Számítógépes kriminalisztikai felügyeleti lánc az Azure-ban

Ez a cikk egy olyan infrastruktúrát és munkafolyamatot ismertet, amely segít a csapatoknak olyan digitális bizonyítékokat szolgáltatni, amelyek a jogi kérésekre adott válaszként egy érvényes felügyeleti láncot (CoC-t) mutatnak be. Ez a vita végigvezeti az érvényes coC-t a bizonyítékok beszerzésének, megőrzésének és hozzáférési folyamatainak során.

Architektúra

Az architektúra kialakítása az Azure-beli célzóna alapelveit követi, amelyeket az Azure felhőadaptálási keretrendszer ismertet.

Ez a forgatókönyv egy küllős hálózati topológiát használ az alábbi ábrán látható módon:

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

Az architektúrában az éles virtuális gépek (VM-ek) egy küllős Azure-beli virtuális hálózat részei. A lemezeket az Azure Disk Encryption titkosítja. További információ: A felügyelt lemeztitkosítási lehetőségek áttekintése. Az éles előfizetésben az Azure Key Vault tárolja a virtuális gépek BitLocker titkosítási kulcsait (BEK-ket).

A rendszer- és szervezetvezérlők (SOC) csapata különálló Azure SOC-előfizetést használ. A csapat kizárólagos hozzáféréssel rendelkezik az előfizetéshez, amely tartalmazza azokat az erőforrásokat, amelyeket védeni, sérthetetlennek és monitorozni kell. Az SOC-előfizetés Azure Storage-fiókja nem módosítható blobtárolóban tárolja a lemez pillanatképeinek másolatait, egy dedikált kulcstartó pedig megőrzi a pillanatképek kivonatértékeit és a virtuális gépek BEK-jeinek másolatait.

A virtuális gép digitális bizonyítékainak rögzítésére irányuló kérésre válaszul egy SOC-csapattag bejelentkezik az Azure SOC-előfizetésbe, és egy Azure hibrid runbook-feldolgozó virtuális gépet használ az Automationben a Copy-VmDigitalEvidence runbook implementálásához. Az Automation hibrid runbook-feldolgozója a rögzítésben részt vevő összes mechanizmus vezérlését biztosítja.

A Copy-VmDigitalEvidence runbook a következő makrólépéseket implementálja:

1. Jelentkezzen be az Azure-ba egy Automation-fiók rendszer által hozzárendelt felügyelt identitásával a cél virtuális gép erőforrásainak és a megoldáshoz szükséges egyéb Azure-szolgáltatások eléréséhez.
2. Lemez pillanatképek létrehozása a virtuális gép operációs rendszeréhez és adatlemezeihez.
3. Másolja a pillanatképeket az SOC-előfizetés nem módosítható blobtárolójára és egy ideiglenes fájlmegosztásba.
4. A fájlmegosztáson lévő másolat használatával kiszámíthatja a pillanatképek kivonatértékeit.
5. Másolja a kapott kivonatértékeket és a virtuális gép BEK-jét az SOC kulcstartóba.
6. Törölje a pillanatképek összes másolatát, kivéve azt, amelyik nem módosítható blobtárolóban található.

Összetevők

• Az Azure Automation automatizálja a gyakori, időigényes és hibalehetőségű felhőfelügyeleti feladatokat.
• A Storage egy felhőalapú tárolási megoldás, amely objektumot, fájlt, lemezt, üzenetsort és táblatárolót tartalmaz.
• Az Azure Blob Storage optimalizált felhőalapú objektumtárolást biztosít, amely nagy mennyiségű strukturálatlan adatot kezel.
• Azure Files-megosztások . A megosztásokat egyidejűleg csatlakoztathatja a Windows, Linux és macOS felhőbeli vagy helyszíni üzembe helyezésével. Az Azure Files-megosztásokat windowsos kiszolgálókon is gyorsítótárazhatja az Azure File Sync használatával, hogy gyorsan elérhesse az adatok felhasználási helyét.
• Az Azure Monitor nagy méretekben támogatja a műveleteket azáltal, hogy segít maximalizálni az erőforrások teljesítményét és rendelkezésre állását, és proaktív módon azonosítani a problémákat.
• A Key Vault segítségével megvédheti a felhőalkalmazások és -szolgáltatások által használt titkosítási kulcsokat és egyéb titkos kulcsokat.
• A Microsoft Entra ID egy felhőalapú identitásszolgáltatás, amely segít szabályozni az Azure-hoz és más felhőalkalmazásokhoz való hozzáférést.

Automation

Az SOC-csapat egy Automation-fiókot használ a Copy-VmDigitalEvidence runbook létrehozásához és karbantartásához. A csapat az Automation használatával is létrehozza a runbookot üzemeltető hibrid runbook-feldolgozókat.

Hibrid runbook-feldolgozó

A hibrid runbook-feldolgozó virtuális gép az Automation-fiók része. Az SOC csapata kizárólag ezt a virtuális gépet használja a Copy-VmDigitalEvidence runbook implementálásához.

A hibrid runbook-feldolgozó virtuális gépet egy olyan alhálózatba kell helyeznie, amely hozzáfér a Storage-fiókhoz. Konfigurálja a Tárfiókhoz való hozzáférést úgy, hogy hozzáadja a hibrid runbook-feldolgozó virtuálisgép-alhálózatot a Storage-fiók tűzfalengedélyezési szabályaihoz.

Ehhez a virtuális géphez csak az SOC-csapattagok férhetnek hozzá karbantartási tevékenységekhez.

A virtuális gép által használt virtuális hálózat elkülönítéséhez ne csatlakoztassa a virtuális hálózatot a központhoz.

A hibrid runbook-feldolgozó az Automation rendszer által hozzárendelt felügyelt identitásával éri el a cél virtuális gép erőforrásait és a megoldás által igényelt egyéb Azure-szolgáltatásokat.

A rendszer által hozzárendelt felügyelt identitáshoz hozzárendelendő minimális szerepköralapú hozzáférés-vezérlési (RBAC) engedélyek két kategóriába sorolhatók:

• Hozzáférési engedélyek a megoldás alapvető összetevőit tartalmazó SOC Azure-architektúrához
• Hozzáférési engedélyek a célarchitektúra számára, amely a cél virtuálisgép-erőforrásokat tartalmazza

Az SOC Azure-architektúrához való hozzáférés a következő szerepköröket foglalja magában:

• Tárfiók-közreműködő az SOC nem módosítható tárfiókján
• Key Vault titkos kulcskezelő a BEK-felügyelet SOC-kulcstartóján

A célarchitektúra elérése a következő szerepköröket foglalja magában:

• Közreműködő a cél VM-erőforráscsoportban, amely jogosultságot ad a VM lemezeiről készült pillanatképek rögzítéséhez
• Key Vault titkos kulcskezelő a cél virtuális gép kulcstartóján a BEK tárolásához, csak akkor, ha RBAC-t használ a kulcstartóhoz
• Hozzáférési szabályzat a titkos kulcs lekéréséhez a cél virtuális gép kulcstartóján a BEK tárolásához, csak akkor, ha hozzáférési szabályzatot használ a Key Vaulthoz

Azure Storage-fiók

Az SOC-előfizetésBen található Azure Storage-fiók tárolja a lemez pillanatképeit egy jogi visszatartási szabályzattal konfigurált tárolóban, azure-beli nem módosítható blobtárolóként. A nem módosítható blobtárolók az üzletileg kritikus fontosságú adatobjektumokat egyszer írási, olvasási (WORM) állapotban tárolják, ami miatt az adatok nem módosíthatók és nem szerkeszthetők egy felhasználó által megadott időközönként.

Ügyeljen arra, hogy engedélyezze a biztonságos átviteli és tárolási tűzfal tulajdonságait. A tűzfal csak az SOC virtuális hálózatról biztosít hozzáférést.

A tárfiók egy Azure-fájlmegosztást is üzemeltet ideiglenes adattárként a pillanatkép kivonatértékének kiszámításához.

Azure Key Vault

Az SOC-előfizetés saját Key Vault-példánysal rendelkezik, amely az Azure Disk Encryption által a cél virtuális gép védelmére használt BEK másolatát tárolja. Az elsődleges példány a cél virtuális gép által használt kulcstartóban marad, így a cél virtuális gép folytathatja a normál működést.

Az SOC-kulcstartó tartalmazza a hibrid runbook-feldolgozó által a rögzítési műveletek során kiszámított lemezpillanatképek kivonatértékeit is.

Győződjön meg arról, hogy a tűzfal engedélyezve van a kulcstartóban. Csak az SOC virtuális hálózatról biztosít hozzáférést.

Log Analytics

A Log Analytics-munkaterületek az SOC-előfizetés összes releváns eseményének naplózásához használt tevékenységnaplókat tárolják. A Log Analytics a Monitor egyik funkciója.

Forgatókönyv részletei

A digitális kriminalisztika tudománya a digitális adatok helyreállítását és vizsgálatát kezeli bűnügyi nyomozások vagy polgári peres eljárások támogatására. A számítógépes kriminalisztika a digitális kriminalisztika egyik ága, amely számítógépekről, virtuális gépekről és digitális tárolóeszközökről származó adatokat rögzít és elemez.

A vállalatoknak garantálniuk kell, hogy a jogi kérelmekre válaszul benyújtott digitális bizonyítékok érvényes coC-t tanúsítanak a bizonyítékok beszerzésének, megőrzésének és hozzáférésének folyamata során.

Lehetséges használati esetek

• A vállalat Security Operation Center csapata implementálhatja ezt a technikai megoldást, hogy támogassa a digitális bizonyítékokra vonatkozó érvényes coC-t.
• A nyomozók csatolhatnak lemezmásolatokat, amelyeket ezzel a technikával szereznek be egy törvényszéki elemzésre dedikált számítógépen. Az eredeti forrás virtuális gép bekapcsolása vagy elérése nélkül csatolhatják a lemezpéldányokat.

CoC jogszabályi megfelelőség

Ha a javasolt megoldást egy jogszabályi megfelelőség-ellenőrzési folyamatnak kell benyújtania, vegye figyelembe a CoC-megoldás ellenőrzési folyamatának megfontolandó szempontok szakaszában található anyagokat.

Megfontolások

A megoldás CoC-ként való érvényesítésének alapelveit ebben a szakaszban mutatjuk be.

Az érvényes CoC biztosításához a digitális bizonyítékok tárhelyének bizonyítania kell a megfelelő hozzáférés-vezérlést, adatvédelmet és -integritást, monitorozást és riasztást, valamint naplózást.

A biztonsági szabványoknak és előírásoknak való megfelelés

CoC-megoldás ellenőrzésekor az egyik kiértékelendő követelmény a biztonsági szabványoknak és előírásoknak való megfelelés.

Az architektúra minden összetevője olyan Alapra épülő Azure standard szolgáltatások, amelyek támogatják a bizalmat, a biztonságot és a megfelelőséget.

Az Azure számos megfelelőségi tanúsítvánnyal rendelkezik, beleértve az országokra vagy régiókra vonatkozó tanúsítványokat, valamint az olyan kulcsfontosságú iparágakat, mint az egészségügy, a közigazgatás, a pénzügy és az oktatás.

Az ebben a megoldásban elfogadott szolgáltatások szabványmegfelelőségéről szóló frissített auditjelentésekért tekintse meg a Szolgáltatásmegbízhatósági portált.

A Cohasset Azure Storage-ja: Standard kiadás C 17a-4(f) és CFTC 1.31(c)-(d) megfelelőségi értékelés a következő követelményekkel kapcsolatos részleteket tartalmazza:

• Értékpapír- és Exchange Bizottság (Standard kiadás C) a 17 CFR § 240.17a-4(f), amely szabályozza a tőzsdetagok, brókerek, vagy kereskedők.
• Pénzügyi iparági szabályozó hatóság (FINRA) 4511(c) szabálya, amely ellentmond a Standard kiadás C 17a-4(f) szabályának formátumára és médiakövetelményére.
• Árutőzsdei Kereskedési Bizottság (CFTC) a 17 CFR § 1.31(c)-(d), amely szabályozza az árutőzsdei kereskedés.

Cohasset véleménye, hogy a tároló, a Blob Storage nem módosítható tárolási funkciójával és a szabályzatzárolási lehetőséggel az időalapú blobokat (rekordokat) nem módosítható és nem írható formátumban őrzi meg, és megfelel a Standard kiadás C 17a-4(f) szabályának, a FINRA 4511(c) szabályának, valamint az 1.31(c)-(d) CFTC-szabály alapelvein alapuló követelményeinek.

Minimális jogosultság

Az SOC-csapat szerepköreinek hozzárendelésekor a csapaton belül csak két személy jogosult az előfizetés RBAC-konfigurációjának és adatainak módosítására. Csak minimális hozzáférési jogosultságot adjon más személyeknek a munkájuk elvégzéséhez szükséges adathalmazokhoz. A hozzáférés konfigurálása és kényszerítése az Azure RBAC-ben.

Minimális hozzáférés

Csak az SOC-előfizetésben lévő virtuális hálózat rendelkezik hozzáféréssel az SOC Storage-fiókhoz és a kulcstartóhoz, amely a bizonyítékot archiválja.

Az SOC-tárolóhoz való ideiglenes hozzáférést olyan nyomozók számára biztosítják, amelyek bizonyítékhoz való hozzáférést igényelnek. A SOC-csapat jogosult tagjai hozzáférést biztosíthatnak.

Bizonyítékok beszerzése

Az Azure-naplózási naplók a virtuálisgép-lemez pillanatképének rögzítésével mutathatják meg a bizonyítékok beszerzését, olyan elemekkel, mint például a pillanatképek készítése és mikor.

Bizonyítékok integritása

Az Automation használata a bizonyítékok végleges archiválási célhelyre való áthelyezéséhez emberi beavatkozás nélkül, garantálja, hogy a bizonyíték-összetevőket nem módosították.

Ha jogi visszatartási szabályzatot alkalmaz a céltárolóra, a bizonyíték a megírás után azonnal lefagy. A jogi mentesség azt mutatja, hogy a CoC teljes egészében az Azure-ban lett fenntartva. A jogi visszatartás azt is jelzi, hogy a lemezképek élő virtuális gépen való fennállása és a tárfiókban bizonyítékként való hozzáadása között nem volt lehetőség a bizonyítékok illetéktelen illetéktelen befolyásolására.

Végül használhatja a megadott megoldást integritási mechanizmusként a lemezképek kivonatértékeinek kiszámításához. A támogatott kivonatoló algoritmusok a következők: MD5, SHA256, SKEIN, KECCAK (vagy SHA3).

Bizonyítékok létrehozása

A nyomozóknak hozzá kell férniük a bizonyítékokhoz, hogy elemzéseket végezhessenek, és ezt a hozzáférést nyomon kell követni és explicit módon engedélyezni kell.

Biztosítson a nyomozóknak egy közös hozzáférésű jogosultságkódot (SAS) URI-tárolókulcsot a bizonyítékok eléréséhez. Sas URI használatával releváns naplóadatokat hozhat létre az SAS létrehozásakor. A bizonyítékok másolatát is beszerezheti minden alkalommal, amikor az SAS-t használják.

Kifejezetten el kell helyeznie a hozzáférést igénylő nyomozók IP-címét egy engedélyezési listára a Storage tűzfalon.

Ha például egy jogi csapatnak megőrzött virtuális merevlemezt (VHD) kell átadnia, a két SOC-csapat egyik felügyelője létrehoz egy írásvédett SAS URI-kulcsot, amely nyolc óra elteltével lejár. Az SAS egy adott időkeretre korlátozza a nyomozók IP-címéhez való hozzáférést.

Végül a nyomozóknak az SOC kulcstartóban archivált BEK-kre van szükségük a titkosított lemezpéldányok eléréséhez. Az SOC csapatának tagjainak ki kell nyerniük a BEK-ket, és biztonságos csatornákon keresztül kell biztosítaniuk őket a nyomozóknak.

Regionális tároló

A megfelelőség érdekében bizonyos szabványok vagy előírások megkövetelik a bizonyítékokat és a támogatási infrastruktúrát ugyanabban az Azure-régióban.

Az összes megoldásösszetevő, beleértve a bizonyítékokat archiváló Storage-fiókot is, ugyanabban az Azure-régióban található, mint a vizsgált rendszerek.

Működés eredményessége

Az üzemeltetési kiválóság azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben tartják azt. További információ: A működési kiválósági pillér áttekintése.

Figyelés és riasztás

Az Azure minden ügyfél számára szolgáltatásokat nyújt az előfizetéseket és erőforrásokat érintő rendellenességek figyeléséhez és riasztásához. Ilyen szolgáltatások többek között a következők:

• Microsoft Sentinel.
• Felhőhöz készült Microsoft Defender.
• Azure Storage Advanced Threat Protection (ATP).

A forgatókönyv üzembe helyezése

Kövesse a CoC-tesztkörnyezet üzembe helyezési utasításait a forgatókönyv laboratóriumi környezetben való létrehozásához és üzembe helyezéséhez.

A laboratóriumi környezet a cikkben ismertetett architektúra egyszerűsített verzióját jelöli. Két erőforráscsoportot helyez üzembe ugyanazon az előfizetésen belül. Az első erőforráscsoport az éles környezetet szimulálja, digitális bizonyítékokkal, míg a második erőforráscsoport az SOC-környezetet tartalmazza.

Az alábbi gombbal csak az SOC-erőforráscsoportot helyezheti üzembe éles környezetben.

Kiterjesztett konfiguráció

Hibrid runbook-feldolgozót telepítheti a helyszínen vagy különböző felhőkörnyezetekben.

Ebben a forgatókönyvben testre szabhatja a Copy-VmDigitalEvidence runbookot, hogy lehetővé tegye a bizonyítékok rögzítését különböző célkörnyezetekben, és archiválja őket a tárolóban.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerzők:

• Fabio Masciotra | Főtanácsadó
• Simone Savi | Vezető tanácsadó

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

További információ az Azure adatvédelmi funkcióiról:

• Inaktív adatok Azure Storage-titkosítása
• A felügyelt lemeztitkosítási lehetőségek áttekintése
• Az üzlet szempontjából létfontosságú blobadatok tárolása nem módosítható tárolással

További információ az Azure naplózási funkcióiról:

• Azure biztonsági naplózás
• Azure Storage Analytics-naplózás
• Azure-erőforrásnaplók

A Microsoft Azure-megfelelőségről további információt a következő témakörben talál:

• Az Azure megfelelősége
• Microsoft Azure megfelelőségi ajánlatok

Kapcsolódó erőforrások

• Biztonsági architektúra tervezése
• Microsoft Entra IDaaS biztonsági műveletekben
• Biztonsági szempontok az Azure-beli, rendkívül érzékeny IaaS-alkalmazásokhoz