Tento článek popisuje proces infrastruktury a pracovního postupu navržený tak, aby týmům pomohl poskytnout digitální důkazy, které demonstrují platný řetěz opatrovnictví v reakci na právní žádosti. Tento článek popisuje, jak udržovat platný řetěz opatrovnictví ve fázích získávání důkazů, uchovávání a přístupu.
Poznámka:
Tento článek je založen na teoretickém a praktickém znalostech autorů. Než ho použijete pro právní účely, ověřte jeho použitelnost u svého právního oddělení.
Architektura
Návrh architektury se řídí principy cílové zóny Azure v architektuře přechodu na cloud pro Azure.
Tento scénář používá hvězdicovou síťovou topologii, která je znázorněna v následujícím diagramu:
Stáhněte si soubor aplikace Visio s touto architekturou.
Workflow
V architektuře jsou produkční virtuální počítače součástí paprskové virtuální sítě Azure. Disky virtuálních počítačů jsou šifrované pomocí služby Azure Disk Encryption. Další informace najdete v tématu Přehled možností šifrování spravovaných disků. V produkčním předplatném azure Key Vault ukládá šifrovací klíče BitLockeru (BEK) virtuálních počítačů.
Poznámka:
Scénář také podporuje produkční virtuální počítače, které mají nešifrované disky.
Tým centra zabezpečení (SOC) používá samostatné předplatné Azure SOC. Tým má výhradní přístup k danému předplatnému, který obsahuje prostředky, které musí být chráněny, inviolovatelné a monitorované. Účet služby Azure Storage v předplatném SOC hostuje kopie snímků disků v neměnném úložišti objektů blob. Vyhrazený trezor klíčů ukládá kopie hodnot hash snímků a sad BEK z virtuálních počítačů.
V reakci na žádost o zachycení digitálních důkazů virtuálního počítače se člen týmu SOC přihlásí k předplatnému Azure SOC a použije hybridního pracovního procesu Runbooku Azure z Azure Automation ke spuštění runbooku Copy-VmDigitalEvidence.
Hybrid Runbook Worker poskytuje kontrolu nad všemi mechanismy zahrnutými v zachytávání.
Runbook Copy-VmDigitalEvidence implementuje následující kroky makra:
Použijte spravovanou identitu přiřazenou systémem pro účet Automation pro přihlášení k Azure. Tato identita uděluje přístup k prostředkům cílového virtuálního počítače a dalším službám Azure potřebným pro řešení.
Vygenerujte snímky disků operačního systému virtuálního počítače a datových disků.
Přeneste snímky do neměnného úložiště objektů blob předplatného SOC i do dočasné sdílené složky.
Vypočítá hodnoty hash snímků pomocí kopie uložené ve sdílené složce.
Uložte získané hodnoty hash a bek virtuálního počítače do trezoru klíčů SOC.
Odeberte všechny kopie snímků s výjimkou kopie v neměnném úložišti objektů blob.
Poznámka:
Šifrované disky produkčních virtuálních počítačů můžou také používat šifrovací klíče klíče (KEK). Runbook Copy-VmDigitalEvidence uvedený ve scénáři nasazení tento scénář nepokrývá.
Komponenty
Azure Automation automatizuje časté, časově náročné a náchylné úlohy správy cloudu k chybám. Používá se k automatizaci procesu zachytávání a přenosu snímků disků virtuálních počítačů, které pomáhají zajistit integritu důkazů.
Úložiště je řešení cloudového úložiště, které zahrnuje úložiště objektů, souborů, disků, front a tabulek. Hostuje snímky disků v neměnném úložišti objektů blob, aby zachoval důkazy ve stavu, který nelze použít a není možné.
Azure Blob Storage poskytuje optimalizované cloudové úložiště objektů, které spravuje obrovské objemy nestrukturovaných dat. Poskytuje optimalizované cloudové úložiště objektů pro ukládání snímků disků jako neměnných objektů blob.
Azure Files poskytuje plně spravované sdílené složky v cloudu, které jsou přístupné prostřednictvím standardního protokolu SMB (Server Message Block), protokolu NFS (Network File System) a rozhraní REST API služby Soubory Azure. Sdílené složky můžete souběžně připojit prostřednictvím cloudového nebo místního nasazení systémů Windows, Linux a macOS. Sdílené složky můžete také ukládat do mezipaměti na Windows Serveru pomocí Synchronizace souborů Azure pro rychlý přístup poblíž umístění využití dat. Soubory Azure se používají jako dočasné úložiště k výpočtu hodnot hash snímků disků.
Key Vault pomáhá chránit kryptografické klíče a další tajné kódy, které používají cloudové aplikace a služby. Key Vault můžete použít k uložení hodnot BEK a hodnot hash snímků disků, abyste zajistili zabezpečený přístup a integritu dat.
Microsoft Entra ID je cloudová služba identit, která pomáhá řídit přístup k Azure a dalším cloudovým aplikacím. Používá se k řízení přístupu k prostředkům Azure, což pomáhá zajistit zabezpečenou správu identit.
Azure Monitor podporuje vaše operace ve velkém měřítku, protože pomáhá maximalizovat výkon a dostupnost vašich prostředků a proaktivně identifikovat potenciální problémy. Archivuje protokoly aktivit pro audit všech relevantních událostí pro účely dodržování předpisů a monitorování.
Automation
Tým SOC používá účet Automation k vytvoření a údržbě Copy-VmDigitalEvidence runbooku. Tým také používá automatizaci k vytvoření hybridních pracovních procesů runbooků, které implementují runbook.
Hybrid Runbook Worker
Virtuální počítač Hybrid Runbook Worker je integrovaný do účtu Automation. Tým SOC používá tento virtuální počítač výhradně ke spuštění Copy-VmDigitalEvidence runbooku.
Virtuální počítač Hybrid Runbook Worker musíte umístit do podsítě, která má přístup k účtu úložiště. Nakonfigurujte přístup k účtu úložiště přidáním podsítě virtuálního počítače Hybrid Runbook Worker do pravidel povolených seznamů firewallů účtu úložiště.
Udělte přístup k tomuto virtuálnímu počítači pouze členům týmu SOC pro aktivity údržby.
Pokud chcete izolovat virtuální síť, kterou virtuální počítač používá, vyhněte se připojení virtuální sítě k centru.
Hybrid Runbook Worker používá spravovanou identitu přiřazenou systémem Automation pro přístup k prostředkům cílového virtuálního počítače a dalším službám Azure, které řešení vyžaduje.
Minimální oprávnění řízení přístupu na základě role (RBAC) požadovaná pro spravovanou identitu přiřazenou systémem jsou rozdělená do dvou kategorií:
- Přístupová oprávnění k architektuře Azure SOC, která obsahuje základní komponenty řešení
- Přístupová oprávnění k cílové architektuře, která obsahuje cílové prostředky virtuálních počítačů
Přístup k architektuře Azure SOC zahrnuje následující role:
- Role Přispěvatel účtů úložiště v účtu neměnného úložiště SOC
- pro správu klíčů SOC ve službě Key Vault pro správu služby KEY VAULT
Přístup k cílové architektuře zahrnuje následující role:
Role Přispěvatel ve skupině prostředků cílového virtuálního počítače, která poskytuje práva k snímkům na discích virtuálního počítače
tajné kódy key vaultu v trezoru klíčů cílového virtuálního počítače, který se používá k ukládání BEK, pouze pokud se k řízení přístupu ke službě Key Vault používá RBAC.
Zásady přístupu pro Získání tajných kódů v trezoru klíčů cílového virtuálního počítače, který se používá k uložení klíče BEK, pouze pokud se zásady přístupu používají k řízení přístupu ke službě Key Vault.
Poznámka:
Pokud chcete přečíst BEK, musí být trezor klíčů cílového virtuálního počítače přístupný z hybridního virtuálního počítače Runbook Worker. Pokud je povolená brána firewall trezoru klíčů, ujistěte se, že je přes bránu firewall povolená veřejná IP adresa hybridního virtuálního počítače Runbook Worker.
Účet úložiště
Účet Storage v předplatném SOC hostuje snímky disků v kontejneru nakonfigurovaném s blokováním z právních důvodů jako neměnné úložiště objektů blob v Azure. Neměnné úložiště objektů blob ukládá objekty pro důležité obchodní informace do stavu zápisu jednou, číst mnoho (WORM). Stav WORM znepřístupňuje data pro uživatelem zadaný interval.
Ujistěte se, že jste povolili zabezpečeného přenosu a vlastnosti brány firewall úložiště. Brána firewall uděluje přístup pouze z virtuální sítě SOC.
Účet úložiště také hostuje sdílenou složku Azure jako dočasné úložiště, které slouží k výpočtu hodnoty hash snímku.
Úložiště klíčů (Key Vault)
Předplatné SOC má vlastní instanci služby Key Vault, která hostuje kopii klíče BEK, kterou Azure Disk Encryption používá k ochraně cílového virtuálního počítače. Primární kopie je uložená v trezoru klíčů, který cílový virtuální počítač používá. Toto nastavení umožňuje cílovému virtuálnímu počítači pokračovat v normálních operacích bez přerušení.
Trezor klíčů SOC také ukládá hodnoty hash snímků disků, které hybrid Runbook Worker vypočítá během operací zachytávání.
Ujistěte se, že je v trezoru klíčů povolená brána firewall . Musí udělit přístup výhradně z virtuální sítě SOC.
Log Analytics
Pracovní prostor služby Log Analytics ukládá protokoly aktivit používané k auditování všech relevantních událostí v předplatném SOC. Log Analytics je funkce monitorování.
Podrobnosti scénáře
Digitální forenzní věda se zabývá obnovováním a zkoumáním digitálních dat pro účely zajištění podpory vyšetřování trestné činnosti a občanskoprávních řízení. Počítačový forenzní obor je větev digitálních forenzních věd, která zachycuje a analyzuje data z počítačů, virtuálních počítačů a digitálních úložných médií.
Společnosti musí zaručit, že digitální důkazy, které poskytují v reakci na právní žádosti, ukazují platný řetěz opatrovnictví ve fázích získávání důkazů, uchovávání a přístupu.
Potenciální případy použití
Tým SOC společnosti může toto technické řešení implementovat, aby podporoval platný řetěz opatrovnictví digitálních důkazů.
Vyšetřovatelé můžou připojit kopie disků získané pomocí této techniky na počítači vyhrazeném pro forenzní analýzu. Můžou připojit kopie disku bez zapnutí nebo přístupu k původnímu zdrojovému virtuálnímu počítači.
Dodržování právních předpisů v řetězu opatrovnictví
Pokud je nutné předložit navrhované řešení procesu ověřování dodržování právních předpisů, zvažte materiály v důležité informace části během procesu ověřování řešení opatrovnictví.
Poznámka:
Do procesu ověřování byste měli zahrnout právní oddělení.
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Well-Architected Framework.
Principy, které toto řešení ověřují jako řetěz opatrovnictví, jsou popsány v této části. Aby bylo zajištěno platný řetěz opatrovnictví, musí úložiště digitálních důkazů prokázat odpovídající řízení přístupu, ochranu dat a integritu, monitorování a upozorňování a protokolování a auditování.
Dodržování bezpečnostních standardů a předpisů
Když ověříte řetěz řešení pro opatrovnictví, jedním z požadavků, které je potřeba vyhodnotit, je dodržování bezpečnostních standardů a předpisů.
Všechny komponenty zahrnuté v architektuře jsou standardní služby Azure založené na základech, které podporují důvěryhodnost, zabezpečení a dodržování předpisů.
Azure má širokou škálu certifikací dodržování předpisů, včetně certifikací přizpůsobených zemím nebo oblastem, a pro klíčová odvětví, jako jsou zdravotnictví, státní správa, finance a vzdělávání.
Další informace o aktualizovaných sestavách auditu, které podrobně popisují dodržování standardů pro služby používané v tomto řešení, najdete v tématu portálu Service Trust Portal.
posouzení dodržování předpisů ve službě Azure Storage společnosti Cohasset poskytuje podrobné informace o následujících požadavcích:
Komise pro cenné papíry a výměnu (SEC) v 17 CFR § 240.17a-4(f), která reguluje členy výměn, makléře nebo obchodníky.
Regulační orgán finančního odvětví (FINRA) Pravidlo 4511(c), které vzdoruje požadavkům na formát a média pravidla SEC 17a-4(f).
Komoditní Futures Trading Komise (CFTC) v nařízení 17 CFR § 1.31(c)-(d), který reguluje obchodování s komoditami futures.
Je to názor Společnosti Cohasset, že Azure Storage, s neměnnou funkcí úložiště objektu blob Storage a možností uzamčení zásad uchovává objekty blob založené na čase (nebo záznamy) v žádné podobě a nepřepsatelném formátu a splňuje příslušné požadavky na úložiště pravidla SEC 17a-4(f), pravidlo FINRA 4511(c) a požadavky na zásady založené na pravidlech CFTC Rule 1.31(c)-(d).
Nejnižší možné oprávnění
Když jsou přiřazeny role týmu SOC, měli by mít oprávnění ke změně RBAC konfiguraci předplatného a jeho dat pouze dva jednotlivci v týmu označované jako správci týmu SOC. Udělte ostatním jednotlivcům pouze minimální přístupová práva k podmnožinám dat, které potřebují ke své práci.
Nejnižší přístup
K účtu úložiště SOC a trezoru klíčů, který archivuje důkazy, má přístup pouze virtuální síť v předplatném SOC. Autorizovaní členové týmu SOC můžou vyšetřovatelům udělit dočasný přístup k důkazům v úložišti SOC.
Získání důkazů
Protokoly auditu Azure můžou zdokumentovat pořízení důkazů záznamem akce pořízení snímku disku virtuálního počítače. Protokoly obsahují podrobnosti, například kdo snímky pořídí a kdy jsou pořízeny.
Integrita důkazů
Pomocí Automation přesuňte důkazy do konečného archivu cíle bez zásahu člověka. Tento přístup pomáhá zaručit, že artefakty důkazů zůstanou nezměněné.
Když použijete zásadu blokování z právních důvodů na cílové úložiště, důkazy se okamžitě zablokuje, jakmile se zapíšou. Blokování z právních důvodů ukazuje, že řetěz opatrovnictví je plně udržovaný v Rámci Azure. Také to znamená, že neexistuje žádná příležitost manipulovat s důkazy z doby, kdy jsou image disků na živém virtuálním počítači, do doby, kdy jsou uloženy jako důkazy v účtu úložiště.
Nakonec můžete poskytnuté řešení použít jako mechanismus integrity k výpočtu hodnot hash imagí disku. Podporované hashovací algoritmy jsou MD5, SHA256, SKEIN a KECCAK (nebo SHA3).
Předložení důkazů
Vyšetřovatelé potřebují přístup k důkazům, aby mohli provádět analýzy. Tento přístup musí být sledován a explicitně autorizovaný.
Poskytněte vyšetřovatelům sdílený přístupový podpis (SAS) uniform resource identifier (URI) klíč úložiště pro přístup k důkazům. Identifikátor URI SAS může při vytváření vygenerovat relevantní informace protokolu. Kopii důkazů můžete získat při každém použití sdíleného přístupového podpisu.
Pokud například právní tým potřebuje přenést zachovaný virtuální pevný disk, jeden ze dvou členů týmu SOC vygeneruje klíč URI SAS jen pro čtení, jehož platnost vyprší po osmi hodinách. Sas omezuje přístup k vyšetřovatelům v zadaném časovém rámci.
Tým SOC musí explicitně umístit IP adresy vyšetřovatelů, kteří vyžadují přístup na seznam povolených v bráně firewall úložiště.
Nakonec musí vyšetřovatelé archivovat klíče BEK v trezoru klíčů SOC pro přístup k šifrovaným kopiím disku. Člen týmu SOC musí extrahovat sady BEK a poskytnout je prostřednictvím zabezpečených kanálů pro vyšetřovatele.
Místní úložiště
Kvůli dodržování předpisů vyžadují některé standardy nebo předpisy důkaz a podpůrnou infrastrukturu, které se mají udržovat ve stejné oblasti Azure.
Všechny komponenty řešení, včetně účtu úložiště, který archivuje důkazy, jsou hostované ve stejné oblasti Azure jako vyšetřované systémy.
Efektivita provozu
Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu.
Monitorování a upozorňování
Azure poskytuje všem zákazníkům služby pro monitorování a upozorňování na anomálie související s jejich předplatnými a prostředky. Jsou to například tyto služby:
- Microsoft Sentinel.
- Microsoft Defender for Cloud.
- Microsoft Defenderu pro úložiště .
Poznámka:
Konfigurace těchto služeb není popsaná v tomto článku.
Nasazení tohoto scénáře
Postupujte podle řetězce nasazení testovacího prostředí pro opatrovnictví pokyny k sestavení a nasazení tohoto scénáře v laboratorním prostředí.
Laboratorní prostředí představuje zjednodušenou verzi architektury popsané v tomto článku. Nasadíte dvě skupiny prostředků ve stejném předplatném. První skupina prostředků simuluje produkční prostředí, digitální důkazy o bydlení, zatímco druhá skupina prostředků obsahuje prostředí SOC.
Výběrem možnosti Nasadit do Azure nasaďte pouze skupinu prostředků SOC v produkčním prostředí.
Poznámka:
Pokud řešení nasadíte v produkčním prostředí, ujistěte se, že spravovaná identita přiřazená systémem účtu Automation má následující oprávnění:
- Přispěvatel v produkční skupině prostředků virtuálního počítače, který se má zpracovat. Tato role vytvoří snímky.
- Uživatel tajných kódů služby Key Vault v trezoru produkčních klíčů, který obsahuje sady BEK. Tato role čte sady BEK.
Pokud má trezor klíčů povolenou bránu firewall, ujistěte se, že je přes bránu firewall povolená veřejná IP adresa hybridního virtuálního počítače Runbook Worker.
Rozšířená konfigurace
Hybridní pracovní proces runbooku můžete nasadit místně nebo v různých cloudových prostředích.
V tomto scénáři je nutné přizpůsobit Copy‑VmDigitalEvidence runbook, abyste umožnili zachycení důkazů v různých cílových prostředích a archivovali je v úložišti.
Poznámka:
Runbook Copy-VmDigitalEvidence uvedený v části Nasazení tohoto scénáře byl vyvinut a testován pouze v Azure. Pokud chcete rozšířit řešení na jiné platformy, musíte runbook přizpůsobit tak, aby fungoval s těmito platformami.
Přispěvatelé
Microsoft udržuje tento článek. Tento článek napsali následující přispěvatelé.
Hlavní autoři:
- Fabio Masciotra | Hlavní konzultant
- Simone Savi | Vedoucí konzultant
Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.
Další kroky
Další informace o funkcích ochrany dat v Azure najdete tady:
- šifrování úložiště neaktivních uložených dat
- Přehled možností šifrování spravovaných disků
- Ukládání dat objektů blob pro důležité obchodní informace s neměnným úložištěm ve stavu WORM
Další informace o funkcích protokolování a auditování v Azure najdete tady:
- Protokolování a auditování zabezpečení Azure
- protokolování analýzy úložiště
- odesílání protokolů prostředků Azure do pracovních prostorů služby Log Analytics, služby Event Hubs nebo úložiště
Další informace o dodržování předpisů v Microsoft Azure najdete tady: