隨著越來(lái)越多企業(yè)將云計(jì)算服務(wù)納入業(yè)務(wù)流程，安全團(tuán)隊(duì)已經(jīng)逐漸意識(shí)到，云供應(yīng)商必須對(duì)傳統(tǒng)安全控制及處理流程進(jìn)行全面調(diào)整，否則根本無(wú)法應(yīng)對(duì)即將面對(duì)的新型挑戰(zhàn)。

舉例來(lái)說(shuō)，事故響應(yīng)與數(shù)字取證這些過(guò)去只存在于內(nèi)部流程中的事務(wù)，如今已經(jīng)成為大多數(shù)供應(yīng)商的固有服務(wù)內(nèi)容。某些企業(yè)可能會(huì)樂(lè)觀地將這種趨勢(shì)視為云計(jì)算普及的積極信號(hào)，然而不幸的是，很多企業(yè)還無(wú)法準(zhǔn)確評(píng)估到底什么樣的供應(yīng)商才有能力在這些方面取得成功。

在最近由云安全聯(lián)盟(簡(jiǎn)稱CSA)事故管理與取證工作組所發(fā)布的題為《在云計(jì)算領(lǐng)域?qū)崿F(xiàn)取證標(biāo)準(zhǔn)ISO/IEC 27037》的白皮書中，研究人員試圖解決由取證工作帶給云供應(yīng)商的種種難題。該工作組詳細(xì)羅列了各類云服務(wù)供應(yīng)商的不同服務(wù)模式分別能夠提供哪些取證功能，也闡述了消費(fèi)者對(duì)于這些服務(wù)類型應(yīng)寄予的期望。此外，白皮書還論證了合同中應(yīng)該包括的法律及服務(wù)水平協(xié)議(簡(jiǎn)稱SLA)。工作組同時(shí)介紹了云消費(fèi)者需要與供應(yīng)商討論的取證工作類型以及常見(jiàn)的云計(jì)算取證最佳實(shí)踐，從而保證此類工作符合國(guó)際取證規(guī)則以及響應(yīng)標(biāo)準(zhǔn)。

對(duì)于多數(shù)企業(yè)而言，要摸清供應(yīng)商的處理能力，最好的起點(diǎn)在于列出一張需要與對(duì)方交流的問(wèn)題清單，并在合同談判的初級(jí)階段將其作為解決的重點(diǎn)。

接下來(lái)我們就對(duì)最需要關(guān)注的十個(gè)問(wèn)題進(jìn)行探討，從而準(zhǔn)確評(píng)估云服務(wù)供應(yīng)商在云取證方面的實(shí)際水平。

1. 供應(yīng)商能夠定期為消費(fèi)者提供哪些類型的數(shù)據(jù)(注：取證團(tuán)隊(duì)規(guī)模越大、經(jīng)驗(yàn)越豐富，效果就越好)?這些數(shù)據(jù)將被使用在調(diào)查的哪個(gè)階段?根據(jù)云安全聯(lián)盟的說(shuō)明文檔，數(shù)據(jù)類型包括以下幾種：

a. 服務(wù)器日志

b. 應(yīng)用程序服務(wù)器日志

c. 數(shù)據(jù)庫(kù)日志

d. 虛擬機(jī)訪客操作系統(tǒng)

e. 虛擬化管理程序主機(jī)訪問(wèn)日志

f. 虛擬化管理平臺(tái)日志及SaaS門戶日志

g. 網(wǎng)絡(luò)流量捕捉

h. 計(jì)費(fèi)記錄

i. 管理門戶日志

j. API日志

k. 云或網(wǎng)絡(luò)供應(yīng)商的外部網(wǎng)絡(luò)日志

l. DNS服務(wù)器日志

2. 在合同中是否約定需要在何時(shí)提供何種類型的證據(jù)，這部分內(nèi)容又是否被劃歸服務(wù)水平協(xié)議之內(nèi)?云消費(fèi)者應(yīng)當(dāng)查看歸檔日志、虛擬機(jī)副本以及潛在的網(wǎng)絡(luò)及/或存儲(chǔ)流量。

3. 供應(yīng)商是否需要在法規(guī)及法律/監(jiān)管層面保障現(xiàn)有聯(lián)系人列表，從而在發(fā)生數(shù)據(jù)泄露事故時(shí)為客戶提供援助及指導(dǎo)。

4. 云供應(yīng)商是否允許相關(guān)客戶參與到事故響應(yīng)以及取證調(diào)查工作中來(lái)?如果允許，客戶的參與程度如何?另外，供應(yīng)商如何對(duì)遭受入侵的事件日志及其它證據(jù)文件進(jìn)行保護(hù)?

5. 對(duì)于安全事件及其它相關(guān)信息，供應(yīng)商提供怎樣的數(shù)據(jù)保留、生命周期管理政策以及相關(guān)處理流程?虛擬磁盤文件的覆蓋工作如何進(jìn)行?這些問(wèn)題對(duì)于我們掌握供應(yīng)商在數(shù)據(jù)保留及生命周期保護(hù)領(lǐng)域的實(shí)際水平至關(guān)重要。

6. 云服務(wù)供應(yīng)商的安全團(tuán)隊(duì)擁有怎樣的取證及事故響應(yīng)技能?大家應(yīng)要求供應(yīng)商出具相關(guān)行業(yè)認(rèn)證資質(zhì)、證明自身了解熱門工具的使用方法及技術(shù)。具體內(nèi)容包括SANS GIAC認(rèn)證證據(jù)分析(簡(jiǎn)稱GCFA)、GIAC認(rèn)證事故處理(簡(jiǎn)稱GCIH)、GIAC認(rèn)證證據(jù)檢查(簡(jiǎn)稱GCFE)、認(rèn)證計(jì)算機(jī)檢查(簡(jiǎn)稱CCE)等等。相關(guān)工具及技術(shù)則包括使用業(yè)務(wù)領(lǐng)先的取證技術(shù)、逆向工程技術(shù)以及網(wǎng)絡(luò)流量數(shù)據(jù)收集技能等。

7. 取證與響應(yīng)流程的實(shí)施是否與內(nèi)部虛擬基礎(chǔ)設(shè)施及云管理平臺(tái)相適應(yīng)?舉例來(lái)說(shuō)，云服務(wù)供應(yīng)商團(tuán)隊(duì)是否有能力在證據(jù)收集工作中利用虛擬機(jī)快照機(jī)制?任何一家合法的云供應(yīng)商都應(yīng)該能夠提供虛擬機(jī)實(shí)踐經(jīng)驗(yàn)與管理能力方面的證明。

8. 在多租戶環(huán)境下，云服務(wù)供應(yīng)商團(tuán)隊(duì)將采取哪些步驟來(lái)最大程度降低安全事故對(duì)租戶的影響?

9. 云服務(wù)供應(yīng)商如何在虛擬環(huán)境下實(shí)現(xiàn)基于網(wǎng)絡(luò)的監(jiān)控與追蹤任務(wù)?是否在環(huán)境中使用虛擬防火墻或者其它方案?如果答案是肯定的，供應(yīng)商又如何管理這些方案?另外，供應(yīng)商是否建立起適當(dāng)?shù)穆氊?zé)分離以及基于角色的訪問(wèn)控制機(jī)制，從而在發(fā)生安全事故時(shí)限制特定團(tuán)隊(duì)成員與數(shù)據(jù)的接觸程度?

10. 云服務(wù)供應(yīng)商團(tuán)隊(duì)通過(guò)怎樣的規(guī)程引導(dǎo)執(zhí)法人員介入系統(tǒng)及業(yè)務(wù)資產(chǎn)?如何保證未受影響的租戶遠(yuǎn)離取證工作的干擾?

除了上述問(wèn)題，云安全聯(lián)盟還在指南報(bào)告中提出了一些與客戶端及移動(dòng)設(shè)備訪問(wèn)云資源相關(guān)的取證建議，不過(guò)其中大部分內(nèi)容都比較艱深、更適合純技術(shù)人員閱讀。

總而言之，如果盲目簽訂云服務(wù)合約而疏于考慮后果，企業(yè)用戶往往會(huì)在真正遭遇事故后束手無(wú)策。因此安全與運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該加倍努力，在合同實(shí)際簽訂之前盡可能多地收集有價(jià)值信息。

作為企業(yè)客戶，如果大家在與云供應(yīng)商的談判中未能達(dá)到百分百滿意，請(qǐng)認(rèn)真思考是否需要對(duì)合作方甚至云服務(wù)進(jìn)行再次評(píng)估。只有這樣，才能做到對(duì)未來(lái)可能出現(xiàn)的問(wèn)題未雨綢繆。

而作為云供應(yīng)商在未來(lái)的事故中應(yīng)該與客戶加深合作，為使用者提供合理的證據(jù)并要求安全團(tuán)隊(duì)成員具備強(qiáng)大的取證及響應(yīng)能力。隨著消費(fèi)者對(duì)于云服務(wù)供應(yīng)商取證流程的需求逐步升級(jí)，一套標(biāo)準(zhǔn)化的信息取證流程將呼之欲出。