隨著越來越多企業(yè)將云計算服務納入業(yè)務流程，安全團隊已經(jīng)逐漸意識到，云供應商必須對傳統(tǒng)安全控制及處理流程進行全面調(diào)整，否則根本無法應對即將面對的新型挑戰(zhàn)。

舉例來說，事故響應與數(shù)字取證這些過去只存在于內(nèi)部流程中的事務，如今已經(jīng)成為大多數(shù)供應商的固有服務內(nèi)容。某些企業(yè)可能會樂觀地將這種趨勢視為云計算普及的積極信號，然而不幸的是，很多企業(yè)還無法準確評估到底什么樣的供應商才有能力在這些方面取得成功。

在最近由云安全聯(lián)盟(簡稱CSA)事故管理與取證工作組所發(fā)布的題為《在云計算領域?qū)崿F(xiàn)取證標準ISO/IEC 27037》的白皮書中，研究人員試圖解決由取證工作帶給云供應商的種種難題。該工作組詳細羅列了各類云服務供應商的不同服務模式分別能夠提供哪些取證功能，也闡述了消費者對于這些服務類型應寄予的期望。此外，白皮書還論證了合同中應該包括的法律及服務水平協(xié)議(簡稱SLA)。工作組同時介紹了云消費者需要與供應商討論的取證工作類型以及常見的云計算取證最佳實踐，從而保證此類工作符合國際取證規(guī)則以及響應標準。

對于多數(shù)企業(yè)而言，要摸清供應商的處理能力，最好的起點在于列出一張需要與對方交流的問題清單，并在合同談判的初級階段將其作為解決的重點。

接下來我們就對最需要關注的十個問題進行探討，從而準確評估云服務供應商在云取證方面的實際水平。

1. 供應商能夠定期為消費者提供哪些類型的數(shù)據(jù)(注：取證團隊規(guī)模越大、經(jīng)驗越豐富，效果就越好)?這些數(shù)據(jù)將被使用在調(diào)查的哪個階段?根據(jù)云安全聯(lián)盟的說明文檔，數(shù)據(jù)類型包括以下幾種：

a. 服務器日志

b. 應用程序服務器日志

c. 數(shù)據(jù)庫日志

d. 虛擬機訪客操作系統(tǒng)

e. 虛擬化管理程序主機訪問日志

f. 虛擬化管理平臺日志及SaaS門戶日志

g. 網(wǎng)絡流量捕捉

h. 計費記錄

i. 管理門戶日志

j. API日志

k. 云或網(wǎng)絡供應商的外部網(wǎng)絡日志

l. DNS服務器日志

2. 在合同中是否約定需要在何時提供何種類型的證據(jù)，這部分內(nèi)容又是否被劃歸服務水平協(xié)議之內(nèi)?云消費者應當查看歸檔日志、虛擬機副本以及潛在的網(wǎng)絡及/或存儲流量。

3. 供應商是否需要在法規(guī)及法律/監(jiān)管層面保障現(xiàn)有聯(lián)系人列表，從而在發(fā)生數(shù)據(jù)泄露事故時為客戶提供援助及指導。

4. 云供應商是否允許相關客戶參與到事故響應以及取證調(diào)查工作中來?如果允許，客戶的參與程度如何?另外，供應商如何對遭受入侵的事件日志及其它證據(jù)文件進行保護?

5. 對于安全事件及其它相關信息，供應商提供怎樣的數(shù)據(jù)保留、生命周期管理政策以及相關處理流程?虛擬磁盤文件的覆蓋工作如何進行?這些問題對于我們掌握供應商在數(shù)據(jù)保留及生命周期保護領域的實際水平至關重要。

6. 云服務供應商的安全團隊擁有怎樣的取證及事故響應技能?大家應要求供應商出具相關行業(yè)認證資質(zhì)、證明自身了解熱門工具的使用方法及技術(shù)。具體內(nèi)容包括SANS GIAC認證證據(jù)分析(簡稱GCFA)、GIAC認證事故處理(簡稱GCIH)、GIAC認證證據(jù)檢查(簡稱GCFE)、認證計算機檢查(簡稱CCE)等等。相關工具及技術(shù)則包括使用業(yè)務領先的取證技術(shù)、逆向工程技術(shù)以及網(wǎng)絡流量數(shù)據(jù)收集技能等。

7. 取證與響應流程的實施是否與內(nèi)部虛擬基礎設施及云管理平臺相適應?舉例來說，云服務供應商團隊是否有能力在證據(jù)收集工作中利用虛擬機快照機制?任何一家合法的云供應商都應該能夠提供虛擬機實踐經(jīng)驗與管理能力方面的證明。

8. 在多租戶環(huán)境下，云服務供應商團隊將采取哪些步驟來最大程度降低安全事故對租戶的影響?

9. 云服務供應商如何在虛擬環(huán)境下實現(xiàn)基于網(wǎng)絡的監(jiān)控與追蹤任務?是否在環(huán)境中使用虛擬防火墻或者其它方案?如果答案是肯定的，供應商又如何管理這些方案?另外，供應商是否建立起適當?shù)穆氊煼蛛x以及基于角色的訪問控制機制，從而在發(fā)生安全事故時限制特定團隊成員與數(shù)據(jù)的接觸程度?

10. 云服務供應商團隊通過怎樣的規(guī)程引導執(zhí)法人員介入系統(tǒng)及業(yè)務資產(chǎn)?如何保證未受影響的租戶遠離取證工作的干擾?

除了上述問題，云安全聯(lián)盟還在指南報告中提出了一些與客戶端及移動設備訪問云資源相關的取證建議，不過其中大部分內(nèi)容都比較艱深、更適合純技術(shù)人員閱讀。

總而言之，如果盲目簽訂云服務合約而疏于考慮后果，企業(yè)用戶往往會在真正遭遇事故后束手無策。因此安全與運營團隊應該加倍努力，在合同實際簽訂之前盡可能多地收集有價值信息。

作為企業(yè)客戶，如果大家在與云供應商的談判中未能達到百分百滿意，請認真思考是否需要對合作方甚至云服務進行再次評估。只有這樣，才能做到對未來可能出現(xiàn)的問題未雨綢繆。

而作為云供應商在未來的事故中應該與客戶加深合作，為使用者提供合理的證據(jù)并要求安全團隊成員具備強大的取證及響應能力。隨著消費者對于云服務供應商取證流程的需求逐步升級，一套標準化的信息取證流程將呼之欲出。