云計算改變了 IT 行業(yè)，因為服務部署如今僅需以往耗時的些微部分。可擴展計算解決方案孕育出 AWS、谷歌云和微軟 Azure 等大型云計算公司。鼠標輕點，員工便能以軟件即服務 (SaaS)、平臺即服務 (PaaS)、基礎設施即服務 (IaaS) 這三種不同云計算服務模式，創(chuàng)建或重置計算資源的整個基礎設施。這些模式給云取證調(diào)查帶來了三種獨特的挑戰(zhàn)。

[[275566]]

云計算服務模式

傳統(tǒng) IT 服務中，從網(wǎng)絡設備到應用本身的所有服務都是擁有者的責任。云計算則提供 SaaS、PaaS 和 IaaS 解決方案以高效部署和管理計算資源。

我們不妨仔細審視這三種模式。

1. IaaS

IaaS 云計算環(huán)境中，擁有者對操作系統(tǒng)和所有中間件、運行時、數(shù)據(jù)及應用部分負責。操作系統(tǒng)部署、虛擬化和所有硬件、存儲及網(wǎng)絡設備則由云提供商為客戶代管。這種模式給了客戶計算資源底層基礎設施的大部分控制權。在 AWS 彈性計算云 (EC2)、Digital Ocean 和 Rackspace 上創(chuàng)建主機即是 IaaS 模式。

2. PaaS

PaaS 模式中，擁有者對云計算資源負有的責任較小，僅需對數(shù)據(jù)和應用負責，包括網(wǎng)絡、服務器、操作系統(tǒng)和存儲在內(nèi)的基本云基礎設施都不用管。該服務模式主要為創(chuàng)建應用或軟件的開發(fā)人員所用。PaaS 模式的樣例可參考 AWS Elastic Beanstalk、Windows Azure 和 Apache Stratos。

3. SaaS

SaaS 是大包大攬型的云計算托管環(huán)境，應用擁有者將應用交付給云提供商，此后該應用便由云服務提供商完全托管了。谷歌 Apps、Dropbox 和 Slack 均為 SaaS 模式。這些應用由云服務提供商 (CSP) 全權管理，用戶基本上通過 Web 瀏覽器加以使用。

云計算與取證

特定于云計算的取證問題主要是管轄權、多租戶和對 CSP 的依賴。云取證是數(shù)字取證的子集，基于特定方法調(diào)查云環(huán)境。CSP 托管客戶數(shù)據(jù)的服務器遍布全球。網(wǎng)絡事件發(fā)生時，法律管轄權和當?shù)剡m用法律就很成問題了。數(shù)據(jù)中心所在地頒布的法庭命令，可能不適用于另一個國家托管的主機?，F(xiàn)代 CSP 環(huán)境中，客戶可以選擇數(shù)據(jù)存儲的地點，做出這一選擇時應特別小心謹慎。

對調(diào)查人員而言，則要確保數(shù)字證據(jù)不受第三方篡改，以便能被法庭采納。PaaS 和 SaaS 服務模式中，因為沒有硬件控制權，客戶必須通過云服務提供商才可以訪問到日志。某些情況下，CSP 有時候會故意隱瞞日志細節(jié)。其他情況下，CSP 的策略中就聲明不會提供收集日志的服務。

相對于傳統(tǒng)取證環(huán)境，在云環(huán)境中維護證據(jù)監(jiān)管鏈非常困難。傳統(tǒng)取證環(huán)境中，內(nèi)部安全團隊可以控制誰來執(zhí)行取證操作，但在云取證中，安全團隊無力控制 CSP 會選擇誰來收集證據(jù)。只要執(zhí)行取證操作的人未經(jīng)標準取證流程培訓，監(jiān)管鏈便有可能在法庭上站不住腳。

總結(jié)

云計算有三種服務模式，云取證至少有三大特定挑戰(zhàn)。云計算的每種服務模式中，云服務提供商都與客戶共擔了部分責任。這一共擔責任的關系導致云取證調(diào)查面臨獨特挑戰(zhàn)，因為任何小事故都能導致證據(jù)不受法庭承認。

由于云服務器可位于多個國家，取證數(shù)據(jù)也可能歸屬多個司法轄區(qū)。司法管轄權的問題不容忽視。涉及取證調(diào)查的時候，云服務提供商未必總能按照客戶的要求操作，因為這相當于在為幾乎與己無關的事情耗費自身時間和金錢。以上困難和挑戰(zhàn)都是特定于云取證這一數(shù)字取證領域子集的。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文