Este artigo descreve um processo de infraestrutura e fluxo de trabalho para ajudar as equipes a fornecer evidências digitais que demonstrem uma cadeia de custódia (CoC) válida em resposta a solicitações legais. Essa discussão orienta uma CoC válida ao longo dos processos de aquisição, preservação e acesso de evidências.
Observação
Este artigo baseia-se no conhecimento teórico e prático dos autores. Antes de usá-lo para fins legais, valide sua aplicabilidade com seu departamento jurídico.
Arquitetura
O design da arquitetura segue os princípios da zona de aterrissagem do Azure descritos na Estrutura de Adoção de Nuvem para Azure.
Esse cenário usa uma topologia de rede hub-and-spoke, conforme mostrado no diagrama a seguir:
Baixe um Arquivo Visio dessa arquitetura.
Workflow
Na arquitetura, as máquinas virtuais (VMs) de produção fazem parte de uma rede virtual do Azure. Seus discos são criptografados com a Criptografia de Disco do Azure. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado. Na assinatura de produção, o Cofre de Chaves do Azure armazena as chaves de criptografia BitLocker (BEKs) das VMs.
Observação
O cenário funciona para VMs de produção com discos não criptografados.
A equipe de controles de sistema e organização (SOC) usa uma assinatura discreta do SOC do Azure. A equipe tem acesso exclusivo a essa assinatura, que contém os recursos que devem ser mantidos protegidos, invioláveis e monitorados. A conta de Armazenamento do Azure na assinatura SOC hospeda cópias de instantâneos de disco no armazenamento de blob imutável, e um cofre de chaves dedicado mantém os valores de hash dos instantâneos e as cópias dos BEKs das VMs.
Em resposta a uma solicitação para capturar a evidência digital de uma VM, um membro da equipe do SOC entra na assinatura do SOC do Azure e usa uma VM de trabalho de runbook híbrida do Azure em Automação para implementar o runbook Copy-VmDigitalEvidence. O runbook worker híbrido de automação fornece controle de todos os mecanismos envolvidos na captura.
O runbook Copy-VmDigitalEvidence implementa estas etapas de macro:
- Entre no Azure usando a identidade gerenciada atribuída pelo sistema para uma conta de automação para acessar os recursos da VM de destino e os outros serviços do Azure exigidos pela solução.
- Crie snapshots de disco para o sistema operacional (SO) e os discos de dados da VM.
- Copie os instantâneos para o armazenamento de blob imutável da assinatura SOC e em um compartilhamento de arquivos temporário.
- Calcule os valores de hash dos instantâneos usando a cópia no compartilhamento de arquivos.
- Copie os valores de hash obtidos e o BEK da VM no cofre de chaves SOC.
- Limpe todas as cópias dos snapshots, exceto aquela no armazenamento de blob imutável.
Observação
Os discos criptografados das VMs de produção também podem usar chaves de criptografia de chave (KEKs). O runbook Copy-VmDigitalEvidence fornecido no cenário de implantação não cobre esse uso.
Componentes
- A Automação do Azure automatiza tarefas de gerenciamento de nuvem frequentes, demoradas e propensas a erros.
- O Armazenamento é uma solução de armazenamento em nuvem que inclui armazenamento de tabela, arquivo, disco, fila e objeto.
- O Armazenamento de Blobs do Azure fornece armazenamento otimizado de objetos na nuvem que gerencia grandes quantidades de dados não estruturados.
- Compartilhamentos dos Arquivos do Azure. Você pode montar compartilhamentos simultaneamente por implantações locais ou na nuvem do Windows, Linux e macOS. Você também pode armazenar em cache os compartilhamentos de Arquivos do Azure em Servidores Windows com a Sincronização de Arquivos do Azure para acesso rápido perto de onde os dados são usados.
- O Azure Monitor dá suporte às suas operações em escala, ajudando-o a maximizar o desempenho e a disponibilidade de seus recursos e a identificar problemas de forma proativa.
- O Cofre de Chaves ajuda você a proteger chaves criptográficas e outros segredos usados por aplicativos e serviços em nuvem.
- O Microsoft Entra ID é um serviço de identidade baseado em nuvem que ajuda você a controlar o acesso ao Azure e a outros aplicativos de nuvem.
Automação
A equipe do SOC usa uma conta de automação para criar e manter o runbook Copy-VmDigitalEvidence. A equipe também usa a automação para criar os trabalhadores de runbook híbridos que operam o runbook.
Trabalho de runbook híbrido
A VM de trabalho de runbook híbrida faz parte da conta de automação. A equipe do SOC usa essa VM exclusivamente para implementar o runbook Copy-VmDigitalEvidence.
Você deve colocar a VM de trabalho do runbook híbrido em uma sub-rede que possa acessar a conta de armazenamento. Configure o acesso à conta de armazenamento adicionando a sub-rede de VM de trabalho de runbook híbrida às regras de lista de permissões de firewall da conta de armazenamento.
Você deve conceder acesso a essa VM somente aos membros da equipe do SOC para atividades de manutenção.
Para isolar a rede virtual em uso pela VM, não conecte essa rede virtual ao hub.
O trabalhador de runbook híbrido usa a identidade gerenciada atribuída ao sistema de automação para acessar os recursos da VM de destino e os outros serviços do Azure exigidos pela solução.
As permissões RBAC (controle de acesso baseado em função) mínimas que devem ser atribuídas à identidade gerenciada atribuída pelo sistema são classificadas em duas categorias:
- Permissões de acesso à arquitetura SOC do Azure que contém os componentes principais da solução
- Permissões de acesso à arquitetura de destino que contém os recursos da VM de destino
O acesso à arquitetura SOC do Azure inclui as seguintes funções:
- Colaborador da Conta de Armazenamento na conta de armazenamento imutável do SOC
- Key Vault Secrets Officer no cofre de chaves SOC para o gerenciamento BEK
O acesso à arquitetura de destino inclui as seguintes funções:
- Colaborador no grupo de recursos da VM de destino, que fornece direitos de instantâneo em discos de VM
- Key Vault Secrets Officer no cofre de chaves da VM de destino usado para armazenar o BEK, somente se o RBAC for usado para o cofre de chaves
- Política de acesso para Obter segredo no cofre de chaves da VM de destino usado para armazenar o BEK, somente se você usar uma política de acesso para o Cofre de Chaves
Observação
Para ler o BEK, o cofre de chaves da VM de destino deve estar acessível a partir da VM de trabalho de runbook híbrida. Se o cofre de chaves tiver o firewall habilitado, verifique se o endereço IP público da VM de trabalho do runbook híbrido é permitido através do firewall.
Conta do Armazenamento do Azure
A conta de Armazenamento do Azure na assinatura SOC hospeda os instantâneos de disco em um contêiner configurado com uma política de retenção legal como armazenamento de blob imutável do Azure. O armazenamento de blob imutável armazena objetos de dados críticos para os negócios em um estado WORM (write once, read many ), o que torna os dados não apagáveis e não editáveis por um intervalo especificado pelo usuário.
Certifique-se de ativar as propriedades de firewall de transferência e armazenamento seguros. O firewall concede acesso somente a partir da rede virtual SOC.
A conta de armazenamento também hospeda um compartilhamento de arquivos do Azure como um repositório temporário para calcular o valor de hash do instantâneo.
Cofre de Chave do Azure
A assinatura SOC tem sua própria instância do Cofre de Chaves, que hospeda uma cópia do BEK que a Criptografia de Disco do Azure usa para proteger a VM de destino. A cópia primária é mantida no cofre de chaves usado pela VM de destino, para que a VM de destino possa continuar a operação normal.
O cofre de chaves SOC também contém os valores de hash de instantâneos de disco calculados pelo trabalhador de runbook híbrido durante as operações de captura.
Verifique se o firewall está ativado no cofre de chaves. Ele concede acesso somente a partir da rede virtual SOC.
Log Analytics
Um espaço de trabalho do Log Analytics armazena logs de atividades usados para auditar todos os eventos relevantes na assinatura SOC. O Log Analytics é um recurso do Monitor.
Detalhes do cenário
A análise forense digital é uma ciência que aborda a recuperação e a investigação de dados digitais para dar suporte a investigações criminais ou processos civis. A computação forense é um ramo da perícia digital que captura e analisa dados de computadores, VMs e mídias de armazenamento digital.
As empresas devem garantir que as evidências digitais que fornecem em resposta a solicitações legais demonstrem um CoC válido durante todo o processo de aquisição, preservação e acesso de provas.
Possíveis casos de uso
- A equipe do Centro de Operações de Segurança de uma empresa pode implementar essa solução técnica para dar suporte a um CoC válido para evidências digitais.
- Os investigadores podem anexar cópias de disco obtidas com essa técnica em um computador dedicado à análise forense. Eles podem anexar as cópias de disco sem ligar ou acessar a VM de origem original.
Conformidade regulatória do CoC
Se for necessário submeter a solução proposta a um processo de validação de conformidade normativa, considere os materiais na seção de considerações durante o processo de validação da solução CoC.
Observação
Você deve envolver seu departamento jurídico no processo de validação.
Considerações
Os princípios que validam esta solução como uma CdC estão sendo apresentados nesta seção.
Para garantir uma CoC válida, o armazenamento de evidências digitais precisa demonstrar controle de acesso, proteção e integridade de dados, monitoramento e alertas adequados, bem como log e auditoria.
Conformidade com normas e regulamentos de segurança
Quando você valida uma solução de CoC, um dos requisitos a serem avaliados é a conformidade com padrões e regulamentos de segurança.
Todos os componentes incluídos na arquitetura são serviços padrão do Azure criados sobre uma base que oferece suporte à confiança, segurança e conformidade.
O Azure tem uma ampla gama de certificações de conformidade, incluindo certificações específicas para países ou regiões e para os principais setores, como saúde, governo, finanças e educação.
Para obter relatórios de auditoria atualizados com informações sobre a conformidade de padrões para os serviços adotados nesta solução, consulte Portal de Confiança de Serviço.
A Avaliação de Conformidade do Armazenamento do Azure da Cohasset: SEC 17a-4(f) e CFTC 1.31(c)-(d) fornece detalhes sobre os seguintes requisitos:
- Securities and Exchange Commission (SEC) em 17 CFR § 240.17a-4(f), que regula os membros da bolsa, corretores ou dealers.
- Regra 4511(c) da Autoridade Reguladora do Setor Financeiro (FINRA), que defere os requisitos de formato e mídia da Regra 17a-4(f) da SEC.
- Commodity Futures Trading Commission (CFTC) no regulamento 17 CFR § 1.31(c)-(d), que regula a negociação de futuros de commodities.
É opinião da Cohasset que o armazenamento, com o recurso de armazenamento imutável do Armazenamento de Blobs e a opção de bloqueio de política, retém blobs (registros) baseados em tempo em um formato não apagável e não regravável e atende aos requisitos de armazenamento relevantes da Regra 17a-4(f) da SEC, da Regra 4511(c) da FINRA e dos requisitos baseados em princípios da Regra 1.31(c)-(d) da CFTC.
Privilégios mínimos
Quando as funções da equipe SOC são atribuídas, apenas dois indivíduos dentro da equipe devem ter direitos para modificar a configuração RBAC da assinatura e seus dados. Conceda a outros indivíduos apenas direitos mínimos de acesso a subconjuntos de dados de que precisam para executar seu trabalho. Configure e imponha o acesso por meio do RBAC do Azure.
Menos acesso
Somente a rede virtual na assinatura do SOC tem acesso à conta de armazenamento do SOC e ao cofre de chaves que arquiva as evidências.
O acesso temporário ao armazenamento SOC é fornecido aos investigadores que necessitam de acesso a evidências. Membros autorizados da equipe do SOC podem conceder acesso.
Aquisição de evidências
Os logs de auditoria do Azure podem mostrar a aquisição de evidências registrando a ação de tirar um instantâneo de disco de VM, com elementos como quem tirou os instantâneos e quando.
Integridade das evidências
O uso da Automação para mover evidências para seu destino final de arquivo, sem intervenção humana, garante que os artefatos de evidência não foram alterados.
Quando você aplica uma política de retenção legal ao armazenamento de destino, as evidências são congeladas no tempo assim que são gravadas. Uma retenção legal mostra que o CoC foi mantido inteiramente no Azure. Uma retenção legal também mostra que não houve uma oportunidade de adulterar as evidências entre o momento em que as imagens de disco existiam em uma VM ativa e quando elas foram adicionadas como evidência na conta de armazenamento.
Por fim, você pode usar a solução fornecida, como um mecanismo de integridade, para calcular os valores de hash das imagens de disco. Os algoritmos de hash suportados são: MD5, SHA256, SKEIN, KECCAK (ou SHA3).
Produção de evidências
Os investigadores precisam ter acesso às evidências para que possam realizar análises, e esse acesso deve ser rastreado e explicitamente autorizado.
Forneça aos investigadores uma chave de armazenamento de URI de assinaturas de acesso compartilhado (SAS) para acessar evidências. Você pode usar um URI SAS para produzir informações de log relevantes quando o SAS gera. Você também pode obter uma cópia das provas toda vez que o SAS for usado.
Você deve colocar explicitamente os endereços IP dos investigadores que exigem acesso em uma lista de permissões no firewall de armazenamento.
Por exemplo, se uma equipe jurídica precisar transferir um VHD (disco rígido virtual) preservado, um dos dois custodiantes da equipe SOC gerará uma chave SAS URI somente leitura que expirará após oito horas. O SAS limita o acesso aos endereços IP dos investigadores a um período de tempo específico.
Finalmente, os investigadores precisam dos BEKs arquivados no cofre de chaves SOC para acessar as cópias de disco criptografadas. Um membro da equipe do SOC deve extrair os BEKs e fornecê-los por meio de canais seguros aos investigadores.
Repositório regional
Para fins de conformidade, alguns padrões ou regulamentos exigem evidências e a infraestrutura de suporte a ser mantida na mesma região do Azure.
Todos os componentes da solução, incluindo a conta de armazenamento que arquiva evidências, são hospedados na mesma região do Azure que os sistemas que estão sendo investigados.
Excelência operacional
A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.
Monitoramento e alertas
O Azure fornece serviços a todos os clientes para monitorar e alertar sobre anomalias envolvendo suas assinaturas e recursos. Esses serviços incluem:
- Microsoft Sentinel.
- Microsoft Defender para Nuvem.
- Proteção Avançada contra Ameaças (ATP) do Armazenamento do Azure.
Observação
A configuração desses serviços não é descrita neste artigo.
Implantar este cenário
Siga as instruções de implantação do laboratório CoC para criar e implantar esse cenário em um ambiente de laboratório.
O ambiente de laboratório representa uma versão simplificada da arquitetura descrita no artigo. Você implanta dois grupos de recursos na mesma assinatura. O primeiro grupo de recursos simula o ambiente de produção, abrigando evidências digitais, enquanto o segundo grupo de recursos contém o ambiente SOC.
Use o botão a seguir para implantar somente o grupo de recursos SOC em um ambiente de produção.
Observação
Se você implantar a solução em um ambiente de produção, verifique se a identidade gerenciada atribuída pelo sistema da conta de automação tem as seguintes permissões:
- Um Colaborador no grupo de recursos de produção da VM a ser processada. Essa função cria os instantâneos.
- Um usuário de segredos do cofre de chaves no cofre de chaves de produção que contém os BEKs. Essa função lê os BEKs.
Além disso, se o cofre de chaves tiver o firewall habilitado, verifique se o endereço IP público da VM de trabalho de runbook híbrida é permitido através do firewall.
Configuração estendida
Você pode implantar um trabalhador de runbook híbrido no local ou em diferentes ambientes de nuvem.
Nesse cenário, você pode personalizar o runbook Copy-VmDigitalEvidence para habilitar a captura de evidências em diferentes ambientes de destino e arquivá-las no armazenamento.
Observação
O runbook Copy-VmDigitalEvidence fornecido na seção Implantar este cenário foi desenvolvido e testado somente no Azure. Para estender a solução para outras plataformas, você deve personalizar o runbook para trabalhar com essas plataformas.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Principais autores:
- Fabio Masciotra - Brasil | Consultor Principal
- Simone Savi | Consultor Sênior
Para ver perfis não públicos do LinkedIn, entre no LinkedIn.
Próximas etapas
Para obter mais informações sobre os recursos de proteção de dados do Azure, confira:
- Criptografia do Armazenamento do Azure para dados em repouso
- Visão geral das opções de criptografia de discos gerenciados
- Armazenar dados de blob comercialmente críticos com armazenamento imutável
Para obter mais informações sobre os recursos de log e auditoria do Azure, confira:
- Log de segurança e auditoria do Azure
- Registro em log da Análise de Armazenamento do Azure
- Logs de recursos do Azure
Para obter mais informações sobre a conformidade do Microsoft Azure, consulte: