Artikel ini menjelaskan infrastruktur dan proses alur kerja untuk membantu tim memberikan bukti digital yang menunjukkan rantai penahanan (CoC) yang valid sebagai respons terhadap permintaan hukum. Diskusi ini memandu CoC yang valid di seluruh proses akuisisi, pelestarian, dan akses bukti.
Catatan
Artikel ini didasarkan pada pengetahuan teoritis dan praktis tentang penulis. Sebelum Anda menggunakannya untuk tujuan hukum, validasi penerapannya dengan departemen hukum Anda.
Sistem
Desain arsitektur mengikuti prinsip zona pendaratan Azure yang dijelaskan dalam Cloud Adoption Framework untuk Azure.
Skenario ini menggunakan topologi jaringan hub-and-spoke seperti yang ditunjukkan pada diagram berikut:
Unduh file Visio arsitektur ini.
Alur kerja
Dalam arsitektur, komputer virtual produksi (VM) adalah bagian dari jaringan virtual Azure spoke. Disk mereka dienkripsi dengan Azure Disk Encryption. Untuk informasi selengkapnya, lihat Gambaran umum opsi enkripsi disk terkelola. Dalam langganan produksi, Azure Key Vault menyimpan kunci enkripsi BitLocker (BEK) VM.
Catatan
Skenario ini juga berfungsi untuk VM produksi dengan disk yang tidak terenkripsi.
Tim Security Operation Center (SOC) menggunakan langganan Azure SOC diskrit. Tim memiliki akses eksklusif ke langganan tersebut, yang berisi sumber daya yang harus dilindungi, tidak dapat diganggu gugat, dan dipantau. Akun Azure Storage di langganan SOC menghosting salinan rekam jepret disk di penyimpanan blob yang tidak dapat diubah, dan brankas kunci khusus menyimpan nilai hash rekam jepret dan salinan BEK VM.
Sebagai respons terhadap permintaan untuk menangkap bukti digital VM, anggota tim SOC masuk ke langganan Azure SOC dan menggunakan pekerja runbook hibrid Azure VM Automation untuk menjalankan runbook Copy-VmDigitalEvidence. Pekerja runbook hibrid Automation menyediakan kontrol atas semua mekanisme yang terlibat dalam penangkapan.
Runbook Copy-VmDigitalEvidence mengimplementasikan langkah-langkah makro ini:
- Gunakan identitas terkelola yang ditetapkan sistem untuk akun Automation untuk masuk ke Azure dan mengakses sumber daya VM target, bersama dengan layanan Azure lainnya yang diperlukan untuk solusi tersebut.
- Hasilkan rekam jepret disk dari sistem operasi (OS) VM dan disk data.
- Transfer rekam jepret ke penyimpanan blob langganan SOC yang tidak dapat diubah dan dalam berbagi file sementara.
- Komputasi nilai hash rekam jepret menggunakan salinan yang disimpan di berbagi file.
- Simpan nilai hash yang diperoleh dan BEK VM di brankas kunci SOC.
- Hapus semua salinan rekam jepret kecuali yang ada di penyimpanan blob yang tidak dapat diubah.
Catatan
Disk terenkripsi VM produksi juga dapat menggunakan kunci enkripsi kunci (KEK). Runbook Copy-VmDigitalEvidence yang disediakan dalam skenario penyebaran tidak mencakup skenario ini.
Komponen
- Azure Automation mengotomatiskan tugas manajemen cloud yang sering, memakan waktu, dan rawan kesalahan. Ini digunakan untuk mengotomatiskan proses menangkap dan mentransfer rekam jepret disk VM untuk memastikan integritas bukti.
- Penyimpanan adalah solusi penyimpanan cloud yang mencakup penyimpanan objek, file, disk, antrean, dan tabel. Ini menghosting rekam jepret disk dalam penyimpanan blob yang tidak dapat diubah untuk mempertahankan bukti dalam keadaan yang tidak dapat diabaikan dan tidak dapat diubah.
- Azure Blob Storage menyediakan penyimpanan objek cloud yang dioptimalkan yang mengelola sejumlah besar data yang tidak terstruktur. Ini menawarkan penyimpanan objek cloud yang dioptimalkan untuk menyimpan rekam jepret disk sebagai blob yang tidak dapat diubah.
- Berbagi Azure Files. Anda dapat memasang berbagi secara bersamaan melalui penyebaran cloud atau lokal Windows, Linux, dan macOS. Selain itu, Anda dapat menyimpan berbagi Azure Files di Windows Server menggunakan Azure File Sync untuk akses cepat di dekat lokasi penggunaan data. Ini digunakan sebagai repositori sementara untuk menghitung nilai hash rekam jepret disk.
- Key Vault membantu Anda melindungi kunci kriptografi dan rahasia lain yang digunakan oleh aplikasi dan layanan cloud. Ini digunakan untuk menyimpan kunci enkripsi BitLocker (BEK) dan nilai hash rekam jepret disk untuk memastikan akses dan integritas yang aman.
- MICROSOFT Entra ID adalah layanan identitas berbasis cloud yang membantu Anda mengontrol akses ke Azure dan aplikasi cloud lainnya. Ini digunakan untuk mengontrol akses ke sumber daya Azure, memastikan manajemen identitas yang aman.
- Azure Monitor mendukung operasi Anda dalam skala besar dengan membantu Anda memaksimalkan performa dan ketersediaan sumber daya Anda, sambil secara proaktif mengidentifikasi potensi masalah. Ini mengarsipkan log aktivitas untuk mengaudit semua peristiwa yang relevan untuk tujuan kepatuhan dan pemantauan.
Automation
Tim SOC menggunakan akun Automation untuk membuat dan memelihara runbook Copy-VmDigitalEvidence. Tim juga menggunakan Automation untuk membuat pekerja runbook hibrid yang menjalankan runbook.
Hybrid Runbook Worker
hybrid runbook worker VM diintegrasikan ke dalam akun Automation. Tim SOC menggunakan VM ini secara eksklusif untuk menjalankan runbook Copy-VmDigitalEvidence.
Anda harus menempatkan VM hybrid runbook worker di subnet yang dapat mengakses akun Storage. Konfigurasikan akses ke akun Storage dengan menambahkan subnet VM pekerja runbook hibrid ke aturan daftar izin firewall akun Penyimpanan.
Anda harus memberikan akses ke VM ini hanya kepada anggota tim SOC untuk aktivitas pemeliharaan.
Untuk mengisolasi jaringan virtual yang digunakan oleh VM, hindari menyambungkan jaringan virtual tersebut ke hub.
Pekerja runbook hibrid menggunakan identitas terkelola yang ditetapkan sistem Automation untuk mengakses sumber daya VM target dan layanan Azure lainnya yang diperlukan oleh solusi.
Izin kontrol akses berbasis peran minimal (RBAC) yang harus ditetapkan ke identitas terkelola yang ditetapkan sistem diklasifikasikan dalam dua kategori:
- Akses izin ke arsitektur SOC Azure yang berisi komponen inti solusi
- Izin akses ke arsitektur target yang berisi sumber daya VM target
Akses ke arsitektur SOC Azure mencakup peran berikut:
- Kontributor Akun Storage di akun Storage SOC yang tidak dapat diubah
- Petugas Rahasia Key Vault pada brankas kunci SOC untuk manajemen BEK
Akses ke arsitektur target mencakup peran berikut:
- Kontributor pada grup sumber daya VM target, yang memberikan hak snapshot pada disk VM
- Petugas Rahasia Key Vault pada brankas kunci VM target yang digunakan untuk menyimpan BEK, hanya jika RBAC digunakan untuk mengontrol akses Key Vault
- Kebijakan akses ke Dapatkan Rahasia pada brankas kunci VM target yang digunakan untuk menyimpan BEK, hanya jika kebijakan akses digunakan untuk mengontrol akses Key Vault
Catatan
Untuk membaca BEK, brankas kunci VM target harus dapat diakses dari VM hybrid runbook worker. Jika firewall brankas kunci diaktifkan, pastikan bahwa alamat IP publik VM pekerja runbook hibrid diizinkan melalui firewall.
Akun Azure Storage
Akun Azure Storage dalam langganan SOC menghosting rekam jepret disk dalam kontainer yang dikonfigurasi dengan kebijakan penahanan legal sebagai penyimpanan blob Azure yang tidak dapat diubah. Penyimpanan blob yang tidak dapat diubah menyimpan objek data penting bisnis dalam status tulis sekali, membaca banyak (WORM), yang membuat data tidak dapat diedarkan dan tidak dapat diedarkan untuk interval yang ditentukan pengguna.
Pastikan untuk mengaktifkan properti firewall transfer dan penyimpanan yang aman. Firewall hanya memberikan akses dari jaringan virtual SOC.
Akun penyimpanan juga menghosting berbagi file Azure sebagai repositori sementara yang digunakan untuk menghitung nilai hash rekam jepret.
Azure Key Vault
Langganan SOC memiliki instans Key Vault sendiri, yang menghosting salinan BEK yang digunakan Azure Disk Encryption untuk melindungi VM target. Salinan utama disimpan di brankas kunci yang digunakan oleh VM target, memungkinkan VM target untuk melanjutkan operasi normal.
Brankas kunci SOC juga menyimpan nilai hash rekam jepret disk yang dihitung oleh pekerja runbook hibrid selama operasi penangkapan.
Pastikan firewall diaktifkan pada brankas kunci. Ini harus memberikan akses secara eksklusif dari jaringan virtual SOC.
Analitik Log
Ruang kerja Analitik Log menyimpan log aktivitas yang digunakan untuk mengaudit semua peristiwa yang relevan pada langganan SOC. Log Analytics adalah fitur Monitor.
Detail skenario
Forensik digital adalah ilmu yang membahas pemulihan dan investigasi data digital untuk mendukung investigasi kriminal atau proses perdata. Forensik komputer adalah cabang forensik digital yang menangkap dan menganalisis data dari komputer, VM, dan media penyimpanan digital.
Perusahaan harus menjamin bahwa bukti digital yang mereka berikan sebagai respons terhadap permintaan hukum menunjukkan CoC yang valid sepanjang proses akuisisi, pelestarian, dan akses bukti.
Kemungkinan kasus penggunaan
- Tim SOC perusahaan dapat menerapkan solusi teknis ini untuk mendukung CoC yang valid untuk bukti digital.
- Penyelidik dapat melampirkan salinan disk yang diperoleh dengan teknik ini pada komputer yang didedikasikan untuk analisis forensik. Mereka dapat melampirkan salinan disk tanpa menyalakan atau mengakses VM sumber asli.
Kepatuhan terhadap peraturan CoC
Jika perlu mengirimkan solusi yang diusulkan ke proses validasi kepatuhan peraturan, pertimbangkan materi di bagian pertimbangan selama proses validasi solusi CoC.
Catatan
Anda harus melibatkan departemen hukum Anda dalam proses validasi.
Pertimbangan
Prinsip-prinsip yang memvalidasi solusi ini sebagai CoC sedang disajikan di bagian ini.
Untuk memastikan CoC yang valid, penyimpanan bukti digital harus menunjukkan kontrol akses yang memadai, perlindungan dan integritas data, pemantauan dan peringatan, serta pencatatan dan audit.
Kepatuhan terhadap standar dan peraturan keamanan
Saat Anda memvalidasi solusi CoC, salah satu persyaratan untuk dievaluasi adalah kepatuhan terhadap standar dan peraturan keamanan.
Semua komponen yang disertakan dalam arsitektur adalah layanan standar Azure yang dibangun di atas fondasi yang mendukung kepercayaan, keamanan, dan kepatuhan.
Azure memiliki berbagai sertifikasi kepatuhan, termasuk sertifikasi khusus untuk negara atau wilayah, dan untuk industri utama seperti layanan kesehatan, pemerintah, keuangan, dan pendidikan.
Untuk laporan audit yang diperbarui dengan informasi tentang kepatuhan standar untuk layanan yang diadopsi dalam solusi ini, lihat Portal Kepercayaan Layanan.
Penilaian Kepatuhan Azure Storage: SEC 17a-4(f) dan CFTC 1.31(c)-(d) Cohasset memberikan detail tentang persyaratan berikut:
- Securities and Exchange Commission (SEC) dalam 17 CFR § 240,17a-4(f), yang mengatur anggota pertukaran, broker, atau dealer.
- Aturan Otoritas Peraturan Industri Keuangan (FINRA) 4511(c), yang menunggak format dan persyaratan media Aturan SEC 17a-4(f).
- Commodity Futures Trading Commission (CFTC) dalam peraturan 17 CFR § 1,31(c)-(d), yang mengatur perdagangan berjangka komoditas.
Ini pendapat Cohasset bahwa penyimpanan, dengan fitur penyimpanan Blob Storage dan opsi kunci kebijakan yang tidak dapat diubah, mempertahankan blob berbasis waktu (rekaman) dalam format yang tidak dapat ditulis dan tidak dapat ditulis dan memenuhi persyaratan penyimpanan yang relevan dari Aturan SEC 17a-4(f), Aturan FINRA 4511(c), dan persyaratan berbasis prinsip Aturan CFTC 1.31(c)-(d).
Hak istimewa minimal
Ketika peran tim SOC ditetapkan, hanya dua individu dalam tim, yang disebut sebagai penjaga tim SOC, harus memiliki hak untuk memodifikasi konfigurasi RBAC langganan dan datanya. Berikan individu lain hanya hak akses minimum kosong ke subset data yang mereka butuhkan untuk melakukan pekerjaan mereka. Mengonfigurasi dan menerapkan akses melalui Azure RBAC.
Akses paling sedikit
Hanya jaringan virtual dalam langganan SOC yang memiliki akses ke akun Penyimpanan SOC dan brankas kunci yang mengarsipkan bukti.
Akses sementara ke penyimpanan SOC disediakan kepada penyelidik yang memerlukan akses ke bukti. Anggota tim SOC yang berwenang dapat memberikan akses ini.
Akuisisi bukti
Log audit Azure dapat mendokumentasikan akuisisi bukti dengan merekam tindakan mengambil rekam jepret disk VM, termasuk detail seperti siapa yang mengambil rekam jepret dan kapan.
Integritas bukti
Penggunaan Automation untuk memindahkan bukti ke tujuan arsip akhirnya, tanpa intervensi manusia, menjamin bahwa artefak bukti tidak diubah.
Ketika Anda menerapkan kebijakan penahanan legal ke penyimpanan tujuan, bukti segera dibekukan segera setelah ditulis. Penahanan legal menunjukkan bahwa CoC sepenuhnya dipertahankan dalam Azure. Ini juga menunjukkan bahwa tidak ada kesempatan untuk mengubah bukti sejak gambar disk berada di VM langsung hingga ketika mereka disimpan sebagai bukti di akun penyimpanan.
Terakhir, Anda dapat menggunakan solusi yang disediakan sebagai mekanisme integritas untuk menghitung nilai hash gambar disk. Algoritma hash yang didukung adalah: MD5, SHA256, SKEIN, KECCAK (atau SHA3).
Produksi bukti
Penyelidik memerlukan akses ke bukti sehingga mereka dapat melakukan analisis, dan akses ini harus dilacak dan diotorisasi secara eksplisit.
Berikan kunci penyimpanan URI tanda tangan akses bersama (SAS) kepada penyelidik untuk mengakses bukti. URI SAS dapat menghasilkan informasi log yang relevan saat dibuat, dan Anda dapat memperoleh salinan bukti setiap kali SAS digunakan.
Misalnya, jika tim hukum perlu mentransfer hard drive virtual (VHD) yang dipertahankan, salah satu dari dua kustodian tim SOC menghasilkan kunci SAS URI baca-saja yang kedaluwarsa setelah delapan jam. SAS membatasi akses ke penyelidik dalam jangka waktu tertentu.
Ditambah tim SOC harus secara eksplisit menempatkan alamat IP penyelidik yang memerlukan akses pada daftar yang diizinkan di firewall Storage.
Akhirnya, penyelidik memerlukan BEK yang diarsipkan di brankas kunci SOC untuk mengakses salinan disk terenkripsi. Anggota tim SOC harus mengekstrak BEK dan menyediakannya melalui saluran aman kepada penyelidik.
Penyimpanan wilayah
Untuk kepatuhan, beberapa standar atau peraturan memerlukan bukti dan infrastruktur dukungan untuk dipertahankan di wilayah Azure yang sama.
Semua komponen solusi, termasuk akun Penyimpanan yang mengarsipkan bukti, dihosting di wilayah Azure yang sama dengan sistem yang sedang diselidiki.
Keunggulan operasional
Keunggulan operasional mencakup proses yang menyebarkan aplikasi dan memastikan operasi berkelanjutan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.
Pemantauan dan Pemberitahuan
Azure menawarkan layanan kepada semua pelanggan untuk pemantauan dan pemberitahuan tentang anomali yang terkait dengan langganan dan sumber daya mereka. Layanan ini meliputi:
Catatan
Konfigurasi layanan ini tidak dijelaskan dalam artikel ini.
Menyebarkan skenario ini
Ikuti instruksi penyebaran lab CoC untuk membangun dan menyebarkan skenario ini di lingkungan laboratorium.
Lingkungan laboratorium mewakili versi arsitektur yang disederhanakan yang dijelaskan dalam artikel. Anda menyebarkan dua grup sumber daya dalam langganan yang sama. Grup sumber daya pertama mensimulasikan lingkungan produksi, bukti digital perumahan, sementara grup sumber daya kedua memegang lingkungan SOC.
Gunakan tombol berikut untuk menyebarkan hanya grup sumber daya SOC di lingkungan produksi.
Catatan
Jika Anda menyebarkan solusi di lingkungan produksi, pastikan bahwa identitas terkelola yang ditetapkan sistem dari akun otomatisasi memiliki izin berikut:
- Kontributor dalam grup sumber daya produksi VM yang akan diproses. Peran ini membuat rekam jepret.
- Pengguna Rahasia Key Vault di brankas kunci produksi yang menyimpan BEK. Peran ini membaca BEK.
Selain itu, jika brankas kunci mengaktifkan firewall, pastikan alamat IP publik VM hybrid runbook worker diizinkan melalui firewall.
Konfigurasi yang diperluas
Anda dapat menyebarkan hybrid runbook worker lokal atau di lingkungan cloud yang berbeda.
Dalam skenario ini, Anda harus menyesuaikan runbook Copy‑VmDigitalEvidence untuk mengaktifkan pengambilan bukti di lingkungan target yang berbeda dan mengarsipkannya dalam penyimpanan.
Catatan
Runbook Copy-VmDigitalEvidence yang disediakan di bagian Sebarkan skenario ini dikembangkan dan diuji hanya di Azure. Untuk memperluas solusi ke platform lain, Anda harus menyesuaikan runbook untuk bekerja dengan platform tersebut.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- Fabio Masciotra | Konsultan Utama
- Simone Savi | Konsultan Senior
Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.
Langkah berikutnya
Untuk informasi selengkapnya tentang fitur perlindungan data Azure, lihat:
- Enkripsi Layanan Azure Storage untuk data yang tidak digunakan
- Gambaran umum opsi enkripsi disk terkelola
- Simpan data blob yang kritis secara bisnis dengan penyimpanan yang tidak dapat diubah
Untuk informasi selengkapnya tentang fitur pengelogan dan pengauditan Azure, lihat:
Untuk informasi selengkapnya tentang kepatuhan Microsoft Azure, lihat: