隨著越來越多企業將云計算服務納入業務流程，安全團隊已經逐漸意識到，云供應商必須對傳統安全控制及處理流程進行全面調整，否則根本無法應對即將面對的新型挑戰。

舉例來說，事故響應與數字取證這些過去只存在于內部流程中的事務，如今已經成為大多數供應商的固有服務內容。某些企業可能會樂觀地將這種趨勢視為云計算普及的積極信號，然而不幸的是，很多企業還無法準確評估到底什么樣的供應商才有能力在這些方面取得成功。

在最近由云安全聯盟(簡稱CSA)事故管理與取證工作組所發布的題為《在云計算領域實現取證標準ISO/IEC 27037》的白皮書中，研究人員試圖解決由取證工作帶給云供應商的種種難題。該工作組詳細羅列了各類云服務供應商的不同服務模式分別能夠提供哪些取證功能，也闡述了消費者對于這些服務類型應寄予的期望。此外，白皮書還論證了合同中應該包括的法律及服務水平協議(簡稱SLA)。工作組同時介紹了云消費者需要與供應商討論的取證工作類型以及常見的云計算取證最佳實踐，從而保證此類工作符合國際取證規則以及響應標準。

對于多數企業而言，要摸清供應商的處理能力，最好的起點在于列出一張需要與對方交流的問題清單，并在合同談判的初級階段將其作為解決的重點。

接下來我們就對最需要關注的十個問題進行探討，從而準確評估云服務供應商在云取證方面的實際水平。

1. 供應商能夠定期為消費者提供哪些類型的數據(注：取證團隊規模越大、經驗越豐富，效果就越好)?這些數據將被使用在調查的哪個階段?根據云安全聯盟的說明文檔，數據類型包括以下幾種：

a. 服務器日志

b. 應用程序服務器日志

c. 數據庫日志

d. 虛擬機訪客操作系統

e. 虛擬化管理程序主機訪問日志

f. 虛擬化管理平臺日志及SaaS門戶日志

g. 網絡流量捕捉

h. 計費記錄

i. 管理門戶日志

j. API日志

k. 云或網絡供應商的外部網絡日志

l. DNS服務器日志

2. 在合同中是否約定需要在何時提供何種類型的證據，這部分內容又是否被劃歸服務水平協議之內?云消費者應當查看歸檔日志、虛擬機副本以及潛在的網絡及/或存儲流量。

3. 供應商是否需要在法規及法律/監管層面保障現有聯系人列表，從而在發生數據泄露事故時為客戶提供援助及指導。

4. 云供應商是否允許相關客戶參與到事故響應以及取證調查工作中來?如果允許，客戶的參與程度如何?另外，供應商如何對遭受入侵的事件日志及其它證據文件進行保護?

5. 對于安全事件及其它相關信息，供應商提供怎樣的數據保留、生命周期管理政策以及相關處理流程?虛擬磁盤文件的覆蓋工作如何進行?這些問題對于我們掌握供應商在數據保留及生命周期保護領域的實際水平至關重要。

6. 云服務供應商的安全團隊擁有怎樣的取證及事故響應技能?大家應要求供應商出具相關行業認證資質、證明自身了解熱門工具的使用方法及技術。具體內容包括SANS GIAC認證證據分析(簡稱GCFA)、GIAC認證事故處理(簡稱GCIH)、GIAC認證證據檢查(簡稱GCFE)、認證計算機檢查(簡稱CCE)等等。相關工具及技術則包括使用業務領先的取證技術、逆向工程技術以及網絡流量數據收集技能等。

7. 取證與響應流程的實施是否與內部虛擬基礎設施及云管理平臺相適應?舉例來說，云服務供應商團隊是否有能力在證據收集工作中利用虛擬機快照機制?任何一家合法的云供應商都應該能夠提供虛擬機實踐經驗與管理能力方面的證明。

8. 在多租戶環境下，云服務供應商團隊將采取哪些步驟來最大程度降低安全事故對租戶的影響?

9. 云服務供應商如何在虛擬環境下實現基于網絡的監控與追蹤任務?是否在環境中使用虛擬防火墻或者其它方案?如果答案是肯定的，供應商又如何管理這些方案?另外，供應商是否建立起適當的職責分離以及基于角色的訪問控制機制，從而在發生安全事故時限制特定團隊成員與數據的接觸程度?

10. 云服務供應商團隊通過怎樣的規程引導執法人員介入系統及業務資產?如何保證未受影響的租戶遠離取證工作的干擾?

除了上述問題，云安全聯盟還在指南報告中提出了一些與客戶端及移動設備訪問云資源相關的取證建議，不過其中大部分內容都比較艱深、更適合純技術人員閱讀。

總而言之，如果盲目簽訂云服務合約而疏于考慮后果，企業用戶往往會在真正遭遇事故后束手無策。因此安全與運營團隊應該加倍努力，在合同實際簽訂之前盡可能多地收集有價值信息。

作為企業客戶，如果大家在與云供應商的談判中未能達到百分百滿意，請認真思考是否需要對合作方甚至云服務進行再次評估。只有這樣，才能做到對未來可能出現的問題未雨綢繆。

而作為云供應商在未來的事故中應該與客戶加深合作，為使用者提供合理的證據并要求安全團隊成員具備強大的取證及響應能力。隨著消費者對于云服務供應商取證流程的需求逐步升級，一套標準化的信息取證流程將呼之欲出。