Catena di custodia per l'informatica forense in Azure

Questo articolo descrive un processo di infrastruttura e flusso di lavoro progettato per aiutare i team a fornire prove digitali che illustrano una catena valida di custodia in risposta alle richieste legali. Questo articolo descrive come mantenere una catena di custodia valida in tutte le fasi dell'acquisizione, della conservazione e dell'accesso alle prove.

Architettura

La progettazione dell'architettura segue i principi zona di destinazione di Azure in Cloud Adoption Framework per Azure.

Questo scenario usa una topologia di rete hub-spoke, illustrata nel diagramma seguente:

Scaricare un file di Visio di questa architettura.

Workflow

Nell'architettura le macchine virtuali di produzione fanno parte di una rete virtuale di Azure spoke. I dischi delle macchine virtuali vengono crittografati con Crittografia dischi di Azure. Per altre informazioni, vedere Panoramica delle opzioni di crittografia del disco gestito. Nella sottoscrizione di produzione Azure Key Vault archivia le chiavi di crittografia BitLocker delle macchine virtuali.

Il team del Centro operazioni di sicurezza (SOC) usa una sottoscrizione SOC di Azure discreta. Il team ha accesso esclusivo a tale sottoscrizione, che contiene le risorse che devono essere mantenute protette, inviole e monitorate. L'account di archiviazione di Azure nella sottoscrizione SOC ospita copie degli snapshot del disco in 'archiviazione BLOB non modificabile. Un insieme di credenziali delle chiavi dedicato archivia le copie dei valori hash degli snapshot e dei BEK dalle macchine virtuali.

In risposta a una richiesta di acquisizione dell'evidenza digitale di una macchina virtuale, un membro del team SOC accede alla sottoscrizione soC di Azure e usa un ruolo di lavoro ibrido per runbook di Azure macchina virtuale da Automazione di Azure per eseguire il runbook Copy-VmDigitalEvidence. Il ruolo di lavoro ibrido per runbook automazione fornisce il controllo di tutti i meccanismi inclusi nell'acquisizione.

Il runbook Copy-VmDigitalEvidence implementa i passaggi della macro seguenti:

1. Usare l'identità gestita assegnata dal sistema per un account di Automazione per accedere ad Azure. Questa identità concede l'accesso alle risorse della macchina virtuale di destinazione e agli altri servizi di Azure necessari per la soluzione.

2. Generare snapshot del disco dei dischi del sistema operativo e dei dischi dati della macchina virtuale.

3. Trasferire gli snapshot nell'archiviazione BLOB non modificabile della sottoscrizione SOC e in una condivisione file temporanea.

4. Calcolare i valori hash degli snapshot usando la copia archiviata nella condivisione file.

5. Archiviare i valori hash ottenuti e la chiave BEK della macchina virtuale nell'insieme di credenziali delle chiavi SOC.

6. Rimuovere tutte le copie degli snapshot, ad eccezione della copia nell'archivio BLOB non modificabile.

Componenti

• Automazione di Azure automatizza attività di gestione cloud frequenti, dispendiose in termini di tempo e soggette a errori. Viene usato per automatizzare il processo di acquisizione e trasferimento di snapshot del disco della macchina virtuale per garantire l'integrità delle prove.

• Archiviazione è una soluzione di archiviazione cloud che include oggetti, file, disco, coda e archiviazione tabelle. Ospita gli snapshot del disco nell'archiviazione BLOB non modificabile per mantenere l'evidenza in uno stato non modificabile e non modificabile.

• Archiviazione BLOB di Azure offre un'archiviazione ottimizzata per oggetti cloud che gestisce grandi quantità di dati non strutturati. Fornisce un archivio oggetti cloud ottimizzato per l'archiviazione di snapshot del disco come BLOB non modificabili.

• File di Azure fornisce condivisioni file completamente gestite nel cloud accessibili tramite il protocollo SMB (Server Message Block) standard del settore, il protocollo NFS (Network File System) e l'API REST di File di Azure. È possibile montare contemporaneamente condivisioni tramite distribuzioni cloud o locali di Windows, Linux e macOS. È anche possibile memorizzare nella cache le condivisioni file in Windows Server usando Sincronizzazione file di Azure per accedere rapidamente alla posizione di utilizzo dei dati. File di Azure viene usato come repository temporaneo per calcolare i valori hash degli snapshot del disco.

• key vault consente di proteggere le chiavi crittografiche e altri segreti usati da app e servizi cloud. È possibile usare Key Vault per archiviare i valori bek e hash degli snapshot del disco per garantire l'accesso sicuro e l'integrità dei dati.

• Microsoft Entra ID è un servizio di gestione delle identità basato sul cloud che consente di controllare l'accesso ad Azure e ad altre app cloud. Viene usato per controllare l'accesso alle risorse di Azure, che consente di garantire la gestione sicura delle identità.

• monitoraggio di Azure supporta le operazioni su larga scala, consentendo di ottimizzare le prestazioni e la disponibilità delle risorse, identificando in modo proattivo potenziali problemi. Archivia i log attività per controllare tutti gli eventi rilevanti a scopo di conformità e monitoraggio.

Automation

Il team SOC usa un account di automazione per creare e gestire il runbook Copy-VmDigitalEvidence. Il team usa anche Automazione per creare i ruoli di lavoro ibridi per runbook che implementano il runbook.

Ruolo di lavoro ibrido per runbook

Il ruolo di lavoro ibrido per runbook macchina virtuale è integrato nell'account di Automazione. Il team SOC usa questa macchina virtuale esclusivamente per eseguire il runbook Copy-VmDigitalEvidence.

È necessario inserire la macchina virtuale del ruolo di lavoro ibrido per runbook in una subnet in grado di accedere all'account di archiviazione. Configurare l'accesso all'account di archiviazione aggiungendo la subnet della macchina virtuale del ruolo di lavoro ibrido per runbook alle regole consentite del firewall dell'account di archiviazione.

Concedere l'accesso a questa macchina virtuale solo ai membri del team SOC per le attività di manutenzione.

Per isolare la rete virtuale usata dalla macchina virtuale, evitare di connettere la rete virtuale all'hub.

Il ruolo di lavoro ibrido per runbook usa l'identità gestita assegnata dal sistema di automazione per accedere alle risorse della macchina virtuale di destinazione e agli altri servizi di Azure richiesti dalla soluzione.

Le autorizzazioni minime di controllo degli accessi in base al ruolo necessarie per un'identità gestita assegnata dal sistema sono suddivise in due categorie:

• Autorizzazioni di accesso all'architettura soC di Azure che contiene i componenti di base della soluzione
• Autorizzazioni di accesso all'architettura di destinazione che contiene le risorse della macchina virtuale di destinazione

L'accesso all'architettura di Azure SOC include i ruoli seguenti:

• Collaboratore Account di archiviazione nell'account di archiviazione SOC non modificabile
• Key Vault Secrets Officer nell'insieme di credenziali delle chiavi SOC per la gestione di BEK

L'accesso all'architettura di destinazione include i ruoli seguenti:

• Collaboratore nel gruppo di risorse della VM di destinazione, che fornisce i diritti per gli snapshot nei dischi della VM

• Key Vault Secrets Officer nell'insieme di credenziali delle chiavi della macchina virtuale di destinazione usato per archiviare la chiave bek, solo se il controllo degli accessi in base al ruolo viene usato per controllare l'accesso all'insieme di credenziali delle chiavi

• Criteri di accesso per Ottenere segreto nell'insieme di credenziali delle chiavi della macchina virtuale di destinazione usato per archiviare la chiave BEK, solo se i criteri di accesso vengono usati per controllare l'accesso all'insieme di credenziali delle chiavi

Account di archiviazione

L'account di archiviazione nella sottoscrizione SOC ospita gli snapshot del disco in un contenitore configurato con un criterio di blocco legale come archiviazione BLOB non modificabile di Azure. L'archiviazione BLOB non modificabile archivia gli oggetti dati critici per l'azienda in una sola volta e legge molti stati (WORM). Lo stato WORM rende i dati nonerasable e non modificabili per un intervallo specificato dall'utente.

Assicurarsi di abilitare le di trasferimento sicuro e le proprietà del firewall di archiviazione. Il firewall concede l'accesso solo dalla rete virtuale SOC.

L'account di archiviazione ospita anche un condivisione file di Azure come repository temporaneo usato per calcolare il valore hash dello snapshot.

Key Vault

La sottoscrizione SOC ha una propria istanza di Key Vault, che ospita una copia della chiave BEK usata Crittografia dischi di Azure per proteggere la macchina virtuale di destinazione. La copia primaria viene archiviata nell'insieme di credenziali delle chiavi usato dalla macchina virtuale di destinazione. Questa configurazione consente alla macchina virtuale di destinazione di continuare le normali operazioni senza interruzioni.

L'insieme di credenziali delle chiavi SOC archivia anche i valori hash degli snapshot del disco calcolati dal ruolo di lavoro ibrido per runbook durante le operazioni di acquisizione.

Assicurarsi che il firewall sia abilitato nell'insieme di credenziali delle chiavi. Deve concedere l'accesso esclusivamente dalla rete virtuale SOC.

Log Analytics

Un'area di lavoro Log Analytics archivia i log attività usati per controllare tutti gli eventi rilevanti nella sottoscrizione SOC. Log Analytics è una funzionalità di Monitoraggio.

Dettagli dello scenario

La scienza digitale forense riguarda il recupero e l'analisi di dati digitali a supporto di indagini penali o procedimenti civili. Le analisi forensi informatiche sono un ramo di analisi forensi digitali che acquisisce e analizza i dati da computer, macchine virtuali e supporti di archiviazione digitale.

Le aziende devono garantire che le prove digitali fornite in risposta alle richieste legali dimostrino una valida catena di custodia in tutte le fasi dell'acquisizione, della conservazione e dell'accesso alle prove.

Potenziali casi d'uso

• Il team SOC di un'azienda può implementare questa soluzione tecnica per supportare una catena valida di custodia per prove digitali.

• Gli investigatori possono collegare copie disco ottenute usando questa tecnica su un computer dedicato all'analisi forense. Possono collegare le copie del disco senza accendere o accedere alla macchina virtuale di origine originale.

Catena di conformità alle normative di custodia

Se è necessario inviare la soluzione proposta a un processo di convalida della conformità alle normative, prendere in considerazione i materiali nella sezione considerazioni durante il processo di convalida della soluzione di custodia.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Well-Architected Framework.

I principi che convalidano questa soluzione come catena di custodia sono descritti in questa sezione. Per garantire una catena valida di custodia, l'archiviazione delle prove digitali deve dimostrare un controllo di accesso adeguato, la protezione e l'integrità dei dati, il monitoraggio e l'avviso e la registrazione e il controllo.

Conformità agli standard e alle normative di sicurezza

Quando si convalida una catena di soluzioni di custodia, uno dei requisiti da valutare è la conformità agli standard e alle normative di sicurezza.

Tutti i componenti inclusi nell'architettura sono servizi standard di Azure basati su una base che supporta attendibilità, sicurezza e conformità .

Azure offre un'ampia gamma di certificazioni di conformità, tra cui certificazioni personalizzate per paesi o aree geografiche e per settori chiave, ad esempio sanità, enti pubblici, finanze e istruzione.

Per altre informazioni sui report di controllo aggiornati che illustrano in dettaglio la conformità degli standard per i servizi usati in questa soluzione, vedere Service Trust Portal.

valutazione della conformità di Archiviazione di Azure di Cohasset fornisce informazioni dettagliate sui requisiti seguenti:

• Securities and Exchange Commission (SEC) in 17 CFR § 240.17a-4(f), che regola i membri di scambio, broker o rivenditori.

• Regola FINRA (Financial Industry Regulatory Authority) 4511(c), che rinvia ai requisiti relativi al formato e ai supporti della regola SEC 17a-4(f).

• Commodity Futures Trading Commission (CFTC) nel regolamento 17 CFR § 1.31(c)-(d), che regola la negoziazione di futures sulle materie prime.

È opinione di Cohasset che Archiviazione di Azure, con la funzionalità di archiviazione non modificabile dell'archiviazione BLOB e dell'opzione di blocco dei criteri, conserva i BLOB basati sul tempo (o record) in un formato nonerasable e non scrivibile e soddisfa i requisiti di archiviazione pertinenti della regola SEC 17a-4(f), la regola FINRA 4511(c) e i requisiti basati sui principi della regola CFTC 1.31(c)-(d).

Privilegi minimi

Quando vengono assegnati i ruoli del team SOC, solo due individui del team, noti come responsabili del team SOC, devono avere i diritti per modificare la controllo degli accessi in base al ruolo configurazione della sottoscrizione e dei relativi dati. Concedere ad altri utenti solo diritti di accesso minimi ai subset di dati necessari per svolgere il proprio lavoro.

Accesso minimo

Solo la rete virtuale nella sottoscrizione SOC ha accesso all'account di archiviazione SOC e all'insieme di credenziali delle chiavi che archivia le prove. I membri del team SOC autorizzati possono concedere agli investigatori l'accesso temporaneo alle prove nella risorsa di archiviazione SOC.

Acquisizione delle prove

I log di controllo di Azure possono documentare l'acquisizione delle prove registrando l'azione di acquisizione di uno snapshot del disco della macchina virtuale. I log includono dettagli, ad esempio chi acquisisce gli snapshot e quando vengono acquisiti.

Integrità delle prove

Usare automazione per spostare le prove nella destinazione dell'archivio finale, senza intervento umano. Questo approccio consente di garantire che gli artefatti di evidenza rimangano invariati.

Quando si applica un criterio di blocco legale all'archiviazione di destinazione, l'evidenza viene immediatamente bloccata non appena viene scritta. Un blocco legale dimostra che la catena di custodia è completamente gestita all'interno di Azure. Indica anche che non è possibile manomettere l'evidenza dal momento in cui le immagini del disco si trovano in una macchina virtuale attiva a quando vengono archiviate come prove nell'account di archiviazione.

Infine, è possibile usare la soluzione fornita come meccanismo di integrità per calcolare i valori hash delle immagini del disco. Gli algoritmi hash supportati sono MD5, SHA256, SKEIN e KECCAK (o SHA3).

Produzione delle prove

Gli investigatori devono accedere alle prove in modo che possano eseguire analisi. Questo accesso deve essere monitorato e autorizzato in modo esplicito.

Fornire agli investigatori una chiave di archiviazione firme di accesso condiviso (SAS) uniform resource identifier (URI) per accedere alle prove. Un URI di firma di accesso condiviso può generare informazioni di log pertinenti al momento della creazione. È possibile ottenere una copia dell'evidenza ogni volta che viene usata la firma di accesso condiviso.

Ad esempio, se un team legale deve trasferire un disco rigido virtuale conservato, uno dei due responsabili del team SOC genera una chiave URI di firma di accesso condiviso di sola lettura che scade dopo otto ore. La firma di accesso condiviso limita l'accesso agli investigatori entro un intervallo di tempo specificato.

Il team SOC deve inserire in modo esplicito gli indirizzi IP degli investigatori che richiedono l'accesso a un elenco di elementi consentiti nel firewall di archiviazione.

Infine, gli investigatori hanno bisogno dei BEK archiviati nell'insieme di credenziali delle chiavi SOC per accedere alle copie crittografate del disco. Un membro del team SOC deve estrarre i BEK e fornirli tramite canali sicuri agli investigatori.

Archivio locale

Per la conformità, alcuni standard o normative richiedono prove e l'infrastruttura di supporto da gestire nella stessa area di Azure.

Tutti i componenti della soluzione, incluso l'account di archiviazione che archivia le prove, sono ospitati nella stessa area di Azure in cui vengono esaminati i sistemi.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e lo mantengono in esecuzione nell'ambiente di produzione. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'eccellenza operativa.

Monitoraggio e avvisi

Azure offre servizi a tutti i clienti per il monitoraggio e l'invio di avvisi sulle anomalie correlate alle sottoscrizioni e alle risorse. Tali servizi includono:

• Microsoft Sentinel.
• Microsoft Defender per il cloud.
• Microsoft Defender per Archiviazione.

Distribuire lo scenario

Seguire la catena di distribuzione del lab di custodia istruzioni per compilare e distribuire questo scenario in un ambiente di laboratorio.

L'ambiente di laboratorio rappresenta una versione semplificata dell'architettura descritta in questo articolo. Si distribuiscono due gruppi di risorse all'interno della stessa sottoscrizione. Il primo gruppo di risorse simula l'ambiente di produzione, ospitando prove digitali, mentre il secondo gruppo di risorse contiene l'ambiente SOC.

Selezionare Distribuisci in Azure per distribuire solo il gruppo di risorse SOC in un ambiente di produzione.

Configurazione estesa

È possibile distribuire un ruolo di lavoro ibrido per runbook in locale o in ambienti cloud diversi.

In questo scenario, è necessario personalizzare il runbook Copy‑VmDigitalEvidence per abilitare l'acquisizione di prove in ambienti di destinazione diversi e archiviarli nell'archiviazione.

Collaboratori

Microsoft gestisce questo articolo. I collaboratori seguenti hanno scritto questo articolo.

Autori principali:

• Fabio Masciotra | Consulente principale
• Simone Savi | Consulente senior

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Per altre informazioni sulle funzionalità di protezione dei dati di Azure, vedere:

• crittografia dell'archiviazione per i dati inattivi
• Panoramica delle opzioni di crittografia dei dischi gestiti
• Archiviare dati BLOB critici per l'azienda con archiviazione non modificabile in uno stato WORM

Per altre informazioni sulle funzionalità di registrazione e controllo di Azure, vedere:

• Registrazione e controllo di sicurezza di Azure
• registrazione di Analisi archiviazione
• Inviare i log delle risorse di Azure alle aree di lavoro Log Analytics, hub eventi o di archiviazione

Per altre informazioni sulla conformità di Microsoft Azure, vedere:

• Conformità di Azure
• Offerte di conformità Microsoft

Risorsa correlata

• Progettazione dell'architettura di sicurezza