Catena di custodia per l'informatica forense in Azure

Questo articolo descrive un processo di infrastruttura e flusso di lavoro per aiutare i team a fornire prove digitali che illustrano una catena valida di custodia (CoC) in risposta alle richieste legali. Questa discussione guida un CoC valido in tutti i processi di acquisizione, conservazione e accesso delle prove.

Architettura

La progettazione dell'architettura segue i principi della zona di destinazione di Azure descritti in Cloud Adoption Framework per Azure.

Questo scenario usa una topologia di rete hub-spoke, come illustrato nel diagramma seguente:

Scaricare un file di Visio di questa architettura.

Workflow

Nell'architettura le macchine virtuali di produzione fanno parte di una rete virtuale di Azure spoke. I dischi vengono crittografati con Crittografia dischi di Azure. Per altre informazioni, vedere Panoramica delle opzioni di crittografia del disco gestito. Nella sottoscrizione di produzione Azure Key Vault archivia le chiavi di crittografia BitLocker (BEK) delle macchine virtuali.

Il team di controlli di sistema e organizzazione (SOC) usa una sottoscrizione SOC di Azure discreta. Il team ha accesso esclusivo a tale sottoscrizione, che contiene le risorse che devono essere mantenute protette, inviole e monitorate. L'account Archiviazione di Azure nella sottoscrizione SOC ospita copie degli snapshot del disco nell'archivio BLOB non modificabile e un insieme di credenziali delle chiavi dedicato mantiene i valori hash degli snapshot e le copie dei BEK delle macchine virtuali.

In risposta a una richiesta di acquisizione dell'evidenza digitale di una macchina virtuale, un membro del team SOC accede alla sottoscrizione SOC di Azure e usa una macchina virtuale del ruolo di lavoro ibrido per runbook di Azure in Automazione per implementare il runbook Copy-VmDigitalEvidence. Il ruolo di lavoro ibrido per runbook di Automazione fornisce il controllo di tutti i meccanismi coinvolti nell'acquisizione.

Il runbook Copy-VmDigitalEvidence implementa questi passaggi di macro:

1. Accedere ad Azure usando l'identità gestita assegnata dal sistema per un account di Automazione per accedere alle risorse della macchina virtuale di destinazione e agli altri servizi di Azure richiesti dalla soluzione.
2. Creare snapshot del disco per il sistema operativo (OS) della macchina virtuale e i dischi dati.
3. Copiare gli snapshot nell'archivio BLOB non modificabile della sottoscrizione SOC e in una condivisione file temporanea.
4. Calcolare i valori hash degli snapshot usando la copia nella condivisione file.
5. Copiare i valori hash ottenuti e la chiave BEK della macchina virtuale nell'insieme di credenziali delle chiavi SOC.
6. Pulire tutte le copie degli snapshot, ad eccezione di quella nell'archiviazione BLOB non modificabile.

Componenti

• Automazione di Azure automatizza attività di gestione cloud frequenti, dispendiose in termini di tempo e soggette a errori.
• Archiviazione è una soluzione di archiviazione cloud che include l'oggetto, il file, il disco, la coda e l'archiviazione tabelle.
• Archiviazione BLOB di Azure offre un'archiviazione ottimizzata per oggetti cloud che gestisce grandi quantità di dati non strutturati.
• Condivisioni di File di Azure. È possibile montare le condivisioni contemporaneamente da distribuzioni cloud o locali di Windows, Linux e macOS. È anche possibile memorizzare nella cache File di Azure condivisioni in Windows Server con Sincronizzazione file di Azure per l'accesso rapido nelle vicinanze in cui vengono usati i dati.
• Monitoraggio di Azure supporta le operazioni su larga scala consentendo di ottimizzare le prestazioni e la disponibilità delle risorse e identificare in modo proattivo i problemi.
• Key Vault consente di proteggere le chiavi crittografiche e altri segreti usati da app e servizi cloud.
• Microsoft Entra ID è un servizio di gestione delle identità basato sul cloud che consente di controllare l'accesso ad Azure e ad altre app cloud.

Automazione

Il team SOC usa un account di Automazione per creare e gestire il runbook Copy-VmDigitalEvidence. Il team usa anche Automazione per creare i ruoli di lavoro ibridi per runbook che gestiscono il runbook.

Ruolo di lavoro ibrido per runbook

La macchina virtuale del ruolo di lavoro ibrido per runbook fa parte dell'account di Automazione. Il team SOC usa questa macchina virtuale esclusivamente per implementare il runbook Copy-VmDigitalEvidence.

È necessario inserire la macchina virtuale del ruolo di lavoro ibrido per runbook in una subnet in grado di accedere all'account Archiviazione. Configurare l'accesso all'account Archiviazione aggiungendo la subnet della macchina virtuale del ruolo di lavoro ibrido per runbook alle regole consentite del firewall dell'account Archiviazione.

È necessario concedere l'accesso a questa macchina virtuale solo ai membri del team SOC per le attività di manutenzione.

Per isolare la rete virtuale in uso dalla macchina virtuale, non connettere la rete virtuale all'hub.

Il ruolo di lavoro ibrido per runbook usa l'identità gestita assegnata dal sistema di Automazione per accedere alle risorse della macchina virtuale di destinazione e agli altri servizi di Azure richiesti dalla soluzione.

Le autorizzazioni minime di controllo degli accessi in base al ruolo che devono essere assegnate all'identità gestita assegnata dal sistema sono classificate in due categorie:

• Autorizzazioni di accesso all'architettura di Azure SOC contenente i componenti di base della soluzione
• Autorizzazioni di accesso all'architettura di destinazione contenente le risorse della macchina virtuale di destinazione

L'accesso all'architettura di Azure SOC include i ruoli seguenti:

• Collaboratore Account di archiviazione nell'account di archiviazione SOC non modificabile
• Key Vault Secrets Officer nell'insieme di credenziali delle chiavi SOC per la gestione di BEK

L'accesso all'architettura di destinazione include i ruoli seguenti:

• Collaboratore nel gruppo di risorse della VM di destinazione, che fornisce i diritti per gli snapshot nei dischi della VM
• Key Vault Secrets Officer nell'insieme di credenziali delle chiavi della macchina virtuale di destinazione usato per archiviare la chiave BEK, solo se il controllo degli accessi in base al ruolo viene usato per l'insieme di credenziali delle chiavi
• Criteri di accesso per ottenere il segreto nell'insieme di credenziali delle chiavi della macchina virtuale di destinazione usato per archiviare la chiave BEK, solo se si usano criteri di accesso per Key Vault

Account di archiviazione di Azure

L'account Archiviazione di Azure nella sottoscrizione SOC ospita gli snapshot del disco in un contenitore configurato con criteri di blocco legali come archiviazione BLOB non modificabile di Azure. L'archiviazione BLOB non modificabile archivia oggetti dati critici per l'azienda in una sola volta, lo stato di lettura molti (WORM), che rende i dati nonerasable e non modificabili per un intervallo specificato dall'utente.

Assicurarsi di abilitare le proprietà del firewall di trasferimento e archiviazione sicure. Il firewall concede l'accesso solo dalla rete virtuale SOC.

L'account di archiviazione ospita anche una condivisione file di Azure come repository temporaneo per calcolare il valore hash dello snapshot.

Azure Key Vault

La sottoscrizione SOC ha una propria istanza di Key Vault, che ospita una copia della chiave BEK usata Crittografia dischi di Azure per proteggere la macchina virtuale di destinazione. La copia primaria viene mantenuta nell'insieme di credenziali delle chiavi usato dalla macchina virtuale di destinazione, in modo che la macchina virtuale di destinazione possa continuare a funzionare normalmente.

L'insieme di credenziali delle chiavi SOC contiene anche i valori hash degli snapshot del disco calcolati dal ruolo di lavoro ibrido per runbook durante le operazioni di acquisizione.

Verificare che il firewall sia abilitato nell'insieme di credenziali delle chiavi. Concede l'accesso solo dalla rete virtuale SOC.

Log Analytics

Un'area di lavoro Log Analytics archivia i log attività usati per controllare tutti gli eventi rilevanti nella sottoscrizione SOC. Log Analytics è una funzionalità di Monitoraggio.

Dettagli dello scenario

La scienza digitale forense riguarda il recupero e l'analisi di dati digitali a supporto di indagini penali o procedimenti civili. Le analisi forensi informatiche sono un ramo di analisi forensi digitali che acquisisce e analizza i dati da computer, macchine virtuali e supporti di archiviazione digitale.

Le aziende devono garantire che le prove digitali fornite in risposta alle richieste legali dimostrino un CoC valido durante l'acquisizione, la conservazione e l'accesso delle prove.

Potenziali casi d'uso

• Il team del Centro operazioni di sicurezza di un'azienda può implementare questa soluzione tecnica per supportare un CoC valido per le prove digitali.
• Gli investigatori possono collegare copie disco ottenute con questa tecnica su un computer dedicato all'analisi forense. Possono collegare le copie del disco senza accendere o accedere alla macchina virtuale di origine originale.

Conformità alle normative coC

Se è necessario inviare la soluzione proposta a un processo di convalida della conformità alle normative, prendere in considerazione i materiali nella sezione considerazioni durante il processo di convalida della soluzione CoC.

Considerazioni

I principi che convalidano questa soluzione come coC vengono presentati in questa sezione.

Per garantire una catena di custodia valida, è necessario dimostrare che l'archiviazione di prove digitali assicuri un controllo di accesso adeguato, protezione e integrità dei dati, funzionalità di monitoraggio e avvisi, oltre a registrazione e controllo.

Conformità agli standard e alle normative di sicurezza

Quando si convalida una soluzione CoC, uno dei requisiti da valutare è la conformità agli standard e alle normative di sicurezza.

Tutti i componenti inclusi nell'architetturasono servizi standard di Azure basati su una base che supporta attendibilità, sicurezza e conformità.

Azure offre un'ampia gamma di certificazioni di conformità, tra cui certificazioni specifiche per paesi o aree geografiche, e per i settori chiave, ad esempio sanità, governo, finanza e istruzione.

Per i report di controllo aggiornati con informazioni sulla conformità degli standard per i servizi adottati in questa soluzione, vedere Service Trust Portal.

Archiviazione di Azure di Cohasset: edizione Standard C 17a-4(f) e CFTC 1.31(c)-(d) Compliance Assessment fornisce informazioni dettagliate sui requisiti seguenti:

• Securities and Exchange Commission (edizione Standard C) in 17 CFR § 240.17a-4(f), che regola i membri dello scambio, broker o rivenditori.
• Regola FINRA (Financial Industry Regulatory Authority) 4511(c), che rinvia al formato e ai requisiti multimediali di edizione Standard C Rule 17a-4(f).
• Commodity Futures Trading Commission (CFTC) nel regolamento 17 CFR § 1.31(c)-(d), che regola la negoziazione di futures sulle materie prime.

È l'opinione di Cohasset che l'archiviazione, con la funzionalità di archiviazione non modificabile di Blob Archiviazione e l'opzione di blocco dei criteri, conserva i BLOB basati sul tempo (record) in un formato nonerasable e non scrivibile e soddisfa i requisiti di archiviazione pertinenti della regola edizione Standard C 17a-4(f), la regola FINRA 4511(c) e i requisiti basati sui principi della regola CFTC 1.31(c)-(d).

Privilegi minimi

Quando vengono assegnati i ruoli del team SOC, solo due persone all'interno del team devono avere i diritti per modificare la configurazione del controllo degli accessi in base al ruolo della sottoscrizione e i relativi dati. Concedere ad altri utenti solo diritti di accesso minimi ai subset di dati necessari per svolgere il proprio lavoro. Configurare e applicare l'accesso tramite il controllo degli accessi in base al ruolo di Azure.

Accesso minimo

Solo la rete virtuale nella sottoscrizione SOC ha accesso all'account soC Archiviazione e all'insieme di credenziali delle chiavi che archivia le prove.

L'accesso temporaneo all'archiviazione SOC viene fornito agli investigatori che richiedono l'accesso alle prove. I membri del team SOC autorizzati possono concedere l'accesso.

Acquisizione delle prove

I log di controllo di Azure possono mostrare l'acquisizione delle prove registrando l'azione di acquisizione di uno snapshot del disco della macchina virtuale, con elementi come quelli che hanno creato gli snapshot e quando.

Integrità delle prove

L'uso di Automazione per spostare le prove nella destinazione dell'archivio finale, senza intervento umano, garantisce che gli artefatti di prova non siano stati modificati.

Quando si applica un criterio di blocco legale all'archiviazione di destinazione, l'evidenza viene bloccata nel tempo non appena viene scritta. Un blocco legale indica che il CoC è stato mantenuto interamente in Azure. Un blocco legale mostra anche che non è stata possibile manomettere le prove tra il momento in cui le immagini del disco esistevano in una macchina virtuale dinamica e quando sono state aggiunte come prove nell'account di archiviazione.

Infine, è possibile usare la soluzione fornita, come meccanismo di integrità, per calcolare i valori hash delle immagini del disco. Gli algoritmi hash supportati sono: MD5, SHA256, SKEIN, KECCAK (o SHA3).

Produzione delle prove

Gli investigatori devono accedere alle prove in modo da poter eseguire analisi e questo accesso deve essere monitorato e autorizzato in modo esplicito.

Fornire agli investigatori una chiave di archiviazione URI di accesso condiviso per l'accesso alle prove. È possibile usare un URI di firma di accesso condiviso per produrre informazioni di log pertinenti quando viene generata la firma di accesso condiviso. È anche possibile ottenere una copia dell'evidenza ogni volta che viene usata la firma di accesso condiviso.

È necessario inserire in modo esplicito gli indirizzi IP degli investigatori che richiedono l'accesso a un elenco di elementi consentiti nel firewall Archiviazione.

Ad esempio, se un team legale deve trasferire un disco rigido virtuale (VHD) conservato, uno dei due responsabili del team SOC genera una chiave URI di firma di accesso condiviso di sola lettura che scade dopo otto ore. La firma di accesso condiviso limita l'accesso agli indirizzi IP degli investigatori a un intervallo di tempo specifico.

Infine, gli investigatori hanno bisogno dei BEK archiviati nell'insieme di credenziali delle chiavi SOC per accedere alle copie crittografate del disco. Un membro del team SOC deve estrarre i BEK e fornirli tramite canali sicuri agli investigatori.

Archivio locale

Per la conformità, alcuni standard o normative richiedono prove e l'infrastruttura di supporto da gestire nella stessa area di Azure.

Tutti i componenti della soluzione, incluso l'account Archiviazione che archivia le prove, sono ospitati nella stessa area di Azure in cui vengono esaminati i sistemi.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

Monitoraggio e avvisi

Azure offre servizi a tutti i clienti per monitorare e avvisare le anomalie che coinvolgono le sottoscrizioni e le risorse. Tali servizi includono:

• Microsoft Sentinel.
• Microsoft Defender per il cloud.
• Archiviazione di Azure Advanced Threat Protection (ATP).

Distribuire lo scenario

Seguire le istruzioni di distribuzione del lab coC per compilare e distribuire questo scenario in un ambiente di laboratorio.

L'ambiente di laboratorio rappresenta una versione semplificata dell'architettura descritta nell'articolo. Si distribuiscono due gruppi di risorse all'interno della stessa sottoscrizione. Il primo gruppo di risorse simula l'ambiente di produzione, ospitando prove digitali, mentre il secondo gruppo di risorse contiene l'ambiente SOC.

Usare il pulsante seguente per distribuire solo il gruppo di risorse SOC in un ambiente di produzione.

Configurazione estesa

È possibile distribuire un ruolo di lavoro ibrido per runbook in locale o in ambienti cloud diversi.

In questo scenario è possibile personalizzare il runbook Copy-VmDigitalEvidence per abilitare l'acquisizione di prove in ambienti di destinazione diversi e archiviarli nell'archiviazione.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autori principali:

• Fabio Masciotra | Consulente principale
• Simone Savi | Consulente senior

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Per altre informazioni sulle funzionalità di protezione dei dati di Azure, vedere:

• Crittografia del servizio di archiviazione di Azure per dati inattivi
• Panoramica delle opzioni di crittografia dei dischi gestiti
• Archiviare dati BLOB critici per l'azienda con archiviazione non modificabile

Per altre informazioni sulle funzionalità di registrazione e controllo di Azure, vedere:

• Registrazione e controllo di sicurezza di Azure
• Registrazione di Analisi archiviazione di Azure
• Log delle risorse di Azure

Per altre informazioni sulla conformità di Microsoft Azure, vedere:

• Conformità di Azure
• Offerte di conformità di Microsoft Azure

Risorse correlate

• Progettazione dell'architettura di sicurezza
• Microsoft Entra IDaaS nelle operazioni di sicurezza
• Considerazioni sulla sicurezza per le app IaaS estremamente sensibili in Azure