隨著越來越多企業(yè)將云計算服務(wù)納入業(yè)務(wù)流程，安全團隊已經(jīng)逐漸意識到，云供應(yīng)商必須對傳統(tǒng)安全控制及處理流程進行全面調(diào)整，否則根本無法應(yīng)對即將面對的新型挑戰(zhàn)。

舉例來說，事故響應(yīng)與數(shù)字取證這些過去只存在于內(nèi)部流程中的事務(wù)，如今已經(jīng)成為大多數(shù)供應(yīng)商的固有服務(wù)內(nèi)容。某些企業(yè)可能會樂觀地將這種趨勢視為云計算普及的積極信號，然而不幸的是，很多企業(yè)還無法準確評估到底什么樣的供應(yīng)商才有能力在這些方面取得成功。

在最近由云安全聯(lián)盟(簡稱CSA)事故管理與取證工作組所發(fā)布的題為《在云計算領(lǐng)域?qū)崿F(xiàn)取證標(biāo)準ISO/IEC 27037》的白皮書中，研究人員試圖解決由取證工作帶給云供應(yīng)商的種種難題。該工作組詳細羅列了各類云服務(wù)供應(yīng)商的不同服務(wù)模式分別能夠提供哪些取證功能，也闡述了消費者對于這些服務(wù)類型應(yīng)寄予的期望。此外，白皮書還論證了合同中應(yīng)該包括的法律及服務(wù)水平協(xié)議(簡稱SLA)。工作組同時介紹了云消費者需要與供應(yīng)商討論的取證工作類型以及常見的云計算取證最佳實踐，從而保證此類工作符合國際取證規(guī)則以及響應(yīng)標(biāo)準。

對于多數(shù)企業(yè)而言，要摸清供應(yīng)商的處理能力，最好的起點在于列出一張需要與對方交流的問題清單，并在合同談判的初級階段將其作為解決的重點。

接下來我們就對最需要關(guān)注的十個問題進行探討，從而準確評估云服務(wù)供應(yīng)商在云取證方面的實際水平。

1. 供應(yīng)商能夠定期為消費者提供哪些類型的數(shù)據(jù)(注：取證團隊規(guī)模越大、經(jīng)驗越豐富，效果就越好)?這些數(shù)據(jù)將被使用在調(diào)查的哪個階段?根據(jù)云安全聯(lián)盟的說明文檔，數(shù)據(jù)類型包括以下幾種：

a. 服務(wù)器日志

b. 應(yīng)用程序服務(wù)器日志

c. 數(shù)據(jù)庫日志

d. 虛擬機訪客操作系統(tǒng)

e. 虛擬化管理程序主機訪問日志

f. 虛擬化管理平臺日志及SaaS門戶日志

g. 網(wǎng)絡(luò)流量捕捉

h. 計費記錄

i. 管理門戶日志

j. API日志

k. 云或網(wǎng)絡(luò)供應(yīng)商的外部網(wǎng)絡(luò)日志

l. DNS服務(wù)器日志

2. 在合同中是否約定需要在何時提供何種類型的證據(jù)，這部分內(nèi)容又是否被劃歸服務(wù)水平協(xié)議之內(nèi)?云消費者應(yīng)當(dāng)查看歸檔日志、虛擬機副本以及潛在的網(wǎng)絡(luò)及/或存儲流量。

3. 供應(yīng)商是否需要在法規(guī)及法律/監(jiān)管層面保障現(xiàn)有聯(lián)系人列表，從而在發(fā)生數(shù)據(jù)泄露事故時為客戶提供援助及指導(dǎo)。

4. 云供應(yīng)商是否允許相關(guān)客戶參與到事故響應(yīng)以及取證調(diào)查工作中來?如果允許，客戶的參與程度如何?另外，供應(yīng)商如何對遭受入侵的事件日志及其它證據(jù)文件進行保護?

5. 對于安全事件及其它相關(guān)信息，供應(yīng)商提供怎樣的數(shù)據(jù)保留、生命周期管理政策以及相關(guān)處理流程?虛擬磁盤文件的覆蓋工作如何進行?這些問題對于我們掌握供應(yīng)商在數(shù)據(jù)保留及生命周期保護領(lǐng)域的實際水平至關(guān)重要。

6. 云服務(wù)供應(yīng)商的安全團隊擁有怎樣的取證及事故響應(yīng)技能?大家應(yīng)要求供應(yīng)商出具相關(guān)行業(yè)認證資質(zhì)、證明自身了解熱門工具的使用方法及技術(shù)。具體內(nèi)容包括SANS GIAC認證證據(jù)分析(簡稱GCFA)、GIAC認證事故處理(簡稱GCIH)、GIAC認證證據(jù)檢查(簡稱GCFE)、認證計算機檢查(簡稱CCE)等等。相關(guān)工具及技術(shù)則包括使用業(yè)務(wù)領(lǐng)先的取證技術(shù)、逆向工程技術(shù)以及網(wǎng)絡(luò)流量數(shù)據(jù)收集技能等。

7. 取證與響應(yīng)流程的實施是否與內(nèi)部虛擬基礎(chǔ)設(shè)施及云管理平臺相適應(yīng)?舉例來說，云服務(wù)供應(yīng)商團隊是否有能力在證據(jù)收集工作中利用虛擬機快照機制?任何一家合法的云供應(yīng)商都應(yīng)該能夠提供虛擬機實踐經(jīng)驗與管理能力方面的證明。

8. 在多租戶環(huán)境下，云服務(wù)供應(yīng)商團隊將采取哪些步驟來最大程度降低安全事故對租戶的影響?

9. 云服務(wù)供應(yīng)商如何在虛擬環(huán)境下實現(xiàn)基于網(wǎng)絡(luò)的監(jiān)控與追蹤任務(wù)?是否在環(huán)境中使用虛擬防火墻或者其它方案?如果答案是肯定的，供應(yīng)商又如何管理這些方案?另外，供應(yīng)商是否建立起適當(dāng)?shù)穆氊?zé)分離以及基于角色的訪問控制機制，從而在發(fā)生安全事故時限制特定團隊成員與數(shù)據(jù)的接觸程度?

10. 云服務(wù)供應(yīng)商團隊通過怎樣的規(guī)程引導(dǎo)執(zhí)法人員介入系統(tǒng)及業(yè)務(wù)資產(chǎn)?如何保證未受影響的租戶遠離取證工作的干擾?

除了上述問題，云安全聯(lián)盟還在指南報告中提出了一些與客戶端及移動設(shè)備訪問云資源相關(guān)的取證建議，不過其中大部分內(nèi)容都比較艱深、更適合純技術(shù)人員閱讀。

總而言之，如果盲目簽訂云服務(wù)合約而疏于考慮后果，企業(yè)用戶往往會在真正遭遇事故后束手無策。因此安全與運營團隊?wèi)?yīng)該加倍努力，在合同實際簽訂之前盡可能多地收集有價值信息。

作為企業(yè)客戶，如果大家在與云供應(yīng)商的談判中未能達到百分百滿意，請認真思考是否需要對合作方甚至云服務(wù)進行再次評估。只有這樣，才能做到對未來可能出現(xiàn)的問題未雨綢繆。

而作為云供應(yīng)商在未來的事故中應(yīng)該與客戶加深合作，為使用者提供合理的證據(jù)并要求安全團隊成員具備強大的取證及響應(yīng)能力。隨著消費者對于云服務(wù)供應(yīng)商取證流程的需求逐步升級，一套標(biāo)準化的信息取證流程將呼之欲出。