이 문서에서는 팀이 법적 요청에 대한 응답으로 유효한 양육권 체인을 보여주는 디지털 증거를 제공하도록 설계된 인프라 및 워크플로 프로세스를 간략하게 설명합니다. 이 문서에서는 증거 획득, 보존 및 액세스 단계 전반에 걸쳐 유효한 양육권 체인을 유지하는 방법을 설명합니다.
참고 항목
이 문서는 저자의 이론적이고 실용적인 지식을 기반으로합니다. 법적 목적으로 사용하기 전에 해당 적용 가능성을 법률 부서에 확인합니다.
아키텍처
아키텍처 디자인은 Azure용 클라우드 채택 프레임워크에서 Azure 랜딩 존 원칙을 따릅니다.
이 시나리오에서는 다음 다이어그램에 표시된 허브 및 스포크 네트워크 토폴로지 사용
이 아키텍처의 Visio 파일을 다운로드합니다.
워크플로
아키텍처에서 프로덕션 VM(가상 머신)은 스포크 Azure 가상 네트워크의 일부입니다. VM 디스크는 Azure Disk Encryption으로 암호화됩니다. 자세한 정보는 관리 디스크 암호화 옵션 개요를 참조하세요. 프로덕션 구독에서 Azure Key Vault VM의 BITLocker 암호화 키(BEK)를 저장합니다.
참고 항목
이 시나리오는 암호화되지 않은 디스크가 있는 프로덕션 VM도 지원합니다.
SOC(보안 운영 센터) 팀은 개별 Azure SOC 구독을 사용합니다. 팀은 보호, 불가침 및 모니터링해야 하는 리소스를 포함하는 해당 구독에 대한 단독 액세스 권한을 가집니다. SOC 구독의 Azure Storage 계정은 변경할 수 없는 blob Storage 디스크 스냅샷의 복사본을 호스트합니다. 전용 키 자격 증명 모음 VM에서 스냅샷 및 BEK의 해시 값 복사본을 저장합니다.
VM의 디지털 증거를 캡처하라는 요청에 응답하여 SOC 팀의 구성원이 Azure SOC 구독에 로그인하고 Azure AutomationAzure Hybrid Runbook Worker VM을 사용하여 Copy-VmDigitalEvidence Runbook을 실행합니다.
Automation Hybrid Runbook worker 캡처에 포함된 모든 메커니즘을 제어할 수 있습니다.
Copy-VmDigitalEvidence Runbook은 다음 매크로 단계를 구현합니다.
Automation 계정 시스템 할당 관리 ID를 사용하여 Azure에 로그인합니다. 이 ID는 대상 VM의 리소스 및 솔루션에 필요한 다른 Azure 서비스에 대한 액세스 권한을 부여합니다.
VM 운영 체제(OS) 및 데이터 디스크의 디스크 스냅샷을 생성합니다.
스냅샷을 SOC 구독의 변경할 수 없는 Blob Storage 및 임시 파일 공유로 전송합니다.
파일 공유에 저장된 복사본을 사용하여 스냅샷의 해시 값을 계산합니다.
가져온 해시 값과 VM의 BEK를 SOC 키 자격 증명 모음에 저장합니다.
변경할 수 없는 Blob Storage의 복사본을 제외하고 스냅샷의 모든 복사본을 제거합니다.
참고 항목
프로덕션 VM의 암호화된 디스크는 KEK(키 암호화 키)를 사용할 수도 있습니다.
배포 시나리오에서 제공되는 Copy-VmDigitalEvidence Runbook 이 시나리오는 다루지 않습니다.
구성 요소
Azure Automation 은 빈번하고 시간이 오래 걸리며 오류가 발생하기 쉬운 클라우드 관리 작업을 자동화합니다. 증거 무결성을 보장하기 위해 VM 디스크 스냅샷을 캡처하고 전송하는 프로세스를 자동화하는 데 사용됩니다.
Storage는 개체, 파일, 디스크, 큐 및 테이블 스토리지를 포함하는 클라우드 스토리지 솔루션입니다. 변경할 수 없는 Blob Storage에서 디스크 스냅샷을 호스팅하여 증거를 변경할 수 없는 상태로 유지합니다.
Azure Blob Storage 는 대량의 구조화되지 않은 데이터를 관리하는 최적화된 클라우드 개체 스토리지를 제공합니다. 디스크 스냅샷을 변경할 수 없는 Blob으로 저장하기 위한 최적화된 클라우드 개체 스토리지를 제공합니다.
Azure Files 업계 표준 SMB(서버 메시지 블록) 프로토콜, NFS(네트워크 파일 시스템) 프로토콜 및 Azure Files REST API를 통해 액세스할 수 있는 완전히 관리되는 파일 공유를 클라우드에서 제공합니다. Windows, Linux 및 macOS의 클라우드 또는 온-프레미스 배포를 통해 공유를 동시에 탑재할 수 있습니다. 또한 데이터 사용 위치 근처에서 빠른 액세스를 위해 Azure 파일 동기화를 사용하여 Windows Server에서 파일 공유를 캐시할 수 있습니다. Azure Files는 디스크 스냅샷의 해시 값을 계산하는 임시 리포지토리로 사용됩니다.
Key Vault 통해 클라우드 앱 및 서비스에서 사용하는 암호화 키 및 기타 비밀을 보호할 수 있습니다. Key Vault를 사용하여 디스크 스냅샷의 BEK 및 해시 값을 저장하여 보안 액세스 및 데이터 무결성을 보장할 수 있습니다.
Microsoft Entra ID 는 Azure 및 기타 클라우드 앱에 대한 액세스를 제어하는 데 도움이 되는 클라우드 기반 ID 서비스입니다. 보안 ID 관리를 보장하는 데 도움이 되는 Azure 리소스에 대한 액세스를 제어하는 데 사용됩니다.
Azure Monitor 리소스의 성능 및 가용성을 극대화하는 동시에 잠재적인 문제를 사전에 식별하여 대규모 작업을 지원합니다. 활동 로그를 보관하여 규정 준수 및 모니터링을 위해 모든 관련 이벤트를 감사합니다.
Automation
SOC 팀은 Automation 계정을 사용하여 Copy-VmDigitalEvidence Runbook을 만들고 유지 관리합니다. 또한 팀은 Automation을 사용하여 Runbook을 구현하는 하이브리드 Runbook 작업자를 만듭니다.
Hybrid runbook worker
Hybrid Runbook worker VM은 Automation 계정에 통합됩니다. SOC 팀은 이 VM을 단독으로 사용하여 Copy-VmDigitalEvidence Runbook을 실행합니다.
Storage 계정에 액세스할 수 있는 서브넷에 Hybrid Runbook Worker VM을 배치해야 합니다. Storage 계정의 방화벽 허용 목록 규칙에 Hybrid Runbook Worker VM 서브넷을 추가하여 Storage 계정에 대한 액세스를 구성합니다.
유지 관리 작업을 위해 SOC 팀 구성원에게만 이 VM에 대한 액세스 권한을 부여합니다.
VM에서 사용하는 가상 네트워크를 격리하려면 가상 네트워크를 허브에 연결하지 마십시오.
Hybrid Runbook Worker는 Automation 시스템 할당 관리 ID 사용하여 대상 VM의 리소스 및 솔루션에 필요한 다른 Azure 서비스에 액세스합니다.
시스템 할당 관리 ID에 필요한 최소 RBAC(역할 기반 액세스 제어) 권한은 다음 두 가지 범주로 나뉩니다.
- 솔루션 핵심 구성 요소가 포함된 SOC Azure 아키텍처에 대한 액세스 권한
- 대상 VM 리소스를 포함하는 대상 아키텍처에 대한 액세스 권한
SOC Azure 아키텍처에 대한 액세스에는 다음 역할이 포함됩니다.
- SOC 변경 불가능 스토리지 계정에 대한 스토리지 계정 기여자
- BEK 관리를 위해 SOC 키 자격 증명 모음에 key Vault 비밀 책임자
대상 아키텍처에 대한 액세스에는 다음 역할이 포함됩니다.
VM 디스크에 대한 스냅샷 권한을 제공하는 대상 VM의 리소스 그룹에 대한 기여자
Key Vault 비밀 책임자는 RBAC가 Key Vault 액세스를 제어하는 데 사용되는 경우에만 BEK를 저장하는 데 사용되는 대상 VM의 키 자격 증명 모음에.
액세스 정책이 Key Vault 액세스를 제어하는 데 사용되는 경우에만 BEK를 저장하는 데 사용되는 대상 VM의 키 자격 증명 모음에서 비밀 가져오기를 액세스 정책
참고 항목
BEK를 읽으려면 하이브리드 Runbook Worker VM에서 대상 VM의 키 자격 증명 모음에 액세스할 수 있어야 합니다. 키 자격 증명 모음의 방화벽을 사용하는 경우 하이브리드 Runbook Worker VM의 공용 IP 주소가 방화벽을 통해 허용되는지 확인합니다.
스토리지 계정
SOC 구독의 Storage 계정은 azure 변경할 수 없는 Blob Storage로 법적 보존 정책을 사용하여 구성된 컨테이너에서 디스크 스냅샷을 호스트합니다. 변경할 수 없는 Blob Storage는 중요 비즈니스용 데이터 개체를 쓰기에 한 번 저장하고 WORM(다)을 읽습니다. WORM 상태는 사용자가 지정한 간격에 대해 데이터를 표시할 수 없게 하고 이를 적용할 수 없게 만듭니다.
보안 전송 및 스토리지 방화벽 속성을 사용하도록 설정해야 합니다. 방화벽은 SOC 가상 네트워크에서만 액세스 권한을 부여합니다.
또한 스토리지 계정은 Azure 파일 공유 스냅샷의 해시 값을 계산하는 데 사용되는 임시 리포지토리로 호스팅합니다.
키 보관소
SOC 구독에는 Azure Disk Encryption이 대상 VM을 보호하는 데 사용하는 BEK의 복사본을 호스팅하는 자체 Key Vault 인스턴스가 있습니다. 기본 복사본은 대상 VM에서 사용하는 키 자격 증명 모음에 저장됩니다. 이 설정을 사용하면 대상 VM이 중단 없이 정상적인 작업을 계속할 수 있습니다.
SOC 키 자격 증명 모음은 캡처 작업 중에 Hybrid Runbook Worker가 계산하는 디스크 스냅샷의 해시 값도 저장합니다.
키 자격 증명 모음에서 방화벽 사용하도록 설정되어 있는지 확인합니다. SOC 가상 네트워크에서만 액세스 권한을 부여해야 합니다.
Log Analytics
Log Analytics 작업 영역은 SOC 구독의 모든 관련 이벤트를 감사하는 데 사용되는 활동 로그를 저장합니다. Log Analytics는 모니터의 기능입니다.
시나리오 정보
디지털 포렌식은 범죄 수사 또는 민사 소송을 지원하기 위해 디지털 데이터의 복구 및 조사를 다루는 과학입니다. 컴퓨터 포렌식은 컴퓨터, VM 및 디지털 스토리지 미디어의 데이터를 캡처하고 분석하는 디지털 포렌식의 한 분기입니다.
회사는 법적 요청에 대한 응답으로 제공하는 디지털 증거가 증거 취득, 보존 및 액세스 단계 전반에 걸쳐 유효한 양육권 체인을 보여 주도록 보장해야 합니다.
잠재적인 사용 사례
회사의 SOC 팀은 디지털 증거에 대한 유효한 양육권 체인을 지원하기 위해 이 기술 솔루션을 구현할 수 있습니다.
조사자는 법의학 분석 전용 컴퓨터에서 이 기술을 사용하여 얻은 디스크 복사본을 연결할 수 있습니다. 원본 VM에 전원을 켜거나 액세스하지 않고 디스크 복사본을 연결할 수 있습니다.
관리 규정 준수 체인
제안된 솔루션을 규정 준수 유효성 검사 프로세스에 제출해야 하는 경우 관리 솔루션 유효성 검사 프로세스의 체인 중에 고려 사항 섹션의 자료를 고려합니다.
참고 항목
유효성 검사 프로세스에 법률 부서를 포함해야 합니다.
고려 사항
이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일련의 기본 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Well-Architected Framework참조하세요.
이 솔루션을 양육권 체인으로 유효성을 검사하는 원칙은 이 섹션에서 설명합니다. 유효한 보관 체인을 보장하기 위해 디지털 증거 스토리지는 적절한 액세스 제어, 데이터 보호 및 무결성, 모니터링 및 경고, 로깅 및 감사를 입증해야 합니다.
보안 표준 및 규정 준수
관리 솔루션 체인의 유효성을 검사할 때 평가해야 하는 요구 사항 중 하나는 보안 표준 및 규정 준수입니다.
아키텍처 포함된 모든 구성 요소는 신뢰, 보안 및 규정 준수지원하는 기반을 기반으로 구축된 Azure 표준 서비스입니다.
Azure에는 국가 또는 지역에 맞게 조정된 인증과 의료, 정부, 금융 및 교육과 같은 주요 산업을 위한 다양한 규정 준수 인증이 있습니다.
이 솔루션에 사용되는 서비스에 대한 표준 준수를 자세히 설명하는 업데이트된 감사 보고서에 대한 자세한 내용은 Service Trust Portal참조하세요.
Cohasset의 Azure Storage 준수 평가 다음 요구 사항에 대한 세부 정보를 제공합니다.
17 CFR § 240.17a-4(f)의 SEC(증권거래위원회)는 거래소 회원, 브로커 또는 딜러를 규제합니다.
SEC 규칙 17a-4(f)의 형식 및 미디어 요구 사항을 연기하는 FINRA(금융 산업 규제 기관) 규칙 4511(c).
상품 선물 거래를 규제하는 규제 17 CFR § 1.31 (c)-(d)의 상품 선물 거래위원회 (CFTC).
Blob Storage 및 정책 잠금 옵션의 변경할 수 없는 스토리지 기능이 있는 Azure Storage는 Cohasset의 의견입니다. 는 시간 기반 Blob(또는 레코드)을 반환할 수 없는 형식으로 유지하고 SEC 규칙 17a-4(f), FINRA 규칙 4511(c) 및 CFTC 규칙 1.31(c)(d)의 원칙 기반 요구 사항의 관련 스토리지 요구 사항을 충족합니다.
최소 권한
SOC 팀의 역할이 할당되면 SOC 팀 보유자로 알려진 팀의 두 개인만 구독 및 해당 데이터의 RBAC 구성을 수정할 수 있는 권한이 있어야 합니다. 다른 개인에게 작업을 수행하는 데 필요한 데이터 하위 집합에 대한 최소 액세스 권한만 부여합니다.
최소 액세스
SOC 구독의 가상 네트워크 만 증거를 보관하는 SOC Storage 계정 및 키 자격 증명 모음에 액세스할 수 있습니다. 승인된 SOC 팀 구성원은 조사자에게 SOC 스토리지의 증거에 대한 임시 액세스 권한을 부여할 수 있습니다.
증거 습득
Azure 감사 로그는 VM 디스크 스냅샷을 만드는 작업을 기록하여 증거 획득을 문서화할 수 있습니다. 로그에는 스냅샷을 찍은 사람 및 스냅샷을 찍은 시기와 같은 세부 정보가 포함됩니다.
증거 무결성
Automation 사용하여 사람의 개입 없이 증거를 최종 보관 대상으로 이동합니다. 이 방법은 증거 아티팩트가 변경되지 않은 상태로 유지되도록 보장하는 데 도움이 됩니다.
대상 스토리지에 법적 보존 정책을 적용하면 기록되는 즉시 증거가 동결됩니다. 법적 보존은 관리 체인이 Azure 내에서 완전히 유지 관리됨을 보여 줍니다. 또한 디스크 이미지가 라이브 VM에 있는 시간부터 스토리지 계정에 증거로 저장되는 시점까지 증거를 변조할 기회가 없음을 나타냅니다.
마지막으로 제공된 솔루션을 무결성 메커니즘으로 사용하여 디스크 이미지의 해시 값을 계산할 수 있습니다. 지원되는 해시 알고리즘은 MD5, SHA256, SKEIN 및 KECCAK(또는 SHA3)입니다.
증거 프로덕션
조사관은 분석을 수행할 수 있도록 증거에 액세스해야 합니다. 이 액세스는 추적되고 명시적으로 권한이 부여되어야 합니다.
증명 정보 액세스를 위해 조사자에게 SAS(공유 액세스 서명) URI(Uniform Resource Identifier) 스토리지 키를 제공합니다. SAS URI는 만들 때 관련 로그 정보를 생성할 수 있습니다. SAS를 사용할 때마다 증명 정보 복사본을 가져올 수 있습니다.
예를 들어 법률 팀이 보존된 가상 하드 드라이브를 전송해야 하는 경우 두 SOC 팀 보유자 중 한 명이 8시간 후에 만료되는 읽기 전용 SAS URI 키를 생성합니다. SAS는 지정된 시간 프레임 내에서 조사자 액세스를 제한합니다.
SOC 팀은 스토리지 방화벽의 허용 목록에 액세스해야 하는 조사자의 IP 주소를 명시적으로 배치해야 합니다.
마지막으로, 조사자는 암호화된 디스크 복사본에 액세스하기 위해 SOC 키 자격 증명 모음에 보관된 BEK가 필요합니다. SOC 팀 구성원은 BEK를 추출하고 보안 채널을 통해 조사자에게 제공해야 합니다.
지역 저장소
규정 준수를 위해 일부 표준 또는 규정에는 동일한 Azure 지역에서 유지 관리해야 하는 증거 및 지원 인프라가 필요합니다.
증거를 보관하는 Storage 계정을 비롯한 모든 솔루션 구성 요소는 조사 중인 시스템과 동일한 Azure 지역에 호스트됩니다.
운영 우수성
운영 우수성은 애플리케이션을 배포하고 프로덕션 환경에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 Operational Excellence에 대한 디자인 검토 검사 목록을 참조하세요.
모니터링 및 경고
Azure는 구독 및 리소스와 관련된 변칙에 대한 모니터링 및 경고를 위해 모든 고객에게 서비스를 제공합니다. 이러한 서비스는 다음과 같습니다.
- Microsoft Sentinel.
- 클라우드용 Microsoft Defender.
- 스토리지용 Microsoft Defender .
참고 항목
이러한 서비스의 구성은 이 문서에 설명되어 있지 않습니다.
시나리오 배포
보관 랩 배포 지침의 체인에 따라 이 시나리오를 빌드하고 실험실 환경에 배포합니다.
실험실 환경은 이 문서에 설명된 아키텍처의 간소화된 버전을 나타냅니다. 동일한 구독 내에 두 개의 리소스 그룹을 배포합니다. 첫 번째 리소스 그룹은 프로덕션 환경을 시뮬레이션하고 디지털 증거를 수용하며 두 번째 리소스 그룹은 SOC 환경을 보유합니다.
프로덕션 환경에서 SOC 리소스 그룹만 배포하려면 Azure 배포를 선택합니다.
참고 항목
프로덕션 환경에 솔루션을 배포하는 경우 Automation 계정의 시스템 할당 관리 ID에 다음 권한이 있는지 확인합니다.
- 처리할 VM의 프로덕션 리소스 그룹에 있는 기여자입니다. 이 역할은 스냅샷을 만듭니다.
- BEK를 보유하는 프로덕션 키 자격 증명 모음의 Key Vault 비밀 사용자입니다. 이 역할은 BEK를 읽습니다.
키 자격 증명 모음에 방화벽이 사용하도록 설정된 경우 방화벽을 통해 하이브리드 Runbook Worker VM의 공용 IP 주소가 허용되는지 확인합니다.
확장 구성
하이브리드 Runbook Worker를 온-프레미스 또는 다른 클라우드 환경에 배포할 수 있습니다.
이 시나리오에서는 Copy‑VmDigitalEvidence Runbook을 사용자 지정하여 다른 대상 환경에서 증명 정보를 캡처하고 스토리지에 보관해야 합니다.
참고 항목
Copy-VmDigitalEvidence 이 시나리오 섹션에 제공된 Runbook은 Azure에서만 개발 및 테스트되었습니다. 솔루션을 다른 플랫폼으로 확장하려면 해당 플랫폼에서 작동하도록 Runbook을 사용자 지정해야 합니다.
참가자
Microsoft는 이 문서를 유지 관리합니다. 다음 기여자는 이 문서를 작성했습니다.
주요 작성자:
- Fabio Masciotra | 수석 컨설턴트
- Simone Savi | 선임 컨설턴트
LinkedIn 비공개 프로필을 보려면, LinkedIn에 로그인하세요.
다음 단계
Azure 데이터 보호 기능에 대한 자세한 내용은 다음을 참조하세요.
- 미사용 데이터에 대한 스토리지 암호화
- 관리 디스크 암호화 옵션 개요
- WORM 상태 변경할 수 없는 스토리지를 사용하여 중요 비즈니스용 Blob 데이터 저장
Azure 로깅 및 감사 기능에 대한 자세한 내용은 다음을 참조하세요.
- Azure 보안 로깅 및 감사
- 스토리지 분석 로깅
- Log Analytics 작업 영역, Event Hubs 또는 Storage Azure 리소스 로그 보내기
Microsoft Azure 규정 준수에 대한 자세한 내용은 다음을 참조하세요.