Cet article décrit un processus d’infrastructure et de flux de travail conçu pour aider les équipes à fournir des preuves numériques qui illustrent une chaîne de garde valide en réponse aux demandes légales. Cet article explique comment maintenir une chaîne de garde valide tout au long des étapes de l’acquisition, de la conservation et de l’accès aux preuves.
Remarque
Cet article s'appuie sur les connaissances théoriques et pratiques des auteurs. Avant de l'utiliser à des fins juridiques, validez son applicabilité auprès de votre service juridique.
Architecture
La conception de l’architecture suit les principes de zone d’atterrissage Azure dans le Cloud Adoption Framework pour Azure.
Ce scénario utilise une topologie de réseau hub-and-spoke, qui est illustrée dans le diagramme suivant :
Téléchargez un fichier Visio de cette architecture.
Workflow
Dans l'architecture, les machines virtuelles (VM) de production font partie d'un réseau virtuel Azure en rayons. Les disques de machine virtuelle sont chiffrés avec Azure Disk Encryption. Pour plus d’informations, consultez Vue d’ensemble des options de chiffrement de disque managé. Dans l’abonnement de production, Azure Key Vault stocke les clés de chiffrement BitLocker (BEK) des machines virtuelles.
Remarque
Le scénario prend également en charge les machines virtuelles de production qui ont des disques non chiffrés.
L’équipe soc (Security Operations Center) utilise un abonnement azure SOC discret. L'équipe a un accès exclusif à cet abonnement, qui contient les ressources qui doivent être protégées, inviolables et surveillées. Le compte Stockage Azure dans l’abonnement SOC héberge des copies de captures instantanées de disque dans stockage blob immuable. Un coffre de clés dédié stocke les copies des valeurs de hachage des captures instantanées et des clés BEK des machines virtuelles.
En réponse à une demande de capture de la preuve numérique d’une machine virtuelle, un membre de l’équipe SOC se connecte à l’abonnement Azure SOC et utilise un runbook worker hybride Azure machine virtuelle à partir de Azure Automation pour exécuter le runbook Copy-VmDigitalEvidence. Le runbook worker hybride Automation permet de contrôler tous les mécanismes inclus dans la capture.
Le runbook Copy-VmDigitalEvidence implémente les étapes de macro suivantes :
Utilisez l’identité managée affectée par le système pour un compte Automation pour vous connecter à Azure. Cette identité accorde l’accès aux ressources de la machine virtuelle cible et aux autres services Azure nécessaires à la solution.
Générez des instantanés de disque du système d’exploitation et des disques de données de la machine virtuelle.
Transférez les instantanés vers le stockage blob immuable de l’abonnement SOC et un partage de fichiers temporaire.
Calculez les valeurs de hachage des instantanés à l’aide de la copie stockée dans le partage de fichiers.
Stockez les valeurs de hachage obtenues et la clé BEK de la machine virtuelle dans le coffre de clés SOC.
Supprimez toutes les copies des instantanés, à l’exception de la copie dans le stockage d’objets blob immuables.
Remarque
Les disques chiffrés des machines virtuelles de production peuvent également utiliser des clés de chiffrement de clé (KEK). Le runbook Copy-VmDigitalEvidence fourni dans le scénario de déploiement ne couvre pas ce scénario.
Composants
Azure Automation automatise les tâches de gestion cloud fréquentes, fastidieuses et sujettes aux erreurs. Il est utilisé pour automatiser le processus de capture et de transfert de captures instantanées de disque de machine virtuelle pour garantir l’intégrité des preuves.
Stockage est une solution de stockage cloud qui comprend un stockage d’objets, de fichiers, de disques, de files d’attente et de tables. Il héberge des captures instantanées de disque dans le stockage d’objets blob immuables afin de conserver les preuves dans un état non modifiable et non modifiable.
Stockage Blob Azure fournit un stockage d'objets cloud optimisé qui gère d'énormes quantités de données non structurées. Il fournit un stockage d’objets cloud optimisé pour stocker des instantanés de disque en tant qu’objets blob immuables.
Azure Files fournit des partages de fichiers entièrement managés dans le cloud accessibles via le protocole SMB (Server Message Block), le protocole NFS (Network File System) et l’API REST Azure Files. Vous pouvez monter simultanément des partages via des déploiements cloud ou locaux de Windows, Linux et macOS. Vous pouvez également mettre en cache des partages de fichiers sur Windows Server à l’aide d’Azure File Sync pour accéder rapidement à l’emplacement d’utilisation des données. Azure Files est utilisé comme référentiel temporaire pour calculer les valeurs de hachage des captures instantanées de disque.
Key Vault vous aide à protéger les clés de chiffrement et d’autres secrets utilisés par les applications et services cloud. Vous pouvez utiliser Key Vault pour stocker les clés BEK et les valeurs de hachage des captures instantanées de disque pour garantir l’accès sécurisé et l’intégrité des données.
Microsoft Entra ID est un service d'identité basé sur le cloud qui vous aide à contrôler l'accès à Azure et à d'autres applications cloud. Il est utilisé pour contrôler l’accès aux ressources Azure, ce qui permet de garantir la gestion sécurisée des identités.
Azure Monitor prend en charge vos opérations à grande échelle en vous aidant à optimiser les performances et la disponibilité de vos ressources, tout en identifiant de manière proactive les problèmes potentiels. Il archive les journaux d’activité pour auditer tous les événements pertinents à des fins de conformité et de surveillance.
Automatisation
L’équipe SOC utilise un compte Automation pour créer et gérer le runbook Copy-VmDigitalEvidence. L’équipe utilise également Automation pour créer les Runbook Workers hybrides qui implémentent le runbook.
Runbook Worker hybride
La machine virtuelle runbook worker hybride est intégrée au compte Automation. L’équipe SOC utilise cette machine virtuelle exclusivement pour exécuter le runbook Copy-VmDigitalEvidence.
Vous devez placer la machine virtuelle Runbook Worker hybride dans un sous-réseau pouvant accéder au compte de stockage. Configurez l'accès au compte Stockage en ajoutant le sous-réseau de la machine virtuelle du runbook hybride aux règles de la liste d'autorisations du pare-feu du compte Stockage.
Accordez l’accès à cette machine virtuelle uniquement aux membres de l’équipe SOC pour les activités de maintenance.
Pour isoler le réseau virtuel que la machine virtuelle utilise, évitez de connecter le réseau virtuel au hub.
Le Runbook Worker hybride utilise l’identité managée affectée par le système Automation pour accéder aux ressources de la machine virtuelle cible et aux autres services Azure requis par la solution.
Les autorisations minimales de contrôle d’accès en fonction du rôle (RBAC) requises pour une identité managée affectée par le système sont divisées en deux catégories :
- Autorisations d’accès à l’architecture SOC Azure qui contient les composants principaux de la solution
- Autorisations d’accès à l’architecture cible qui contient les ressources de machine virtuelle cible
L'accès à l'architecture SOC Azure inclut les rôles suivants :
- Contributeur de compte de stockage sur le compte de stockage immuable SOC
- Agent de secrets Key Vault sur le coffre de clés SOC pour la gestion beK
L'accès à l'architecture cible inclut les rôles suivants :
Contributeur sur le groupe de ressources de la machine virtuelle cible, qui fournit des droits d’instantané sur les disques de la machine virtuelle
Agent des secrets Key Vault sur le coffre de clés de la machine virtuelle cible utilisé pour stocker la clé BEK, uniquement si RBAC est utilisé pour contrôler l’accès au coffre de clés
Stratégie d’accès à Obtenir un secret sur le coffre de clés de la machine virtuelle cible utilisé pour stocker la clé BEK, uniquement si la stratégie d’accès est utilisée pour contrôler l’accès au coffre de clés
Remarque
Pour lire le BEK, le coffre de clés de la VM cible doit être accessible à partir de la VM du Runbook Worker hybride. Si le pare-feu du coffre de clés est activé, vérifiez que l’adresse IP publique de la machine virtuelle Runbook Worker hybride est autorisée via le pare-feu.
Compte de stockage
Le compte de stockage dans l’abonnement SOC héberge les instantanés de disque d’un conteneur configuré avec une stratégie de conservation légale en tant que stockage blob immuable Azure. Le stockage d’objets blob immuable stocke les objets de données critiques pour l’entreprise dans un état d’écriture une seule fois, en lisant de nombreux états (WORM). L’état WORM rend les données non modifiables et non modifiables pour un intervalle spécifié par l’utilisateur.
Veillez à activer les de transfert sécurisé et propriétés de pare-feu de stockage. Le pare-feu accorde l'accès uniquement à partir du réseau virtuel SOC.
Le compte de stockage héberge également un partage de fichiers Azure en tant que référentiel temporaire utilisé pour calculer la valeur de hachage de l’instantané.
Coffre de clés
La souscription SOC possède sa propre instance de Key Vault, qui héberge une copie du BEK qu'Azure Disk Encryption utilise pour protéger la machine virtuelle cible. La copie principale est stockée dans le coffre de clés que la machine virtuelle cible utilise. Cette configuration permet à la machine virtuelle cible de poursuivre les opérations normales sans interruption.
Le coffre de clés SOC stocke également les valeurs de hachage des captures instantanées de disque que le Runbook Worker hybride calcule pendant les opérations de capture.
Vérifiez que le pare-feu est activé sur le coffre de clés. Il doit accorder l’accès exclusivement à partir du réseau virtuel SOC.
Log Analytics
Un espace de travail Log Analytics stocke les journaux d'activité utilisés pour auditer tous les événements pertinents sur l'abonnement SOC. Log Analytics est une fonctionnalité de Monitor.
Détails du scénario
La forensique numérique est une science qui se consacre à la récupération et l’investigation des données numériques pour venir en support des investigations criminelles ou des procédures judiciaires civiles. L'investigation informatique est une branche de l'investigation numérique qui capture et analyse les données des ordinateurs, des machines virtuelles et des supports de stockage numériques.
Les entreprises doivent garantir que les preuves numériques qu’elles fournissent en réponse aux demandes légales démontrent une chaîne de garde valide tout au long des étapes de l’acquisition, de la conservation et de l’accès des preuves.
Cas d’usage potentiels
L’équipe SOC d’une entreprise peut implémenter cette solution technique pour prendre en charge une chaîne de garde valide pour la preuve numérique.
Les enquêteurs peuvent attacher des copies de disque obtenues à l’aide de cette technique sur un ordinateur dédié à l’analyse légale. Ils peuvent attacher les copies de disque sans mettre sous tension ni accéder à la VM source d'origine.
Conformité réglementaire en chaîne de garde
S’il est nécessaire de soumettre la solution proposée à un processus de validation de conformité réglementaire, tenez compte des éléments de la considérations section pendant le processus de validation de la solution de chaîne de contrôle.
Remarque
Vous devez inclure votre service juridique dans le processus de validation.
À propos de l’installation
Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Well-Architected Framework.
Les principes qui valident cette solution en tant que chaîne de garde sont décrits dans cette section. Pour garantir une chaîne de garde valide, le stockage des preuves numériques doit démontrer un contrôle d’accès adéquat, la protection et l’intégrité des données, la surveillance et les alertes, ainsi que la journalisation et l’audit.
Respect des normes et réglementations de sécurité
Lorsque vous validez une solution de chaîne de garde, l’une des exigences à évaluer est la conformité aux normes et réglementations de sécurité.
Tous les composants inclus dans l’architecture sont des services standard Azure basés sur une base qui prend en charge l’approbation, la sécurité et la conformité .
Azure dispose d’un large éventail de certifications de conformité, notamment des certifications adaptées aux pays ou aux régions, et pour les secteurs clés tels que la santé, le gouvernement, les finances et l’éducation.
Pour plus d’informations sur les rapports d’audit mis à jour qui détaillent la conformité des normes pour les services utilisés dans cette solution, consultez Portail d’approbation de services.
évaluation de conformité du stockage Azure de Cohasset fournit des détails sur les exigences suivantes :
Securities and Exchange Commission (SEC) dans 17 CFR § 240.17a-4(f), qui réglemente les membres de la bourse, les courtiers ou les négociants.
Règle 4511(c) de la Financial Industry Regulatory Authority (FINRA), qui s'en remet aux exigences de format et de support de la règle 17a-4(f) de la SEC.
Commodity Futures Trading Commission (CFTC) dans le règlement 17 CFR § 1.31(c)-(d), qui réglemente le commerce des contrats à terme sur matières premières.
C’est l’avis de Cohasset que stockage Azure, avec la fonctionnalité de stockage immuable du stockage Blob et de l’option de verrouillage de stratégie, conserve les objets blob basés sur le temps (ou enregistrements) dans un format non modifiable et non réécritable et répond aux exigences de stockage pertinentes de la règle SEC 17a-4(f), la règle FINRA 4511(c) et les exigences basées sur les principes de la règle CFTC 1.31(c)-(d).
Privilège minimum
Lorsque les rôles de l’équipe SOC sont attribués, seules deux personnes de l’équipe, appelées gardiens de l’équipe SOC, doivent avoir les droits de modifier la RBAC configuration de l’abonnement et de ses données. N'accordez aux autres personnes que les droits d'accès minimaux aux sous-ensembles de données dont elles ont besoin pour effectuer leur travail.
Accès minimum
Seul le réseau virtuel de l'abonnement SOC a accès au compte SOC Storage et au Key Vault qui archive les preuves. Les membres de l’équipe SOC autorisés peuvent accorder aux enquêteurs un accès temporaire aux preuves dans le stockage SOC.
Acquisition des preuves
Les journaux d’audit Azure peuvent documenter l’acquisition de preuves enregistrant l’action d’effectuer une capture instantanée de disque de machine virtuelle. Les journaux incluent des détails tels que qui prend les instantanés et quand ils sont pris.
Intégrité des preuves
Utilisez Automation pour déplacer des preuves vers sa destination d’archivage finale, sans intervention humaine. Cette approche permet de garantir que les artefacts de preuve restent inchangés.
Lorsque vous appliquez une stratégie de conservation légale au stockage de destination, la preuve est immédiatement figée dès qu’elle est écrite. Une conservation légale démontre que la chaîne de garde est entièrement maintenue dans Azure. Il indique également qu’il n’existe aucune possibilité de falsifier les preuves du moment où les images de disque se trouvent sur une machine virtuelle active jusqu’à ce qu’elles soient stockées en tant que preuves dans le compte de stockage.
Enfin, vous pouvez utiliser la solution fournie comme mécanisme d’intégrité pour calculer les valeurs de hachage des images de disque. Les algorithmes de hachage pris en charge sont MD5, SHA256, SKEIN et KECCAK (ou SHA3).
Production des preuves
Les enquêteurs ont besoin d’accéder à des preuves afin qu’ils puissent effectuer des analyses. Cet accès doit être suivi et explicitement autorisé.
Fournissez aux enquêteurs une signature d’accès partagé (URI) d’identificateur de ressource uniforme (URI) clé de stockage pour accéder aux preuves. Un URI SAP peut générer des informations de journal pertinentes lors de sa création. Vous pouvez obtenir une copie de la preuve chaque fois que la SAP est utilisée.
Par exemple, si une équipe juridique doit transférer un disque dur virtuel conservé, l’un des deux consignataires de l’équipe SOC génère une clé d’URI SAP en lecture seule qui expire après huit heures. La SAP limite l’accès aux enquêteurs dans un délai spécifié.
L’équipe SOC doit placer explicitement les adresses IP des enquêteurs qui nécessitent un accès sur une liste verte dans le pare-feu de stockage.
Enfin, les enquêteurs ont besoin des BEK archivées dans le coffre-fort de clés SOC pour accéder aux copies de disque chiffrées. Un membre de l’équipe SOC doit extraire les BEK et les fournir via des canaux sécurisés aux enquêteurs.
Magasin régional
Pour la conformité, certaines normes ou réglementations nécessitent des preuves et l’infrastructure de prise en charge à maintenir dans la même région Azure.
Tous les composants de la solution, y compris le compte de stockage qui archive les preuves, sont hébergés dans la même région Azure que les systèmes faisant l'objet de l'enquête.
Excellence opérationnelle
L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et la conservent en production. Pour plus d’informations, consultez la Liste de contrôle de l'examen de la conception pour l'excellence opérationnelle.
Surveillance et signalement
Azure fournit des services à tous les clients pour surveiller et alerter sur les anomalies liées à leurs abonnements et ressources. Ces services comprennent :
Remarque
La configuration de ces services n'est pas décrite dans cet article.
Déployer ce scénario
Suivez la chaîne de déploiement de laboratoire de garde instructions pour créer et déployer ce scénario dans un environnement de laboratoire.
L’environnement de laboratoire représente une version simplifiée de l’architecture décrite dans cet article. Vous déployez deux groupes de ressources dans le même abonnement. Le premier groupe de ressources simule l'environnement de production, hébergeant les preuves numériques, tandis que le deuxième groupe de ressources contient l'environnement SOC.
Sélectionnez Déployer sur Azure pour déployer uniquement le groupe de ressources SOC dans un environnement de production.
Remarque
Si vous déployez la solution dans un environnement de production, vérifiez que l’identité managée affectée par le système du compte Automation dispose des autorisations suivantes :
- Un contributeur dans le groupe de ressources de production de la machine virtuelle à traiter. Ce rôle crée les instantanés.
- Un utilisateur de secrets de coffre-fort de clés dans le coffre-fort de clés de production qui contient les BEK. Ce rôle lit les BEK.
Si le coffre de clés a activé le pare-feu, assurez-vous que l’adresse IP publique de la machine virtuelle Runbook Worker hybride est autorisée via le pare-feu.
Configuration étendue
Vous pouvez déployer un Runbook Worker hybride sur site ou dans différents environnements cloud.
Dans ce scénario, vous devez personnaliser le runbook Copy‑VmDigitalEvidence pour permettre la capture de preuves dans différents environnements cibles et les archiver dans le stockage.
Remarque
Le runbook Copy-VmDigitalEvidence fourni dans la section Déployer ce scénario a été développé et testé uniquement dans Azure. Pour étendre la solution à d’autres plateformes, vous devez personnaliser le runbook pour qu’il fonctionne avec ces plateformes.
Contributeurs
Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.
Principaux auteurs :
- Fabio Masciotra | Consultant principal
- Simone Savi | Consultante senior
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étapes suivantes
Pour plus d’informations sur les fonctionnalités de protection des données d’Azure, consultez :
- chiffrement de stockage pour les données au repos
- Présentation des options de chiffrement de disque managé
- Stocker des données blob critiques pour l’entreprise avec un stockage immuable dans un état WORM
Pour plus d’informations sur les fonctionnalités de journalisation et d’audit d’Azure, consultez :
- Journalisation et audit de sécurité d’Azure
- journalisation Storage Analytics
- envoyer des journaux de ressources Azure aux espaces de travail Log Analytics, event Hubs ou stockage
Pour plus d'informations sur la conformité de Microsoft Azure, consultez :