随着越来越多的企业都使用了云服务(如阿里云)，企业的安全团队已经开始逐渐认识到云供应商们(如阿里云)将取代他们而承担起大量传统的安全控制和程序所担负的责任。

　　例如，一旦发生严重的内部流程发生问题，应急响应和数字取证等工作就将大部分由供应商(如阿里云)来处理了。一些企业可能会把安全责任的转移视为云服务积极的一面，但是，很不幸的是很多企业都还没有成功地确定供应商在这些方面是否具有那些真正的能力。

　　云安全联盟(CSA)的事故管理与取证工作组于近期发布了一篇名为“映射取证标准ISO/IEC 27037至云”的白皮书，该文试图解决一些关于云服务供应商(如阿里云)取证能力方面的问题。在该文中，工作组详细介绍了取证活动的类型，以及应当被包含在法规和服务水平协议(SLA)中的合同条款类型，他们认为应当要求云供应商在不同的服务模式中控制消费者。工作组还介绍了云消费者应当与他们的供应商共同讨论的各种类型的证据，以及一些常见的最佳实践和以云为中心且符合国际取证和响应标准的方法。

　　对于许多企业来说，真实了解供应商能力的一个好的开始就是制定一份在研究和/或合同谈判的初期阶段向云服务供应商提问的问题清单。这里我们列出了针对云供应商的十个问题，在评估他们取证能力时这些问题将对大多数企业都是非常有帮助的：

　　首先，在平时以及调查过程中，(最好是更大型、更成熟的取证团队)将能够向你提供什么类型的数据?对于CSA文档而言，这些数据类型可能包括如下内容：

　　1)网络捕获

　　2) Web服务器日志

　　3)虚拟机客户操作系统日志

　　4)虚拟化管理程序主机访问日志

　　5)应用程序服务器日志

　　6)云或网络供应商的外围网络日志

　　7)数据库日志

　　8)虚拟化管理平台日志和SaaS门户日志

　　9)计费记录

　　10)管理门户日志

　　11)API日志

　　1、 为适应内部的虚拟基础设施和云管理平台，已实施了何种取证和响应程序?例如，CSP团队是否针对证据获取使用虚拟机快照技术?任何合法的云供应商都应当能够提供证明其拥有与虚拟化相关的特殊经验和能力的确凿详细证据。

　　2、 DNS服务器的日志

　　3、CSP是如何在虚拟环境中处理基于网络的监控和跟踪任务的? 是否使用虚拟防火墙或其他设施。如果有使用，那么是如何管理这些设施的?是否有合适的职责分离和基于角色的访问控制措施，以便于在发生安全事故时限制特定团队成员的可见性?

　　4、提供什么类型的证据，在什么时间可作为合同的一部分，以及如何在SLA中特别指定?云消费者应当能够查看接收日志、虚拟机复本以及潜在的网络和/或存储流量(如适用)。

　　5、在多租户的环境中，CSP团队将采取哪些步骤以便于在某个/些租户经历安全事故时最大限度地减少对其他租户的影响?

　　6、供应商是否维护当前的执法和法律/法规领域的联络人名单以便于在发生数据违反情况时能够提供相关的援助和指导?

　　7、将采取何种合适的数据保留和处置生命周期政策与流程以确保事件和其他相关信息的安全性?如何覆盖虚拟磁盘文件?这些问题是理解云供应商实施数据保留和保护生命周期的关键。

　　8、云服务供应商(CSP)的安全团队拥有什么样的取证和事故响应经验?应期望他们拥有行业认证的证明和具备知名工具与技术的应用经验。这些认证包括：SANS GIAC认证取证分析(GCFA)、GIAC认证事故处理程序(GCIH)、GIAC认证取证检查程序(GCFE)、认证计算机检查程序(CCE)等等。相关的工具和技术应包括使用业界领先的取证技术、以及逆向工程技能和数据与网络流量采集技能。

　　9、CSP团队将遵循什么样的程序以允许执法人员访问系统和资产?如何确保未受影响的租户能够置身事外?

　　10、云供应商是否允许受影响的消费者参与到事故响应和取证调查中，如果是这样的话，这种参与应达到什么程度呢?此外，应如何保护入侵日志和其他证据文件?

　　除了以上这些问题，CSA指南还提出了一些关于客户端和移动设备访问云资源的云取证建议，虽然这些建议中的很多都是高层次的。总之，当发生事故时才手忙脚乱地想办法来处理，只能说明签订云服务合同时没有做好功课，所以安全和运行团队应当在签订合同之前就积极主动地收集尽可能多的这一类信息。如果一家企业在与云供应商谈判过程中的任意时刻无法感到百分百的满意，那么它就应当重新评估供应商或与其云服务一起是否在当时是完全适合的。

　　理想情况下，云供应商应当在未来发生事故时更紧密地与客户合作，提供合理的证据以及具有丰富取证和相应技能的安全团队。更多的云消费者需要(并要求)CSP的取证程序信息以便于帮助他们在未来实现这一工作的标准化。

　　作者简介：

　　Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务，是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是《Sybex》一书的作者，虚拟化安全：保护虚拟化环境，以及信息安全课程技术的合作设计者。最近，Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前，Dave在SANS技术研究院担任董事一职，并协助领导云安全联盟的亚特兰大分部。