雲計算數據採集與網路取證分析

在本文中，我們將開始對雲進行簡要說明，其次是探索為什麼雲取證比以往變得更加重要，以及探索從不同雲服務和部署模型獲取信息所帶來的挑戰。 最後，我們將討論與雲服務提供商建立良好關係，確保雲取證成功的最佳實踐。

雲計算和數字取證之間不斷相互滲透，術語「雲取證」是指從雲基礎設施採集數字取證數據。 長期以來，事件響應和數字取證一直是計算機犯罪調查的關鍵部分，隨著雲計算的快速發展，事件響應和數字取證變得越來越具有挑戰性。

僅舉幾例，本地取證證據包括從日誌文件、存儲在磁碟上的數據、網路流量和入侵標誌物等收集到的信息。本地分析與雲服務分析之間的基本區別是，使用本地計算機，通過簡單地進入系統，從而可以收集並分析信息。 然而，當涉及到雲時，機器無法進行物理訪問，只有計算機的某些部分，可以通過雲應用程序介面進行訪問。

在本文中，我們將開始對雲進行簡要說明，其次是探索為什麼雲取證比以往變得更加重要，以及探索從不同雲服務和部署模型獲取信息所帶來的挑戰。 最後，我們將討論與雲服務提供商建立良好關係，確保雲取證成功的最佳實踐。

在雲計算中，有幾種不同的部署模型

私有雲——此部署模型中，組織運行其自己的私有雲，具有完全訪問許可權。 雲位於防火牆後面，組織向用戶提供了訪問介面，可以同時保留存儲在雲中數據的私密性。

公共雲——在公共雲模型中，服務通過互聯網提供給公眾。 公共雲包括亞馬遜網路服務，谷歌電腦引擎和微軟的Azure。 在公共雲中，經常使用虛擬化環境。

混合雲——在混合雲模型下，服務在私有的、內部部署和公共雲服務之間是混合的。 這種方法可幫助企業享受雲的成本效益，不需要完全依賴第三方提供商。

有三種主要的公共雲計算服務模式，也是企業目前通常使用的。 包括：

基礎設施即服務(IaaS)，提供整個基礎設施(如物理/虛擬機，防火牆，負載均衡和虛擬機管理程序)

平台即服務(PaaS)，提供了一個平台(如操作系統，資料庫和Web伺服器)

軟體即服務(SaaS)，組織可以訪問該服務，服務提供商負責管理該服務。

雲網路取證的重要性

雲網路取證的重要性不能否認。 當攻擊者試圖攻擊雲服務時，取證不僅可以檢測出來，而且有助於組織阻止並防止此類攻擊發生。

當涉及到網路取證時，說明攻擊已經發生，並且，組織需要從一堆數據中收集證據，來確定黑客是誰，黑客如何攻擊服務，以及黑客得到了哪些信息。 網路取證調查人員必須仔細檢查所採集到的數據 – 如文件系統，進程，註冊表和網路流量 – 從而得出上述結論。

雲取證過程的基本區別是，限制了網路取證審查員所掌握的數據。數據有限成為了最大的障礙，因為調查人員必須經常使用虛擬影像，而不是物理機器。 數據採集很大一部分必須由雲提供商提供，可能提供的數據並不是所需的數據。還好，雲取證所依賴的工具，與傳統取證過程所依賴的工具類型相同。 在過去的幾年中，雲取證迅速發展，所以，專門為雲取證創建的新工具，在未來的幾年裡，可能會被寫進。

從雲收集數據

收集到的信息類型不同，取決於企業使用的是哪種雲服務模型。右表展示了在使用SaaS、PaaS、IaaS或本地專用網路時，組織可以獲得哪些信息。

顯然，在進行雲網路取證分析與在本地計算機上執行取證分析相比，組織不能訪問雲中相同的信息。

雲數據採集：與服務提供商合作

要縮小差距，企業必須與雲提供商合作，來獲取信息進行分析，包括應用程序日誌，資料庫日誌或網路日誌。 保持持續的、開放的溝通，並與雲提供商建立良好的關係是必要的，從而獲得那些對成功審核、數據分析來說，都很重要的信息。

不幸的是，很多雲提供商並不在乎他們客戶的調查，而且極度不配合。 要麼或者他們具備一個智慧的、並且/或者安全響應的團隊，以協助取證調查所需要數據的收集。 在某些情況下，雲提供商甚至可能會傳遞不正確的信息，在法庭上無法使用。 這似乎有些牽強，但是對於雲提供商來說，定位並提供正確的信息，是非常困難的，與在雲提供商環境下的複雜性相比，企業環境下的複雜性，相形見絀。 通常情況下，組織的數據位於世界各地的多個數據中心，沒有人真正知道在哪裡。更何況，這些數據與其他組織的數據並不單獨存儲，因此，確定哪些日誌屬於哪個企業，對提供商來說，很困難。

在選擇雲提供商時，必須謹慎小心，這一點至關重要。不同的雲提供商，競爭力也不同，企業的雲網路調查，可能會取得巨大的成功，也可能會徹底失敗。

在評估雲服務提供商時，企業不能只盲目地相信雲服務提供商所說的。 如果提供商說，雲服務是安全的，企業應該詢問提供商對基礎設施進行了哪些測試，以及是如何測試的。 企業還應該詢問數據的位置以及哪些人有權訪問這些數據。 當出現安全漏洞時，一個重要的標準是與IT部門合作。 我們知道，一個法醫考官必須與雲服務提供商密切合作，以獲得有關漏洞所需要的信息 – 這是一個很大的優勢，如果提供商有自己的安全團隊。

隨著雲和雲服務的加速發展，雲網路取證會變得越來越重要。 至關重要的是，在建立合同和採用雲服務之前，組織務必要仔細閱讀所有的條款，以確保某一天不得不進行雲計算調查取證時，組織的服務提供商不會影響組織的效率和成功。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！