Datateknisk kedja av vårdnad i Azure

Den här artikeln beskriver en infrastruktur- och arbetsflödesprocess som hjälper team att tillhandahålla digitala bevis som visar en giltig kedja av vårdnad (CoC) som svar på juridiska förfrågningar. Den här diskussionen vägleder en giltig coc genom processerna för förvärv, bevarande och åtkomst av bevis.

Arkitektur

Arkitekturdesignen följer principerna för Azure-landningszonen som beskrivs i Cloud Adoption Framework för Azure.

I det här scenariot används en nätverkstopologi för nav och eker enligt följande diagram:

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

I arkitekturen ingår de virtuella produktionsdatorerna (VM) i ett virtuellt Ekernätverk i Azure. Deras diskar krypteras med Azure Disk Encryption. Mer information finns i Översikt över krypteringsalternativ för hanterade diskar. I produktionsprenumerationen lagrar Azure Key Vault de virtuella datorernas BitLocker-krypteringsnycklar (BEK:er).

SOC-teamet (system- och organisationskontroller) använder en diskret Azure SOC-prenumeration . Teamet har exklusiv åtkomst till den prenumerationen, som innehåller de resurser som måste hållas skyddade, okränkas och övervakas. Azure Storage-kontot i SOC-prenumerationen är värd för kopior av diskögonblicksbilder i oföränderlig bloblagring, och ett dedikerat nyckelvalv behåller ögonblicksbildernas hash-värden och kopior av de virtuella datorernas BEK:er.

Som svar på en begäran om att samla in en virtuell dators digitala bevis loggar en SOC-teammedlem in på Azure SOC-prenumerationen och använder en virtuell Azure Hybrid Runbook Worker-dator i Automation för att implementera Runbooken Copy-VmDigitalEvidence. Automation Hybrid Runbook Worker ger kontroll över alla mekanismer som ingår i avbildningen.

Runbooken Copy-VmDigitalEvidence implementerar följande makrosteg:

1. Logga in på Azure med hjälp av den systemtilldelade hanterade identiteten för ett Automation-konto för att få åtkomst till den virtuella måldatorns resurser och de andra Azure-tjänster som krävs av lösningen.
2. Skapa diskögonblicksbilder för den virtuella datorns operativsystem (OS) och datadiskar.
3. Kopiera ögonblicksbilderna till SOC-prenumerationens oföränderliga bloblagring och i en tillfällig filresurs.
4. Beräkna hashvärden för ögonblicksbilderna med hjälp av kopian på filresursen.
5. Kopiera de erhållna hash-värdena och den virtuella datorns BEK i SOC-nyckelvalvet.
6. Rensa alla kopior av ögonblicksbilderna utom den i oföränderlig bloblagring.

Komponenter

• Azure Automation automatiserar frekventa, tidskrävande och felbenägna molnhanteringsuppgifter.
• Lagring är en molnlagringslösning som innehåller objekt, fil, disk, kö och tabelllagring.
• Azure Blob Storage tillhandahåller optimerad molnobjektlagring som hanterar enorma mängder ostrukturerade data.
• Azure Files-resurser . Du kan montera resurser samtidigt via molndistributioner eller lokala distributioner av Windows, Linux och macOS. Du kan också cachelagrar Azure Files-resurser på Windows-servrar med Azure File Sync för snabb åtkomst nära där data används.
• Azure Monitor stöder dina åtgärder i stor skala genom att hjälpa dig att maximera resursernas prestanda och tillgänglighet och proaktivt identifiera problem.
• Key Vault hjälper dig att skydda kryptografiska nycklar och andra hemligheter som används av molnappar och tjänster.
• Microsoft Entra ID är en molnbaserad identitetstjänst som hjälper dig att styra åtkomsten till Azure och andra molnappar.

Automation

SOC-teamet använder ett Automation-konto för att skapa och underhålla Runbooken Copy-VmDigitalEvidence. Teamet använder också Automation för att skapa de hybrid runbook-arbetare som driver runbooken.

Hybrid Runbook Worker

Den virtuella hybrid-runbook-arbetsdatorn är en del av Automation-kontot. SOC-teamet använder endast den här virtuella datorn för att implementera Runbooken Copy-VmDigitalEvidence.

Du måste placera den virtuella hybrid-runbook worker-datorn i ett undernät som har åtkomst till lagringskontot. Konfigurera åtkomst till lagringskontot genom att lägga till hybrid runbook worker VM-undernätet i lagringskontots regler för tillåtna brandväggslistor.

Du måste endast bevilja åtkomst till den här virtuella datorn till SOC-teammedlemmarna för underhållsaktiviteter.

Om du vill isolera det virtuella nätverk som används av den virtuella datorn ansluter du inte det virtuella nätverket till hubben.

Hybrid Runbook Worker använder den automationssystemtilldelade hanterade identiteten för att komma åt den virtuella måldatorns resurser och de andra Azure-tjänster som krävs av lösningen.

De minimala behörigheter för rollbaserad åtkomstkontroll (RBAC) som måste tilldelas till systemtilldelade hanterade identiteter klassificeras i två kategorier:

• Åtkomstbehörigheter till SOC Azure-arkitekturen som innehåller lösningens kärnkomponenter
• Åtkomstbehörigheter till målarkitekturen som innehåller de virtuella måldatorresurserna

Åtkomst till SOC Azure-arkitekturen innehåller följande roller:

• Lagringskontodeltagare för det oföränderliga SOC-lagringskontot
• Key Vault Secrets Officer på SOC-nyckelvalvet för BEK-hanteringen

Åtkomst till målarkitekturen innehåller följande roller:

• Deltagare för den virtuella måldatorns resurs grupp, som ger behörighet till ögonblicksbilder av VM-diskar
• Key Vault Secrets Officer på den virtuella måldatorns nyckelvalv som används för att lagra BEK, endast om RBAC används för nyckelvalvet
• Åtkomstprincip för att hämta hemlighet på den virtuella måldatorns nyckelvalv som används för att lagra BEK, endast om du använder en åtkomstprincip för Key Vault

Azure-lagringskonto

Azure Storage-kontot i SOC-prenumerationen är värd för diskögonblicksbilderna i en container som konfigurerats med en princip för bevarande av juridiska skäl som azure oföränderlig bloblagring. Oföränderlig bloblagring lagrar affärskritiska dataobjekt i ett skrivläge en gång, läs många (WORM) tillstånd, vilket gör att data inte kan tas bort och inte kan ändras för ett användardefinierat intervall.

Se till att aktivera brandväggsegenskaperna för säker överföring och lagring . Brandväggen beviljar endast åtkomst från det virtuella SOC-nätverket.

Lagringskontot är också värd för en Azure-filresurs som en tillfällig lagringsplats för att beräkna ögonblicksbildens hashvärde.

Azure Key Vault

SOC-prenumerationen har en egen instans av Key Vault, som är värd för en kopia av den BEK som Azure Disk Encryption använder för att skydda den virtuella måldatorn. Den primära kopian sparas i nyckelvalvet som används av den virtuella måldatorn, så att den virtuella måldatorn kan fortsätta normal drift.

SOC-nyckelvalvet innehåller också hash-värdena för diskögonblicksbilder som beräknas av Hybrid Runbook Worker under insamlingsåtgärderna.

Kontrollera att brandväggen är aktiverad i nyckelvalvet. Den beviljar endast åtkomst från det virtuella SOC-nätverket.

Log Analytics

En Log Analytics-arbetsyta lagrar aktivitetsloggar som används för att granska alla relevanta händelser i SOC-prenumerationen. Log Analytics är en funktion i Monitor.

Information om scenario

Digitala säkerhetskontroller handlar om att återställa och undersöka digitala data i brottmål och civilrättsliga förfaranden. Datateknik är en gren av digital kriminalteknik som samlar in och analyserar data från datorer, virtuella datorer och digitala lagringsmedier.

Företag måste garantera att de digitala bevis som de tillhandahåller som svar på juridiska förfrågningar visar en giltig coc under hela processen för förvärv, bevarande och åtkomst av bevis.

Potentiella användningsfall

• Ett företags Security Operation Center-team kan implementera den här tekniska lösningen för att stödja en giltig coc för digitala bevis.
• Utredare kan bifoga diskkopior som erhålls med den här tekniken på en dator som är dedikerad till kriminalteknisk analys. De kan koppla diskkopior utan att aktivera eller komma åt den ursprungliga virtuella källdatorn.

Regelefterlevnad för CoC

Om det är nödvändigt att skicka den föreslagna lösningen till en verifieringsprocess för regelefterlevnad bör du överväga materialen i avsnittet överväganden under valideringsprocessen för CoC-lösningen.

Att tänka på

Principerna som validerar den här lösningen som en coc visas i det här avsnittet.

För att säkerställa en giltig utredningskedja måste den digitala bevislagringen ha tillräcklig åtkomstkontroll, dataskydd och integritet, övervakning och avisering samt loggning och granskning.

Efterlevnad av säkerhetsstandarder och föreskrifter

När du validerar en CoC-lösning är ett av kraven att utvärdera efterlevnaden av säkerhetsstandarder och föreskrifter.

Alla komponenter som ingår i arkitekturenär Azures standardtjänster som bygger på en grund som stöder förtroende, säkerhet och efterlevnad.

Azure har ett brett utbud av efterlevnadscertifieringar, inklusive certifieringar som är specifika för länder eller regioner, och för viktiga branscher som sjukvård, myndigheter, ekonomi och utbildning.

Uppdaterade granskningsrapporter med information om standardefterlevnad för de tjänster som antas i den här lösningen finns i Service Trust Portal.

Cohassets Azure Storage: SEC 17a-4(f) och CFTC 1.31(c)-(d) Efterlevnadsbedömning ger information om följande krav:

• Securities and Exchange Commission (SEC) i 17 CFR § 240.17a-4(f), som reglerar utbytesmedlemmar, mäklare eller återförsäljare.
• Finansbranschens tillsynsmyndighet (FINRA) Regel 4511(c), som skjuter upp format- och mediekraven i SEC-regel 17a-4(f).
• Commodity Futures Trading Commission (CFTC) i förordning 17 CFR § 1.31(c)-(d), som reglerar råvaruterminshandel.

Cohasset anser att lagring, med den oföränderliga lagringsfunktionen i alternativet Blob Storage och principlås, behåller tidsbaserade blobar (poster) i ett icke-skrivbart och icke-skrivbart format och uppfyller relevanta lagringskrav för SEC-regel 17a-4(f), FINRA-regel 4511(c) och de principbaserade kraven för CFTC-regel 1.31(c)-(d).

Minsta privilegium

När SOC-teamets roller tilldelas ska endast två personer i teamet ha behörighet att ändra RBAC-konfigurationen för prenumerationen och dess data. Ge andra individer endast minimal åtkomstbehörighet till dataunderuppsättningar som de behöver för att utföra sitt arbete. Konfigurera och framtvinga åtkomst via Azure RBAC.

Minst åtkomst

Endast det virtuella nätverket i SOC-prenumerationen har åtkomst till DET SOC Storage-konto och nyckelvalv som arkiverar bevisen.

Tillfällig åtkomst till SOC-lagringen ges till utredare som kräver åtkomst till bevis. Auktoriserade SOC-teammedlemmar kan bevilja åtkomst.

Insamling av bevis

Azure-granskningsloggar kan visa bevisinsamlingen genom att registrera åtgärden att ta en ögonblicksbild av en virtuell datordisk, med element som vem som tog ögonblicksbilderna och när.

Bevisintegritet

Användningen av Automation för att flytta bevis till det slutliga arkivmålet, utan mänsklig inblandning, garanterar att bevisartefakter inte har ändrats.

När du tillämpar en princip för bevarande av juridiska skäl på mållagringen fryses bevisen i tid så snart de skrivs. Ett bevarande av juridiska skäl visar att CoC:en underhålls helt i Azure. Ett bevarande av juridiska skäl visar också att det inte fanns någon möjlighet att manipulera bevisen mellan den tidpunkt då diskavbildningarna fanns på en virtuell dator i realtid och när de lades till som bevis i lagringskontot.

Slutligen kan du använda den tillhandahållna lösningen, som en integritetsmekanism, för att beräkna hash-värdena för diskbilderna. De hashalgoritmer som stöds är: MD5, SHA256, SKEIN, KECCAK (eller SHA3).

Bevisanvändning

Utredare behöver tillgång till bevis så att de kan utföra analyser, och den här åtkomsten måste spåras och uttryckligen auktoriseras.

Ge utredare en URI-lagringsnyckel för signatur för delad åtkomst (SAS) för åtkomst till bevis. Du kan använda en SAS-URI för att skapa relevant logginformation när SAS genererar. Du kan också hämta en kopia av bevisen varje gång SAS används.

Du måste uttryckligen placera IP-adresserna för utredare som behöver åtkomst på en tillåten lista i Storage-brandväggen.

Om ett juridiskt team till exempel behöver överföra en bevarad virtuell hårddisk (VHD) genererar en av de två SOC-teamets vårdnadshavare en skrivskyddad SAS-URI-nyckel som upphör att gälla efter åtta timmar. SAS begränsar åtkomsten till utredarnas IP-adresser till en viss tidsram.

Slutligen behöver utredarna de BEK:er som arkiverats i SOC-nyckelvalvet för att få åtkomst till de krypterade diskkopior. En SOC-gruppmedlem måste extrahera BEK:erna och tillhandahålla dem via säkra kanaler till utredarna.

Regionalt lager

För efterlevnad kräver vissa standarder eller föreskrifter bevis och supportinfrastrukturen som ska underhållas i samma Azure-region.

Alla lösningskomponenter, inklusive lagringskontot som arkiverar bevis, finns i samma Azure-region som de system som undersöks.

Driftsäkerhet

Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftskvalitet.

Övervakning och avisering

Azure tillhandahåller tjänster till alla kunder för att övervaka och varna om avvikelser som rör deras prenumerationer och resurser. Några exempel är:

• Microsoft Sentinel.
• Microsoft Defender för molnet.
• Azure Storage Advanced Threat Protection (ATP).

Distribuera det här scenariot

Följ distributionsinstruktionerna för CoC-labb för att skapa och distribuera det här scenariot i en laboratoriemiljö.

Laboratoriemiljön representerar en förenklad version av arkitekturen som beskrivs i artikeln. Du distribuerar två resursgrupper inom samma prenumeration. Den första resursgruppen simulerar produktionsmiljön med digitala bevis, medan den andra resursgruppen innehåller SOC-miljön.

Använd följande knapp om du bara vill distribuera SOC-resursgruppen i en produktionsmiljö.

Utökad konfiguration

Du kan distribuera en hybrid runbook worker lokalt eller i olika molnmiljöer.

I det här scenariot kan du anpassa Runbooken Copy-VmDigitalEvidence för att aktivera insamling av bevis i olika målmiljöer och arkivera dem i lagring.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudsakliga författare:

• Fabio Masciotra | Huvudkonsult
• Simone Savi | Senior konsult

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

Mer information om funktionerna för dataskydd i Azure finns i:

• Azure Storage-kryptering av vilande data
• Översikt över krypteringsalternativ för hanterade diskar
• Lagra affärskritiska blobdata med oföränderlig lagring

Mer information om funktionerna för loggning och granskning i Azure finns i:

• Säkerhetsloggning och granskning i Azure
• Analysloggning i Azure Storage
• Azure-resursloggar

Mer information om Microsoft Azure-efterlevnad finns i:

• Azure-efterlevnad
• Microsoft Azure-efterlevnadserbjudanden

Relaterade resurser

• Design av säkerhetsarkitektur
• Microsoft Entra IDaaS i säkerhetsåtgärder
• Säkerhetsöverväganden för mycket känsliga IaaS-appar i Azure