本文說明基礎結構和工作流程程式,以協助小組提供數字證據,以示範有效的監管鏈結,以回應法律要求。 此討論會在整個辨識項擷取、保留和存取程序中引導有效的CoC。
注意
本文以作者的理論和實踐知識為基礎。 在您將其用於法律用途之前,請先向您的法律部門驗證其適用性。
架構
架構設計遵循 Azure 雲端採用架構 中所述的 Azure 登陸區域原則。
此案例使用中樞和輪輻網路拓撲,如下圖所示:
工作流程
在架構中,生產虛擬機(VM)是輪輻 Azure 虛擬網路的一部分。 其磁碟會使用 Azure 磁碟加密 加密。 如需詳細資訊,請參閱 受控磁碟加密選項概觀。 在生產訂用帳戶中,Azure 金鑰保存庫 會儲存 VM 的 BitLocker 加密密鑰 (BEK)。
注意
此案例適用於具有未加密磁碟的生產 VM。
系統和組織控制小組會使用離散的 Azure SOC 訂用帳戶。 小組具有該訂用帳戶的獨佔存取權,其中包含必須受到保護、不可侵犯和監視的資源。 SOC 訂用帳戶中的 Azure 儲存體 帳戶會裝載固定 Blob 記憶體中磁碟快照集的復本,而專用密鑰保存庫會保留快照集的哈希值和 VM BEK 的複本。
為了回應擷取 VM 數位辨識項的要求,SOC 小組成員登入 Azure SOC 訂用帳戶,並使用自動化中的 Azure 混合式 Runbook 背景工作角色 VM 來實作 Copy-VmDigitalEvidence Runbook。 自動化混合式 Runbook 背景工作角色可控制擷取所涉及的所有機制。
Copy-VmDigitalEvidence Runbook 會實作下列宏步驟:
- 使用 自動化帳戶 的系統指派受控識別來登入 Azure,以存取目標 VM 的資源,以及解決方案所需的其他 Azure 服務。
- 建立 VM 作業系統 (OS) 和數據磁碟的磁碟快照集。
- 將快照集複製到SOC訂用帳戶的固定 Blob 記憶體,以及暫存盤共用中。
- 使用檔案共用上的複本來計算快照集的哈希值。
- 複製取得的哈希值和 SOC 金鑰保存庫中的 VM BEK。
- 清除快照集的所有複本,但不可變 Blob 記憶體中的複本除外。
注意
生產 VM 的加密磁碟也可以使用金鑰加密金鑰(KEK)。 部署案例中提供的 Copy-VmDigitalEvidence Runbook 並未涵蓋此用途。
元件
- Azure 自動化 自動化頻繁、耗時且容易出錯的雲端管理工作。
- 儲存體 是雲端記憶體解決方案,其中包含物件、檔案、磁碟、佇列和數據表記憶體。
- Azure Blob 儲存體 提供優化的雲端物件記憶體,可管理大量的非結構化數據。
- Azure 檔案儲存體共用。 您可以透過 Windows、Linux 和 macOS 的雲端或內部部署部署,並行掛接共用。 您也可以使用 Azure 檔案同步 快取 Windows Server 上的 Azure 檔案儲存體 共用,以便快速存取數據的位置。
- Azure 監視器 可協助您將資源的效能和可用性最大化,並主動找出問題,以大規模支援您的作業。
- 金鑰保存庫 可協助您保護雲端應用程式和服務所使用的密碼編譯密鑰和其他秘密。
- Microsoft Entra ID 是雲端式身分識別服務,可協助您控制 Azure 和其他雲端應用程式的存取。
自動化
SOC 小組會使用 自動化 帳戶來建立和維護 Copy-VmDigitalEvidence Runbook。 小組也會使用 自動化 來建立操作 Runbook 的混合式 Runbook 背景工作角色。
混合式 Runbook 背景工作角色
混合式 Runbook 背景工作角色 VM 是自動化帳戶的一部分。 SOC 小組專門使用此 VM 來實作 Copy-VmDigitalEvidence Runbook。
您必須將混合式 Runbook 背景工作角色 VM 放在可存取 儲存體 帳戶的子網中。 將混合式 Runbook 背景工作角色 VM 子網新增至 儲存體 帳戶的防火牆允許清單規則,以設定 儲存體 帳戶的存取權。
您必須只將此 VM 的存取權授與 SOC 小組成員,才能進行維護活動。
若要隔離 VM 所使用的虛擬網路,請勿將該虛擬網路連線到中樞。
混合式 Runbook 背景工作角色會使用 自動化系統指派的受控識別 來存取目標 VM 的資源,以及解決方案所需的其他 Azure 服務。
必須指派給系統指派受控識別的最低角色型訪問控制 (RBAC) 許可權分為兩個類別:
- SOC Azure 架構的存取權,其中包含解決方案核心元件
- 包含目標 VM 資源的目標架構存取許可權
SOC Azure 架構的存取權包含下列角色:
- #D91406B15497F4FCB998EACDF9F367E6F SOC 不可變 儲存體 帳戶上的帳戶參與者
- #DCD008F69F4B048878E6BD42945263E4D BEK 管理 SOC 金鑰保存庫的秘密官員
存取目標架構包含下列角色:
- 目標 VM 資源群組上的參與者 ,其提供 VM 磁碟的快照集許可權
- 金鑰保存庫 目標 VM 金鑰保存庫上用來儲存 BEK 的秘密官員,只有在密鑰保存庫使用 RBAC 時
- 只有在您將存取原則用於儲存 BEK 的目標 VM 金鑰保存庫上取得秘密的存取原則,只有在您使用存取原則進行 金鑰保存庫
注意
若要讀取 BEK,必須可從混合式 Runbook 背景工作角色 VM 存取目標 VM 的金鑰保存庫。 如果密鑰保存庫已啟用防火牆,請確定允許透過防火牆的混合式 Runbook 背景工作角色 VM 的公用 IP 位址。
Azure 儲存體帳戶
SOC 訂用帳戶中的 Azure 儲存體 帳戶會將磁碟快照集裝載在以合法保留原則設定為 Azure 固定 Blob 記憶體的容器中。 不可變的 Blob 記憶體會將業務關鍵性資料物件儲存在寫入一 次、讀取許多 (WORM) 狀態,讓數據無法復原且無法編輯使用者指定的間隔。
請務必啟用 安全傳輸 和 記憶體防火牆 屬性。 防火牆只會從SOC虛擬網路授與存取權。
記憶體帳戶也會將 Azure 檔案共享裝載為暫存存放庫,以計算快照集的哈希值。
Azure Key Vault
SOC 訂用帳戶有自己的 金鑰保存庫 實例,其裝載 Azure 磁碟加密 用來保護目標 VM 的 BEK 複本。 主要復本會保留在目標 VM 所使用的金鑰保存庫中,讓目標 VM 可以繼續正常作業。
SOC 金鑰保存庫也包含混合式 Runbook 背景工作角色在擷取作業期間計算的磁碟快照集哈希值。
確定金鑰保存庫上已啟用防火牆。 它只會從SOC虛擬網路授與存取權。
Log Analytics
Log Analytics 工作區會儲存用來稽核 SOC 訂用帳戶上所有相關事件的活動記錄。 Log Analytics 是監視器的功能。
案例詳細資料
數位鑑識是一門處理數位資料復原和調查的科學,以支援刑事調查或民事訴訟。 計算機鑑識是數位鑑識的分支,可從計算機、VM 和數位儲存媒體擷取和分析數據。
公司必須保證他們提供的數字證據,以回應法律要求,在整個證據取得、保存和存取過程中都證明有效的 CoC。
潛在的使用案例
- 公司的安全性作業中心小組可以實作此技術解決方案,以支援有效的 CoC 數位辨識項。
- 調查人員可以在專用於鑑識分析的計算機上,附加使用這項技術取得的磁碟副本。 他們可以連結磁碟復本,而不需開啟電源或存取原始來源 VM。
CoC 法規合規性
如果需要將建議的解決方案提交至法規合規性驗證程式,請考慮 CoC 解決方案驗證程式期間考慮一節中的數據。
注意
您應該在驗證過程中讓法律部門參與其中。
考量
本節將說明驗證此解決方案為 CoC 的原則。
若要確保有效的 CoC,數位證據儲存體必須表明足夠的存取控制、資料保護和完整性、監視和警示,以及記錄和稽核。
符合安全性標準和法規
當您驗證 CoC 解決方案時,要評估的其中一個需求是符合安全性標準和法規。
架構中包含的所有元件都是以支援信任、安全性和合規性的基礎為基礎的 Azure 標準服務。
Azure 具有廣泛的合規性認證,包括國家或地區特有的認證,以及醫療保健、政府、金融和教育等重要產業。
如需更新的稽核報告,其中包含此解決方案中採用之服務的標準合規性資訊,請參閱 服務信任入口網站。
Cohasset 的 Azure 儲存體:SEC 17a-4(f) 和 CFTC 1.31(c)-(d) 合規性評估提供下列需求的詳細數據:
- 證券交易委員會(SEC)在17個CFR - 240.17a-4(f),監管交易所成員,經紀人或轉銷商。
- 金融業監管局 (FINRA) 規則 4511(c),其遵循 SEC 規則 17a-4(f) 的格式和媒體要求。
- 商品期貨交易委員會(CFTC)在監管商品期貨交易的17個CFR - 1.31(c)-(d),監管商品期貨交易。
Cohasset 認為,記憶體具有 Blob 儲存體 和原則鎖定選項的固定記憶體功能,以不可轉譯和不可寫入的格式保留以時間為基礎的 Blob(記錄),並符合 SEC 規則 17a-4(f)、FINRA 規則 4511(c) 的相關儲存需求,以及 CFTC 規則 1.31(c)-(d) 的原則型需求。
最低權限
指派SOC小組的角色時,小組內只有兩個人有權修改訂用帳戶的 RBAC 組態及其數據。 只授與其他個人對執行其工作所需之數據子集的最小訪問許可權。 設定並強制執行透過 Azure RBAC 的存取。
最低存取權
只有 SOC 訂用帳戶中的虛擬網路可以存取封存辨識項的 SOC 儲存體 帳戶和密鑰保存庫。
SOC 記憶體的暫時存取權會提供給需要存取辨識項的調查人員。 授權的SOC小組成員可以授與存取權。
辨識項
Azure 稽核記錄可以藉由記錄採取 VM 磁碟快照集的動作,以及擷取快照集和時間等元素來顯示辨識項取得。
辨識項完整性
使用自動化將辨識項移至其最終封存目的地,而不需人為介入,就保證不會改變辨識項成品。
當您將法律保留原則套用至目的地記憶體時,辨識項會在寫入后立即凍結。 法律保留顯示 CoC 完全保留在 Azure 中。 法律保留還顯示,在即時 VM 上存在磁碟映像和在記憶體帳戶中新增為辨識項時,沒有機會竄改辨識項。
最後,您可以使用所提供的解決方案作為完整性機制,來計算磁碟映像的哈希值。 支援的哈希演算法包括:MD5、SHA256、SKEIN、KECCAK(或 SHA3)。
辨識項生產
調查人員需要存取證據,才能執行分析,而且必須追蹤並明確授權此存取權。
為調查人員提供 共用存取簽章 (SAS) URI 記憶體密鑰,以存取辨識項。 您可以使用 SAS URI 在 SAS 產生時產生相關的記錄資訊。 您也可以在每次使用 SAS 時取得證據複本。
您必須明確地將調查人員的IP位址放在 儲存體 防火牆的允許清單上。
例如,如果法律小組需要轉移保留的虛擬硬碟(VHD),則兩個 SOC 小組監管人之一會產生在八小時後到期的唯讀 SAS URI 密鑰。 SAS 會將調查人員 IP 位址的存取限制在特定時間範圍內。
最後,調查人員需要封存於SOC金鑰保存庫中的BEK,才能存取加密的磁碟復本。 SOC 小組成員必須擷取 BEK,並透過安全通道提供給調查人員。
區域商店
為了符合規範,某些標準或法規需要辨識項和支援基礎結構,才能在相同的 Azure 區域中維護。
所有解決方案元件,包括封存辨識項的 儲存體 帳戶,都裝載在與所調查系統相同的 Azure 區域中。
卓越營運
卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 營運卓越支柱概觀。
監視和警示
Azure 為所有客戶提供服務,以監視和警示涉及其訂用帳戶和資源異常狀況。 這些服務包括:
- Microsoft Sentinel。
- 適用於雲端的 Microsoft Defender。
- Azure 儲存體 進階威脅防護 (ATP) 。
注意
本文並未說明這些服務的設定。
部署此案例
請遵循 CoC 實驗室部署指示,在實驗室環境中建置和部署此案例。
實驗室環境代表本文所述架構的簡化版本。 您會在相同的訂用帳戶內部署兩個資源群組。 第一個資源群組會模擬生產環境、住房數字辨識項,而第二個資源群組則保存SOC環境。
使用下列按鈕,在生產環境中只部署SOC資源群組。
注意
如果您在生產環境中部署解決方案,請確定自動化帳戶的系統指派受控識別具有下列許可權:
- 要處理的 VM 生產資源群組中的參與者。 此角色會建立快照集。
- 保存 BEK 的生產金鑰保存庫中 金鑰保存庫 秘密使用者。 此角色會讀取 BEK。
此外,如果金鑰保存庫已啟用防火牆,請確定允許透過防火牆的混合式 Runbook 背景工作角色 VM 的公用 IP 位址。
擴充組態
您可以在內部部署或不同的雲端環境中部署混合式 Runbook 背景工作角色。
在此案例中,您可以自定義 Copy-VmDigitalEvidence Runbook,以在不同的目標環境中擷取辨識項,並將其封存於記憶體中。
注意
部署此案例一節中提供的 Copy-VmDigitalEvidence Runbook 只會在 Azure 中開發和測試。 若要將解決方案延伸至其他平臺,您必須自定義 Runbook 以使用這些平臺。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Fabio Masciotra |首席顧問
- Simone Savi |資深顧問
若要查看非公用LinkedIn配置檔,請登入LinkedIn。
下一步
如需 Azure 資料保護功能的詳細資訊,請參閱:
如需 Azure 記錄和稽核功能的詳細資訊,請參閱:
如需 Microsoft Azure 合規性的詳細資訊,請參閱: