隨著越來越多的企業都使用了云服務，企業的安全團隊已開始逐漸認識到云供應商們將取代他們而承擔起大量傳統的安全控制和程序所擔負的責任。

例如，一旦發生嚴重的內部流程發生問題，應急響應和數字取證等工作就將大部分由供應商來處理了。一些企業可能會把安全責任的轉移視為云服務積極的一面，但是，很不幸的是很多企業都還沒有成功地確定供應商在這些方面是否具有那些真正的能力。

云安全聯盟(CSA)的事故管理與取證工作組于近期發布了一篇名為“映射取證標準ISO/IEC 27037至云”的白皮書，該文試圖解決一些關于云服務供應商取證能力方面的問題。在該文中，工作組詳細介紹了取證活動的類型，以及應當被包含在法規和服務水平協議(SLA)中的合同條款類型，他們認為應當要求云供應商在不同的服務模式中控制消費者。工作組還介紹了云消費者應當與他們的供應商共同討論的各種類型的證據，以及一些常見的最佳實踐和以云為中心且符合國際取證和響應標準的方法。

對于許多企業來說，真實了解供應商能力的一個好的開始就是制定一份在研究和/或合同談判的初期階段向云服務供應商提問的問題清單。這里我們列出了針對云供應商的十個問題，在評估他們取證能力時這些問題將對大多數企業都是非常有幫助的：

1. 首先，在平時以及調查過程中，(最好是更大型、更成熟的取證團隊)將能夠向你提供什么類型的數據?對于CSA文檔而言，這些數據類型可能包括如下內容：

a. Web服務器日志

b. 應用程序服務器日志

c. 數據庫日志

d. 虛擬機客戶操作系統日志

e. 虛擬化管理程序主機訪問日志

f. 虛擬化管理平臺日志和SaaS門戶日志

g. 網絡捕獲

h. 計費記錄

i. 管理門戶日志

j. API日志

k. 云或網絡供應商的外圍網絡日志

l. DNS服務器的日志

2. 提供什么類型的證據，在什么時間可作為合同的一部分，以及如何在SLA中特別指定?云消費者應當能夠查看接收日志、虛擬機復本以及潛在的網絡和/或存儲流量(如適用)。

3. 供應商是否維護當前的執法和法律/法規領域的聯絡人名單以便于在發生數據違反情況時能夠提供相關的援助和指導?

4. 云供應商是否允許受影響的消費者參與到事故響應和取證調查中，如果是這樣的話，這種參與應達到什么程度呢?此外，應如何保護入侵日志和其他證據文件?

5. 將采取何種合適的數據保留和處置生命周期政策與流程以確保事件和其他相關信息的安全性?如何覆蓋虛擬磁盤文件?這些問題是理解云供應商實施數據保留和保護生命周期的關鍵。

6. 云服務供應商(CSP)的安全團隊擁有什么樣的取證和事故響應經驗?應期望他們擁有行業認證的證明和具備知名工具與技術的應用經驗。這些認證包括：SANS GIAC認證取證分析(GCFA)、GIAC認證事故處理程序(GCIH)、GIAC認證取證檢查程序(GCFE)、認證計算機檢查程序(CCE)等等。相關的工具和技術應包括使用業界領先的取證技術、以及逆向工程技能和數據與網絡流量采集技能。

7. 為適應內部的虛擬基礎設施和云管理平臺，已實施了何種取證和響應程序?例如，CSP團隊是否針對證據獲取使用虛擬機快照技術?任何合法的云供應商都應當能夠提供證明其擁有與虛擬化相關的特殊經驗和能力的確鑿詳細證據。

8. 在多租戶的環境中，CSP團隊將采取哪些步驟以便于在某個/些租戶經歷安全事故時最大限度地減少對其他租戶的影響?

9. CSP是如何在虛擬環境中處理基于網絡的監控和跟蹤任務的? 是否使用虛擬防火墻或其他設施。如果有使用，那么是如何管理這些設施的?是否有合適的職責分離和基于角色的訪問控制措施，以便于在發生安全事故時限制特定團隊成員的可見性?

10. CSP團隊將遵循什么樣的程序以允許執法人員訪問系統和資產?如何確保未受影響的租戶能夠置身事外?

除了以上這些問題，CSA指南還提出了一些關于客戶端和移動設備訪問云資源的云取證建議，雖然這些建議中的很多都是高層次的。總之，當發生事故時才手忙腳亂地想辦法來處理，只能說明簽訂云服務合同時沒有做好功課，所以安全和運行團隊應當在簽訂合同之前就積極主動地收集盡可能多的這一類信息。如果一家企業在與云供應商談判過程中的任意時刻無法感到百分百的滿意，那么它就應當重新評估供應商或與其云服務一起是否在當時是完全適合的。

理想情況下，云供應商應當在未來發生事故時更緊密地與客戶合作，提供合理的證據以及具有豐富取證和相應技能的安全團隊。更多的云消費者需要(并要求)CSP的取證程序信息以便于幫助他們在未來實現這一工作的標準化。

作者簡介：

Dave Shackleford是Voodoo安全有限責任公司的所有人和咨詢師、IANS資深導師、SANS分析師、高級講師和課程作者。他已為數百個組織在安全、法規合規性以及網絡架構與工程領域提供了咨詢服務，是具有豐富安全虛擬化基礎設施設計和配置經驗的VMware vExpert。Dave之前是Configuresoft公司的CSO、互聯網安全中心的CTO、并曾出任多家財富500強公司的安全架構師、分析師和經理。Dave是《Sybex》一書的作者，虛擬化安全：保護虛擬化環境，以及信息安全課程技術的合作設計者。最近，Dave為SANS研究所合作設計了第一個虛擬化安全課程。目前，Dave在SANS技術研究院擔任董事一職，并協助領導云安全聯盟的亞特蘭大分部。