本文概述基礎結構和工作流程程式,旨在協助小組提供數字證據,以示範有效的監管鏈,以回應法律要求。 本文說明如何在證據取得、保存和存取的各個階段維護有效的監管鏈。
注意
本文以作者的理論和實踐知識為基礎。 在您將其用於法律用途之前,請先向您的法律部門驗證其適用性。
架構
此架構設計遵循適用於 Azure 的雲端採用架構中的 Azure 登陸區域原則。
此案例使用中樞和輪輻網路拓撲,如下圖所示:
下載此架構的 Visio 檔案。
工作流程
在架構中,生產虛擬機(VM)是輪輻 Azure 虛擬網路的一部分。 VM 磁碟會使用 Azure 磁碟加密來加密。 如需詳細資訊,請參閱受控磁碟加密選項概觀。 在生產訂用帳戶中,Azure Key Vault 儲存 VM 的 BitLocker 加密密鑰(BEK)。
注意
此案例也支援具有未加密磁碟的生產 VM。
安全性作業中心 (SOC) 小組會使用離散的 Azure SOC 訂用帳戶。 小組具有該訂用帳戶的獨佔存取權,其中包含必須受到保護、不可侵犯和監視的資源。 SOC 訂用帳戶中的 Azure 記憶體 帳戶會裝載 固定 Blob 記憶體中磁碟快照集的複本。 專用 金鑰保存庫 儲存快照集和 VM 中 BEK 哈希值的複本。
為了回應擷取 VM 數位辨識項的要求,SOC 小組成員會登入 Azure SOC 訂用帳戶,並使用 Azure 混合式 Runbook 背景工作角色 VM 從 Azure 自動化 來執行 Copy-VmDigitalEvidence Runbook。
自動化混合式 Runbook 背景工作角色 可控制擷取中包含的所有機制。
Copy-VmDigitalEvidence Runbook 會實作下列巨集步驟:
使用自動化帳戶 系統指派的受控識別來登入 Azure。 此身分識別會授與目標 VM 資源的存取權,以及解決方案所需的其他 Azure 服務。
產生 VM作系統 (OS) 和數據磁碟的磁碟快照集。
將快照集傳送至SOC訂用帳戶的固定 Blob 記憶體和暫存檔案共用。
使用儲存在檔案共用中的複本來計算快照集的哈希值。
將取得的哈希值和 VM 的 BEK 儲存在 SOC 金鑰保存庫中。
拿掉快照集的所有複本,但不可變 Blob 記憶體中的複本除外。
注意
生產 VM 的加密磁碟也可以使用金鑰加密金鑰(KEK)。
部署案例中提供的 Copy-VmDigitalEvidence Runbook 未涵蓋此案例。
元件
Azure 自動化 自動化頻繁、耗時且容易出錯的雲端管理工作。 它用來自動化擷取和傳輸 VM 磁碟快照集的程式,以協助確保辨識項完整性。
記憶體是雲端記憶體解決方案,其中包含物件、檔案、磁碟、佇列和數據表記憶體。 它會裝載不可變 Blob 記憶體中的磁碟快照集,以保留處於不可轉譯和不可編輯狀態的辨識項。
Azure Blob 儲存體 提供優化的雲端物件記憶體,可管理大量的非結構化數據。 它提供優化的雲端物件記憶體,以將磁碟快照集儲存為不可變的 Blob。
Azure 檔案服務 提供雲端中完全受控的檔案共用,可透過業界標準伺服器消息塊 (SMB) 通訊協定、網路文件系統 (NFS) 通訊協定和 Azure 檔案服務 REST API 來存取。 您可以透過 Windows、Linux 和 macOS 的雲端或內部部署部署,同時掛接共用。 您也可以使用 Azure 檔案同步快取 Windows Server 上的檔案共用,以便快速存取數據使用位置附近。 Azure 檔案服務會作為暫存存放庫,以計算磁碟快照集的哈希值。
Key Vault 可協助您保護雲端應用程式和服務所使用的密碼編譯密鑰和其他秘密。 您可以使用 Key Vault 來儲存磁碟快照集的 BEK 和哈希值,以協助確保安全存取和數據完整性。
Microsoft Entra ID 是雲端式身分識別服務,可協助您控制 Azure 和其他雲端應用程式的存取。 它用來控制 Azure 資源的存取權,這有助於確保身分識別管理的安全。
Azure 監視器 可協助您最大化資源的效能和可用性,同時主動找出潛在問題,以大規模支援您的作業。 它會封存活動記錄,以稽核所有相關事件以進行合規性和監視。
自動化
SOC 小組會使用 自動化 帳戶來建立和維護 Copy-VmDigitalEvidence Runbook。 小組也會使用自動化來建立實作 Runbook 的混合式 Runbook 背景工作角色。
混合式 Runbook 背景工作角色
混合式 Runbook 背景工作角色 VM 已整合到自動化帳戶中。 SOC 小組會專門使用此 VM 來執行 Copy-VmDigitalEvidence Runbook。
您必須將混合式 Runbook 背景工作角色 VM 放在可存取記憶體帳戶的子網中。 將混合式 Runbook 背景工作角色 VM 子網新增至記憶體帳戶的防火牆允許清單規則,以設定記憶體帳戶的存取權。
僅將此 VM 的存取權授與 SOC 小組成員以進行維護活動。
若要隔離 VM 所使用的虛擬網路,請避免將虛擬網路連線到中樞。
混合式 Runbook 背景工作角色會使用 自動化系統指派的受控識別 來存取目標 VM 的資源,以及解決方案所需的其他 Azure 服務。
系統指派的受控識別所需的最小角色型訪問控制 (RBAC) 權限分為兩個類別:
- 包含解決方案核心元件的SOC Azure架構訪問許可權
- 包含目標 VM 資源之目標架構的訪問許可權
SOC Azure 架構的存取權包含下列角色:
- SOC 不可變記憶體帳戶上的記憶體帳戶參與者
- KEY Vault 秘密人員 SOC 金鑰保存庫進行 BEK 管理
存取目標架構包含下列角色:
目標 VM 資源群組上的參與者 ,其提供 VM 磁碟的快照集許可權
Key Vault 秘密人員 用來儲存 BEK 的目標 VM 金鑰保存庫,只有當 RBAC 用來控制 Key Vault 存取權時
存取原則,以 在用來儲存 BEK 的目標 VM 金鑰保存庫上 取得秘密,只有當存取原則用來控制 Key Vault 存取權時
注意
若要讀取 BEK,必須可從混合式 Runbook 背景工作角色 VM 存取目標 VM 的金鑰保存庫。 如果密鑰保存庫的防火牆已啟用,請確定允許透過防火牆的混合式 Runbook 背景工作角色 VM 的公用 IP 位址。
記憶體帳戶
SOC 訂用帳戶中 記憶體帳戶會將磁碟快照集裝載在容器中,該容器中設定了 合法保留 原則作為 Azure 固定 Blob 記憶體。 不可變的 Blob 記憶體會將業務關鍵資料物件儲存在寫入一次,讀取許多 (WORM) 狀態。 WORM 狀態會使用戶指定的間隔數據不可復原且無法編輯。
請確定您啟用 安全傳輸,並 記憶體防火牆 屬性。 防火牆只會從SOC虛擬網路授與存取權。
儲存器帳戶也會裝載 Azure 檔案共用, 作為用來計算快照集哈希值的暫存存放庫。
Key Vault(金鑰庫)
SOC 訂用帳戶有自己的 金鑰保存庫 實例,其裝載 Azure 磁碟加密 用來保護目標 VM 的 BEK 複本。 主要復本會儲存在目標 VM 使用的金鑰保存庫中。 此設定可讓目標 VM 繼續正常作業,而不會中斷。
SOC 金鑰保存庫也會儲存混合式 Runbook 背景工作角色在擷取作業期間計算的磁碟快照集哈希值。
確定金鑰保存庫上已啟用 防火牆。 它必須以獨佔方式授與SOC虛擬網路的存取權。
Log Analytics
Log Analytics 工作區會儲存用來稽核 SOC 訂用帳戶上所有相關事件的活動記錄。 Log Analytics 是監視器的功能。
案例詳細資料
數位鑑識是一門處理數位資料復原和調查的科學,以支援刑事調查或民事訴訟。 計算機鑑識是數位鑑識的分支,可從計算機、VM 和數位儲存媒體擷取和分析數據。
公司必須保證他們提供的數字證據,以回應法律要求,證明在取證、保全和存取的各個階段,都有有效的監管鏈。
潛在使用案例
公司的SOC小組可以實作此技術解決方案,以支援數字證據的有效監管鏈。
調查人員可以在專門用於鑑識分析的計算機上,連接使用這項技術取得的磁碟復本。 他們可以連結磁碟復本,而不需開啟電源或存取原始來源 VM。
監管法規合規性鏈結
如果需要將建議的解決方案提交至法規合規性驗證程式,請考慮監管解決方案驗證程式鏈結期間 考慮 一節中的數據。
注意
您應該在驗證程式中包含您的法律部門。
考量
這些考量能實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可以用來改善工作負載的品質。 如需詳細資訊,請參閱 Well-Architected Framework。
本節將說明將此解決方案驗證為監管鏈結的原則。 為了協助確保有效的監管鏈結,數位辨識項記憶體必須示範適當的訪問控制、數據保護和完整性、監視和警示,以及記錄和稽核。
符合安全性標準和法規
當您驗證監管解決方案鏈結時,要評估的其中一項需求是符合安全性標準和法規。
架構 中包含的所有元件都是以支援信任、安全性和 合規性為基礎而建置的 Azure 標準服務。
Azure 具有廣泛的合規性認證,包括針對國家或地區量身打造的認證,以及醫療保健、政府、財務和教育等重要產業。
如需更新的稽核報告,詳細說明此解決方案中所用服務的標準合規性,請參閱 服務信任入口網站。
Cohasset 的 Azure 記憶體合規性評定 提供下列需求的詳細資料:
證券交易委員會(SEC)在17個CFR - 240.17a-4(f),監管交易所成員,經紀人或轉銷商。
金融業監管局 (FINRA) 規則 4511(c),其遵循 SEC 規則 17a-4(f) 的格式和媒體要求。
商品期貨交易委員會(CFTC)在監管商品期貨交易的17個CFR - 1.31(c)-(d),監管商品期貨交易。
Cohasset 認為 Azure 記憶體 具有 Blob 記憶體和原則鎖定選項的不可變記憶體功能,以不可轉譯和不可寫入的格式保留時間型 Blob(或 記錄),並符合 SEC 規則 17a-4(f)、FINRA 規則 4511(c)的相關儲存需求,以及 CFTC 規則 1.31(c)-(d) 的原則型需求。
最低權限
指派SOC小組的角色時,小組中只有兩個人,稱為SOC小組監管人,應該有權修改訂用帳戶及其數據的 RBAC 設定。 只授與其他個人對執行其工作所需之數據子集的最小訪問許可權。
最低存取權
只有SOC訂用帳戶中的虛擬網路可以存取封存辨識項的SOC記憶體帳戶和金鑰保存庫。 授權的SOC小組成員可以將SOC記憶體中證據的暫時存取權授與調查人員。
辨識項
Azure 稽核記錄可以記錄採取 VM 磁碟快照集的動作來記錄辨識項擷取。 記錄包含詳細數據,例如擷取快照集的人員,以及擷取快照集的時間。
辨識項完整性
使用 自動化 將辨識項移至其最終封存目的地,而不需人為介入。 此方法可協助保證辨識項成品維持不變。
當您將法律保留原則套用至目的地記憶體時,證據會在寫入后立即凍結。 法律保留證明在 Azure 內完全維護監管鏈。 它也會指出,當磁碟映像儲存為記憶體帳戶中的辨識項時,無法竄改辨識項。
最後,您可以使用所提供的解決方案作為完整性機制,以計算磁碟映像的哈希值。 支援的哈希演算法為 MD5、SHA256、SKEIN 和 KECCAK (或 SHA3)。
辨識項生產
調查人員需要獲得證據,以便他們執行分析。 此存取權必須經過追蹤並明確授權。
為調查人員提供 共用存取簽章 (SAS) 統一資源識別碼 (URI) 記憶體金鑰來存取辨識項。 SAS URI 可以在建立時產生相關的記錄資訊。 每次使用 SAS 時,您都可以取得辨識項的複本。
例如,如果法律小組需要轉移保留的虛擬硬碟,則兩個SOC小組監管人之一會產生在八小時後到期的唯讀SAS URI 密鑰。 SAS 會限制在指定的時間範圍內存取調查人員。
SOC 小組必須明確放置需要存取記憶體防火牆中允許清單之調查人員的IP位址。
最後,調查人員需要封存於SOC金鑰保存庫中的BEK,才能存取加密的磁碟復本。 SOC 小組成員必須擷取 BEK,並透過安全通道提供給調查人員。
區域商店
為了符合規範,某些標準或法規需要辨識項和支援基礎結構,才能在相同的 Azure 區域中維護。
所有解決方案元件,包括封存辨識項的記憶體帳戶,都裝載在與所調查系統相同的 Azure 區域中。
卓越營運
卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱卓越營運的設計檢閱檢查清單。
監視和警示
Azure 為所有客戶提供服務,以監視和警示與其訂用帳戶和資源相關的異常狀況。 這些服務包括:
注意
本文並未說明這些服務的設定。
部署此案例
請遵循監管實驗室部署 鏈 指示,以在實驗室環境中建置和部署此案例。
實驗室環境代表本文所述架構的簡化版本。 您會在相同的訂用帳戶內部署兩個資源群組。 第一個資源群組會模擬生產環境、住房數字辨識項,而第二個資源群組則保存SOC環境。
選取 [部署至 Azure,只部署生產環境中的 SOC 資源群組。
注意
如果您在生產環境中部署解決方案,請確定自動化帳戶的系統指派受控識別具有下列許可權:
- 要處理的 VM 生產資源群組中的參與者。 此角色會建立快照集。
- 金鑰保存庫 保存 BEK 的生產金鑰保存庫中的秘密使用者。 此角色會讀取 BEK。
如果密鑰保存庫已啟用防火牆,請務必透過防火牆允許混合式 Runbook 背景工作角色 VM 的公用 IP 位址。
擴充組態
您可以在內部部署或不同的雲端環境中部署混合式 Runbook 背景工作角色。
在此案例中,您必須自定義 Copy‑VmDigitalEvidence Runbook,以在不同的目標環境中擷取辨識項,並將其封存於記憶體中。
注意
部署此案例一節中提供的 Copy-VmDigitalEvidence Runbook 只在 Azure 中開發及測試。 若要將解決方案延伸至其他平臺,您必須自定義 Runbook 以使用這些平臺。
參與者
本文由 Microsoft 維護。 下列參與者撰寫本文。
主要作者:
- Fabio Masciotra |首席顧問
- Simone Savi |資深顧問
若要查看非公開的 LinkedIn 個人檔案,請登入 LinkedIn。
下一步
如需 Azure 資料保護功能的詳細資訊,請參閱:
如需 Azure 記錄和稽核功能的詳細資訊,請參閱:
如需Microsoft Azure 合規性的詳細資訊,請參閱: