디지털 포렌식 및 Windows 365 Enterprise 클라우드 PC
물리적 디바이스와 마찬가지로 Windows 365 Enterprise 클라우드 PC는 Microsoft Intune 사용하여 배포, 보안 및 관리할 수 있습니다. PC 소유권의 일부로 클라우드 PC를 내부 또는 제3자에게 제출하여 디지털 포렌식 작업을 수행하라는 요청을 받을 수 있습니다. 디지털 포렌식은 범죄 수사 또는 소송 절차를 지원하기 위해 디지털 데이터의 복구 및 조사를 담당하는 과학 분야입니다.
이러한 포렌식을 지원하기 위해 Windows 365에서는 클라우드 PC를 검토하는 기능을 제공합니다. 이 작업을 수행하면 클라우드 PC의 스냅샷이 고객의 Azure Storage 계정에 안전하게 저장됩니다. 해당 계정으로 전송되면 해당 고객이 스냅샷의 완전한 소유권을 갖게 됩니다. 스냅샷 변조를 방지하려면 고객은 스냅샷 Azure Storage 계정에 저장되는 즉시 스냅샷 파일 해시를 만들어야 합니다.
수사관은 클라우드 PC 스냅샷의 디스크 복사본을 첨부해 포렉식 분석 전용 보안 스토리지 계정으로 전송할 수 있습니다. 이 프로세스는 원래 원본 클라우드 PC를 다시 만들거나, 전원을 켜거나, 액세스하지 않고도 수행할 수 있습니다.
시나리오
다음 시나리오의 경우에 클라우드 PC를 검토해야 할 수 있습니다.
- 내부 SOC(보안 운영 센터) 팀의 요청.
- 내부 또는 외부 타사 감사자의 요청에 대응.
- 보류 중이거나 진행 중인 법적 조사에 대한 응답.
디지털 포렌식에 대해 고려할 점
클라우드 PC에 저장된 데이터에 대한 법적 요청에 대한 응답으로 관리자는 제공된 디지털 증거가 증거 획득, 보존 및 액세스 프로세스 전반에 걸쳐 유효한 CoC(보유 체인)를 보여 준다는 것을 증명해야 합니다. 이를 위해 관리자는 다음을 적절하게 지원해야 합니다.
- 액세스 제어. Just-In-Time 액세스 관리에 대한 자세한 내용은 Azure RBAC에 대한 모범 사례 및 Privileged Identity Management 사용 시작을 참조하세요.
- 데이터 보호 및 무결성. 스냅샷 포함하는 전용 구독의 가상 네트워크만 증거를 보관하는 스토리지 계정 및 키 자격 증명 모음에 액세스할 수 있습니다. 자세한 내용은 Windows 365 클라우드 PC용 Microsoft Purview 고객 키를 참조하세요.
- 모니터링 및 경고. 자세한 내용은 권한 있는 Azure 역할 할당에 대한 경고를 참조하세요.
- 로깅 및 감사, 의무 분리. 스토리지 계정에 액세스할 수 있는 관리자의 작은 목록만 조사자에게 증거에 대한 임시 액세스 권한(기록 및 승인됨)을 부여할 수 있습니다.
다음 단계
클라우드 PC를 검토합니다.
Microsoft에서 디지털 수사를 지원하는 것과 관련된 자세한 내용은 Azure에서의 컴퓨터 포렌식 관리 연속성을 참조하세요.