Den här artikeln beskriver en infrastruktur- och arbetsflödesprocess som är utformad för att hjälpa team att tillhandahålla digitala bevis som visar en giltig kedja av vårdnad som svar på juridiska förfrågningar. Den här artikeln beskriver hur du upprätthåller en giltig kedja av vårdnad under hela stegen av bevisinsamling, bevarande och åtkomst.
Kommentar
Den här artikeln bygger på författarnas teoretiska och praktiska kunskaper. Innan du använder den i juridiska syften bör du verifiera dess tillämplighet med din juridiska avdelning.
Arkitektur
Arkitekturdesignen följer principerna för Azure-landningszon i Cloud Adoption Framework för Azure.
I det här scenariot används en nätverkstopologi för nav och eker, som visas i följande diagram:
Ladda ned en Visio-fil med den här arkitekturen.
Arbetsflöde
I arkitekturen ingår de virtuella produktionsdatorerna (VM) i ett virtuellt Ekernätverk i Azure. De virtuella datordiskarna krypteras med Azure Disk Encryption. Mer information finns i Översikt över krypteringsalternativ för hanterade diskar. I produktionsprenumerationen lagrar Azure Key Vault BitLocker-krypteringsnycklarna (BEK:er) för de virtuella datorerna.
Kommentar
Scenariot stöder även virtuella produktionsdatorer som har okrypterade diskar.
SOC-teamet (Security Operations Center) använder en diskret Azure SOC--prenumeration. Teamet har exklusiv åtkomst till den prenumerationen, som innehåller de resurser som måste hållas skyddade, okränkas och övervakas. Kontot Azure Storage i SOC-prenumerationen är värd för kopior av diskögonblicksbilder i oföränderlig bloblagring. Ett dedikerat nyckelvalv lagrar kopior av hash-värdena för ögonblicksbilderna och BEK:erna från de virtuella datorerna.
Som svar på en begäran om att samla in digitala bevis för en virtuell dator loggar en medlem i SOC-teamet in på Azure SOC-prenumerationen och använder en Azure Hybrid Runbook Worker vm från Azure Automation för att köra Copy-VmDigitalEvidence runbook.
Automation Hybrid Runbook Worker ger kontroll över alla mekanismer som ingår i avbildningen.
Copy-VmDigitalEvidence runbook implementerar följande makrosteg:
Använd den systemtilldelade hanterade identiteten för ett Automation-konto för att logga in på Azure. Den här identiteten ger åtkomst till den virtuella måldatorns resurser och de andra Azure-tjänster som behövs för lösningen.
Generera diskögonblicksbilder av den virtuella datorns operativsystem (OS) och datadiskar.
Överför ögonblicksbilderna till både SOC-prenumerationens oföränderliga bloblagring och till en tillfällig filresurs.
Beräkna hash-värdena för ögonblicksbilderna med hjälp av kopian som lagras i filresursen.
Lagra de erhållna hashvärdena och den virtuella datorns BEK i SOC-nyckelvalvet.
Ta bort alla kopior av ögonblicksbilderna, förutom kopian i oföränderlig bloblagring.
Kommentar
De krypterade diskarna för de virtuella produktionsdatorerna kan också använda nyckelkrypteringsnycklar (KEK:er). Den Copy-VmDigitalEvidence runbook som tillhandahålls i distributionsscenariot täcker inte det här scenariot.
Komponenter
Azure Automation automatiserar frekventa, tidskrävande och felbenägna molnhanteringsuppgifter. Den används för att automatisera processen med att samla in och överföra ögonblicksbilder av vm-diskar för att säkerställa bevisintegritet.
Lagring är en molnlagringslösning som innehåller objekt, fil, disk, kö och tabelllagring. Den är värd för diskögonblicksbilder i oföränderlig bloblagring för att bevara bevis i ett icke-erasbart och icke-bart tillstånd.
Azure Blob Storage tillhandahåller optimerad molnobjektlagring som hanterar enorma mängder ostrukturerade data. Det ger optimerad molnobjektlagring för lagring av diskögonblicksbilder som oföränderliga blobar.
Azure Files tillhandahåller fullständigt hanterade filresurser i molnet som är tillgängliga via SMB-protokollet (Server Message Block), NFS-protokollet (Network File System) och Azure Files REST API. Du kan samtidigt montera resurser via molndistributioner eller lokala distributioner av Windows, Linux och macOS. Du kan också cachelagrat filresurser på Windows Server med hjälp av Azure File Sync för snabb åtkomst nära platsen för dataanvändning. Azure Files används som en tillfällig lagringsplats för att beräkna hash-värdena för diskögonblicksbilder.
Key Vault- hjälper dig att skydda kryptografiska nycklar och andra hemligheter som molnappar och tjänster använder. Du kan använda Key Vault för att lagra BEK:er och hashvärden för diskögonblicksbilder för att säkerställa säker åtkomst och dataintegritet.
Microsoft Entra ID är en molnbaserad identitetstjänst som hjälper dig att styra åtkomsten till Azure och andra molnappar. Den används för att styra åtkomsten till Azure-resurser, vilket hjälper till att säkerställa säker identitetshantering.
Azure Monitor- stöder dina åtgärder i stor skala genom att hjälpa dig att maximera resursernas prestanda och tillgänglighet, samtidigt som du proaktivt identifierar potentiella problem. Den arkiverar aktivitetsloggar för att granska alla relevanta händelser i efterlevnads- och övervakningssyfte.
Automation
SOC-teamet använder ett Automation-konto för att skapa och underhålla Copy-VmDigitalEvidence runbook. Teamet använder också Automation för att skapa hybrid runbook-arbetare som implementerar runbooken.
Hybrid Runbook Worker
Den hybrid runbook worker- virtuella datorn är integrerad i Automation-kontot. SOC-teamet använder endast den här virtuella datorn för att köra Copy-VmDigitalEvidence runbook.
Du måste placera den virtuella hybrid-runbook worker-datorn i ett undernät som har åtkomst till lagringskontot. Konfigurera åtkomst till lagringskontot genom att lägga till hybrid runbook worker VM-undernätet i lagringskontots regler för tillåtna brandväggslistor.
Bevilja endast åtkomst till den här virtuella datorn till SOC-teammedlemmarna för underhållsaktiviteter.
Undvik att ansluta det virtuella nätverket till hubben om du vill isolera det virtuella nätverk som den virtuella datorn använder.
Hybrid runbook worker använder Automation systemtilldelad hanterad identitet för att komma åt den virtuella måldatorns resurser och de andra Azure-tjänster som lösningen kräver.
De minsta rollbaserade behörigheter för åtkomstkontroll (RBAC) som krävs för en systemtilldelad hanterad identitet är indelade i två kategorier:
- Åtkomstbehörigheter till SOC Azure-arkitekturen som innehåller lösningens kärnkomponenter
- Åtkomstbehörigheter till målarkitekturen som innehåller målresurserna för virtuella datorer
Åtkomst till SOC Azure-arkitekturen innehåller följande roller:
- Lagringskontodeltagare för det oföränderliga SOC-lagringskontot
- Key Vault Secrets Officer på SOC-nyckelvalvet för BEK-hantering
Åtkomst till målarkitekturen innehåller följande roller:
Deltagare för den virtuella måldatorns resurs grupp, som ger behörighet till ögonblicksbilder av VM-diskar
Key Vault Secrets Officer på den virtuella måldatorns nyckelvalv som används för att lagra BEK, endast om RBAC används för att styra Key Vault-åtkomsten
Åtkomstprincip för att Hämta hemlig på den virtuella måldatorns nyckelvalv som används för att lagra BEK, endast om åtkomstprincipen används för att styra Key Vault-åtkomsten
Kommentar
Om du vill läsa BEK måste den virtuella måldatorns nyckelvalv vara tillgängligt från den virtuella hybrid-runbook-arbetsdatorn. Om nyckelvalvets brandvägg är aktiverad kontrollerar du att den offentliga IP-adressen för den virtuella hybrid-runbook-arbetsdatorn tillåts via brandväggen.
Lagringskonto
Storage-kontot i SOC-prenumerationen är värd för diskögonblicksbilderna i en container som har konfigurerats med en juridiska undantag princip som Azure oföränderlig bloblagring. Oföränderlig bloblagring lagrar affärskritiska dataobjekt i ett skrivläge en gång och läser många (WORM). Worm-tillståndet gör datan icke-eraserbar och inte redigerbar för ett användardefinierat intervall.
Kontrollera att du aktiverar egenskaperna för säker överföring och lagringsbrandvägg. Brandväggen beviljar endast åtkomst från det virtuella SOC-nätverket.
Lagringskontot är också värd för en Azure-filresurs som en tillfällig lagringsplats som används för att beräkna ögonblicksbildens hashvärde.
Nyckelvalv
SOC-prenumerationen har en egen instans av Key Vault, som är värd för en kopia av den BEK som Azure Disk Encryption använder för att skydda den virtuella måldatorn. Den primära kopian lagras i nyckelvalvet som den virtuella måldatorn använder. Med den här konfigurationen kan den virtuella måldatorn fortsätta normal drift utan avbrott.
SOC-nyckelvalvet lagrar också hash-värdena för diskögonblicksbilder som hybrid runbook worker beräknar under insamlingsåtgärderna.
Kontrollera att brandväggen är aktiverad i nyckelvalvet. Den måste endast bevilja åtkomst från det virtuella SOC-nätverket.
Log Analytics
En Log Analytics-arbetsyta lagrar aktivitetsloggar som används för att granska alla relevanta händelser i SOC-prenumerationen. Log Analytics är en funktion i Monitor.
Information om scenario
Digitala säkerhetskontroller handlar om att återställa och undersöka digitala data i brottmål och civilrättsliga förfaranden. Datateknik är en gren av digital kriminalteknik som samlar in och analyserar data från datorer, virtuella datorer och digitala lagringsmedier.
Företagen måste garantera att de digitala bevis som de tillhandahåller som svar på juridiska begäranden visar en giltig kedja av vårdnad under hela skedet av bevisinsamling, bevarande och tillgång.
Potentiella användningsfall
Ett företags SOC-team kan implementera den här tekniska lösningen för att stödja en giltig kedja av vårdnad för digitala bevis.
Utredare kan bifoga diskkopior som erhålls med hjälp av den här tekniken på en dator som är dedikerad till kriminalteknisk analys. De kan koppla diskkopior utan att aktivera eller komma åt den ursprungliga virtuella källdatorn.
Regelefterlevnad för kedja för depå
Om det är nödvändigt att skicka den föreslagna lösningen till en valideringsprocess för regelefterlevnad bör du överväga materialen i avsnittet överväganden under valideringsprocessen för kedjan av depålösning.
Kommentar
Du bör inkludera din juridiska avdelning i valideringsprocessen.
Att tänka på
Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Well-Architected Framework.
Principerna som validerar den här lösningen som en kedja av vårdnad beskrivs i det här avsnittet. För att säkerställa en giltig kedja av depåbevis måste lagring av digitala bevis visa lämplig åtkomstkontroll, dataskydd och integritet, övervakning och avisering samt loggning och granskning.
Efterlevnad av säkerhetsstandarder och föreskrifter
När du validerar en kedja av förvaringslösningar är ett av kraven att utvärdera efterlevnaden av säkerhetsstandarder och föreskrifter.
Alla komponenter som ingår i arkitekturen är Azures standardtjänster som bygger på en grund som stöder förtroende, säkerhet och efterlevnad.
Azure har ett brett utbud av efterlevnadscertifieringar, inklusive certifieringar som är skräddarsydda för länder eller regioner, och för viktiga branscher som sjukvård, myndigheter, ekonomi och utbildning.
Mer information om uppdaterade granskningsrapporter som beskriver standardefterlevnad för de tjänster som används i den här lösningen finns i Service Trust Portal.
Cohassets Azure Storage-efterlevnadsbedömning innehåller information om följande krav:
Securities and Exchange Commission (SEC) i 17 CFR § 240.17a-4(f), som reglerar utbytesmedlemmar, mäklare eller återförsäljare.
Finansbranschens tillsynsmyndighet (FINRA) Regel 4511(c), som skjuter upp format- och mediekraven i SEC-regel 17a-4(f).
Commodity Futures Trading Commission (CFTC) i förordning 17 CFR § 1.31(c)-(d), som reglerar råvaruterminshandel.
Det är cohassets åsikt att Azure Storage, med den oföränderliga lagringsfunktionen i alternativet Blob Storage och principlås behåller tidsbaserade blobar (eller poster) i ett icke-skrivbart och icke-skrivbart format och uppfyller relevanta lagringskrav för SEC-regel 17a-4(f), FINRA-regel 4511(c) och de principbaserade kraven i CFTC-regel 1.31(c)-(d).
Minsta privilegium
När SOC-teamets roller tilldelas bör endast två personer i teamet, så kallade SOC-teamansvariga, ha behörighet att ändra RBAC- konfiguration av prenumerationen och dess data. Ge andra individer endast minimal åtkomstbehörighet till dataunderuppsättningar som de behöver för att utföra sitt arbete.
Minst åtkomst
Endast det virtuella nätverket i SOC-prenumerationen har åtkomst till DET SOC Storage-konto och nyckelvalv som arkiverar bevisen. Auktoriserade SOC-teammedlemmar kan ge utredare tillfällig åtkomst till bevis i SOC-lagringen.
Insamling av bevis
Azure-granskningsloggar kan dokumentera bevisinsamlingen genom att registrera åtgärden att ta en ögonblicksbild av en virtuell datordisk. Loggarna innehåller information som vem som tar ögonblicksbilderna och när de tas.
Bevisintegritet
Använd Automation för att flytta bevis till det slutliga arkivmålet, utan mänsklig inblandning. Den här metoden hjälper till att garantera att bevisartefakter förblir oförändrade.
När du tillämpar en princip för bevarande av juridiska skäl på mållagringen fryses bevisen omedelbart så snart de har skrivits. Ett juridiskt undantag visar att vårdnadskedjan underhålls fullt ut i Azure. Det indikerar också att det inte finns någon möjlighet att manipulera bevisen från den tidpunkt då diskavbildningarna finns på en virtuell dator som är live till när de lagras som bevis i lagringskontot.
Slutligen kan du använda den tillhandahållna lösningen som en integritetsmekanism för att beräkna hash-värdena för diskbilderna. De hash-algoritmer som stöds är MD5, SHA256, SKEIN och KECCAK (eller SHA3).
Bevisanvändning
Utredarna behöver tillgång till bevis så att de kan utföra analyser. Den här åtkomsten måste spåras och uttryckligen auktoriseras.
Ge utredarna en sas-uri (uniform resource identifier) (signatur för delad åtkomst) lagringsnyckel för åtkomst till bevis. En SAS-URI kan generera relevant logginformation när den skapas. Du kan hämta en kopia av bevisen varje gång SAS används.
Om ett juridiskt team till exempel behöver överföra en bevarad virtuell hårddisk genererar en av de två SOC-teamets vårdnadshavare en skrivskyddad SAS-URI-nyckel som upphör att gälla efter åtta timmar. SAS begränsar åtkomsten till utredarna inom en angiven tidsram.
SOC-teamet måste uttryckligen placera IP-adresserna för utredare som kräver åtkomst på en tillåten lista i Storage-brandväggen.
Slutligen behöver utredarna de BEK:er som arkiverats i SOC-nyckelvalvet för att få åtkomst till de krypterade diskkopior. En SOC-gruppmedlem måste extrahera BEK:erna och tillhandahålla dem via säkra kanaler till utredarna.
Regionalt lager
För efterlevnad kräver vissa standarder eller föreskrifter bevis och den stödjande infrastrukturen som ska underhållas i samma Azure-region.
Alla lösningskomponenter, inklusive lagringskontot som arkiverar bevis, finns i samma Azure-region som de system som undersöks.
Operativ skicklighet
Operational Excellence omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Checklista för designgranskning för Operational Excellence.
Övervakning och avisering
Azure tillhandahåller tjänster till alla kunder för övervakning och avisering om avvikelser relaterade till deras prenumerationer och resurser. Några exempel är:
- Microsoft Sentinel.
- Microsoft Defender för molnet.
- Microsoft Defender för Storage.
Kommentar
Konfigurationen av dessa tjänster beskrivs inte i den här artikeln.
Distribuera det här scenariot
Följ distributionskedjan för depålabbet instruktioner för att skapa och distribuera det här scenariot i en laboratoriemiljö.
Laboratoriemiljön representerar en förenklad version av arkitekturen som beskrivs i den här artikeln. Du distribuerar två resursgrupper inom samma prenumeration. Den första resursgruppen simulerar produktionsmiljön med digitala bevis, medan den andra resursgruppen innehåller SOC-miljön.
Välj Distribuera till Azure om du bara vill distribuera SOC-resursgruppen i en produktionsmiljö.
Kommentar
Om du distribuerar lösningen i en produktionsmiljö kontrollerar du att den systemtilldelade hanterade identiteten för Automation-kontot har följande behörigheter:
- En deltagare i produktionsresursgruppen för den virtuella datorn som ska bearbetas. Den här rollen skapar ögonblicksbilderna.
- En Key Vault Secrets-användare i produktionsnyckelvalvet som innehåller BEK:erna. Den här rollen läser BEK:erna.
Om nyckelvalvet har brandväggen aktiverad kontrollerar du att den offentliga IP-adressen för den virtuella hybrid-runbook-arbetsdatorn tillåts via brandväggen.
Utökad konfiguration
Du kan distribuera en hybrid runbook worker lokalt eller i olika molnmiljöer.
I det här scenariot måste du anpassa Copy‑VmDigitalEvidence runbook för att aktivera insamling av bevis i olika målmiljöer och arkivera dem i lagring.
Kommentar
Den Copy-VmDigitalEvidence runbook som tillhandahålls i avsnittet Distribuera det här scenariot utvecklades och testades endast i Azure. Om du vill utöka lösningen till andra plattformar måste du anpassa runbooken så att den fungerar med dessa plattformar.
Deltagare
Microsoft ansvarar för denna artikel. Följande deltagare skrev den här artikeln.
Huvudsakliga författare:
- Fabio Masciotra | Huvudkonsult
- Simone Savi | Senior konsult
Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.
Nästa steg
Mer information om funktionerna för dataskydd i Azure finns i:
- Storage-kryptering för vilande data
- Översikt över krypteringsalternativ för hanterade diskar
- Lagra affärskritiska blobdata med oföränderlig lagring i ett WORM-tillstånd
Mer information om funktionerna för loggning och granskning i Azure finns i:
- Säkerhetsloggning och granskning i Azure
- Storage Analytics-loggning
- Skicka Azure-resursloggar till Log Analytics-arbetsytor, händelsehubbar eller lagrings-
Mer information om Microsoft Azure-efterlevnad finns i: