云计算和数字取证之间不断相互渗透,术语“云取证”是指从云基础设施采集数字取证数据。 长期以来,事件响应和数字取证一直是计算机犯罪调查的关键部分,随着云计算的快速发展,事件响应和数字取证变得越来越具有挑战性。 仅举几例,本地取证证据包括从日志文件、存储在磁盘上的数据、网络流量和入侵标志物等收集到的信息。本地分析与云服务分析之间的基本区别是,使用本地计算机,通过简单地进入系统,从而可以收集并分析信息。
然而,当涉及到云时,机器无法进行物理访问,只有计算机的某些部分,可以通过云应用程序接口进行访问。 在本文中,我们将开始对云进行简要说明,其次是探索为什么云取证比以往变得更加重要,以及探索从不同云服务……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
云计算和数字取证之间不断相互渗透,术语“云取证”是指从云基础设施采集数字取证数据。 长期以来,事件响应和数字取证一直是计算机犯罪调查的关键部分,随着云计算的快速发展,事件响应和数字取证变得越来越具有挑战性。
仅举几例,本地取证证据包括从日志文件、存储在磁盘上的数据、网络流量和入侵标志物等收集到的信息。本地分析与云服务分析之间的基本区别是,使用本地计算机,通过简单地进入系统,从而可以收集并分析信息。 然而,当涉及到云时,机器无法进行物理访问,只有计算机的某些部分,可以通过云应用程序接口进行访问。
在本文中,我们将开始对云进行简要说明,其次是探索为什么云取证比以往变得更加重要,以及探索从不同云服务和部署模型获取信息所带来的挑战。 最后,我们将讨论与云服务提供商建立良好关系,确保云取证成功的最佳实践。
云计算
先探索云的不同部署和服务模式。在云计算中,有五种不同的部署模型:
- 私有云——此部署模型中,组织运行其自己的私有云,具有完全访问权限。 云位于防火墙后面,组织向用户提供了访问接口,可以同时保留存储在云中数据的私密性。
- 公共云——在公共云模型中,服务通过互联网提供给公众。 公共云包括亚马逊网络服务,谷歌电脑引擎和微软的Azure。 在公共云中,经常使用虚拟化环境。
- 社区云——组织可以访问社区云服务,相比于私有云,降低了成本。 社区云无论是内部部署还是外部部署,都可以由组织作为一个群体或由第三方提供商进行管理。
- 混合云——在混合云模型下,服务在私有的、内部部署和公共云服务之间是混合的。 这种方法可帮助企业享受云的成本效益,不需要完全依赖第三方提供商。
- 分布式云——分布式云服务分散于不同地点的多台计算机,但都连接到同一网络中。
有三种主要的公共云计算服务模式,也是企业目前通常使用的。 包括:
- 基础设施即服务(IaaS),提供整个基础设施(如物理/虚拟机,防火墙,负载均衡和虚拟机管理程序)
- 平台即服务(PaaS),提供了一个平台(如操作系统,数据库和Web服务器)
- 软件即服务(SaaS),组织可以访问该服务,服务提供商负责管理该服务。
云网络取证的重要性
云网络取证的重要性不能否认。 当攻击者试图攻击云服务时,取证不仅可以检测出来,而且有助于组织阻止并防止此类攻击发生。
当涉及到网络取证时,说明攻击已经发生,并且,组织需要从一堆数据中收集证据,来确定黑客是谁,黑客如何攻击服务,以及黑客得到了哪些信息。 网络取证调查人员必须仔细检查所采集到的数据 - 如文件系统,进程,注册表和网络流量 – 从而得出上述结论。
云取证过程的基本区别是,限制了网络取证审查员所掌握的数据。数据有限成为了最大的障碍,因为调查人员必须经常使用虚拟影像,而不是物理机器。 数据采集很大一部分必须由云提供商提供,可能提供的数据并不是所需的数据。还好,云取证所依赖的工具,与传统取证过程所依赖的工具类型相同。 在过去的几年中,云取证迅速发展,所以,专门为云取证创建的新工具,在未来的几年里,可能会被写进。
从云收集数据
收集到的信息类型不同,取决于企业使用的是哪种云服务模型。右表展示了在使用SaaS、PaaS、IaaS或本地专用网络时,组织可以获得哪些信息。
显然,在进行云网络取证分析与在本地计算机上执行取证分析相比,组织不能访问云中相同的信息。
云数据采集:与服务提供商合作
要缩小差距,企业必须与云提供商合作,来获取信息进行分析,包括应用程序日志,数据库日志或网络日志。 保持持续的、开放的沟通,并与云提供商建立良好的关系是必要的,从而获得那些对成功审核、数据分析来说,都很重要的信息。
不幸的是,很多云提供商并不在乎他们客户的调查,而且极度不配合。 要么或者他们具备一个智慧的、并且/或者安全响应的团队,以协助取证调查所需要数据的收集。 在某些情况下,云提供商甚至可能会传递不正确的信息,在法庭上无法使用。 这似乎有些牵强,但是对于云提供商来说,定位并提供正确的信息,是非常困难的,与在云提供商环境下的复杂性相比,企业环境下的复杂性,相形见绌。 通常情况下,组织的数据位于世界各地的多个数据中心,没有人真正知道在哪里。更何况,这些数据与其他组织的数据并不单独存储,因此,确定哪些日志属于哪个企业,对提供商来说,很困难。
在选择云提供商时,必须谨慎小心,这一点至关重要。不同的云提供商,竞争力也不同,企业的云网络调查,可能会取得巨大的成功,也可能会彻底失败。
在评估云服务提供商时,企业不能只盲目地相信云服务提供商所说的。 如果提供商说,云服务是安全的,企业应该询问提供商对基础设施进行了哪些测试,以及是如何测试的。 企业还应该询问数据的位置以及哪些人有权访问这些数据。 当出现安全漏洞时,一个重要的标准是与IT部门合作。 我们知道,一个法医考官必须与云服务提供商密切合作,以获得有关漏洞所需要的信息 - 这是一个很大的优势,如果提供商有自己的安全团队。
随着云和云服务的加速发展,云网络取证会变得越来越重要。 至关重要的是,在建立合同和采用云服务之前,组织务必要仔细阅读所有的条款,以确保某一天不得不进行云计算调查取证时,组织的服务提供商不会影响组织的效率和成功。
相关推荐
-
云管理平台如何帮助企业实现云安全管理
在大多数情况下,云计算中的安全控制与其他所有IT环境中的安全控制并没有什么不同之处。但是,由于云计算服务模式方面的原因,风险始终存在。
-
云计算与服务器整合的价值
分布式计算技术的价格下落以及预算自由已导致了特定应用程序服务器的增长。对于CIO们来说,这已经触发了远离中心技术支持资源的大幅增长,其中不仅包括服务器多应用程序……
-
解读云计算三种服务模式及其之间关系
从用户体验角度而言,云计算三种服务模式之间关系是独立的,因为它们面对不同类型的用户。而从技术角度而言,它们并不是简单的继承关系。
-
畅想云计算未来 超市还是电厂?
谈到云计算的未来,最主流的看法莫过于前《哈佛商业评论》执行主编Nicholas Carr在《IT不再重要》一书中所提到的“电厂”模式。