In diesem Artikel wird ein Infrastruktur- und Workflowprozess beschrieben, der Teams bei der Bereitstellung digitaler Nachweise unterstützt, die eine gültige Verwahrungskette als Reaktion auf rechtliche Anfragen veranschaulicht. In diesem Artikel wird beschrieben, wie Sie eine gültige Verwahrungskette in den phasenweiser Beweisgewinnung, -erhaltung und -zugriff beibehalten.
Hinweis
Dieser Artikel basiert auf dem theoretischen und praktischen Wissen der Autoren. Bevor Sie sie für rechtliche Zwecke verwenden, sollten Sie ihre Anwendbarkeit mit Ihrer Rechtsabteilung abklären.
Aufbau
Das Architekturdesign folgt den Prinzipien der Azure-Zielzone im Cloud Adoption Framework für Azure.
In diesem Szenario wird eine Hub-and-Spoke-Netzwerktopologie verwendet, die im folgenden Diagramm dargestellt wird:
Laden Sie eine Visio-Datei dieser Architektur herunter.
Workflow
In der Architektur sind die virtuellen Produktionscomputer (VMs) Teil eines virtuellen Azure-Speichennetzwerks. Die VM-Datenträger werden mit Azure Disk Encryption verschlüsselt. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger. Im Produktionsabonnement speichert Azure Key Vault die BitLocker-Verschlüsselungsschlüssel (BEKs) der virtuellen Computer.
Hinweis
Das Szenario unterstützt auch Produktions-VMs mit unverschlüsselten Datenträgern.
Das SoC-Team (Security Operations Center) verwendet ein diskretes Azure SOC--Abonnement. Das Team hat exklusiven Zugriff auf dieses Abonnement, das die Ressourcen enthält, die geschützt, unveränderlich und überwacht werden müssen. Das Azure Storage Konto im SOC-Abonnement hostet Kopien von Datenträgermomentaufnahmen in unveränderlichen BLOB-Speicher. Ein dedizierter Key Vault speichert Kopien der Hashwerte der Momentaufnahmen und der BEKs aus den VMs.
Als Reaktion auf eine Anforderung zur Erfassung des digitalen Nachweises eines virtuellen Computers meldet sich ein Mitglied des SOC-Teams beim Azure SOC-Abonnement an und verwendet einen Azure-Hybrid-Runbook-Worker VM von Azure Automation, um das Copy-VmDigitalEvidence Runbook auszuführen. Der Hybrid-Runbook-Worker für die Automatisierung bietet Kontrolle über alle Mechanismen, die in der Erfassung enthalten sind.
Das Copy-VmDigitalEvidence Runbook implementiert die folgenden Makroschritte:
Verwenden Sie die vom System zugewiesenen verwalteten Identität für ein Automatisierungskonto, um sich bei Azure anzumelden. Diese Identität gewährt Zugriff auf die Ressourcen des virtuellen Zielcomputers und die anderen Azure-Dienste, die für die Lösung erforderlich sind.
Generieren Sie Datenträgermomentaufnahmen des Betriebssystems (Betriebssystem) und der Datenträger des virtuellen Computers.
Übertragen Sie die Momentaufnahmen sowohl auf den unveränderlichen BLOB-Speicher des SOC-Abonnements als auch auf eine temporäre Dateifreigabe.
Berechnen Sie die Hashwerte der Momentaufnahmen mithilfe der Kopie, die in der Dateifreigabe gespeichert ist.
Speichern Sie die abgerufenen Hashwerte und die BEK des virtuellen Computers im SOC-Schlüsseltresor.
Entfernen Sie alle Kopien der Momentaufnahmen, mit Ausnahme der Kopie im unveränderlichen BLOB-Speicher.
Hinweis
Die verschlüsselten Datenträger der Produktions-VMs können auch Schlüsselverschlüsselungsschlüssel (KEY Encryption Keys, KEKs) verwenden. Das Copy-VmDigitalEvidence Runbook, das im szenario bereitstellen bereitgestellt wird, deckt dieses Szenario nicht ab.
Komponenten
Azure Automation automatisiert häufige, zeitaufwendige und fehleranfällige Cloudverwaltungsaufgaben. Es wird verwendet, um den Prozess der Erfassung und Übertragung von VM-Datenträgermomentaufnahmen zu automatisieren, um die Nachweisintegrität sicherzustellen.
Azure Storage ist eine Cloudspeicherlösung, die Objekt-, Datei-, Datenträger-, Warteschlangen- und Tabellenspeicher bietet. Es hostet Momentaufnahmen von Datenträgern im unveränderlichen BLOB-Speicher, um Nachweise in einem nicht bearbeitbaren und nicht anpassbaren Zustand beizubehalten.
Azure Blob Storage bietet einen optimierten Cloudobjektspeicher, der große Mengen nicht strukturierter Daten verwaltet. Es bietet einen optimierten Cloudobjektspeicher zum Speichern von Datenträgermomentaufnahmen als unveränderliche Blobs.
Azure Files bietet vollständig verwaltete Dateifreigaben in der Cloud, die über das Branchenstandardprotokoll Server Message Block (SMB)-Protokoll, das NETWORK File System (NFS)-Protokoll und die Azure Files REST-API zugänglich sind. Sie können Freigaben gleichzeitig über Cloud- oder lokale Bereitstellungen von Windows, Linux und macOS bereitstellen. Sie können Dateifreigaben auch auf Windows Server zwischenspeichern, indem Sie Azure File Sync verwenden, um schnell auf den Speicherort der Datennutzung zuzugreifen. Azure Files wird als temporäres Repository verwendet, um die Hashwerte von Datenträgermomentaufnahmen zu berechnen.
Key Vault- hilft Ihnen, kryptografische Schlüssel und andere geheime Schlüssel zu schützen, die Cloud-Apps und -Dienste verwenden. Sie können Key Vault verwenden, um die BEKs und Hashwerte von Datenträgermomentaufnahmen zu speichern, um den sicheren Zugriff und die Datenintegrität sicherzustellen.
Microsoft Entra ID ist ein cloudbasierter Identitätsdienst, mit dem Sie den Zugriff auf Azure und andere Cloud-Apps kontrollieren können. Es wird verwendet, um den Zugriff auf Azure-Ressourcen zu steuern, wodurch eine sichere Identitätsverwaltung sichergestellt wird.
Azure Monitor unterstützt Ihre Vorgänge im großen Maßstab, indem Sie die Leistung und Verfügbarkeit Ihrer Ressourcen maximieren und gleichzeitig potenzielle Probleme proaktiv identifizieren können. Es archiviert Aktivitätsprotokolle, um alle relevanten Ereignisse für Compliance- und Überwachungszwecke zu überwachen.
Automation
Das SOC-Team verwendet ein Automation Konto, um das Copy-VmDigitalEvidence Runbook zu erstellen und zu verwalten. Das Team verwendet außerdem Die Automatisierung, um die Hybrid-Runbook-Worker zu erstellen, die das Runbook implementieren.
Hybrid-Runbook-Worker
Der Hybrid-Runbook-Worker VM ist in das Automatisierungskonto integriert. Das SOC-Team verwendet diese VM ausschließlich, um das Copy-VmDigitalEvidence Runbook auszuführen.
Sie müssen den virtuellen Hybrid-Runbook-Arbeitscomputer in einem Subnetz platzieren, das auf das Speicherkonto zugreifen kann. Konfigurieren Sie den Zugriff auf das Speicherkonto, indem Sie das Teilnetz der Hybrid-Runbook-Worker-VM zu den Regeln der Firewall-Zulassungsliste des Speicherkontos hinzufügen.
Gewähren Sie zugriff auf diese VM nur auf die SOC-Teammitglieder für Wartungsaktivitäten.
Um das virtuelle Netzwerk zu isolieren, das der virtuelle Computer verwendet, vermeiden Sie die Verbindung des virtuellen Netzwerks mit dem Hub.
Der Hybrid-Runbook-Worker verwendet die vom Automatisierungssystem zugewiesene verwaltete Identität für den Zugriff auf die Ressourcen der Ziel-VM und die anderen Azure-Dienste, die die Lösung benötigt.
Die für eine vom System zugewiesenen verwalteten Identität erforderlichen rollenbasierten Zugriffssteuerungsberechtigungen (RBAC) sind in zwei Kategorien unterteilt:
- Zugriffsberechtigungen für die SOC Azure-Architektur, die die Kernkomponenten der Lösung enthält
- Zugriffsberechtigungen für die Zielarchitektur, die die Ziel-VM-Ressourcen enthält
Der Zugriff auf die SOC Azure-Architektur umfasst die folgenden Rollen:
- Berechtigung Speicherkontomitwirkender für das unveränderliche SOC-Speicherkonto
- Key Vault Secrets Officer auf dem SOC-Schlüsseltresor für die BEK-Verwaltung
Der Zugriff auf die Zielarchitektur umfasst die folgenden Rollen:
Berechtigung Mitwirkender für die Ressourcengruppe der Ziel-VM, um Rechte für Momentaufnahmen auf VM-Datenträgern bereitzustellen
Key Vault Secrets Officer im Schlüsseltresor der Ziel-VM, der zum Speichern des BEK verwendet wird, nur, wenn RBAC zum Steuern des Key Vault-Zugriffs verwendet wird
Zugriffsrichtlinie für Abrufen geheimer im Schlüsseltresor des virtuellen Zielcomputers, der zum Speichern der BEK verwendet wird, nur, wenn die Zugriffsrichtlinie zum Steuern des Schlüsseltresorzugriffs verwendet wird
Hinweis
Zum Lesen des BEK muss der Schlüsseltresor der Ziel-VM über die Hybrid Runbook Worker VM zugänglich sein. Wenn die Firewall des Schlüsseltresors aktiviert ist, stellen Sie sicher, dass die öffentliche IP-Adresse der VM des hybriden Runbook-Workers über die Firewall zulässig ist.
Speicherkonto
Das Speicherkonto im SOC-Abonnement hostet die Datenträgermomentaufnahmen in einem Container, der mit einer gesetzlichen Aufbewahrungspflicht konfiguriert ist, Richtlinie als unveränderlicher Blobspeicher von Azure. Unveränderliche BLOB-Speicher speichert geschäftskritische Datenobjekte einmal in einem Schreibvorgang, lesen Sie viele (WORM)-Status. Der WORM-Zustand macht die Daten für ein vom Benutzer angegebenes Intervall nicht bearbeitbar und unbearbeitet.
Stellen Sie sicher, dass Sie die sichere Übertragung und Speicherfirewall Eigenschaften aktivieren. Die Firewall gewährt nur Zugriff über das virtuelle SOC-Netzwerk.
Das Speicherkonto hostet auch eine Azure-Dateifreigabe als temporäres Repository, das zum Berechnen des Hashwerts der Momentaufnahme verwendet wird.
Schlüsseltresor
Das SOC-Abonnement verfügt über eine eigene Instanz von Key Vault, die eine Kopie des BEK hosten, die Azure Disk Encryption zum Schutz der Ziel-VM verwendet. Die primäre Kopie wird im Schlüsseltresor gespeichert, den die Ziel-VM verwendet. Mit diesem Setup kann die Ziel-VM den normalen Betrieb ohne Unterbrechung fortsetzen.
Der SOC-Schlüsseltresor speichert auch die Hashwerte von Datenträgermomentaufnahmen, die der Hybrid-Runbook-Worker während der Aufnahmevorgänge berechnet.
Stellen Sie sicher, dass die Firewall- im Schlüsseltresor aktiviert ist. Der Zugriff muss ausschließlich über das virtuelle SOC-Netzwerk gewährt werden.
Log Analytics
Ein Log Analytics-Arbeitsbereich speichert Aktivitätsprotokolle, die zum Überwachen aller relevanten Ereignisse im SOC-Abonnement verwendet werden. Log Analytics ist eine Funktion von Monitor.
Szenariodetails
Die digitale Forensik ist eine Wissenschaft, bei der es um die Wiederherstellung und Untersuchung von digitalen Daten zur Unterstützung von kriminologischen Ermittlungen oder zivilrechtlichen Maßnahmen geht. Die Computerforensik ist ein Zweig der digitalen Forensik, der Daten von Computern, VMs und digitalen Speichermedien erfasst und analysiert.
Unternehmen müssen sicherstellen, dass die digitalen Nachweise, die sie als Reaktion auf rechtliche Anfragen zur Verfügung stellen, eine gültige Verwahrungskette in den phasenweiser Beweisgewinnung, -erhaltung und -zugang nachweisen.
Mögliche Anwendungsfälle
Das SOC-Team eines Unternehmens kann diese technische Lösung implementieren, um eine gültige Verwahrkette für digitale Nachweise zu unterstützen.
Ermittler können Datenträgerkopien anfügen, die mithilfe dieser Technik auf einem Computer abgerufen werden, der für die forensische Analyse vorgesehen ist. Sie können die Datenträgerkopien anfügen, ohne die ursprüngliche Quell-VM zu aktivieren oder darauf zuzugreifen.
Kette der Einhaltung gesetzlicher Vorschriften
Wenn es erforderlich ist, die vorgeschlagene Lösung an einen Überprüfungsprozess für die Einhaltung gesetzlicher Vorschriften zu übermitteln, sollten Sie die Materialien im Abschnitt Überlegungen Abschnitt während der Verwahrungslösungsüberprüfung berücksichtigen.
Hinweis
Sie sollten Ihre Rechtsabteilung in den Validierungsprozess aufnehmen.
Überlegungen
Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Well-Architected Framework.
Die Grundsätze, die diese Lösung als Verwahrkette überprüfen, werden in diesem Abschnitt beschrieben. Um eine gültige Verwahrungskette sicherzustellen, muss die Speicherung digitaler Nachweise eine angemessene Zugriffssteuerung, Datenschutz und Integrität, Überwachung und Warnung sowie Protokollierung und Überwachung nachweisen.
Einhaltung von Sicherheitsstandards und -vorschriften
Wenn Sie eine Verwahrkette überprüfen, ist eine der zu bewertenden Anforderungen die Einhaltung von Sicherheitsstandards und -vorschriften.
Alle In der -Architektur enthaltenen Komponenten sind Azure-Standarddienste, die auf einer Grundlage basieren, die Vertrauen, Sicherheit und Compliance-unterstützt.
Azure verfügt über eine breite Palette von Compliance-Zertifizierungen, einschließlich Zertifizierungen, die auf Länder oder Regionen zugeschnitten sind, und für wichtige Branchen wie Gesundheitswesen, Regierung, Finanzen und Bildung.
Weitere Informationen zu aktualisierten Überwachungsberichten, die die Einhaltung von Standards für die in dieser Lösung verwendeten Dienste detailliert festlegen, finden Sie unter Service Trust Portal.
Die Azure Storage Compliance-Bewertung von Cohasset enthält Details zu den folgenden Anforderungen:
Securities and Exchange Commission (SEC) in 17 CFR § 240.17a-4(f) mit den Bestimmungen zur Regulierung von Mitgliedern, Brokern oder Händlern an der Börse.
FINRA-Regel 4511(c) (Financial Industry Regulatory Authority) zu den Format- und Medienanforderungen von SEC-Regel 17a-4(f).
Commodity Futures Trading Commission (CFTC) in Bestimmung 17 CFR § 1.31(c)-(d) zur Regulierung des Warenterminhandels.
Es ist die Meinung von Cohasset, dass Azure Storage, mit der unveränderlichen Speicherfunktion von Blob Storage und Richtliniensperroption, behält zeitbasierte Blobs (oder Datensätze) in einem nicht beschreibbaren und nicht schreibbaren Format bei und erfüllt relevante Speicheranforderungen von SEC Rule 17a-4(f), FINRA Rule 4511(c) und die prinzipienbasierten Anforderungen der CFTC-Regel 1.31(c)-(d).
Regel der geringsten Rechte
Wenn die Rollen des SOC-Teams zugewiesen werden, sollten nur zwei Personen im Team, die als SOC-Teamverwalter bezeichnet werden, berechtigt sein, die RBAC- Konfiguration des Abonnements und der zugehörigen Daten zu ändern. Gewähren Sie anderen Personen nur ein Minimum an Zugriffsrechten auf Datenuntergruppen, die sie für ihre Arbeit benötigen.
Geringster Zugriff
Nur das virtuelle Netzwerk im SOC-Abonnement hat Zugriff auf das SOC-Speicherkonto und den Key Vault, in dem die Beweise archiviert werden. Autorisierte SOC-Teammitglieder können Ermittlern temporären Zugriff auf Nachweise im SOC-Speicher gewähren.
Beschaffung von Beweismaterial
Azure-Überwachungsprotokolle können den Nachweiserwerb dokumentieren, indem die Aktion zum Erstellen einer VM-Datenträgermomentaufnahme aufgezeichnet wird. Die Protokolle enthalten Details, z. B. wer die Momentaufnahmen nimmt und wann sie aufgenommen werden.
Integrität des Beweismaterials
Verwenden Sie Automatisierungs-, um Nachweise ohne menschliches Eingreifen an ihr endgültiges Archivziel zu verschieben. Dieser Ansatz trägt dazu bei, sicherzustellen, dass Beweisartefakte unverändert bleiben.
Wenn Sie eine gesetzliche Aufbewahrungsrichtlinie auf den Zielspeicher anwenden, wird der Nachweis sofort eingefroren, sobald er geschrieben ist. Eine gesetzliche Aufbewahrungspflicht zeigt, dass die Verwahrkette in Azure vollständig verwaltet wird. Es weist auch darauf hin, dass es keine Möglichkeit gibt, die Nachweise von der Zeit zu manipulieren, in der sich die Datenträgerimages auf einer live-VM befinden, bis sie als Nachweis im Speicherkonto gespeichert werden.
Schließlich können Sie die bereitgestellte Lösung als Integritätsmechanismus verwenden, um die Hashwerte der Datenträgerimages zu berechnen. Die unterstützten Hashalgorithmen sind MD5, SHA256, SKEIN und KECCAK (oder SHA3).
Erzeugung von Beweismaterial
Ermittler benötigen Zugriff auf Nachweise, damit sie Analysen durchführen können. Dieser Zugriff muss nachverfolgt und explizit autorisiert werden.
Stellen Sie Ermittlern einen freigegebenen Zugriffssignaturen (SAS) uniform resource identifier (URI) Speicherschlüssel für den Zugriff auf Nachweise zur Verfügung. Ein SAS-URI kann relevante Protokollinformationen generieren, wenn er erstellt wird. Sie können jedes Mal eine Kopie des Nachweises abrufen, wenn die SAS verwendet wird.
Wenn beispielsweise ein Rechtsteam eine beibehaltene virtuelle Festplatte übertragen muss, generiert eins der beiden SOC-Teamverwalter einen schreibgeschützten SAS-URI-Schlüssel, der nach acht Stunden abläuft. Die SAS schränkt den Zugriff auf die Ermittler innerhalb eines bestimmten Zeitraums ein.
Das SOC-Team muss die IP-Adressen von Ermittlern explizit platzieren, die Zugriff auf eine Zulassungsliste in der Speicherfirewall erfordern.
Schließlich benötigen Ermittler die IM SOC-Schlüsseltresor archivierten BEKs, um auf die verschlüsselten Datenträgerkopien zuzugreifen. Ein SOC-Teammitglied muss die BEKs extrahieren und über sichere Kanäle für die Ermittler bereitstellen.
Regionale Speicherung
Für die Einhaltung erfordern einige Standards oder Vorschriften Nachweise und die unterstützende Infrastruktur, die in derselben Azure-Region verwaltet werden soll.
Alle Lösungskomponenten, einschließlich des Speicherkontos, das Beweise archiviert, werden in derselben Azure-Region gehostet wie die untersuchten Systeme.
Operative Exzellenz
Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung des optimalen Betriebs.
Überwachung und Benachrichtigung
Azure stellt allen Kunden Dienste zur Überwachung und Warnung über Anomalien im Zusammenhang mit ihren Abonnements und Ressourcen bereit. Zu diesen Diensten gehören:
Hinweis
Die Konfiguration dieser Dienste wird in diesem Artikel nicht beschrieben.
Bereitstellen dieses Szenarios
Befolgen Sie die Kette der Bereitstellung von Verwahrungslabors Anweisungen zum Erstellen und Bereitstellen dieses Szenarios in einer Laborumgebung.
Die Laborumgebung stellt eine vereinfachte Version der in diesem Artikel beschriebenen Architektur dar. Sie stellen zwei Ressourcengruppen innerhalb desselben Abonnements bereit. Die erste Ressourcengruppe simuliert die Produktionsumgebung, wobei digitale Nachweise vorhanden sind, während die zweite Ressourcengruppe die SOC-Umgebung enthält.
Wählen Sie Bereitstellen in Azure aus, um nur die SOC-Ressourcengruppe in einer Produktionsumgebung bereitzustellen.
Hinweis
Wenn Sie die Lösung in einer Produktionsumgebung bereitstellen, stellen Sie sicher, dass die vom System zugewiesene verwaltete Identität des Automatisierungskontos über die folgenden Berechtigungen verfügt:
- Ein Contributor in der Produktionsressourcengruppe der zu bearbeitenden VM. Diese Rolle erstellt die Snapshots.
- Ein Key Vault Secrets-Benutzer im Produktionsschlüsseltresor, der die BEKs enthält. Diese Rolle liest die BEKs.
Wenn der Schlüsseltresor die Firewall aktiviert hat, stellen Sie sicher, dass die öffentliche IP-Adresse der VM des hybriden Runbook-Workers über die Firewall zulässig ist.
Erweiterte Konfiguration
Sie können einen hybriden Runbook Worker lokal oder in verschiedenen Cloudumgebungen bereitstellen.
In diesem Szenario müssen Sie das Copy‑VmDigitalEvidence Runbook anpassen, um die Erfassung von Nachweisen in verschiedenen Zielumgebungen zu ermöglichen und sie im Speicher zu archivieren.
Hinweis
Das im Abschnitt Bereitstellen dieses Szenarios bereitgestellte Copy-VmDigitalEvidence Runbook wurde nur in Azure entwickelt und getestet. Um die Lösung auf andere Plattformen zu erweitern, müssen Sie das Runbook so anpassen, dass es mit diesen Plattformen funktioniert.
Beitragende
Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.
Hauptautoren:
- Fabio Masciotra | Hauptberater
- Simone Savi | Senior Consultant
Um nichtöffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.
Nächste Schritte
Weitere Informationen zu den Azure-Features für den Schutz von Daten finden Sie unter:
- Speicherverschlüsselung für ruhende Daten
- Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger
- Geschäftskritische BLOB-Daten mit unveränderlichem Speicher in einem WORM-Zustand
Weitere Informationen zu den Azure-Features für die Protokollierung und Überwachung finden Sie unter:
- Azure-Sicherheitsprotokollierung und -Überwachung
- Speicheranalyseprotokollierung
- Senden von Azure-Ressourcenprotokollen an Log Analytics-Arbeitsbereiche, Event Hubs oder Speicher
Weitere Informationen zur Microsoft Azure-Konformität finden Sie unter: