隨著越來越多的企業(yè)都使用了云服務(wù)，企業(yè)的安全團(tuán)隊(duì)已開始逐漸認(rèn)識到云供應(yīng)商們將取代他們而承擔(dān)起大量傳統(tǒng)的安全控制和程序所擔(dān)負(fù)的責(zé)任。

例如，一旦發(fā)生嚴(yán)重的內(nèi)部流程發(fā)生問題，應(yīng)急響應(yīng)和數(shù)字取證等工作就將大部分由供應(yīng)商來處理了。一些企業(yè)可能會把安全責(zé)任的轉(zhuǎn)移視為云服務(wù)積極的一面，但是，很不幸的是很多企業(yè)都還沒有成功地確定供應(yīng)商在這些方面是否具有那些真正的能力。

云安全聯(lián)盟(CSA)的事故管理與取證工作組于近期發(fā)布了一篇名為“映射取證標(biāo)準(zhǔn)ISO/IEC 27037至云”的白皮書，該文試圖解決一些關(guān)于云服務(wù)供應(yīng)商取證能力方面的問題。在該文中，工作組詳細(xì)介紹了取證活動的類型，以及應(yīng)當(dāng)被包含在法規(guī)和服務(wù)水平協(xié)議(SLA)中的合同條款類型，他們認(rèn)為應(yīng)當(dāng)要求云供應(yīng)商在不同的服務(wù)模式中控制消費(fèi)者。工作組還介紹了云消費(fèi)者應(yīng)當(dāng)與他們的供應(yīng)商共同討論的各種類型的證據(jù)，以及一些常見的最佳實(shí)踐和以云為中心且符合國際取證和響應(yīng)標(biāo)準(zhǔn)的方法。

對于許多企業(yè)來說，真實(shí)了解供應(yīng)商能力的一個好的開始就是制定一份在研究和/或合同談判的初期階段向云服務(wù)供應(yīng)商提問的問題清單。這里我們列出了針對云供應(yīng)商的十個問題，在評估他們?nèi)∽C能力時這些問題將對大多數(shù)企業(yè)都是非常有幫助的：

1. 首先，在平時以及調(diào)查過程中，(最好是更大型、更成熟的取證團(tuán)隊(duì))將能夠向你提供什么類型的數(shù)據(jù)?對于CSA文檔而言，這些數(shù)據(jù)類型可能包括如下內(nèi)容：

a. Web服務(wù)器日志

b. 應(yīng)用程序服務(wù)器日志

c. 數(shù)據(jù)庫日志

d. 虛擬機(jī)客戶操作系統(tǒng)日志

e. 虛擬化管理程序主機(jī)訪問日志

f. 虛擬化管理平臺日志和SaaS門戶日志

g. 網(wǎng)絡(luò)捕獲

h. 計費(fèi)記錄

i. 管理門戶日志

j. API日志

k. 云或網(wǎng)絡(luò)供應(yīng)商的外圍網(wǎng)絡(luò)日志

l. DNS服務(wù)器的日志

2. 提供什么類型的證據(jù)，在什么時間可作為合同的一部分，以及如何在SLA中特別指定?云消費(fèi)者應(yīng)當(dāng)能夠查看接收日志、虛擬機(jī)復(fù)本以及潛在的網(wǎng)絡(luò)和/或存儲流量(如適用)。

3. 供應(yīng)商是否維護(hù)當(dāng)前的執(zhí)法和法律/法規(guī)領(lǐng)域的聯(lián)絡(luò)人名單以便于在發(fā)生數(shù)據(jù)違反情況時能夠提供相關(guān)的援助和指導(dǎo)?

4. 云供應(yīng)商是否允許受影響的消費(fèi)者參與到事故響應(yīng)和取證調(diào)查中，如果是這樣的話，這種參與應(yīng)達(dá)到什么程度呢?此外，應(yīng)如何保護(hù)入侵日志和其他證據(jù)文件?

5. 將采取何種合適的數(shù)據(jù)保留和處置生命周期政策與流程以確保事件和其他相關(guān)信息的安全性?如何覆蓋虛擬磁盤文件?這些問題是理解云供應(yīng)商實(shí)施數(shù)據(jù)保留和保護(hù)生命周期的關(guān)鍵。

6. 云服務(wù)供應(yīng)商(CSP)的安全團(tuán)隊(duì)擁有什么樣的取證和事故響應(yīng)經(jīng)驗(yàn)?應(yīng)期望他們擁有行業(yè)認(rèn)證的證明和具備知名工具與技術(shù)的應(yīng)用經(jīng)驗(yàn)。這些認(rèn)證包括：SANS GIAC認(rèn)證取證分析(GCFA)、GIAC認(rèn)證事故處理程序(GCIH)、GIAC認(rèn)證取證檢查程序(GCFE)、認(rèn)證計算機(jī)檢查程序(CCE)等等。相關(guān)的工具和技術(shù)應(yīng)包括使用業(yè)界領(lǐng)先的取證技術(shù)、以及逆向工程技能和數(shù)據(jù)與網(wǎng)絡(luò)流量采集技能。

7. 為適應(yīng)內(nèi)部的虛擬基礎(chǔ)設(shè)施和云管理平臺，已實(shí)施了何種取證和響應(yīng)程序?例如，CSP團(tuán)隊(duì)是否針對證據(jù)獲取使用虛擬機(jī)快照技術(shù)?任何合法的云供應(yīng)商都應(yīng)當(dāng)能夠提供證明其擁有與虛擬化相關(guān)的特殊經(jīng)驗(yàn)和能力的確鑿詳細(xì)證據(jù)。

8. 在多租戶的環(huán)境中，CSP團(tuán)隊(duì)將采取哪些步驟以便于在某個/些租戶經(jīng)歷安全事故時最大限度地減少對其他租戶的影響?

9. CSP是如何在虛擬環(huán)境中處理基于網(wǎng)絡(luò)的監(jiān)控和跟蹤任務(wù)的? 是否使用虛擬防火墻或其他設(shè)施。如果有使用，那么是如何管理這些設(shè)施的?是否有合適的職責(zé)分離和基于角色的訪問控制措施，以便于在發(fā)生安全事故時限制特定團(tuán)隊(duì)成員的可見性?

10. CSP團(tuán)隊(duì)將遵循什么樣的程序以允許執(zhí)法人員訪問系統(tǒng)和資產(chǎn)?如何確保未受影響的租戶能夠置身事外?

除了以上這些問題，CSA指南還提出了一些關(guān)于客戶端和移動設(shè)備訪問云資源的云取證建議，雖然這些建議中的很多都是高層次的?？傊?，當(dāng)發(fā)生事故時才手忙腳亂地想辦法來處理，只能說明簽訂云服務(wù)合同時沒有做好功課，所以安全和運(yùn)行團(tuán)隊(duì)?wèi)?yīng)當(dāng)在簽訂合同之前就積極主動地收集盡可能多的這一類信息。如果一家企業(yè)在與云供應(yīng)商談判過程中的任意時刻無法感到百分百的滿意，那么它就應(yīng)當(dāng)重新評估供應(yīng)商或與其云服務(wù)一起是否在當(dāng)時是完全適合的。

理想情況下，云供應(yīng)商應(yīng)當(dāng)在未來發(fā)生事故時更緊密地與客戶合作，提供合理的證據(jù)以及具有豐富取證和相應(yīng)技能的安全團(tuán)隊(duì)。更多的云消費(fèi)者需要(并要求)CSP的取證程序信息以便于幫助他們在未來實(shí)現(xiàn)這一工作的標(biāo)準(zhǔn)化。

作者簡介：

Dave Shackleford是Voodoo安全有限責(zé)任公司的所有人和咨詢師、IANS資深導(dǎo)師、SANS分析師、高級講師和課程作者。他已為數(shù)百個組織在安全、法規(guī)合規(guī)性以及網(wǎng)絡(luò)架構(gòu)與工程領(lǐng)域提供了咨詢服務(wù)，是具有豐富安全虛擬化基礎(chǔ)設(shè)施設(shè)計和配置經(jīng)驗(yàn)的VMware vExpert。Dave之前是Configuresoft公司的CSO、互聯(lián)網(wǎng)安全中心的CTO、并曾出任多家財富500強(qiáng)公司的安全架構(gòu)師、分析師和經(jīng)理。Dave是《Sybex》一書的作者，虛擬化安全：保護(hù)虛擬化環(huán)境，以及信息安全課程技術(shù)的合作設(shè)計者。最近，Dave為SANS研究所合作設(shè)計了第一個虛擬化安全課程。目前，Dave在SANS技術(shù)研究院擔(dān)任董事一職，并協(xié)助領(lǐng)導(dǎo)云安全聯(lián)盟的亞特蘭大分部。