环境中部署混合 runbook 工作器。

在此方案中，必须自定义 Copy‑VmDigitalEvidence Runbook，以便在不同的目标环境中捕获证据并将其存档到存储中。

注意

在Copy-VmDigitalEvidence提供的 运行手册，仅在 Azure 中开发和测试。 若要将解决方案扩展到其他平台，必须定制 runbook 以在这些平台上运行。 如果启用密钥库防火墙，需要允许混合 Runbook 辅助程序 VM 的公共 IP 地址。

贡献者

Microsoft维护本文。 以下参与者撰写了本文。

主要作者：

• Fabio Masciotra |首席顾问
• Simone Savi | 高级顾问

若要查看非公开LinkedIn档案，请登录LinkedIn。

后续步骤

有关Azure数据保护功能的详细信息，请参阅：

• 静态数据的存储加密
• 托管磁盘加密选项概述
• 将关键业务的 blob 数据存储在不可变存储中，并处于 WORM（写一次，多次读取）状态

有关Azure日志记录和审核功能的详细信息，请参阅：

• Azure安全日志记录和审核
• 存储分析日志记录
• 将 Azure 资源日志发送到 Log Analytics 工作区、事件中心或存储

有关Microsoft Azure合规性的详细信息，请参阅：

• Azure合规性
• Microsoft合规性产品/服务

相关资源

• 安全体系结构设计

本文概述了一个基础结构和工作流过程，旨在帮助团队提供数字证据，以演示有效的监护链，以响应法律请求。 本文介绍如何在整个证据获取、保存和访问阶段维护有效的监护链。

注意

本文基于作者的理论和实践知识。 在将其用于法律目的之前，请向法律部门核实其适用性。

体系结构

体系结构设计遵循 Azure Cloud Adoption Framework 中的 Azure 登陆区域原则。

此方案使用中心辐射型网络拓扑，如下图所示。

显示监管链体系结构的

此图显示了生产虚拟机（VM）所在的分支 Azure 虚拟网络中的链条式监控架构。 计算机的磁盘使用主机加密和平台管理密钥进行加密。 单独的 Azure 安全操作中心 (SOC) 订阅包含一个 Azure Storage 帐户，该帐户将磁盘快照存储在不可变的 Blob 存储中。 订阅还包括一个专用Azure Key Vault，用于存储快照的哈希值。 只有 SOC 团队可以访问订阅。 发出捕获数字证据的请求时，SOC 团队成员登录到 SOC 订阅，然后使用 Azure Automation 混合 Runbook 工作器 VM 来运行 Copy-VmDigitalEvidence Runbook。 Runbook 使用系统分配的托管标识来访问目标 VM 的资源，并生成其 OS 和数据磁盘的快照。 它将这些快照传输到不可变 Blob 存储和临时文件共享，计算其哈希值，并将哈希值存储在 SOC 密钥保管库中。 最后，它会删除除不可变快照之外的所有临时副本。

下载此架构的Visio 文件

Workflow

在体系结构中，生产虚拟机（VM）是分支Azure虚拟网络的一部分。 VM 磁盘通过主机上的加密功能，使用平台管理的密钥进行加密。 有关详细信息，请参阅托管磁盘加密选项的Overview。

注意

此体系结构假定通过平台管理的密钥在主机上进行加密。

如果主机加密不符合要求，则可以使用 OS 级加密解决方案，例如 Windows linux 上的 bitLocker 或 dm-crypt。 这些加密实现特定于每个环境，本文未介绍。 评估要求以确定适当的方法。

安全运营中心 （SOC） 团队使用离散的 Azure SOC 订阅。 团队具有对该订阅的独占访问权限，该订阅包含必须受到保护、不可侵犯和受到监视的资源。 SOC 订阅中的 Azure Storage 帐户托管在 不可变 blob 存储中的磁盘快照副本。 专用 密钥保管库 存储快照的哈希值的副本。

为了响应捕获 VM 数字证据的请求，SOC 团队成员登录到 Azure SOC 订阅，并使用 Azure 自动化的 Azure Hybrid Runbook Worker VM 来运行 Runbook。 自动化混合 Runbook 工作器 提供对捕获中包含的所有机制的控制。

Copy-VmDigitalEvidence 运行手册实现以下宏步骤：

1. 使用系统分配的托管标识为自动化帐户登录Azure。 此标识授予对目标 VM 资源的访问权限，以及解决方案所需的其他Azure服务。

2. 生成 VM 的操作系统 (OS) 和数据磁盘的磁盘快照。

3. 将快照传输到 SOC 订阅的不可变 Blob 存储空间和临时文件共享空间。

4. 使用文件共享中存储的副本计算快照的哈希值。

5. 将获取的哈希值存储在 SOC 密钥保管库中。

6. 删除快照的所有副本，除了不可变的 Blob 存储中的副本。

组件

• Azure Automation是一种基于云的服务，它使用 Runbook 和脚本自动执行操作任务。 在此体系结构中，它通过运行 Copy-VmDigitalEvidence Runbook 安全地快照和传输 VM 磁盘来协调证据捕获过程。 此过程有助于确保证据完整性。

• Azure Storage是适用于各种数据类型（包括对象、文件、磁盘、队列和表存储）的可缩放云存储解决方案。 在此体系结构中，它将 VM 磁盘快照存储在不可变的 Blob 容器中，以防篡改格式保存数字证据。

• Azure Blob Storage是一种基于云的解决方案，它为非结构化数据提供优化的对象存储。 在此体系结构中，它保存 VM 磁盘的不可变快照，以确保数字证据的完整性和非可否认性。

• Azure Files是一项完全托管的云文件存储服务，它提供可通过行业标准服务器消息块（SMB）协议、网络文件系统（NFS）协议和Azure Files REST API 访问的共享文件系统。 可以通过Windows、Linux 和 macOS 的云部署或本地部署同时装载共享。 还可以使用Azure File Sync在Windows Server上缓存文件共享，以便在数据使用位置附近快速访问。 在此体系结构中，Azure Files临时存储磁盘快照以计算哈希值，然后再将其传输到不可变存储。

• Key Vault是用于管理机密、加密密钥和证书的安全云服务。 在此体系结构中，它将存储磁盘快照的哈希值，以验证数字证据的完整性。

• Microsoft Entra ID是一种基于云的标识服务，可帮助控制对Azure和其他云应用的访问。 在此体系结构中，它确保只有经过授权的 SOC 人员才能访问和管理敏感的证据处理作。

• Azure Monitor是一种监视服务，通过指标、日志和警报提供可观测性。 它通过帮助你最大程度地提高资源的性能和可用性，并主动识别潜在问题，从而支持大规模操作。 在此体系结构中，它会存档活动日志，以支持审核、合规性和监视证据监管链。

自动化

SOC 团队使用 自动化 帐户来创建和维护 Copy-VmDigitalEvidence 运行手册。 该团队还使用自动化来创建实现 Runbook 的混合 Runbook 辅助角色。

混合 runbook 执行器

Hybrid Runbook Worker VM 已集成至自动化帐户。 SOC 团队专门使用此 VM 来运行 Copy-VmDigitalEvidence Runbook。

必须将混合 runbook 工作器 VM 放置在可以访问存储账户的子网中。 通过将混合 Runbook 工作器 VM 子网添加到存储帐户的防火墙允许规则列表来配置对存储帐户的访问。

仅向 SOC 团队成员授予对该虚拟机的访问权限，以便进行维护活动。

若要隔离 VM 使用的虚拟网络，请避免将虚拟网络连接到中心。

混合 Runbook 工作器使用 Automation 系统分配的托管身份访问目标 VM 的资源和解决方案所需的其他 Azure 服务。

系统分配的托管标识所需的最低Azure基于角色的访问控制（Azure RBAC）权限分为两个类别：

• 对包含解决方案核心组件的 SOC Azure体系结构的访问权限
• 对包含目标 VM 资源的目标体系结构的访问权限

SOC Azure 体系结构的访问权限包括以下角色：

• SOC 不可变存储帐户的存储帐户贡献者
• Key Vault 机密主管 负责 SOC 密钥保管库的哈希值管理

访问目标体系结构包括目标 VM 资源组上的 “参与者” 角色，该角色提供 VM 磁盘的快照权限。

存储帐户

SOC 订阅中的 Storage 帐户在配置为 legal hold 策略的容器中托管磁盘快照，作为Azure不可变 blob 存储。 不可变 Blob 存储将业务关键型数据对象存储在一次写入，多次读取（WORM）状态。 对于用户指定的间隔，WORM 状态使数据不可恢复且不可编辑。

请确保启用 安全传输 和 存储防火墙 属性。 防火墙仅授予来自 SOC 虚拟网络的访问权限。

存储帐户还托管Azure文件共享作为临时存储库，用于计算快照的哈希值。

Key Vault

SOC 订阅有自己的 Key Vault 实例，该实例存储混合 Runbook 工作器在捕获操作期间计算的磁盘快照的哈希值。

确保在密钥保管库上启用 防火墙。 必须仅授予来自 SOC 虚拟网络的访问权限。

Log Analytics

Log Analytics 工作区存储用于审核 SOC 订阅上所有相关事件的活动日志。 Log Analytics是 Monitor 的一项功能。

方案详细信息

数字取证是一种科学，用于处理数字数据的恢复和调查，以支持刑事侦察或民事诉讼。 计算机取证是数字取证的分支，用于从计算机、VM 和数字存储介质捕获数据，并对这些数据进行分析。

公司必须保证他们提供的数字证据，以响应法律请求，表明在证据获取、保存和访问的各个阶段都存在有效的监护链。

可能的用例

• 公司的 SOC 团队可以实现此技术解决方案，以支持有效的数字证据监管链。

• 调查人员可以在专用于取证分析的计算机上附加使用此技术获取的磁盘副本。 他们可以附加磁盘副本，而无需打开或访问原始源 VM。

监管合规的保管链

如果需要将建议的解决方案提交到法规合规性验证过程，请考虑在监管解决方案验证过程中 注意事项 部分中的材料。

注意

应在验证过程中纳入法律部门。

注意事项

这些注意事项实现 Azure Well-Architected 框架的支柱，这是一组指导原则，可用于提高工作负荷的质量。 有关详细信息，请参阅 Well-Architected Framework。

本部分描述了验证该解决方案作为保全链的原则。 为了帮助确保有效的保管链，数字证据存储必须演示足够的访问控制、数据保护和完整性、监视和警报以及日志记录和审核。

安全性

安全措施提供针对故意攻击和防止滥用宝贵数据和系统的保证。 有关详细信息，请参阅 安全设计评审清单。

符合安全标准和法规

在验证保管链解决方案时，要评估的要求之一是符合安全标准与法规。

architecture中包含的所有组件 Azure都是基于支持信任、安全性和 符合性的基础构建的标准服务。

Azure具有广泛的合规性认证，包括针对国家或地区定制的认证，以及医疗保健、政府、金融和教育等关键行业。

有关更新的审核报告的详细信息，这些报告详细说明了此解决方案中使用的服务的标准符合性，请参阅 服务信任门户。

Cohasset 的Azure Storage合规性评估提供了以下要求的详细信息：

• 证券交易委员会（SEC）在 17 CFR § 240.17a-4(f) 中，规范交易所成员、经纪人或交易商。

• 美国金融业监管局 (FINRA) 规则 4511(c)，其规定依从 SEC 规则 17a-4(f) 的媒体格式要求。

• 商品期货交易委员会 (CFTC) 在规章 17 CFR § 1.31(c)-(d)中，对商品期货交易进行了规范。

Cohasset 认为，Azure Storage 中的 Blob 存储具有不可变存储功能和策略锁定选项，可以将基于时间的 blob（或 records）保留为不可擦除且不可重写的格式，满足 SEC 规则 17a-4(f)、FINRA 规则 4511(c) 以及 CFTC 规则 1.31(c)-(d) 的相关存储要求。

最低权限

分配 SOC 团队的角色时，团队中只有两个人（称为 SOC 团队保管人）有权修改订阅及其数据的 Azure RBAC 配置。 仅向其他人授予其执行工作所需访问的数据子集的最低访问权限。

最低限度的访问权限

只有 SOC 订阅中的虚拟网络才能访问 SOC 存储帐户和存档证据的 Key Vault。 经过授权的 SOC 团队成员可以授予调查人员对 SOC 存储中证据的临时访问权限。

OS 磁盘要求

受取证捕获约束的生产 VM 必须使用持久性托管 OS 磁盘。 请勿在需要数字证据收集的 VM 上使用 临时 OS 磁盘 。 临时 OS 磁盘仅存储在本地 VM 主机上，不支持磁盘快照。 由于基于快照的证据捕获工作流依赖于创建和传输 OS 和数据磁盘的时间点快照的能力，因此临时性 OS 磁盘不适用于此保管链流程。

证据获取

Azure审核日志可以通过记录执行 VM 磁盘快照的操作来记录证据获取。 日志包括详细信息，例如拍摄快照的人员和拍摄时间。

证据完整性

使用 自动化 将证据移动到其最终存档目标，而无需人工干预。 此方法有助于确保证据物品保持不变。

当您将法定保留策略应用于目标存储时，证据一旦被写入就会立即被冻结。 法律保留表明，拘留链在Azure内得到完全维护。 ** 从磁盘映像被放置在实时 VM 上的那一刻起，直到它们被存储到存储帐户中作为证据，都没有机会篡改这些证据。

最后，可以使用提供的解决方案作为完整性机制来计算磁盘映像的哈希值。 支持的哈希算法包括 MD5、SHA256、SKEIN 和 KECCAK（或 SHA3）。

证据提供

调查人员需要获得证据，以便他们可以执行分析。 必须跟踪和显式授权此访问权限。

为调查人员提供 共享访问签名（SAS）统一资源标识符（URI） 存储密钥来访问证据。 SAS URI 可以在创建时生成相关的日志信息。 每次使用 SAS 时，都可以获取证据的副本。

例如，如果法律团队需要转移保留的虚拟硬盘，则两个 SOC 团队保管人之一会生成一个只读 SAS URI 密钥，该密钥会在 8 小时后过期。 SAS 限制在指定时间范围内对指定的调查人员的访问权限。

SOC 团队必须将需要访问的调查人员的 IP 地址明确添加到存储防火墙的允许列表中。

区域商店

为了符合性，某些标准或法规要求在同一Azure区域中维护证据和支持基础结构。

所有解决方案组件（包括存档证据的存储帐户）都托管在所调查系统的同一Azure区域中。

成本优化

成本优化侧重于减少不必要的开支和提高运营效率的方法。 有关详细信息，请参阅 成本优化的设计评审清单。

此体系结构包含固定成本和可变成本的混合组件。 无论调查频率如何，固定成本组件都会持续运行。 可变成本的组件会随着法务捕获数据的量和大小进行调整。

固定成本组件

无论是否执行证据捕获，以下组件都会产生持续成本：

• 混合运行簿辅助角色虚拟机： 此虚拟机在 SOC 订阅中持续运行，以便用于按需捕获证据。 VM 大小是主要成本杠杆。 证据捕获过程除了在进行哈希计算时需要较高的计算量外，其余部分并不计算密集，因此建议使用小型通用VM，比如Standard_D2s_v5。 若要降低此 VM 的成本，请考虑Azure保留项或节省计划，签订一年或三年的合同。

• Azure Automation account：托管 Copy-VmDigitalEvidence Runbook 的自动化帐户和混合辅助角色配置具有较小的基线成本。

• Key Vault： SOC key vault将哈希值存储为机密。 每个机密操作的成本微不足道，此工作负荷的整体密钥保管库成本也很低。

可变成本组件

以下组件随调查数量和已捕获证据的大小进行缩放：

• Azure Storage（不可变 Blob 存储）：在此架构中，存储是主要的可变成本。 每个取证捕获都会生成目标 VM 的 OS 和数据磁盘的完整磁盘快照，每个 VM 可以有数十到数百 GB 不等。 存储成本是累积的，因为无法删除应用法定保留策略的快照。 快照的大小随每个调查以及每个 VM 中的磁盘数量和大小而增加。 若要管理存储成本，请评估 保留快照的访问层。 初始哈希验证后很少访问的快照可以受益于冷层或冰冷层，后者提供较低的存储速率，以换取更高的访问成本。

• Azure Files： 计算哈希值的临时文件共享仅在快照数据存在期间产生费用。 在计算哈希值后，Runbook 删除这些数据，因此成本是暂时性的，与快照大小成正比。

• Log Analytics workspace： Log Analytics引入成本随你在 SOC 订阅中执行的操作数而增加。 更频繁的证据捕获和更活跃的监视会生成更多的日志数据。 配置 数据保留策略 以符合合规性要求，并避免不必要的数据保留。

成本估算

若要估算工作负荷的此体系结构成本，请使用 Azure 定价计算器。 根据您预期的调查量和 VM 磁盘大小配置以下组件：

• 混合 Runbook 工作器的一个通用虚拟机，例如 Standard_D2s_v5
• Azure Blob Storage 使用适当的访问层和估算的总快照体积
• 使用 Azure Files 的标准层进行临时使用
• 使用标准层的 Key Vault
• Azure Automation作业基于预期的捕获频率运行
• 估计摄入量的日志分析

卓越运营

卓越运营涵盖部署应用程序并使其在生产环境中运行的运营流程。 有关详细信息，请参阅 卓越运营的设计评审清单。

监视和警报

Azure为所有客户提供服务，以监视和警报与其订阅和资源相关的异常情况。 这些服务包括：

• Microsoft Sentinel
• Microsoft Defender for Cloud
• 适用于存储的 Microsoft Defender

注意

本文未介绍这些服务的配置。

部署此方案

请按照保管链实验室部署说明，在实验室环境中构建和部署此场景。

实验室环境表示本文中所述的体系结构的简化版本。 可以在同一订阅中部署两个资源组。 第一个资源组模拟生产环境，保留数字证据，而第二个资源组则保存 SOC 环境。

选择 部署到 Azure 仅在生产环境中部署 SOC 资源组。

注意

如果在生产环境中部署解决方案，请确保自动化帐户的系统分配托管标识在目标 VM 的生产资源组中具有“贡献者”权限。 参与者角色创建快照。

扩展配置

您可以在本地环境或不同的云环境中部署混合 runbook 工作器。

在此方案中，必须自定义 Copy‑VmDigitalEvidence Runbook，以便在不同的目标环境中捕获证据并将其存档到存储中。

注意

在Copy-VmDigitalEvidence提供的 运行手册，仅在 Azure 中开发和测试。 若要将解决方案扩展到其他平台，必须定制 runbook 以在这些平台上运行。 如果启用密钥库防火墙，需要允许混合 Runbook 辅助程序 VM 的公共 IP 地址。

贡献者

Microsoft维护本文。 以下参与者撰写了本文。

主要作者：

• Fabio Masciotra |首席顾问
• Simone Savi | 高级顾问

若要查看非公开LinkedIn档案，请登录LinkedIn。

后续步骤

有关Azure数据保护功能的详细信息，请参阅：

• 静态数据的存储加密
• 托管磁盘加密选项概述
• 将关键业务的 blob 数据存储在不可变存储中，并处于 WORM（写一次，多次读取）状态

有关Azure日志记录和审核功能的详细信息，请参阅：

• Azure安全日志记录和审核
• 存储分析日志记录
• 将 Azure 资源日志发送到 Log Analytics 工作区、事件中心或存储

有关Microsoft Azure合规性的详细信息，请参阅：

• Azure合规性
• Microsoft合规性产品/服务

相关资源

• 安全体系结构设计