Azure의 컴퓨터 포렌식 관리 연속성

이 문서에서는 팀이 법적 요청에 대한 응답으로 유효한 CoC(관리 체인)를 보여 주는 디지털 증거를 제공하는 데 도움이 되는 인프라 및 워크플로 프로세스를 설명합니다. 이 토론은 증거 획득, 보존 및 액세스 프로세스 전반에 걸쳐 유효한 CoC를 안내합니다.

아키텍처

아키텍처 디자인은 Azure에 대한 클라우드 채택 프레임워크 설명된 Azure 랜딩 존 원칙을 따릅니다.

이 시나리오에서는 다음 다이어그램과 같이 허브 및 스포크 네트워크 토폴로지 사용

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

아키텍처에서 프로덕션 VM(가상 머신)은 스포크 Azure 가상 네트워크의 일부입니다. 해당 디스크는 Azure Disk Encryption으로 암호화됩니다. 자세한 정보는 관리 디스크 암호화 옵션 개요를 참조하세요. 프로덕션 구독 에서 Azure Key Vault 는 VM의 BEK(BitLocker 암호화 키)를 저장합니다.

SOC(시스템 및 조직 제어) 팀은 개별 Azure SOC 구독을 사용합니다. 팀은 보호, 불가침 및 모니터링해야 하는 리소스를 포함하는 해당 구독에 대한 단독 액세스 권한을 가집니다. SOC 구독의 Azure Storage 계정은 변경할 수 없는 Blob Storage에 디스크 스냅샷 복사본을 호스트하고, 전용 키 자격 증명 모음은 VM의 BEK에 대한 스냅샷 해시 값 및 복사본을 유지합니다.

VM의 디지털 증거 캡처 요청에 대한 응답으로 SOC 팀 구성원은 Azure SOC 구독에 로그인하고 Automation에서 Azure Hybrid Runbook Worker VM을 사용하여 Copy-VmDigitalEvidence Runbook을 구현합니다. Automation Hybrid Runbook Worker는 캡처와 관련된 모든 메커니즘을 제어합니다.

Copy-VmDigitalEvidence Runbook은 다음 매크로 단계를 구현합니다.

1. Automation 계정에 대해 시스템 할당 관리 ID를 사용하여 Azure에 로그인하여 대상 VM의 리소스 및 솔루션에 필요한 다른 Azure 서비스에 액세스합니다.
2. VM의 OS(운영 체제) 및 데이터 디스크에 대한 디스크 스냅샷 만듭니다.
3. 스냅샷 SOC 구독의 변경할 수 없는 Blob Storage 및 임시 파일 공유에 복사합니다.
4. 파일 공유의 복사본을 사용하여 스냅샷 해시 값을 계산합니다.
5. SOC 키 자격 증명 모음에서 가져온 해시 값과 VM의 BEK를 복사합니다.
6. 변경할 수 없는 Blob Storage의 복사본을 제외한 스냅샷 모든 복사본을 정리합니다.

구성 요소

• Azure Automation 은 빈번하고 시간이 오래 걸리며 오류가 발생하기 쉬운 클라우드 관리 작업을 자동화합니다.
• Storage는 개체, 파일, 디스크, 큐 및 테이블 스토리지를 포함하는 클라우드 스토리지 솔루션입니다.
• Azure Blob Storage 는 대량의 구조화되지 않은 데이터를 관리하는 최적화된 클라우드 개체 스토리지를 제공합니다.
• Azure Files 공유. Windows, Linux 및 macOS의 클라우드 또는 온-프레미스 배포를 통해 공유를 동시에 탑재할 수 있습니다. 데이터가 사용되는 곳 근처에서 빠르게 액세스할 수 있도록 Azure 파일 동기화 사용하여 Windows Server에서 Azure Files 공유를 캐시할 수도 있습니다.
• Azure Monitor 는 리소스의 성능 및 가용성을 최대화하고 문제를 사전에 식별할 수 있도록 지원하여 대규모 작업을 지원합니다.
• Key Vault 를 사용하면 클라우드 앱 및 서비스에서 사용하는 암호화 키 및 기타 비밀을 보호할 수 있습니다.
• Microsoft Entra ID 는 Azure 및 기타 클라우드 앱에 대한 액세스를 제어하는 데 도움이 되는 클라우드 기반 ID 서비스입니다.

자동화

SOC 팀은 Automation 계정을 사용하여 Copy-VmDigitalEvidence Runbook을 만들고 기본. 또한 팀은 Automation을 사용하여 Runbook을 운영하는 하이브리드 Runbook 작업자를 만듭니다.

Hybrid runbook worker

Hybrid Runbook Worker VM은 Automation 계정의 일부입니다. SOC 팀은 이 VM을 단독으로 사용하여 Copy-VmDigitalEvidence Runbook을 구현합니다.

Storage 계정에 액세스할 수 있는 서브넷에 Hybrid Runbook Worker VM을 배치해야 합니다. Storage 계정의 방화벽 허용 목록 규칙에 Hybrid Runbook Worker VM 서브넷을 추가하여 Storage 계정에 대한 액세스를 구성합니다.

기본 테넌트 활동을 위해 SOC 팀 구성원에게만 이 VM에 대한 액세스 권한을 부여해야 합니다.

VM에서 사용 중인 가상 네트워크를 격리하려면 해당 가상 네트워크를 허브에 연결하지 마세요.

Hybrid Runbook Worker는 Automation 시스템 할당 관리 ID를 사용하여 대상 VM의 리소스 및 솔루션에 필요한 다른 Azure 서비스에 액세스합니다.

시스템 할당 관리 ID에 할당해야 하는 최소 RBAC(역할 기반 액세스 제어) 권한은 다음 두 가지 범주로 분류됩니다.

• 솔루션 핵심 구성 요소가 포함된 SOC Azure 아키텍처에 대한 액세스 권한
• 대상 VM 리소스를 포함하는 대상 아키텍처에 대한 액세스 권한

SOC Azure 아키텍처에 대한 액세스에는 다음 역할이 포함됩니다.

• SOC 변경 불가능 스토리지 계정에 대한 스토리지 계정 기여자
• BEK 관리를 위한 SOC 키 자격 증명 모음의 Key Vault 비밀 책임자

대상 아키텍처에 대한 액세스에는 다음 역할이 포함됩니다.

• VM 디스크에 대한 스냅샷 권한을 제공하는 대상 VM의 리소스 그룹에 대한 기여자
• RBAC가 키 자격 증명 모음에 사용되는 경우에만 BEK를 저장하는 데 사용되는 대상 VM의 키 자격 증명 모음에 대한 Key Vault 비밀 책임자
• Key Vault에 대한 액세스 정책을 사용하는 경우에만 BEK를 저장하는 데 사용되는 대상 VM의 키 자격 증명 모음에서 비밀을 가져오기 위한 액세스 정책

Azure Storage 계정

SOC 구독의 Azure Storage 계정은 법적 보존 정책을 사용하여 Azure 변경할 수 없는 Blob Storage로 구성된 컨테이너에서 디스크 스냅샷 호스트합니다. 변경할 수 없는 Blob Storage는 중요 비즈니스용 데이터 개체를 쓰기에 한 번 저장하고 WORM(다 )을 읽습니다. 따라서 사용자가 지정한 간격으로 데이터를 변경할 수 없으며 변경할 수 없습니다.

보안 전송 및 스토리지 방화벽 속성을 사용하도록 설정해야 합니다. 방화벽은 SOC 가상 네트워크에서만 액세스 권한을 부여합니다.

또한 스토리지 계정은 스냅샷 해시 값을 계산하기 위한 임시 리포지토리로 Azure 파일 공유를 호스팅합니다.

Azure Key Vault

SOC 구독에는 Azure Disk Encryption이 대상 VM을 보호하는 데 사용하는 BEK의 복사본을 호스팅하는 자체 Key Vault 인스턴스가 있습니다. 기본 복사본은 대상 VM에서 사용되는 키 자격 증명 모음에 유지되므로 대상 VM이 정상적인 작업을 계속할 수 있습니다.

SOC 키 자격 증명 모음에는 캡처 작업 중 Hybrid Runbook Worker가 계산한 디스크 스냅샷 해시 값도 포함됩니다.

키 자격 증명 모음에서 방화벽 이 사용하도록 설정되어 있는지 확인합니다. SOC 가상 네트워크에서만 액세스 권한을 부여합니다.

Log Analytics

Log Analytics 작업 영역은 SOC 구독의 모든 관련 이벤트를 감사하는 데 사용되는 활동 로그를 저장합니다. Log Analytics는 모니터의 기능입니다.

시나리오 정보

디지털 포렌식은 범죄 수사 또는 민사 소송을 지원하기 위해 디지털 데이터의 복구 및 조사를 다루는 과학입니다. 컴퓨터 포렌식은 컴퓨터, VM 및 디지털 스토리지 미디어의 데이터를 캡처하고 분석하는 디지털 포렌식의 한 분기입니다.

회사는 법적 요청에 대한 응답으로 제공하는 디지털 증거가 증거 취득, 보존 및 액세스 프로세스 전반에 걸쳐 유효한 CoC를 입증하도록 보장해야 합니다.

잠재적인 사용 사례

• 회사의 Security Operation Center 팀은 디지털 증거에 유효한 CoC를 지원하기 위해 이 기술 솔루션을 구현할 수 있습니다.
• 조사자는 이 기술로 얻은 디스크 복사본을 법의학 분석 전용 컴퓨터에 연결할 수 있습니다. 원본 VM에 전원을 켜거나 액세스하지 않고 디스크 복사본을 연결할 수 있습니다.

CoC 규정 준수

제안된 솔루션을 규정 준수 유효성 검사 프로세스에 제출해야 하는 경우 CoC 솔루션 유효성 검사 프로세스 중 고려 사항 섹션의 자료를 고려합니다.

고려 사항

이 솔루션의 유효성을 CoC로 확인하는 원칙이 이 섹션에 제시되고 있습니다.

유효한 CoC를 보장하기 위해 디지털 증거 스토리지는 적절한 액세스 제어, 데이터 보호 및 무결성, 모니터링 및 경고, 로깅 및 감사 기능을 보여 주어야 합니다.

보안 표준 및 규정 준수

CoC 솔루션의 유효성을 검사할 때 평가해야 하는 요구 사항 중 하나는 보안 표준 및 규정 준수입니다.

아키텍처에 포함된 모든 구성 요소는 신뢰, 보안 및 규정 준수를 지원하는 기반이 되는 Azure 표준 서비스입니다.

Azure에는 국가 또는 지역 및 의료, 정부, 금융 및 교육과 같은 주요 산업에 특정한 인증을 포함하여 광범위한 규정 준수 인증이 있습니다.

이 솔루션에 채택된 서비스의 표준 준수에 대한 정보가 포함된 업데이트된 감사 보고서는 Service Trust Portal을 참조하세요.

Cohasset의 Azure Storage: SEC 17a-4(f) 및 CFTC 1.31(c)-(d) 준수 평가 는 다음 요구 사항에 대한 세부 정보를 제공합니다.

• 17 CFR § 240.17a-4(f)의 SEC(증권거래위원회)는 거래소 회원, 브로커 또는 딜러를 규제합니다.
• SEC 규칙 17a-4(f)의 형식 및 미디어 요구 사항을 연기하는 FINRA(금융 산업 규제 기관) 규칙 4511(c).
• 상품 선물 거래를 규제하는 규제 17 CFR § 1.31 (c)-(d)의 상품 선물 거래위원회 (CFTC).

스토리지에 대한 코하셋의 의견입니다. Blob Storage 및 정책 잠금 옵션의 변경할 수 없는 스토리지 기능을 사용하여 시간 기반 Blob(레코드)을 변경할 수 없는 형식으로 유지하고 SEC 규칙 17a-4(f), FINRA 규칙 4511(c) 및 CFTC 규칙 1.31(c)-(d)의 원칙 기반 요구 사항의 관련 스토리지 요구 사항을 충족합니다.

최소 권한

SOC 팀의 역할이 할당되면 팀 내의 두 개인만 구독 및 해당 데이터의 RBAC 구성을 수정할 수 있는 권한이 있어야 합니다. 다른 개인에게 작업을 수행하는 데 필요한 데이터 하위 집합에 대한 최소 액세스 권한만 부여합니다. Azure RBAC를 통해 액세스를 구성하고 적용합니다.

최소 액세스

SOC 구독의 가상 네트워크 만 증거를 보관하는 SOC Storage 계정 및 키 자격 증명 모음에 액세스할 수 있습니다.

SOC 스토리지에 대한 임시 액세스는 증거에 액세스해야 하는 조사자에게 제공됩니다. 권한이 부여된 SOC 팀 구성원은 액세스 권한을 부여할 수 있습니다.

증거 습득

Azure 감사 로그는 VM 디스크 스냅샷 수행하는 작업을 기록하여 증거 획득을 표시할 수 있으며, 스냅샷 수행한 사용자 및 시기와 같은 요소를 사용할 수 있습니다.

증거 무결성

자동화를 사용하여 사람의 개입 없이 증거를 최종 보관 대상으로 이동하면 증거 아티팩트가 변경되지 않았음을 보장합니다.

대상 스토리지에 법적 보존 정책을 적용하면 증거가 기록되는 즉시 중지됩니다. 법적 보류는 CoC가 Azure에서 완전히 기본 것을 보여줍니다. 또한 법적 보류는 디스크 이미지가 라이브 VM에 존재했던 시간과 스토리지 계정에 증거로 추가된 시간 사이에 증거를 변조할 기회가 없음을 보여줍니다.

마지막으로 제공된 솔루션을 무결성 메커니즘으로 사용하여 디스크 이미지의 해시 값을 계산할 수 있습니다. 지원되는 해시 알고리즘은 MD5, SHA256, SKEIN, KECCAK(또는 SHA3)입니다.

증거 프로덕션

조사관은 분석을 수행할 수 있도록 증거에 액세스해야 하며, 이 액세스 권한은 추적되고 명시적으로 승인되어야 합니다.

증명 정보 액세스에 대한 SAS(공유 액세스 서명) URI 스토리지 키를 조사자에게 제공합니다. SAS URI를 사용하여 SAS가 생성되면 관련 로그 정보를 생성할 수 있습니다. SAS를 사용할 때마다 증명 정보 복사본을 가져올 수도 있습니다.

스토리지 방화벽의 허용 목록에 액세스해야 하는 조사자의 IP 주소를 명시적으로 배치해야 합니다.

예를 들어 법률 팀이 보존된 VHD(가상 하드 드라이브)를 전송해야 하는 경우 두 SOC 팀 보유자 중 한 명이 8시간 후에 만료되는 읽기 전용 SAS URI 키를 생성합니다. SAS는 조사자의 IP 주소에 대한 액세스를 특정 시간 프레임으로 제한합니다.

마지막으로, 조사자는 암호화된 디스크 복사본에 액세스하기 위해 SOC 키 자격 증명 모음에 보관된 BEK가 필요합니다. SOC 팀 구성원은 BEK를 추출하고 보안 채널을 통해 조사자에게 제공해야 합니다.

지역 저장소

규정 준수를 위해 일부 표준 또는 규정은 동일한 Azure 지역에서 증명 정보 및 지원 인프라를 기본 합니다.

증거를 보관하는 Storage 계정을 비롯한 모든 솔루션 구성 요소는 조사 중인 시스템과 동일한 Azure 지역에 호스트됩니다.

운영 우수성

운영 우수성은 애플리케이션을 배포하고 프로덕션에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 핵심 요소 개요를 참조하세요.

모니터링 및 경고

Azure는 모든 고객에게 구독 및 리소스와 관련된 변칙을 모니터링하고 경고하는 서비스를 제공합니다. 이러한 서비스는 다음과 같습니다.

• Microsoft Sentinel.
• 클라우드용 Microsoft Defender.
• Azure Storage ATP(Advanced Threat Protection).

시나리오 배포

CoC 랩 배포 지침에 따라 이 시나리오를 빌드하고 실험실 환경에서 배포합니다.

실험실 환경은 문서에 설명된 아키텍처의 간소화된 버전을 나타냅니다. 동일한 구독 내에 두 개의 리소스 그룹을 배포합니다. 첫 번째 리소스 그룹은 프로덕션 환경을 시뮬레이션하고 디지털 증거를 수용하며 두 번째 리소스 그룹은 SOC 환경을 보유합니다.

프로덕션 환경에서 SOC 리소스 그룹만 배포하려면 다음 단추를 사용합니다.

확장 구성

하이브리드 Runbook Worker를 온-프레미스 또는 다른 클라우드 환경에 배포할 수 있습니다.

이 시나리오에서는 Copy-VmDigitalEvidence Runbook을 사용자 지정하여 다른 대상 환경에서 증거를 캡처하고 스토리지에 보관할 수 있습니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

주요 작성자:

• Fa바이오 Masciotra | 수석 컨설턴트
• Simone Savi | 선임 컨설턴트

비공용 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계

Azure 데이터 보호 기능에 대한 자세한 내용은 다음을 참조하세요.

• 미사용 데이터에 대한 Azure Storage 암호화
• 관리 디스크 암호화 옵션 개요
• 비즈니스에 중요한 BLOB 데이터를 변경이 불가능한 스토리지에 저장

Azure 로깅 및 감사 기능에 대한 자세한 내용은 다음을 참조하세요.

• Azure 보안 로깅 및 감사
• Azure Storage 분석 로깅
• Azure 리소스 로그

Microsoft Azure 규정 준수에 대한 자세한 내용은 다음을 참조하세요.

• Azure 규정 준수
• Microsoft Azure 규정 준수 제품

관련 참고 자료

• 보안 아키텍처 디자인
• 보안 작업의 Microsoft Entra IDaaS
• Azure에서 매우 중요한 IaaS 앱에 대한 보안 고려 사항