云計算和數字取證之間不斷相互滲透，術語“云取證”是指從云基礎設施采集數字取證數據。 長期以來，事件響應和數字取證一直是計算機犯罪調查的關鍵部分，隨著云計算的快速發展，事件響應和數字取證變得越來越具有挑戰性。

僅舉幾例，本地取證證據包括從日志文件、存儲在磁盤上的數據、網絡流量和入侵標志物等收集到的信息。本地分析與云服務分析之間的基本區別是，使用本地計算機，通過簡單地進入系統，從而可以收集并分析信息。 然而，當涉及到云時，機器無法進行物理訪問，只有計算機的某些部分，可以通過云應用程序接口進行訪問。

在本文中，我們將開始對云進行簡要說明，其次是探索為什么云取證比以往變得更加重要，以及探索從不同云服務和部署模型獲取信息所帶來的挑戰。 最后，我們將討論與云服務提供商建立良好關系，確保云取證成功的最佳實踐。

在云計算中，有幾種不同的部署模型：

• 私有云——此部署模型中，組織運行其自己的私有云，具有完全訪問權限。 云位于防火墻后面，組織向用戶提供了訪問接口，可以同時保留存儲在云中數據的私密性。
• 公共云——在公共云模型中，服務通過互聯網提供給公眾。 公共云包括亞馬遜網絡服務，谷歌電腦引擎和微軟的Azure。 在公共云中，經常使用虛擬化環境。
• 混合云——在混合云模型下，服務在私有的、內部部署和公共云服務之間是混合的。 這種方法可幫助企業享受云的成本效益，不需要完全依賴第三方提供商。

有三種主要的公共云計算服務模式，也是企業目前通常使用的。 包括：

• 基礎設施即服務(IaaS)，提供整個基礎設施(如物理/虛擬機，防火墻，負載均衡和虛擬機管理程序)
• 平臺即服務(PaaS)，提供了一個平臺(如操作系統，數據庫和Web服務器)
• 軟件即服務(SaaS)，組織可以訪問該服務，服務提供商負責管理該服務。

云網絡取證的重要性

云網絡取證的重要性不能否認。 當攻擊者試圖攻擊云服務時，取證不僅可以檢測出來，而且有助于組織阻止并防止此類攻擊發生。

當涉及到網絡取證時，說明攻擊已經發生，并且，組織需要從一堆數據中收集證據，來確定黑客是誰，黑客如何攻擊服務，以及黑客得到了哪些信息。 網絡取證調查人員必須仔細檢查所采集到的數據 – 如文件系統，進程，注冊表和網絡流量 – 從而得出上述結論。

云取證過程的基本區別是，限制了網絡取證審查員所掌握的數據。數據有限成為了最大的障礙，因為調查人員必須經常使用虛擬影像，而不是物理機器。 數據采集很大一部分必須由云提供商提供，可能提供的數據并不是所需的數據。還好，云取證所依賴的工具，與傳統取證過程所依賴的工具類型相同。 在過去的幾年中，云取證迅速發展，所以，專門為云取證創建的新工具，在未來的幾年里，可能會被寫進。

從云收集數據

收集到的信息類型不同，取決于企業使用的是哪種云服務模型。右表展示了在使用SaaS、PaaS、IaaS或本地專用網絡時，組織可以獲得哪些信息。

顯然，在進行云網絡取證分析與在本地計算機上執行取證分析相比，組織不能訪問云中相同的信息。

云數據采集：與服務提供商合作

要縮小差距，企業必須與云提供商合作，來獲取信息進行分析，包括應用程序日志，數據庫日志或網絡日志。 保持持續的、開放的溝通，并與云提供商建立良好的關系是必要的，從而獲得那些對成功審核、數據分析來說，都很重要的信息。

不幸的是，很多云提供商并不在乎他們客戶的調查，而且極度不配合。 要么或者他們具備一個智慧的、并且/或者安全響應的團隊，以協助取證調查所需要數據的收集。 在某些情況下，云提供商甚至可能會傳遞不正確的信息，在法庭上無法使用。 這似乎有些牽強，但是對于云提供商來說，定位并提供正確的信息，是非常困難的，與在云提供商環境下的復雜性相比，企業環境下的復雜性，相形見絀。 通常情況下，組織的數據位于世界各地的多個數據中心，沒有人真正知道在哪里。更何況，這些數據與其他組織的數據并不單獨存儲，因此，確定哪些日志屬于哪個企業，對提供商來說，很困難。

在選擇云提供商時，必須謹慎小心，這一點至關重要。不同的云提供商，競爭力也不同，企業的云網絡調查，可能會取得巨大的成功，也可能會徹底失敗。

在評估云服務提供商時，企業不能只盲目地相信云服務提供商所說的。 如果提供商說，云服務是安全的，企業應該詢問提供商對基礎設施進行了哪些測試，以及是如何測試的。 企業還應該詢問數據的位置以及哪些人有權訪問這些數據。 當出現安全漏洞時，一個重要的標準是與IT部門合作。 我們知道，一個法醫考官必須與云服務提供商密切合作，以獲得有關漏洞所需要的信息 – 這是一個很大的優勢，如果提供商有自己的安全團隊。

隨著云和云服務的加速發展，云網絡取證會變得越來越重要。 至關重要的是，在建立合同和采用云服務之前，組織務必要仔細閱讀所有的條款，以確保某一天不得不進行云計算調查取證時，組織的服務提供商不會影響組織的效率和成功。