Cadeia de custódia forense computacional no Azure

Este artigo descreve um processo de infraestrutura e fluxo de trabalho para ajudar as equipes a fornecer evidências digitais que demonstrem uma cadeia de custódia (CoC) válida em resposta a solicitações legais. Esta discussão orienta um CoC válido ao longo dos processos de aquisição, preservação e acesso de evidências.

Arquitetura

O design de arquitetura segue os princípios da zona de aterrissagem do Azure descritos no Cloud Adoption Framework for Azure.

Este cenário usa uma topologia de rede hub-and-spoke, conforme mostrado no diagrama a seguir:

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de Trabalho

Na arquitetura, as máquinas virtuais (VMs) de produção fazem parte de uma rede virtual do Azure falada. Seus discos são criptografados com a Criptografia de Disco do Azure. Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado. Na assinatura de produção, o Cofre de Chaves do Azure armazena as chaves de criptografia BitLocker (BEKs) das VMs.

A equipe de controles de sistema e organização (SOC) usa uma assinatura SOC do Azure discreta. A equipe tem acesso exclusivo a essa assinatura, que contém os recursos que devem ser mantidos protegidos, invioláveis e monitorados. A conta de Armazenamento do Azure na assinatura SOC hospeda cópias de instantâneos de disco em armazenamento de blob imutável, e um cofre de chaves dedicado mantém os valores de hash dos instantâneos e cópias dos BEKs das VMs.

Em resposta a uma solicitação para capturar a evidência digital de uma VM, um membro da equipe SOC entra na assinatura SOC do Azure e usa uma VM de trabalhador de runbook híbrido do Azure em Automação para implementar o runbook Copy-VmDigitalEvidence. O runbook worker híbrido de automação fornece controle de todos os mecanismos envolvidos na captura.

O runbook Copy-VmDigitalEvidence implementa estas etapas de macro:

1. Entre no Azure usando a identidade gerenciada atribuída pelo Sistema para uma conta de Automação para acessar os recursos da VM de destino e os outros serviços do Azure exigidos pela solução.
2. Crie instantâneos de disco para o sistema operacional (SO) e discos de dados da VM.
3. Copie os instantâneos para o armazenamento de blob imutável da assinatura SOC e em um compartilhamento de arquivos temporário.
4. Calcule valores de hash dos instantâneos usando a cópia no compartilhamento de arquivos.
5. Copie os valores de hash obtidos e o BEK da VM no cofre de chaves SOC.
6. Limpe todas as cópias dos snapshots, exceto a que está no armazenamento de blob imutável.

Componentes

• A Automação do Azure automatiza tarefas de gerenciamento de nuvem frequentes, demoradas e propensas a erros.
• O armazenamento é uma solução de armazenamento em nuvem que inclui armazenamento de objetos, arquivos, discos, filas e tabelas.
• O Armazenamento de Blobs do Azure fornece armazenamento otimizado de objetos na nuvem que gerencia grandes quantidades de dados não estruturados.
• Compartilhamentos do Azure Files . Você pode montar compartilhamentos simultaneamente por implantações na nuvem ou locais do Windows, Linux e macOS. Você também pode armazenar em cache compartilhamentos de Arquivos do Azure em Servidores Windows com a Sincronização de Arquivos do Azure para acesso rápido perto de onde os dados são usados.
• O Azure Monitor dá suporte às suas operações em escala, ajudando-o a maximizar o desempenho e a disponibilidade dos seus recursos e a identificar problemas de forma proativa.
• O Cofre de Chaves ajuda-o a proteger chaves criptográficas e outros segredos utilizados por aplicações e serviços na nuvem.
• O Microsoft Entra ID é um serviço de identidade baseado na nuvem que o ajuda a controlar o acesso ao Azure e a outras aplicações na nuvem.

Automatização

A equipe SOC usa uma conta de automação para criar e manter o runbook Copy-VmDigitalEvidence. A equipe também usa a automação para criar os trabalhadores de runbook híbridos que operam o runbook.

Função de Trabalho de Runbook Híbrida

A VM de trabalho de runbook híbrida faz parte da conta de automação. A equipe SOC usa essa VM exclusivamente para implementar o runbook Copy-VmDigitalEvidence.

Você deve colocar a VM de trabalhador de runbook híbrido em uma sub-rede que possa acessar a conta de armazenamento. Configure o acesso à conta de armazenamento adicionando a sub-rede VM de runbook worker híbrida às regras da lista de permissões do firewall da conta de armazenamento.

Você deve conceder acesso a essa VM somente aos membros da equipe SOC para atividades de manutenção.

Para isolar a rede virtual em uso pela VM, não conecte essa rede virtual ao hub.

O runbook worker híbrido usa a identidade gerenciada atribuída ao sistema de automação para acessar os recursos da VM de destino e os outros serviços do Azure exigidos pela solução.

As permissões mínimas de controle de acesso baseado em função (RBAC) que devem ser atribuídas à identidade gerenciada atribuída ao sistema são classificadas em duas categorias:

• Permissões de acesso à arquitetura SOC Azure que contém os componentes principais da solução
• Permissões de acesso à arquitetura de destino que contém os recursos da VM de destino

O acesso à arquitetura SOC Azure inclui as seguintes funções:

• Contribuidor de Conta de Armazenamento na conta de Armazenamento imutável do SOC
• Key Vault Secrets Officer no cofre de chaves SOC para o gerenciamento BEK

O acesso à arquitetura de destino inclui as seguintes funções:

• Contribuidor no grupo de recursos da VM de destino, que fornece direitos de instantâneos em discos de VM
• Key Vault Secrets Officer no cofre de chaves da VM de destino usado para armazenar o BEK, somente se o RBAC for usado para o cofre de chaves
• Política de acesso para Obter Segredo no cofre de chaves da VM de destino usado para armazenar o BEK, somente se você usar uma política de acesso para o Cofre da Chave

Conta de armazenamento do Azure

A conta de Armazenamento do Azure na assinatura SOC hospeda os instantâneos de disco em um contêiner configurado com uma política de retenção legal como armazenamento de blob imutável do Azure. O armazenamento de blob imutável armazena objetos de dados críticos para os negócios em um estado WORM (write once, read many ), o que torna os dados não apagáveis e não editáveis por um intervalo especificado pelo usuário.

Certifique-se de ativar as propriedades seguras do firewall de transferência e armazenamento. O firewall concede acesso somente da rede virtual SOC.

A conta de armazenamento também hospeda um compartilhamento de arquivos do Azure como um repositório temporário para calcular o valor de hash do instantâneo.

Azure Key Vault

A assinatura SOC tem sua própria instância do Cofre da Chave, que hospeda uma cópia do BEK que o Azure Disk Encryption usa para proteger a VM de destino. A cópia primária é mantida no cofre de chaves usado pela VM de destino, para que a VM de destino possa continuar a operação normal.

O cofre de chaves SOC também contém os valores de hash de instantâneos de disco calculados pelo operador de runbook híbrido durante as operações de captura.

Verifique se o firewall está ativado no cofre de chaves. Ele concede acesso apenas a partir da rede virtual SOC.

Log Analytics

Um espaço de trabalho do Log Analytics armazena registros de atividades usados para auditar todos os eventos relevantes na assinatura SOC. O Log Analytics é um recurso do Monitor.

Detalhes do cenário

A ciência forense digital é uma ciência que trata da recuperação e investigação de dados digitais para apoiar investigações criminais ou processos civis. A perícia forense computacional é um ramo da perícia digital que captura e analisa dados de computadores, VMs e mídias de armazenamento digital.

As empresas devem garantir que as provas digitais que fornecem em resposta a solicitações legais demonstram um CoC válido durante todo o processo de aquisição, preservação e acesso de provas.

Potenciais casos de utilização

• A equipa do Centro de Operações de Segurança de uma empresa pode implementar esta solução técnica para suportar um CoC válido para provas digitais.
• Os investigadores podem anexar cópias de disco obtidas com esta técnica num computador dedicado à análise forense. Eles podem anexar as cópias de disco sem ligar ou acessar a VM de origem original.

Conformidade regulatória de CoC

Se for necessário submeter a solução proposta a um processo de validação de conformidade regulamentar, considere os materiais na seção de considerações durante o processo de validação da solução CoC.

Considerações

Os princípios que validam esta solução como um CoC estão sendo apresentados nesta seção.

Para garantir uma CoC válida, o armazenamento de provas digitais tem de demonstrar um controlo de acesso adequado, proteção de dados e integridade, monitorização e alertas, bem como registo e auditoria.

Conformidade com normas e regulamentos de segurança

Quando você valida uma solução CoC, um dos requisitos a serem avaliados é a conformidade com normas e regulamentos de segurança.

Todos os componentes incluídos na arquitetura são serviços padrão do Azure criados sobre uma base que dá suporte à confiança, segurança e conformidade.

O Azure tem uma ampla gama de certificações de conformidade, incluindo certificações específicas para países ou regiões e para os principais setores, como saúde, governo, finanças e educação.

Para obter relatórios de auditoria atualizados com informações sobre a conformidade com os padrões para os serviços adotados nesta solução, consulte Portal de Confiança do Serviço.

A Avaliação de Conformidade do Armazenamento do Azure da Cohasset: SEC 17a-4(f) e CFTC 1.31(c)-(d) fornece detalhes sobre os seguintes requisitos:

• Securities and Exchange Commission (SEC) em 17 CFR § 240.17a-4(f), que regula os membros da bolsa, corretores ou dealers.
• Regra 4511(c) da Autoridade Reguladora do Setor Financeiro (FINRA), que defere os requisitos de formato e mídia da Regra 17a-4(f) da SEC.
• Commodity Futures Trading Commission (CFTC) no regulamento 17 CFR § 1.31(c)-(d), que regula a negociação de futuros de mercadorias.

É opinião da Cohasset que o armazenamento, com o recurso de armazenamento imutável do Armazenamento de Blobs e a opção de bloqueio de política, retém blobs (registros) baseados no tempo em um formato não apagável e não regravável e atende aos requisitos de armazenamento relevantes da Regra 17a-4(f) da SEC, da Regra 4511(c) da FINRA e dos requisitos baseados em princípios da Regra 1.31(c)-(d) da CFTC.

Privilégio mínimo

Quando as funções da equipe SOC são atribuídas, apenas dois indivíduos dentro da equipe devem ter direitos para modificar a configuração RBAC da assinatura e seus dados. Conceda a outros indivíduos apenas direitos mínimos de acesso aos subconjuntos de dados de que necessitam para realizar o seu trabalho. Configure e imponha o acesso por meio do Azure RBAC.

Menos acesso

Somente a rede virtual na assinatura SOC tem acesso à conta de armazenamento SOC e ao cofre de chaves que arquiva as evidências.

O acesso temporário ao armazenamento SOC é fornecido aos investigadores que necessitam de acesso a provas. Os membros autorizados da equipe SOC podem conceder acesso.

Aquisição de provas

Os logs de auditoria do Azure podem mostrar a aquisição de evidências registrando a ação de tirar um instantâneo de disco da VM, com elementos como quem tirou os instantâneos e quando.

Integridade da prova

O uso da automação para mover evidências para seu destino final de arquivo, sem intervenção humana, garante que os artefatos de evidência não foram alterados.

Quando você aplica uma política de retenção legal ao armazenamento de destino, as provas são congeladas no tempo assim que são escritas. Uma retenção legal mostra que o CoC foi mantido inteiramente no Azure. Uma retenção legal também mostra que não houve uma oportunidade de adulterar as provas entre o momento em que as imagens de disco existiam em uma VM ao vivo e quando elas foram adicionadas como prova na conta de armazenamento.

Por fim, você pode usar a solução fornecida, como um mecanismo de integridade, para calcular os valores de hash das imagens de disco. Os algoritmos de hash suportados são: MD5, SHA256, SKEIN, KECCAK (ou SHA3).

Produção de provas

Os investigadores precisam de ter acesso às provas para poderem realizar análises, e esse acesso deve ser rastreado e explicitamente autorizado.

Forneça aos investigadores uma chave de armazenamento de URI de assinaturas de acesso compartilhado (SAS) para acessar evidências. Você pode usar um URI SAS para produzir informações de log relevantes quando o SAS gera. Também pode obter uma cópia das provas sempre que for utilizado o SAS.

Você deve colocar explicitamente os endereços IP dos investigadores que precisam de acesso em uma lista de permissões no firewall de armazenamento.

Por exemplo, se uma equipe jurídica precisar transferir um VHD (disco rígido virtual) preservado, um dos dois custodiantes da equipe SOC gerará uma chave URI SAS somente leitura que expira após oito horas. O SAS limita o acesso aos endereços IP dos investigadores a um período de tempo específico.

Finalmente, os investigadores precisam dos BEKs arquivados no cofre de chaves SOC para acessar as cópias de disco criptografadas. Um membro da equipe SOC deve extrair os BEKs e fornecê-los através de canais seguros para os investigadores.

Arquivo regional

Para fins de conformidade, alguns padrões ou regulamentos exigem evidências e que a infraestrutura de suporte seja mantida na mesma região do Azure.

Todos os componentes da solução, incluindo a conta de armazenamento que arquiva evidências, são hospedados na mesma região do Azure que os sistemas que estão sendo investigados.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Monitorização e alertas

O Azure fornece serviços a todos os clientes para monitorizar e alertar sobre anomalias que envolvam as respetivas subscrições e recursos. Estes serviços incluem:

• Microsoft Sentinel.
• Microsoft Defender para Cloud.
• Proteção Avançada contra Ameaças (ATP) do Armazenamento do Azure.

Implementar este cenário

Siga as instruções de implantação do laboratório CoC para criar e implantar esse cenário em um ambiente de laboratório.

O ambiente de laboratório representa uma versão simplificada da arquitetura descrita no artigo. Você implanta dois grupos de recursos na mesma assinatura. O primeiro grupo de recursos simula o ambiente de produção, abrigando evidências digitais, enquanto o segundo grupo de recursos detém o ambiente SOC.

Use o botão a seguir para implantar somente o grupo de recursos SOC em um ambiente de produção.

Configuração estendida

Você pode implantar um runbook worker híbrido no local ou em diferentes ambientes de nuvem.

Nesse cenário, você pode personalizar o runbook Copy-VmDigitalEvidence para habilitar a captura de evidências em diferentes ambientes de destino e arquivá-las no armazenamento.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Principais autores:

• Fabio Masciotra - Brasil | Consultor Principal
• Simone Savi - Brasil | Consultor Sénior

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

Para obter mais informações sobre as funcionalidades de proteção de dados do Azure, veja:

• Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
• Visão geral das opções de criptografia de disco gerenciado
• Armazenar dados de blobs críticos para a empresa com o armazenamento imutável

Para obter mais informações sobre as funcionalidades de registo e auditoria do Azure, veja:

• Azure security logging and auditing (Registo e auditoria de segurança do Azure)
• Azure Storage analytics logging (Registo de análise do Armazenamento do Azure)
• Registos de recursos do Azure

Para obter mais informações sobre a conformidade com o Microsoft Azure, consulte:

• Conformidade do Azure
• Ofertas de conformidade do Microsoft Azure

Recursos relacionados

• Projeto de arquitetura de segurança
• Microsoft Entra IDaaS em operações de segurança
• Considerações de segurança para aplicativos IaaS altamente confidenciais no Azure