云計算和數(shù)字取證之間不斷相互滲透，術(shù)語“云取證”是指從云基礎(chǔ)設(shè)施采集數(shù)字取證數(shù)據(jù)。 長期以來，事件響應(yīng)和數(shù)字取證一直是計算機(jī)犯罪調(diào)查的關(guān)鍵部分，隨著云計算的快速發(fā)展，事件響應(yīng)和數(shù)字取證變得越來越具有挑戰(zhàn)性。

僅舉幾例，本地取證證據(jù)包括從日志文件、存儲在磁盤上的數(shù)據(jù)、網(wǎng)絡(luò)流量和入侵標(biāo)志物等收集到的信息。本地分析與云服務(wù)分析之間的基本區(qū)別是，使用本地計算機(jī)，通過簡單地進(jìn)入系統(tǒng)，從而可以收集并分析信息。 然而，當(dāng)涉及到云時，機(jī)器無法進(jìn)行物理訪問，只有計算機(jī)的某些部分，可以通過云應(yīng)用程序接口進(jìn)行訪問。

在本文中，我們將開始對云進(jìn)行簡要說明，其次是探索為什么云取證比以往變得更加重要，以及探索從不同云服務(wù)和部署模型獲取信息所帶來的挑戰(zhàn)。 最后，我們將討論與云服務(wù)提供商建立良好關(guān)系，確保云取證成功的最佳實踐。

在云計算中，有幾種不同的部署模型：

• 私有云——此部署模型中，組織運行其自己的私有云，具有完全訪問權(quán)限。 云位于防火墻后面，組織向用戶提供了訪問接口，可以同時保留存儲在云中數(shù)據(jù)的私密性。
• 公共云——在公共云模型中，服務(wù)通過互聯(lián)網(wǎng)提供給公眾。 公共云包括亞馬遜網(wǎng)絡(luò)服務(wù)，谷歌電腦引擎和微軟的Azure。 在公共云中，經(jīng)常使用虛擬化環(huán)境。
• 混合云——在混合云模型下，服務(wù)在私有的、內(nèi)部部署和公共云服務(wù)之間是混合的。 這種方法可幫助企業(yè)享受云的成本效益，不需要完全依賴第三方提供商。

有三種主要的公共云計算服務(wù)模式，也是企業(yè)目前通常使用的。 包括：

• 基礎(chǔ)設(shè)施即服務(wù)(IaaS)，提供整個基礎(chǔ)設(shè)施(如物理/虛擬機(jī)，防火墻，負(fù)載均衡和虛擬機(jī)管理程序)
• 平臺即服務(wù)(PaaS)，提供了一個平臺(如操作系統(tǒng)，數(shù)據(jù)庫和Web服務(wù)器)
• 軟件即服務(wù)(SaaS)，組織可以訪問該服務(wù)，服務(wù)提供商負(fù)責(zé)管理該服務(wù)。

云網(wǎng)絡(luò)取證的重要性

云網(wǎng)絡(luò)取證的重要性不能否認(rèn)。 當(dāng)攻擊者試圖攻擊云服務(wù)時，取證不僅可以檢測出來，而且有助于組織阻止并防止此類攻擊發(fā)生。

當(dāng)涉及到網(wǎng)絡(luò)取證時，說明攻擊已經(jīng)發(fā)生，并且，組織需要從一堆數(shù)據(jù)中收集證據(jù)，來確定黑客是誰，黑客如何攻擊服務(wù)，以及黑客得到了哪些信息。 網(wǎng)絡(luò)取證調(diào)查人員必須仔細(xì)檢查所采集到的數(shù)據(jù) – 如文件系統(tǒng)，進(jìn)程，注冊表和網(wǎng)絡(luò)流量 – 從而得出上述結(jié)論。

云取證過程的基本區(qū)別是，限制了網(wǎng)絡(luò)取證審查員所掌握的數(shù)據(jù)。數(shù)據(jù)有限成為了最大的障礙，因為調(diào)查人員必須經(jīng)常使用虛擬影像，而不是物理機(jī)器。 數(shù)據(jù)采集很大一部分必須由云提供商提供，可能提供的數(shù)據(jù)并不是所需的數(shù)據(jù)。還好，云取證所依賴的工具，與傳統(tǒng)取證過程所依賴的工具類型相同。 在過去的幾年中，云取證迅速發(fā)展，所以，專門為云取證創(chuàng)建的新工具，在未來的幾年里，可能會被寫進(jìn)。

從云收集數(shù)據(jù)

收集到的信息類型不同，取決于企業(yè)使用的是哪種云服務(wù)模型。右表展示了在使用SaaS、PaaS、IaaS或本地專用網(wǎng)絡(luò)時，組織可以獲得哪些信息。

顯然，在進(jìn)行云網(wǎng)絡(luò)取證分析與在本地計算機(jī)上執(zhí)行取證分析相比，組織不能訪問云中相同的信息。

云數(shù)據(jù)采集：與服務(wù)提供商合作

要縮小差距，企業(yè)必須與云提供商合作，來獲取信息進(jìn)行分析，包括應(yīng)用程序日志，數(shù)據(jù)庫日志或網(wǎng)絡(luò)日志。 保持持續(xù)的、開放的溝通，并與云提供商建立良好的關(guān)系是必要的，從而獲得那些對成功審核、數(shù)據(jù)分析來說，都很重要的信息。

不幸的是，很多云提供商并不在乎他們客戶的調(diào)查，而且極度不配合。 要么或者他們具備一個智慧的、并且/或者安全響應(yīng)的團(tuán)隊，以協(xié)助取證調(diào)查所需要數(shù)據(jù)的收集。 在某些情況下，云提供商甚至可能會傳遞不正確的信息，在法庭上無法使用。 這似乎有些牽強(qiáng)，但是對于云提供商來說，定位并提供正確的信息，是非常困難的，與在云提供商環(huán)境下的復(fù)雜性相比，企業(yè)環(huán)境下的復(fù)雜性，相形見絀。 通常情況下，組織的數(shù)據(jù)位于世界各地的多個數(shù)據(jù)中心，沒有人真正知道在哪里。更何況，這些數(shù)據(jù)與其他組織的數(shù)據(jù)并不單獨存儲，因此，確定哪些日志屬于哪個企業(yè)，對提供商來說，很困難。

在選擇云提供商時，必須謹(jǐn)慎小心，這一點至關(guān)重要。不同的云提供商，競爭力也不同，企業(yè)的云網(wǎng)絡(luò)調(diào)查，可能會取得巨大的成功，也可能會徹底失敗。

在評估云服務(wù)提供商時，企業(yè)不能只盲目地相信云服務(wù)提供商所說的。 如果提供商說，云服務(wù)是安全的，企業(yè)應(yīng)該詢問提供商對基礎(chǔ)設(shè)施進(jìn)行了哪些測試，以及是如何測試的。 企業(yè)還應(yīng)該詢問數(shù)據(jù)的位置以及哪些人有權(quán)訪問這些數(shù)據(jù)。 當(dāng)出現(xiàn)安全漏洞時，一個重要的標(biāo)準(zhǔn)是與IT部門合作。 我們知道，一個法醫(yī)考官必須與云服務(wù)提供商密切合作，以獲得有關(guān)漏洞所需要的信息 – 這是一個很大的優(yōu)勢，如果提供商有自己的安全團(tuán)隊。

隨著云和云服務(wù)的加速發(fā)展，云網(wǎng)絡(luò)取證會變得越來越重要。 至關(guān)重要的是，在建立合同和采用云服務(wù)之前，組織務(wù)必要仔細(xì)閱讀所有的條款，以確保某一天不得不進(jìn)行云計算調(diào)查取證時，組織的服務(wù)提供商不會影響組織的效率和成功。