隨著業(yè)界持續(xù)向云端遷移，安全實(shí)踐者不僅僅需要保護(hù)云實(shí)現(xiàn)的安全，還需要在上線后能夠做出應(yīng)急響應(yīng)和取證。很多企業(yè)已經(jīng)在以一種或者另外的格式使用云，這取決于服務(wù)模型——基礎(chǔ)架構(gòu)即服務(wù)，軟件即服務(wù)或者平臺(tái)即服務(wù)——需要按需采用對(duì)應(yīng)的應(yīng)急響應(yīng)和取證調(diào)查流程來(lái)支持云計(jì)算服務(wù)。本文調(diào)研了實(shí)現(xiàn)云應(yīng)急響應(yīng)和取證的注意點(diǎn)和好處。

[[170725]]

　　云應(yīng)急響應(yīng)：讓我們開(kāi)始吧

　　遷移到某個(gè)云服務(wù)供應(yīng)商的時(shí)候，需要做的第一件事情是評(píng)估企業(yè)當(dāng)前擁有的東西，以及遷移到云端將如何改變自己的應(yīng)急響應(yīng)和取證流程。在云上執(zhí)行這些流程是一個(gè)全新的領(lǐng)域，需要在轉(zhuǎn)變開(kāi)始之前就完整地理解所有東西。這樣過(guò)程中的核心因素是決定實(shí)現(xiàn)云的所有系統(tǒng)的服務(wù)模型，以及數(shù)據(jù)會(huì)存儲(chǔ)在哪里。這有助于指導(dǎo)決策，如果企業(yè)已經(jīng)知道數(shù)據(jù)存儲(chǔ)在哪里，那么在事件發(fā)生時(shí)就能夠更快地處理整個(gè)流程。

　　另外，企業(yè)通常會(huì)減慢向云端遷移的速度，并且仍然在本地?cái)?shù)據(jù)中心保留一個(gè)實(shí)例。使用這樣的混合架構(gòu)時(shí)，企業(yè)需要更加小心，因?yàn)楫?dāng)前的應(yīng)急響應(yīng)和取證工具并非為云而設(shè)計(jì)或者實(shí)現(xiàn)的。這會(huì)在網(wǎng)絡(luò)上留下安全盲區(qū)，使得發(fā)現(xiàn)不了攻擊，并且沒(méi)有能力執(zhí)行云取證。比如，登錄進(jìn)云系統(tǒng)是否就能夠獲得登入本地日志管理存儲(chǔ)的能力?既然流量并沒(méi)有離開(kāi)云實(shí)例，那么企業(yè)如何處理入侵防御系統(tǒng)的檢查?如果不從這個(gè)角度徹底設(shè)計(jì)，那么既處在云端又鏈接到物理世界的架構(gòu)可能就是危險(xiǎn)的。

　　進(jìn)行針對(duì)企業(yè)內(nèi)已有應(yīng)急響應(yīng)/取證工具和流程是如何使用的，以及它們?nèi)绾卧谠贫耸褂玫牟罹喾治鲋陵P(guān)重要。這決定了遷移到云端是否會(huì)造成流程里的限制，或者可能會(huì)有什么改進(jìn)。進(jìn)程的所有改動(dòng)需要基于以后將如何工作來(lái)決定。在這期間，需要進(jìn)行對(duì)云里的應(yīng)急響應(yīng)和取證流程的CSP角色和職責(zé)的審核，這樣企業(yè)能夠理解如何在云上在合作模型下運(yùn)行。

　　CSP支持和數(shù)據(jù)管理

　　取決于服務(wù)模型，CSP支持在流程里扮演的角色有所不同，這點(diǎn)必須在遷移上云之前了解清楚。CSP支持團(tuán)隊(duì)會(huì)成為應(yīng)急響應(yīng)團(tuán)隊(duì)的重要且活躍的成員，并且需要知道如何在runbook里工作。這些流程必須在遷移之前就制定出來(lái)，并且在集成階段進(jìn)行測(cè)試，在云端和本地都要進(jìn)行驗(yàn)證。企業(yè)從IaaS服務(wù)模型里得到的越多，供應(yīng)商通常需要負(fù)責(zé)的就越少;這對(duì)于應(yīng)急響應(yīng)和取證評(píng)估也是一樣的。必須理解每個(gè)部門負(fù)責(zé)什么，以及在真正的事件發(fā)生時(shí)該如何處理。

　　執(zhí)行應(yīng)急響應(yīng)和取證需要考慮到的另一個(gè)因素是事件中如何收集并保存數(shù)據(jù)。完成這些時(shí)，產(chǎn)銷監(jiān)管鏈很重要，并且現(xiàn)在會(huì)包含一個(gè)輔助流程的第三方工具。非常有可能系統(tǒng)會(huì)作為共享基礎(chǔ)架構(gòu)的一部分來(lái)實(shí)現(xiàn)，之前也去所擁有的日志源現(xiàn)在都不可用了。比如，如果針對(duì)某個(gè)托管在公有云上的網(wǎng)站發(fā)起拒絕服務(wù)攻擊，因?yàn)榛谄渌蛻舻碾[私考慮，很可能不會(huì)接受到NetFlow數(shù)據(jù)。即使在IaaS模型里，請(qǐng)求日志時(shí)還不可用這樣的情況也會(huì)經(jīng)常發(fā)生。只要有內(nèi)置的共享基礎(chǔ)架構(gòu)，那么就有可能丟失日志和可見(jiàn)性。

　　很多CSP都在全面地提供擴(kuò)展的安全產(chǎn)品或者功能，幫助云上的安全服務(wù)盡可能得不出問(wèn)題。如果整個(gè)基礎(chǔ)架構(gòu)都是基于云的，那么本質(zhì)上你需要按需管理所有在一個(gè)供應(yīng)商里的系統(tǒng)?？梢詢鼋Y(jié)，停用鏈接，或者甚至為應(yīng)急響應(yīng)和取證所需而在安全地域隔離虛擬機(jī)。

　　應(yīng)急響應(yīng)和取證：?jiǎn)栴}列表

　　當(dāng)選擇提供很好的應(yīng)急響應(yīng)和取證框架的云供應(yīng)商/應(yīng)用程序時(shí)，可以查看如下列表：

　　開(kāi)放API使得企業(yè)可以直達(dá)CSP產(chǎn)品，并且直接接入到企業(yè)已有的產(chǎn)品和服務(wù)里。如果往云上的遷移最終是混合狀態(tài)的話，這一點(diǎn)至關(guān)重要。

　　決定系統(tǒng)如何記錄日志，以及會(huì)存儲(chǔ)哪些類型的日志。產(chǎn)品不同時(shí)這一點(diǎn)會(huì)有所區(qū)別，但是CSP是否能提供這樣的功能或者你是否需要云上的日志管理產(chǎn)品，或者需要發(fā)送日志的單獨(dú)的系統(tǒng)?

　　檢查CSP和你的安全軟件如何是處理云上的彈性的。當(dāng)新系統(tǒng)出現(xiàn)，或者摧毀時(shí)，日志，端點(diǎn)安全和網(wǎng)絡(luò)安全如何處理?從應(yīng)急響應(yīng)和取證的角度來(lái)看，這些團(tuán)隊(duì)都需要了解這些系統(tǒng)是如何遷移的，以及它們的軟件能否被部署。另外，還需要了解系統(tǒng)退役時(shí)，如何處理數(shù)據(jù)。

　　決定是否現(xiàn)有的安全服務(wù)也能夠在云上實(shí)現(xiàn)。如何執(zhí)行IPS?大部分情況下，是在網(wǎng)絡(luò)上完成的，但是現(xiàn)在在云上，那么很多情況下會(huì)在主機(jī)級(jí)別完成這件事情。在云上是否有當(dāng)前在本地使用的東西的虛擬副本?這一點(diǎn)在進(jìn)行調(diào)查時(shí)很重要。

　　你的數(shù)據(jù)，系統(tǒng)，應(yīng)用程序和日志是否可能需要移動(dòng)到別的國(guó)家?如果那個(gè)國(guó)家的隱私法規(guī)限制應(yīng)急響應(yīng)和取證團(tuán)隊(duì)完成他們的工作的話，就有可能讓調(diào)查停滯不前。

　　提前審查CSP，SOC 2以及其他合規(guī)相關(guān)的文檔。這會(huì)讓你充分了解CSP是什么，以及填補(bǔ)云上的應(yīng)急響應(yīng)和取證流程還有哪些缺失的地方。

　　總結(jié)

　　進(jìn)行應(yīng)急響應(yīng)和取證有很多好處;并不總是很難進(jìn)行。企業(yè)在開(kāi)始完全向云上遷移時(shí)就能夠最大地體會(huì)到這些好處，但是要知道服務(wù)模型在這上面起著很大的作用。如果企業(yè)是從IaaS角度進(jìn)入云世界的話，就需要首先從安全的角度調(diào)研CSP能夠提供什么。