Cadena de custodia del análisis forense de equipos en Azure

En este artículo se describe una infraestructura y un proceso de flujo de trabajo para ayudar a los equipos a proporcionar pruebas digitales que demuestren una cadena de custodia (CoC) válida en respuesta a solicitudes legales. En esta explicación se guía una CoC válida a lo largo de los procesos de adquisición, preservación y acceso a la prueba.

Architecture

El diseño de la arquitectura sigue los principios de la Zona de aterrizaje de Azure que se describen en el Cloud Adoption Framework para Azure.

Este escenario utiliza una topología de red radial como se muestra en el siguiente diagrama:

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

En la arquitectura, las máquinas virtuales (VM) de producción forman parte de una Azure Virtual Network. Sus discos están cifrados con Azure Disk Encryption. Para más información, consulte Información general sobre las opciones de cifrado de disco administrado. En la suscripción de producción, Azure Key Vault almacena las claves de cifrado BitLocker (BEK) de las máquinas virtuales.

El equipo de controles de sistemas y organizaciones (SOC) utiliza una suscripción discreta a Azure SOC. El equipo tiene acceso exclusivo a esa suscripción, que contiene los recursos que deben mantenerse protegidos, inviolables y vigilados. La cuenta Microsoft Azure Storageen la suscripción SOC aloja copias de instantáneas de disco en almacenamiento blob inmutable, y una Almacén de claves dedicada guarda los valores hash de las instantáneas y copias de los BEK de las máquinas virtuales.

En respuesta a una solicitud de captura de la prueba digital de una máquina virtual, un miembro del equipo del centro de operaciones de seguridad inicia sesión en la suscripción del centro de operaciones de seguridad de Azure y usa una máquina virtual de Hybrid Runbook Worker en Azure en Automation para implementar el runbook Copy-VmDigitalEvidence. El Trabajador del libro de ejecución híbrido de Automation proporciona el control de todos los mecanismos implicados en la captura.

El libro de ejecución Copy-VmDigitalEvidence implementa estos pasos de macro:

1. Inicie sesión en Azure utilizando la identidad administrada asignada por el sistema para una cuenta de Automation a fin de acceder a los recursos de la máquina virtual de destino y a los demás servicios de Azure requeridos por la solución.
2. Cree instantáneas de disco para el sistema operativo (SO) y los discos de datos de la máquina virtual.
3. Copie las instantáneas en el almacenamiento blob inmutable de la suscripción SOC y en un recurso compartido de archivos temporal.
4. Calcule los valores hash de las instantáneas utilizando la copia en el archivo compartido.
5. Copie los valores hash obtenidos y el BEK de la VM en la bóveda de claves del SOC.
6. Limpia todas las copias de las instantáneas, salvo la del almacenamiento de blobs inmutable.

Componentes

• Azure Automation automatiza tareas de administración de la nube frecuentes, lentas y propensas a errores.
• Storage es una solución de almacenamiento en la nube que incluye el almacenamiento de objetos, archivos, discos, colas y tablas.
• Azure Blob Storage proporciona almacenamiento optimizado de objetos en la nube que administra cantidades masivas de datos no estructurados.
• Recursos compartidos de Azure Files. Los recursos compartidos de archivos se pueden montar simultáneamente mediante implementaciones de Windows, Linux y macOS en la nube o locales. También puede almacenar en caché los recursos compartidos de Azure Files en servidores Windows Server con Azure File Sync para disponer de acceso rápido cerca de donde se utilicen los datos.
• Azure Monitor respalda sus operaciones a escala ayudándole a maximizar el rendimiento y la disponibilidad de sus recursos y a identificar problemas de forma proactiva.
• Almacén de claves le ayuda a salvaguardar claves criptográficas y otros secretos utilizados por aplicaciones y servicios en la nube.
• Id. de Microsoft Entra es un servicio de identidad basado en la nube que le ayuda a controlar el acceso a Azure y otras aplicaciones en la nube.

Automatización

El equipo SOC utiliza una cuenta Automation para crear y mantener el libro de ejecución Copy-VmDigitalEvidence. El equipo también usa Automation para crear las instancias de Hybrid Runbook Worker que utilizan el runbook.

Hybrid Runbook Worker

La máquina virtual de Hybrid Runbook Worker forma parte de la cuenta de Automation. El equipo de SOC usa esta máquina virtual exclusivamente para implementar el runbook Copy-VmDigitalEvidence.

Debe colocar la máquina virtual del Hybrid Runbook Worker en una subred que pueda acceder a la cuenta de almacenamiento. Configure el acceso a la cuenta de almacenamiento agregando la subred de máquina virtual de Hybrid Runbook Worker a las reglas de la lista de permitidos de firewall de la cuenta de almacenamiento.

Debe conceder acceso a esta VM solo a los miembros del equipo SOC para las actividades de mantenimiento.

Para aislar la red virtual que usa la máquina virtual, no conecte esa red virtual al centro de conectividad.

El Hybrid Runbook Worker utiliza la identidad administrada asignada por el sistema de automatización para acceder a los recursos de la máquina virtual de destino y a los demás servicios de Azure necesarios para la solución.

Los permisos mínimos de control de acceso basado en roles (RBAC) que deben asignarse a la identidad administrada asignada por el sistema se clasifican en dos categorías:

• Permisos de acceso a la arquitectura SOC Azure que contiene los componentes principales de la solución
• Permisos de acceso a la arquitectura de destino que contiene los recursos de la máquina virtual de destino

El acceso a la arquitectura del SOC Azure incluye los siguientes roles:

• Colaborador de cuenta de almacenamiento en la cuenta de almacenamiento inmutable del Centro de operaciones de seguridad
• El Responsable de secretos de Key Vault en el almacén de claves SOC para la administración de BEK

El acceso a la arquitectura de destino incluye los siguientes roles:

• Colaborador en el grupo de recursos de la máquina virtual de destino, que proporciona derechos de instantánea en discos de máquinas virtuales
• Agente de secretos de Key Vault en el almacén de claves de la máquina virtual de destino que se usa para almacenar el BEK, solo si se usa RBAC para el almacén de claves
• Directiva de acceso a Obtener secreto en el almacén de claves de la máquina virtual de destino que se usa para almacenar el BEK, solo si usa una directiva de acceso para Key Vault

Cuenta de Azure Storage

La cuenta Azure Storage de la suscripción SOC aloja las instantáneas de disco en un contenedor configurado con una directiva de retención legal como el almacenamiento inmutable de blobs de Azure. El almacenamiento inmutable de blobs almacena objetos de datos críticos para el negocio en un estado de escritura única y lectura múltiple (WORM), lo que hace que los datos no se puedan borrar ni editar durante un intervalo especificado por el usuario.

Asegúrese de habilitar las propiedades de transferencia segura y firewall de almacenamiento. El firewall solo permite el acceso desde la red virtual del SOC.

La cuenta de almacenamiento también hospeda un recurso compartido de archivos de Azure para usarlo como repositorio temporal para calcular el valor de hash de la instantánea.

Azure Key Vault

La suscripción al SOC tiene su propia instancia de Almacén de claves, que aloja una copia del BEK que Azure Disk Encryption utiliza para proteger la máquina virtual de destino. La copia primaria se guarda en el almacén de claves que utiliza la máquina virtual de destino, para que ésta pueda seguir funcionando con normalidad.

El almacén de claves SOC también contiene los valores hash de las instantáneas de disco calculadas por Hybrid Runbook Worker durante las operaciones de captura.

Asegúrese de que el firewall está habilitado en el almacén de claves. Solo concede acceso desde la red virtual SOC.

Log Analytics

Un área de trabajo de Log Analytics almacena los registros de actividad utilizados para auditar todos los eventos relevantes en la suscripción SOC. Log Analytics es una característica de Monitor.

Detalles del escenario

El análisis forense digital es una ciencia que aborda la recuperación e investigación de datos digitales para apoyar investigaciones criminales o procedimientos civiles. La informática forense es una rama de la informática forense que captura y analiza datos de ordenadores, máquinas virtuales y medios de almacenamiento digital.

Las empresas deben garantizar que las pruebas digitales que proporcionan en respuesta a solicitudes legales demuestran un CdC válido a lo largo de todo el proceso de adquisición, conservación y acceso a las pruebas.

Posibles casos de uso

• El equipo del Centro de operaciones de seguridad de una empresa puede implementar esta solución técnica para respaldar un CdC válido para pruebas digitales.
• Los investigadores pueden adjuntar copias de disco obtenidas con esta técnica en un ordenador dedicado al análisis forense. Pueden conectar las copias de disco sin encender la máquina virtual original ni acceder a ella.

Cumplimiento de la normativa de la CdC

Si es necesario someter la solución propuesta a un proceso de validación de cumplimiento normativo, tenga en cuenta los materiales que se indican en la sección de consideraciones durante el proceso de validación de la solución CoC.

Consideraciones

En esta sección se presentan los principios que validan esta solución como CoC.

Para garantizar una cadena de custodia válida, el almacenamiento de las evidencias digitales debe demostrar que tanto el control de acceso como la protección e integridad de los datos, la supervisión y las alertas, y el registro y la auditoría son adecuados.

Cumplimiento de las directivas y reglamentos de seguridad

Cuando se valida una solución de CdC, uno de los requisitos que hay que evaluar es el cumplimiento de las normas y reglamentos de seguridad.

Todos los componentes incluidos en la arquitectura son servicios estándar de Azure creados sobre una base que respalda la confianza, la seguridad y el cumplimiento.

Azure cuenta con una amplia gama de certificaciones de cumplimiento, incluidas certificaciones específicas para países o regiones, y para sectores clave como sanidad, administración pública, finanzas y educación.

Para obtener informes de auditoría actualizados con información sobre el cumplimiento de las normas para los servicios que se adoptan en esta solución, consulte Portal de confianza de servicios.

Cohasset Azure Storage: SEC 17a-4(f) y CFTC 1.31(c)-(d) Compliance Assessment proporciona detalles sobre los siguientes requisitos:

• La Comisión de Bolsa y Valores (SEC) en 17 CFR § 240.17a-4(f), que regula a los miembros de la bolsa, corredores o intermediarios.
• La Regla 4511(c) de la Financial Industry Regulatory Authority (FINRA), que difiere de los requisitos de formato y medios de la Regla 17a-4(f) de la SEC.
• La Comisión de Negociación de Futuros de Productos Básicos (CFTC) en el reglamento 17 CFR § 1.31(c)-(d), que regula el comercio de futuros de materias primas.

Según Cohasset, el almacenamiento, con la característica de almacenamiento inmutable de Blob Storage y la opción de bloqueo de directiva, conserva los blobs basados en el tiempo (registros) en un formato que no se puede borrar ni escribir, y cumple los requisitos de almacenamiento pertinentes de la regla 17a-4 (f) de SEC, la regla 4511 (c) de FINRA y los requisitos basados en principios de la regla 1.31 (c) de CFTC.

Privilegio mínimo

Cuando se asignan los roles del equipo SOC, solo dos individuos dentro del equipo deben tener derechos para modificar la configuración RBAC de la suscripción y sus datos. Conceda al resto de las personas solo los derechos de acceso mínimo a los subconjuntos de datos que necesitan para realizar su trabajo. Configurar e imponer el acceso a través de Azure RBAC.

Acceso mínimo

Solo la red virtual de la suscripción de SOC tiene acceso a la cuenta de almacenamiento de SOC y al almacén de claves que archiva las pruebas.

Se proporciona acceso temporal al almacenamiento del SOC a los investigadores que necesitan acceder a las pruebas. Los miembros autorizados del equipo SOC pueden conceder acceso.

Adquisición de la evidencia

Los registros de auditoría de Azure pueden mostrar la adquisición de pruebas registrando la acción de tomar una instantánea de disco de máquina virtual, con elementos como quién tomó la instantánea y cuándo lo hizo.

Integridad de la evidencia

El uso de Automation para trasladar las pruebas a su destino final de archivo, sin intervención humana, garantiza que los artefactos de las pruebas no se hayan alterado.

Al aplicar una directiva de retención legal al almacenamiento de destino, la prueba se congela en cuanto se escribe. Una suspensión legal muestra que el CoC se mantuvo completamente en Azure. Una retención legal también muestra que no hubo ninguna oportunidad de alterar las pruebas entre el momento en que las imágenes de disco existieron en una máquina virtual activa y el momento en que se agregaron como pruebas en la cuenta de almacenamiento.

Por último, puede utilizar la solución proporcionada, como mecanismo de integridad, para calcular los valores hash de las imágenes de disco. Los algoritmos hash admitidos son: MD5, SHA256, SKEIN, KECCAK (o SHA3).

Producción de evidencia

Los investigadores necesitan acceso a las pruebas para poder realizar análisis, y este acceso debe ser rastreado y autorizado explícitamente.

Proporcione a los investigadores una clave de almacenamiento para el URI de firmas de acceso compartido (SAS) para acceder a la prueba. Puede usar un URI de SAS para generar información de registro relevante cuando se genere el SAS. También puede obtener una copia de las pruebas cada vez que se utilice el SAS.

Debe colocar explícitamente las direcciones IP de los investigadores que requieren acceso en una lista de permitidos en el firewall de almacenamiento.

Por ejemplo, si un equipo jurídico necesita transferir un disco duro virtual (VHD) conservado, uno de los dos custodios del equipo SOC genera una clave SAS URI de solo lectura que caduca a las ocho horas. El SAS limita el acceso a las direcciones IP de los investigadores a un plazo determinado.

Por último, los investigadores necesitan los BEK archivados en el almacén de claves del SOC para acceder a las copias de disco cifradas. Un miembro del equipo SOC debe extraer los BEK y proporcionarlos a través de canales seguros a los investigadores.

Almacén regional

Por motivos de cumplimiento, algunas normas o reglamentos exigen que las pruebas y la infraestructura de apoyo se mantengan en la misma región Azure.

Todos los componentes de la solución, incluida la cuenta de almacenamiento que archiva las pruebas, se hospedan en la misma región de Azure que los sistemas que se están investigando.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

Supervisión y alertas

Azure proporciona servicios a todos los clientes para supervisar y alertar sobre anomalías relacionadas con sus suscripciones y recursos. Estos servicios incluyen:

• Microsoft Sentinel.
• Microsoft Defender for Cloud.
• Azure Storage Advanced Threat Protection (ATP).

Implementación de este escenario

Siga las instrucciones de implementación del laboratorio de CoC para crear e implementar este escenario en un entorno de laboratorio.

El entorno de laboratorio representa una versión simplificada de la arquitectura descrita en el artículo. Implemente dos grupos de recursos dentro de la misma suscripción. El primer grupo de recursos simula el entorno de producción, que alberga las pruebas digitales, mientras que el segundo grupo de recursos contiene el entorno SOC.

Utilice el siguiente botón para implementar solo el grupo de recursos SOC en un entorno de producción.

Configuración extendida

Puede implementar un Hybrid Runbook Worker local o en diferentes entornos de nube.

En este escenario, puede personalizar el libro de ejecución Copy-VmDigitalEvidence para habilitar la captura de pruebas en diferentes entornos de destino y archivarlas en el almacenamiento.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

• Fabio Masciotra | Consultor principal
• Simone Savi | Consultor sénior

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Para más información sobre las características de protección de datos de Azure, consulte:

• Cifrado de Azure Storage para datos en reposo
• Información general sobre las opciones de cifrado de disco administrado
• Directivas de retención con duración definida

Para más información, acerca de las características de registro y auditoría de Azure, consulte:

• Registro y auditoría de seguridad de Azure
• Registro de Azure Storage Analytics
• Registros de recursos de Azure

Para obtener más información sobre el cumplimiento de Microsoft Azure, consulte:

• Cumplimiento de Azure
• Ofertas de cumplimiento de Microsoft Azure

Recursos relacionados

• Diseño de arquitectura de seguridad
• Microsoft Entra IDaaS en operaciones de seguridad
• Consideraciones relativas a la seguridad para aplicaciones IaaS altamente confidenciales en Azure