Cadeia de custódia de computação forense no Azure

Este artigo descreve um processo de infraestrutura e fluxo de trabalho projetado para ajudar as equipes a fornecer evidências digitais que demonstram uma cadeia de custódia válida em resposta a solicitações legais. Este artigo descreve como manter uma cadeia de custódia válida em todas as fases de aquisição, preservação e acesso de evidências.

Arquitetura

O design da arquitetura segue os princípios da zona de destino do Azure no Cloud Adoption Framework para Azure.

Esse cenário usa uma topologia de rede hub-and-spoke, que é mostrada no diagrama a seguir:

Baixe um Arquivo Visio dessa arquitetura.

Workflow

Na arquitetura, as máquinas virtuais (VMs) de produção fazem parte de uma rede virtual do Azure. Os discos de VM são criptografados com o Azure Disk Encryption. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado. Na assinatura de produção, a do Azure Key Vault armazena as BEKs (chaves de criptografia) do BitLocker das VMs.

A equipe do SOC (Centro de Operações de Segurança) usa uma assinatura de do SOC do Azure discreta. A equipe tem acesso exclusivo a essa assinatura, que contém os recursos que devem ser mantidos protegidos, invioláveis e monitorados. A conta de Armazenamento do Azure na assinatura SOC hospeda cópias de instantâneos de disco em de armazenamento de blobs imutável. Um cofre de chaves dedicado armazena cópias dos valores de hash dos instantâneos e dos BEKs das VMs.

Em resposta a uma solicitação para capturar a evidência digital de uma VM, um membro da equipe do SOC entra na assinatura do SOC do Azure e usa um runbook worker híbrido do Azure VM do de Automação do Azure para executar o runbook Copy-VmDigitalEvidence. O de runbook híbrido da Automação fornece controle de todos os mecanismos incluídos na captura.

O runbook Copy-VmDigitalEvidence implementa as seguintes etapas de macro:

1. Use a identidade gerenciada atribuída pelo sistema para uma conta de Automação entrar no Azure. Essa identidade concede acesso aos recursos da VM de destino e aos outros serviços do Azure necessários para a solução.

2. Gere instantâneos de disco do sistema operacional (SO) da VM e discos de dados.

3. Transfira os instantâneos para o armazenamento de blobs imutável da assinatura SOC e um compartilhamento de arquivos temporário.

4. Compute os valores de hash dos instantâneos usando a cópia armazenada no compartilhamento de arquivos.

5. Armazene os valores de hash obtidos e o BEK da VM no cofre de chaves SOC.

6. Remova todas as cópias dos instantâneos, exceto a cópia no armazenamento de blobs imutável.

Componentes

• O Azure Automation automatiza tarefas de gerenciamento de nuvem frequentes, demoradas e propensas a erros. Ele é usado para automatizar o processo de captura e transferência de instantâneos de disco de VM para ajudar a garantir a integridade das evidências.

• O Armazenamento é uma solução de armazenamento em nuvem que inclui armazenamento de tabela, arquivo, disco, fila e objeto. Ele hospeda instantâneos de disco no armazenamento de blobs imutável para preservar evidências em um estado não íntegro e não confiável.

• O Azure Blob Storage é um armazenamento otimizado para objetos de nuvem que gerencia grandes quantidades de dados não estruturados. Ele fornece armazenamento otimizado de objetos de nuvem para armazenar instantâneos de disco como blobs imutáveis.

• arquivos do Azure fornece compartilhamentos de arquivos totalmente gerenciados na nuvem que são acessíveis por meio do protocolo SMB (Bloco de Mensagens do Servidor) padrão do setor, protocolo NFS (Sistema de Arquivos de Rede) e API REST de Arquivos do Azure. Você pode montar simultaneamente compartilhamentos por meio de implantações locais ou de nuvem do Windows, linux e macOS. Você também pode armazenar em cache compartilhamentos de arquivos no Windows Server usando a Sincronização de Arquivos do Azure para acesso rápido perto do local de uso de dados. Os Arquivos do Azure são usados como um repositório temporário para calcular os valores de hash de instantâneos de disco.

• key vault ajuda você a proteger chaves criptográficas e outros segredos que os aplicativos e serviços de nuvem usam. Você pode usar o Key Vault para armazenar os BEKs e os valores de hash de instantâneos de disco para ajudar a garantir o acesso seguro e a integridade dos dados.

• O Microsoft Entra ID é um serviço de identidade baseado em nuvem que ajuda você a controlar o acesso ao Azure e a outros aplicativos de nuvem. Ele é usado para controlar o acesso aos recursos do Azure, o que ajuda a garantir o gerenciamento seguro de identidades.

• a do Azure Monitor dá suporte a suas operações em escala, ajudando você a maximizar o desempenho e a disponibilidade de seus recursos, ao mesmo tempo em que identifica proativamente possíveis problemas. Ele arquiva logs de atividades para auditar todos os eventos relevantes para fins de conformidade e monitoramento.

Automação

A equipe do SOC usa uma conta de Automação para criar e manter o runbook Copy-VmDigitalEvidence. A equipe também usa a Automação para criar os runbook workers híbridos que implementam o runbook.

Trabalho de runbook híbrido

O hybrid runbook worker VM é integrado à conta de Automação. A equipe do SOC usa essa VM exclusivamente para executar o runbook Copy-VmDigitalEvidence.

Você deve colocar a VM de trabalho do runbook híbrido em uma sub-rede que possa acessar a conta de armazenamento. Configure o acesso à conta de armazenamento adicionando a sub-rede de VM de trabalho de runbook híbrido às regras de lista de permissões de firewall da conta de armazenamento.

Conceda acesso a essa VM somente aos membros da equipe soc para atividades de manutenção.

Para isolar a rede virtual que a VM usa, evite conectar a rede virtual ao hub.

O hybrid runbook worker usa a identidade gerenciada atribuída pelo sistema Automação para acessar os recursos da VM de destino e os outros serviços do Azure necessários para a solução.

As permissões mínimas de RBAC (controle de acesso baseado em função) necessárias para uma identidade gerenciada atribuída pelo sistema são divididas em duas categorias:

• Permissões de acesso à arquitetura do SOC Azure que contém os componentes principais da solução
• Permissões de acesso à arquitetura de destino que contém os recursos de VM de destino

O acesso à arquitetura SOC do Azure inclui as seguintes funções:

• Colaborador da Conta de Armazenamento na conta de armazenamento imutável do SOC
• Key Vault Secrets Officer no cofre de chaves SOC para gerenciamento de BEK

O acesso à arquitetura de destino inclui as seguintes funções:

• Colaborador no grupo de recursos da VM de destino, que fornece direitos de instantâneo em discos de VM

• o Key Vault Secrets Officer no cofre de chaves da VM de destino que é usado para armazenar o BEK, somente se o RBAC for usado para controlar o acesso ao Key Vault

• Política de acesso para Obter Secreto no cofre de chaves da VM de destino que é usado para armazenar o BEK, somente se a política de acesso for usada para controlar o acesso ao Key Vault

Conta de armazenamento

A conta de Armazenamento na assinatura SOC hospeda os instantâneos de disco em um contêiner configurado com uma política de retenção legal como armazenamento de blobs imutável do Azure. O armazenamento de blobs imutável armazena objetos de dados comercialmente críticos em uma gravação uma vez, ler muitos estados (WORM). O estado WORM torna os dados não impecuperáveis e não confiáveis para um intervalo especificado pelo usuário.

Habilite o de transferência segura e propriedades de firewall de armazenamento. O firewall concede acesso somente a partir da rede virtual SOC.

A conta de armazenamento também hospeda um compartilhamento de arquivos do Azure como um repositório temporário usado para calcular o valor de hash do instantâneo.

Key Vault

A assinatura SOC tem sua própria instância do Cofre de Chaves, que hospeda uma cópia do BEK que a Criptografia de Disco do Azure usa para proteger a VM de destino. A cópia primária é armazenada no cofre de chaves que a VM de destino usa. Essa configuração permite que a VM de destino continue as operações normais sem interrupção.

O cofre de chaves SOC também armazena os valores de hash de instantâneos de disco que o runbook worker híbrido computa durante as operações de captura.

Verifique se o firewall está habilitado no cofre de chaves. Ele deve conceder acesso exclusivamente da rede virtual SOC.

Log Analytics

Um espaço de trabalho do Log Analytics armazena logs de atividades usados para auditar todos os eventos relevantes na assinatura SOC. O Log Analytics é um recurso do Monitor.

Detalhes do cenário

A análise forense digital é uma ciência que aborda a recuperação e a investigação de dados digitais para dar suporte a investigações criminais ou processos civis. A computação forense é uma ramificação da análise forense digital que captura e analisa dados de computadores, VMs e mídia de armazenamento digital.

As empresas devem garantir que as provas digitais fornecidas em resposta a solicitações legais demonstrem uma cadeia de custódia válida ao longo dos estágios de aquisição, preservação e acesso de provas.

Possíveis casos de uso

• A equipe soc de uma empresa pode implementar essa solução técnica para dar suporte a uma cadeia de custódia válida para evidências digitais.

• Os investigadores podem anexar cópias de disco obtidas usando essa técnica em um computador dedicado à análise forense. Eles podem anexar as cópias de disco sem ligar ou acessar a VM de origem original.

Conformidade regulatória de cadeia de custódia

Se for necessário enviar a solução proposta a um processo de validação de conformidade regulatória, considere os materiais na seção considerações durante o processo de validação da solução de custódia.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework​, um conjunto de princípios orientadores que você pode usar para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Os princípios que validam essa solução como uma cadeia de custódia são descritos nesta seção. Para ajudar a garantir uma cadeia de custódia válida, o armazenamento de evidências digitais deve demonstrar controle de acesso adequado, proteção e integridade de dados, monitoramento e alertas e registro em log e auditoria.

Conformidade com padrões e regulamentos de segurança

Quando você valida uma solução de cadeia de custódia, um dos requisitos a serem avaliados é a conformidade com as normas e regulamentos de segurança.

Todos os componentes incluídos no de arquitetura são serviços padrão do Azure criados em uma base que dá suporte a de conformidade de confiança, segurança e.

O Azure tem uma ampla gama de certificações de conformidade, incluindo certificações adaptadas a países ou regiões, e para setores-chave, como saúde, governo, finanças e educação.

Para obter mais informações sobre relatórios de auditoria atualizados que detalham a conformidade de padrões para os serviços usados nesta solução, consulte Portal de Confiança do Serviço.

avaliação de conformidade do Armazenamento do Azure da Cohasset fornece detalhes sobre os seguintes requisitos:

• A Regra 17 CFR § 240.17a-4(f) da SEC (Comissão de Valores Mobiliários dos Estados Unidos), que regula membros, agentes ou revendedores de uma bolsa de valores.

• A Regra 4511(c) da FINRA (Autoridade Regulatória da Indústria Financeira), que segue o formato e os requisitos de mídia da Regra 17a-4(f) da SEC.

• O regulamento 17 CFR § 1.31(c)-(d) da CFTC (Comissão de Negociação de Contratos Futuros de Commodities), que regula negociações futuras de commodities.

É a opinião da Cohasset que o Armazenamento do Azure, com o recurso de armazenamento imutável do Armazenamento de Blobs e a opção de bloqueio de política, retém blobs baseados em tempo (ou registros) em um formato não gravável e não reembrulhável e atende aos requisitos de armazenamento relevantes da Regra 17a-4(f), da Regra FINRA 4511(c) e dos requisitos baseados em princípios da Regra CFTC 1.31(c)-(d).

Privilégios mínimos

Quando as funções da equipe soc são atribuídas, apenas dois indivíduos na equipe, conhecidos como guardiões da equipe SOC, devem ter direitos para modificar o RBAC configuração da assinatura e seus dados. Conceda aos outros indivíduos apenas os direitos de acesso mínimos aos subconjuntos de dados que precisam para realizar o trabalho.

Menos acesso

Somente a rede virtual na assinatura do SOC tem acesso à conta de armazenamento do SOC e ao Key Vault que arquiva as evidências. Os membros autorizados da equipe SOC podem conceder aos investigadores acesso temporário a evidências no armazenamento soc.

Aquisição de evidências

Os logs de auditoria do Azure podem documentar a aquisição de evidências registrando a ação de tirar um instantâneo de disco de VM. Os logs incluem detalhes, como quem tira os instantâneos e quando eles são tirados.

Integridade das evidências

Use de Automação para mover evidências para seu destino final de arquivo morto, sem intervenção humana. Essa abordagem ajuda a garantir que os artefatos de evidência permaneçam inativas.

Quando você aplica uma política de retenção legal ao armazenamento de destino, a evidência é imediatamente congelada assim que é gravada. Uma retenção legal demonstra que a cadeia de custódia é totalmente mantida no Azure. Ele também indica que não há oportunidade de adulterar as evidências desde o momento em que as imagens de disco estão em uma VM dinâmica até quando elas são armazenadas como evidência na conta de armazenamento.

Por fim, você pode usar a solução fornecida como um mecanismo de integridade para calcular os valores de hash das imagens de disco. Os algoritmos de hash com suporte são MD5, SHA256, SKEIN e KECCAK (ou SHA3).

Produção de evidências

Os investigadores precisam de acesso a evidências para que possam realizar análises. Esse acesso deve ser acompanhado e autorizado explicitamente.

Forneça aos investigadores uma chave de armazenamento URI (identificador de recurso uniforme) sas (assinaturas de acesso compartilhado) chave de armazenamento para acessar evidências. Um URI sas pode gerar informações de log relevantes quando ele é criado. Você pode obter uma cópia da evidência sempre que a SAS for usada.

Por exemplo, se uma equipe jurídica precisar transferir um disco rígido virtual preservado, um dos dois guardiões da equipe soc gerará uma chave de URI SAS somente leitura que expira após oito horas. A SAS restringe o acesso aos investigadores em um período de tempo especificado.

A equipe do SOC deve colocar explicitamente os endereços IP dos investigadores que exigem acesso em uma lista de permissões no firewall de Armazenamento.

Finalmente, os investigadores precisam dos BEKs arquivados no cofre de chaves SOC para acessar as cópias de disco criptografadas. Um membro da equipe do SOC deve extrair os BEKs e fornecê-los por meio de canais seguros aos investigadores.

Repositório regional

Para conformidade, alguns padrões ou regulamentos exigem que as evidências e a infraestrutura de suporte sejam mantidas na mesma região do Azure.

Todos os componentes da solução, incluindo a conta de armazenamento que arquiva evidências, são hospedados na mesma região do Azure que os sistemas investigados.

Excelência Operacional

A Excelência Operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução em produção. Para obter mais informações, consulte Lista de verificação de revisão de design para Excelência Operacional.

Monitoramento e alertas

O Azure fornece serviços a todos os clientes para monitorar e alertar sobre anomalias relacionadas a suas assinaturas e recursos. Esses serviços incluem:

• Microsoft Sentinel.
• Microsoft Defender para Nuvem.
• Microsoft Defender para Armazenamento.

Implantar este cenário

Siga a cadeia de implantação do laboratório de custódia instruções para criar e implantar esse cenário em um ambiente de laboratório.

O ambiente de laboratório representa uma versão simplificada da arquitetura descrita neste artigo. Você implanta dois grupos de recursos na mesma assinatura. O primeiro grupo de recursos simula o ambiente de produção, abrigando evidências digitais, enquanto o segundo grupo de recursos contém o ambiente SOC.

Selecione Implantar no Azure para implantar apenas o grupo de recursos SOC em um ambiente de produção.

Configuração estendida

Você pode implantar um trabalhador de runbook híbrido no local ou em diferentes ambientes de nuvem.

Nesse cenário, você deve personalizar o runbook Copy‑VmDigitalEvidence para habilitar a captura de evidências em diferentes ambientes de destino e arquivar no armazenamento.

Colaboradores

A Microsoft mantém este artigo. Os colaboradores a seguir escreveram este artigo.

Principais autores:

• Fabio Masciotra Consultor Principal
• Simone Savi | Consultor Sênior

Para ver perfis não públicos no LinkedIn, entre no LinkedIn.

Próximas etapas

Para obter mais informações sobre os recursos de proteção de dados do Azure, confira:

• criptografia de armazenamento para dados inativos
• Visão geral das opções de criptografia de discos gerenciados
• Armazenar dados de blob comercialmente críticos com armazenamento imutável em um estado WORM

Para obter mais informações sobre os recursos de log e auditoria do Azure, confira:

• Log de segurança e auditoria do Azure
• de log de análise de armazenamento
• enviar logs de recursos do Azure para workspaces do Log Analytics, Hubs de Eventos ou de Armazenamento

Para obter mais informações sobre a conformidade do Microsoft Azure, confira:

• Conformidade do Azure
• Ofertas de conformidade da Microsoft

Recurso relacionado

• Design de arquitetura de segurança