En este artículo se describe un proceso de infraestructura y flujo de trabajo diseñado para ayudar a los equipos a proporcionar evidencia digital que demuestra una cadena de custodia válida en respuesta a las solicitudes legales. En este artículo se describe cómo mantener una cadena de custodia válida a lo largo de las fases de adquisición, conservación y acceso de pruebas.
Nota:
Este artículo se basa en los conocimientos teóricos y prácticos de los autores. Antes de utilizarla con fines legales, valide su aplicabilidad con su departamento legal.
Arquitectura
El diseño de la arquitectura sigue los principios de zona de aterrizaje de Azure en Cloud Adoption Framework para Azure.
En este escenario se usa una topología de red en estrella tipo hub-and-spoke, que se muestra en el diagrama siguiente:
Descargue un archivo Visio de esta arquitectura.
Flujo de trabajo
En la arquitectura, las máquinas virtuales (VM) de producción forman parte de una Azure Virtual Network. Los discos de máquina virtual se cifran con Azure Disk Encryption. Para más información, consulte Información general sobre las opciones de cifrado de disco administrado. En la suscripción de producción, Azure Key Vault almacena las claves de cifrado (BEK) de BitLocker de las máquinas virtuales.
Nota:
El escenario también admite máquinas virtuales de producción que tienen discos sin cifrar.
El equipo del centro de operaciones de seguridad (SOC) usa una suscripción discreta de Azure SOC. El equipo tiene acceso exclusivo a esa suscripción, que contiene los recursos que deben mantenerse protegidos, inviolables y vigilados. La cuenta de de de Azure Storage en la suscripción de SOC hospeda copias de instantáneas de disco en almacenamiento de blobs inmutable. Un almacén de claves dedicado almacena copias de los valores hash de las instantáneas y los BEK de las máquinas virtuales.
En respuesta a una solicitud para capturar la evidencia digital de una máquina virtual, un miembro del equipo de SOC inicia sesión en la suscripción de SOC de Azure y usa una máquina virtual de runbook worker híbrida de Azure desde azure Automation para ejecutar el runbook de Copy-VmDigitalEvidence. El hybrid runbook Worker de Automation proporciona control de todos los mecanismos incluidos en la captura.
El runbook de Copy-VmDigitalEvidence implementa los pasos de macro siguientes:
Use la identidad administrada asignada por el sistema para una cuenta de Automation para iniciar sesión en Azure. Esta identidad concede acceso a los recursos de la máquina virtual de destino y a los demás servicios de Azure necesarios para la solución.
Genere instantáneas de disco del sistema operativo (SO) de la máquina virtual y de los discos de datos.
Transfiera las instantáneas al almacenamiento de blobs inmutable de la suscripción de SOC y a un recurso compartido de archivos temporal.
Calcule los valores hash de las instantáneas mediante la copia almacenada en el recurso compartido de archivos.
Almacene los valores hash obtenidos y el BEK de la máquina virtual en el almacén de claves SOC.
Quite todas las copias de las instantáneas, excepto la copia en el almacenamiento de blobs inmutable.
Nota:
Los discos cifrados de las máquinas virtuales de producción también pueden usar claves de cifrado de claves (KEK). El runbook Copy-VmDigitalEvidence proporcionado en el escenario de implementación no cubre este escenario.
Componentes
Azure Automation automatiza tareas de administración de la nube frecuentes, lentas y propensas a errores. Se usa para automatizar el proceso de captura y transferencia de instantáneas de disco de máquina virtual para ayudar a garantizar la integridad de las pruebas.
Storage es una solución de almacenamiento en la nube que incluye el almacenamiento de objetos, archivos, discos, colas y tablas. Hospeda instantáneas de disco en el almacenamiento de blobs inmutables para conservar la evidencia en un estado no modificable y no modificable.
Azure Blob Storage proporciona almacenamiento optimizado de objetos en la nube que administra cantidades masivas de datos no estructurados. Proporciona almacenamiento optimizado de objetos en la nube para almacenar instantáneas de disco como blobs inmutables.
azure Files proporciona recursos compartidos de archivos totalmente administrados en la nube a los que se puede acceder a través del protocolo estándar del bloque de mensajes del servidor (SMB) estándar del sector, el protocolo network File System (NFS) y la API REST de Azure Files. Puede montar simultáneamente recursos compartidos a través de implementaciones locales o en la nube de Windows, Linux y macOS. También puede almacenar en caché recursos compartidos de archivos en Windows Server mediante Azure File Sync para obtener acceso rápido cerca de la ubicación de uso de datos. Azure Files se usa como repositorio temporal para calcular los valores hash de las instantáneas de disco.
key Vault ayuda a proteger las claves criptográficas y otros secretos que usan las aplicaciones y servicios en la nube. Puede usar Key Vault para almacenar los BEK y los valores hash de las instantáneas de disco para ayudar a garantizar el acceso seguro y la integridad de los datos.
Id. de Microsoft Entra es un servicio de identidad basado en la nube que le ayuda a controlar el acceso a Azure y otras aplicaciones en la nube. Se usa para controlar el acceso a los recursos de Azure, lo que ayuda a garantizar la administración segura de identidades.
azure Monitor admite las operaciones a gran escala al ayudarle a maximizar el rendimiento y la disponibilidad de los recursos, a la vez que identifica de forma proactiva los posibles problemas. Archiva los registros de actividad para auditar todos los eventos pertinentes con fines de cumplimiento y supervisión.
Automatización
El equipo de SOC usa una cuenta de Automation para crear y mantener el runbook de Copy-VmDigitalEvidence. El equipo también usa Automation para crear los trabajos de runbook híbridos que implementan el runbook.
Hybrid Runbook Worker
La instancia de Hybrid Runbook Worker vm se integra en la cuenta de Automation. El equipo de SOC usa esta máquina virtual exclusivamente para ejecutar el runbook de Copy-VmDigitalEvidence.
Debe colocar la máquina virtual del Hybrid Runbook Worker en una subred que pueda acceder a la cuenta de almacenamiento. Configure el acceso a la cuenta de almacenamiento agregando la subred de máquina virtual de Hybrid Runbook Worker a las reglas de la lista de permitidos de firewall de la cuenta de almacenamiento.
Conceda acceso a esta máquina virtual solo a los miembros del equipo de SOC para las actividades de mantenimiento.
Para aislar la red virtual que usa la máquina virtual, evite conectar la red virtual al centro.
Hybrid Runbook Worker usa la identidad administrada asignada por el sistema Automation para acceder a los recursos de la máquina virtual de destino y a los demás servicios de Azure que requiere la solución.
Los permisos mínimos de control de acceso basado en rol (RBAC) necesarios para una identidad administrada asignada por el sistema se dividen en dos categorías:
- Permisos de acceso a la arquitectura de Azure de SOC que contiene los componentes principales de la solución
- Permisos de acceso a la arquitectura de destino que contiene los recursos de máquina virtual de destino
El acceso a la arquitectura del SOC Azure incluye los siguientes roles:
- Colaborador de cuenta de almacenamiento en la cuenta de almacenamiento inmutable del Centro de operaciones de seguridad
- director de secretos de Key Vault en el almacén de claves SOC para la administración de BEK
El acceso a la arquitectura de destino incluye los siguientes roles:
Colaborador en el grupo de recursos de la máquina virtual de destino, que proporciona derechos de instantánea en discos de máquinas virtuales
director de secretos de Key Vault en el almacén de claves de la máquina virtual de destino que se usa para almacenar el BEK, solo si se usa RBAC para controlar el acceso a Key Vault
Directiva de acceso para Obtener secreto en el almacén de claves de la máquina virtual de destino que se usa para almacenar el BEK, solo si la directiva de acceso se usa para controlar el acceso de Key Vault.
Nota:
Para leer el BEK, el almacén de claves de la máquina virtual de destino debe ser accesible desde la máquina virtual trabajadora del Hybrid Runbook Worker. Si el firewall del almacén de claves está habilitado, asegúrese de que la dirección IP pública de la máquina virtual de Hybrid Runbook Worker está permitida a través del firewall.
Cuenta de almacenamiento
La cuenta de almacenamiento de en la suscripción de SOC hospeda las instantáneas de disco en un contenedor configurado con una directiva de retención legal de como almacenamiento de blobs inmutable de Azure. El almacenamiento de blobs inmutable almacena objetos de datos críticos para la empresa en un estado de escritura una vez, leer muchos (WORM). El estado WORM hace que los datos no se puedan modificar y no se puedan editar para un intervalo especificado por el usuario.
Asegúrese de habilitar la de transferencia segura de y las propiedades de del firewall de almacenamiento de. El firewall solo permite el acceso desde la red virtual del SOC.
La cuenta de almacenamiento también hospeda un recurso compartido de archivos de Azure como repositorio temporal que se usa para calcular el valor hash de la instantánea.
Key Vault
La suscripción al SOC tiene su propia instancia de Almacén de claves, que aloja una copia del BEK que Azure Disk Encryption utiliza para proteger la máquina virtual de destino. La copia principal se almacena en el almacén de claves que usa la máquina virtual de destino. Esta configuración permite que la máquina virtual de destino continúe con las operaciones normales sin interrupción.
El almacén de claves SOC también almacena los valores hash de las instantáneas de disco que calcula Hybrid Runbook Worker durante las operaciones de captura.
Asegúrese de que la de firewall de esté habilitada en el almacén de claves. Debe conceder acceso exclusivamente desde la red virtual SOC.
Log Analytics
Un área de trabajo de Log Analytics almacena los registros de actividad utilizados para auditar todos los eventos relevantes en la suscripción SOC. Log Analytics es una característica de Monitor.
Detalles del escenario
El análisis forense digital es una ciencia que aborda la recuperación e investigación de datos digitales para apoyar investigaciones criminales o procedimientos civiles. La informática forense es una rama de la informática forense que captura y analiza datos de ordenadores, máquinas virtuales y medios de almacenamiento digital.
Las empresas deben garantizar que las pruebas digitales que proporcionen en respuesta a las solicitudes legales demuestran una cadena de custodia válida a lo largo de las etapas de adquisición, conservación y acceso de pruebas.
Posibles casos de uso
El equipo de SOC de una empresa puede implementar esta solución técnica para apoyar una cadena de custodia válida para pruebas digitales.
Los investigadores pueden conectar copias de disco que se obtienen mediante esta técnica en un equipo dedicado al análisis forense. Pueden conectar las copias de disco sin encender la máquina virtual original ni acceder a ella.
Cumplimiento normativo de la cadena de custodia
Si es necesario enviar la solución propuesta a un proceso de validación de cumplimiento normativo, tenga en cuenta los materiales de la sección consideraciones durante el proceso de validación de la solución de custodia.
Nota:
Debe incluir el departamento legal en el proceso de validación.
Consideraciones
Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para obtener más información, vea Well-Architected Framework.
Los principios que validan esta solución como una cadena de custodia se describen en esta sección. Para ayudar a garantizar una cadena de custodia válida, el almacenamiento de evidencia digital debe demostrar el control de acceso adecuado, la protección y la integridad de los datos, la supervisión y las alertas, así como el registro y la auditoría.
Cumplimiento de las directivas y reglamentos de seguridad
Al validar una solución de cadena de custodia, uno de los requisitos para evaluar es el cumplimiento de los estándares de seguridad y las regulaciones.
Todos los componentes incluidos en la arquitectura de son servicios estándar de Azure basados en una base que admite la confianza, la seguridad y el cumplimiento de .
Azure tiene una amplia gama de certificaciones de cumplimiento, incluidas las certificaciones adaptadas a países o regiones, y para sectores clave, como la atención sanitaria, el gobierno, las finanzas y la educación.
Para obtener más información sobre los informes de auditoría actualizados que detallan el cumplimiento de estándares para los servicios usados en esta solución, consulte Portal de confianza de servicios.
la evaluación de cumplimiento de Azure Storage de Cohasset proporciona detalles sobre los siguientes requisitos:
La Comisión de Bolsa y Valores (SEC) en 17 CFR § 240.17a-4(f), que regula a los miembros de la bolsa, corredores o intermediarios.
La Regla 4511(c) de la Financial Industry Regulatory Authority (FINRA), que difiere de los requisitos de formato y medios de la Regla 17a-4(f) de la SEC.
La Comisión de Negociación de Futuros de Productos Básicos (CFTC) en el reglamento 17 CFR § 1.31(c)-(d), que regula el comercio de futuros de materias primas.
Es la opinión de Cohasset que Azure Storage, con la característica de almacenamiento inmutable de Blob Storage y la opción de bloqueo de directivas, conserva los blobs basados en tiempo (o registros) en un formato que no se puede escribir y cumple los requisitos de almacenamiento pertinentes de la regla sec 17a-4(f), la regla FINRA 4511(c) y los requisitos basados en principios de la regla CFTC 1.31(c)-(d).
Privilegio mínimo
Cuando se asignan los roles del equipo de SOC, solo dos personas del equipo, conocidas como custodios del equipo soC, deben tener derechos para modificar la RBAC configuración de la suscripción y sus datos. Conceda al resto de las personas solo los derechos de acceso mínimo a los subconjuntos de datos que necesitan para realizar su trabajo.
Acceso mínimo
Solo la red virtual de la suscripción de SOC tiene acceso a la cuenta de almacenamiento de SOC y al almacén de claves que archiva las pruebas. Los miembros autorizados del equipo de SOC pueden conceder a los investigadores acceso temporal a evidencias en el almacenamiento de SOC.
Adquisición de la evidencia
Los registros de auditoría de Azure pueden documentar la adquisición de evidencia mediante la grabación de la acción de realizar una instantánea de disco de máquina virtual. Los registros incluyen detalles como quién toma las instantáneas y cuándo se toman.
Integridad de la evidencia
Use Automation para mover evidencias a su destino final de archivo, sin intervención humana. Este enfoque ayuda a garantizar que los artefactos de evidencia permanecen inalterados.
Cuando se aplica una directiva de suspensión legal al almacenamiento de destino, la evidencia se inmoviliza inmediatamente en cuanto se escribe. Una suspensión legal demuestra que la cadena de custodia se mantiene completamente dentro de Azure. También indica que no hay ninguna oportunidad de alterar la evidencia desde el momento en que las imágenes de disco están en una máquina virtual activa a cuando se almacenan como evidencia en la cuenta de almacenamiento.
Por último, puede usar la solución proporcionada como mecanismo de integridad para calcular los valores hash de las imágenes de disco. Los algoritmos hash admitidos son MD5, SHA256, SKEIN y KECCAK (o SHA3).
Producción de evidencia
Los investigadores necesitan acceso a pruebas para que puedan realizar análisis. Este acceso se debe realizar un seguimiento y autorizarlo explícitamente.
Proporcione a los investigadores una identificador uniforme de recursos (URI) de firmas de acceso compartido (SAS) clave de almacenamiento para acceder a la evidencia. Un URI de SAS puede generar información de registro relevante cuando se crea. Puede obtener una copia de la evidencia cada vez que se use la SAS.
Por ejemplo, si un equipo legal necesita transferir un disco duro virtual conservado, uno de los dos custodios del equipo de SOC genera una clave de URI de SAS de solo lectura que expira después de ocho horas. La SAS restringe el acceso a los investigadores dentro de un período de tiempo especificado.
El equipo de SOC debe colocar explícitamente las direcciones IP de los investigadores que requieren acceso en una lista de permitidos en el firewall de Storage.
Por último, los investigadores necesitan los BEK archivados en el almacén de claves del SOC para acceder a las copias de disco cifradas. Un miembro del equipo SOC debe extraer los BEK y proporcionarlos a través de canales seguros a los investigadores.
Almacén regional
Para el cumplimiento, algunos estándares o regulaciones requieren evidencia y la infraestructura auxiliar que se debe mantener en la misma región de Azure.
Todos los componentes de la solución, incluida la cuenta de almacenamiento que archiva las pruebas, se hospedan en la misma región de Azure que los sistemas que se están investigando.
Excelencia operativa
La excelencia operativa abarca los procesos de operaciones que implementan una aplicación y lo mantienen en ejecución en producción. Para obtener más información, consulte la Lista de comprobación de revisión de diseño para la excelencia operativa.
Supervisión y alertas
Azure proporciona servicios a todos los clientes para supervisar y alertar sobre anomalías relacionadas con sus suscripciones y recursos. Estos servicios incluyen:
Nota:
La configuración de estos servicios no se describe en este artículo.
Implementación de este escenario
Siga las instrucciones de cadena de implementación del laboratorio de custodia instrucciones para compilar e implementar este escenario en un entorno de laboratorio.
El entorno de laboratorio representa una versión simplificada de la arquitectura descrita en este artículo. Implemente dos grupos de recursos dentro de la misma suscripción. El primer grupo de recursos simula el entorno de producción, que alberga las pruebas digitales, mientras que el segundo grupo de recursos contiene el entorno SOC.
Seleccione Implementar en Azure para implementar solo el grupo de recursos SOC en un entorno de producción.
Nota:
Si implementa la solución en un entorno de producción, asegúrese de que la identidad administrada asignada por el sistema de la cuenta de Automation tiene los permisos siguientes:
- Colaborador en el grupo de recursos de producción de la máquina virtual que se va a procesar. Este rol crea las instantáneas.
- Un usuario de secretos de Key Vault en el almacén de claves de producción que contiene los BEK. Este rol lee los BEK.
Si el almacén de claves tiene habilitado el firewall, asegúrese de que la dirección IP pública de la máquina virtual de Hybrid Runbook Worker está permitida a través del firewall.
Configuración extendida
Puede implementar un Hybrid Runbook Worker local o en diferentes entornos de nube.
En este escenario, debe personalizar el runbook de Copy‑VmDigitalEvidence para habilitar la captura de evidencia en distintos entornos de destino y archivarlos en el almacenamiento.
Nota:
El runbook Copy-VmDigitalEvidence proporcionado en la sección Implementación de este escenario se desarrolló y probó solo en Azure. Para extender la solución a otras plataformas, debe personalizar el libro de ejecución para que funcione con esas plataformas.
Colaboradores
Microsoft mantiene este artículo. Los colaboradores siguientes escribieron este artículo.
Creadores de entidad de seguridad:
- Fabio Masciotra | Consultor principal
- Simone Savi | Consultor sénior
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
Para más información sobre las características de protección de datos de Azure, consulte:
- Cifrado de almacenamiento para datos en reposo
- Información general sobre las opciones de cifrado de disco administrado
- Almacenar datos de blobs críticos para la empresa con almacenamiento inmutable en un estado WORM
Para más información, acerca de las características de registro y auditoría de Azure, consulte:
- Registro y auditoría de seguridad de Azure
- registro de análisis de Storage
- Enviar registros de recursos de Azure a áreas de trabajo de Log Analytics, Event Hubs o Storage
Para obtener más información sobre el cumplimiento de Microsoft Azure, consulte: