十个问题摸清云供应商的取证能力

随着越来越多企业将云计算服务纳入业务流程，安全团队已经逐渐意识到，云供应商必须对传统安全控制及处理流程进行全面调整，否则根本无法应对即将面对的新型挑战。

举例来说，事故响应与数字取证这些过去只存在于内部流程中的事务，如今已经成为大多数供应商的固有服务内容。某些企业可能会乐观地将这种趋势视为云计算普及的积极信号，然而不幸的是，很多企业还无法准确评估到底什么样的供应商才有能力在这些方面取得成功。

在最近由云安全联盟(简称CSA)事故管理与取证工作组所发布的题为《在云计算领域实现取证标准ISO/IEC 27037》的白皮书中，研究人员试图解决由取证工作带给云供应商的种种难题。该工作组详细罗列了各类云服务供应商的不同服务模式分别能够提供哪些取证功能，也阐述了消费者对于这些服务类型应寄予的期望。此外，白皮书还论证了合同中应该包括的法律及服务水平协议(简称SLA)。工作组同时介绍了云消费者需要与供应商讨论的取证工作类型以及常见的云计算取证最佳实践，从而保证此类工作符合国际取证规则以及响应标准。

对于多数企业而言，要摸清供应商的处理能力，最好的起点在于列出一张需要与对方交流的问题清单，并在合同谈判的初级阶段将其作为解决的重点。

接下来我们就对最需要关注的十个问题进行探讨，从而准确评估云服务供应商在云取证方面的实际水平。

1. 供应商能够定期为消费者提供哪些类型的数据(注：取证团队规模越大、经验越丰富，效果就越好)?这些数据将被使用在调查的哪个阶段?根据云安全联盟的说明文档，数据类型包括以下几种：

a. 服务器日志

b. 应用程序服务器日志

c. 数据库日志

d. 虚拟机访客操作系统

e. 虚拟化管理程序主机访问日志

f. 虚拟化管理平台日志及SaaS门户日志

g. 网络流量捕捉

h. 计费记录

i. 管理门户日志

j. API日志

k. 云或网络供应商的外部网络日志

l. DNS服务器日志

2. 在合同中是否约定需要在何时提供何种类型的证据，这部分内容又是否被划归服务水平协议之内?云消费者应当查看归档日志、虚拟机副本以及潜在的网络及/或存储流量。

3. 供应商是否需要在法规及法律/监管层面保障现有联系人列表，从而在发生数据泄露事故时为客户提供援助及指导。

4. 云供应商是否允许相关客户参与到事故响应以及取证调查工作中来?如果允许，客户的参与程度如何?另外，供应商如何对遭受入侵的事件日志及其它证据文件进行保护?

5. 对于安全事件及其它相关信息，供应商提供怎样的数据保留、生命周期管理政策以及相关处理流程?虚拟磁盘文件的覆盖工作如何进行?这些问题对于我们掌握供应商在数据保留及生命周期保护领域的实际水平至关重要。

6. 云服务供应商的安全团队拥有怎样的取证及事故响应技能?大家应要求供应商出具相关行业认证资质、证明自身了解热门工具的使用方法及技术。具体内容包括SANS GIAC认证证据分析(简称GCFA)、GIAC认证事故处理(简称GCIH)、GIAC认证证据检查(简称GCFE)、认证计算机检查(简称CCE)等等。相关工具及技术则包括使用业务领先的取证技术、逆向工程技术以及网络流量数据收集技能等。

7. 取证与响应流程的实施是否与内部虚拟基础设施及云管理平台相适应?举例来说，云服务供应商团队是否有能力在证据收集工作中利用虚拟机快照机制?任何一家合法的云供应商都应该能够提供虚拟机实践经验与管理能力方面的证明。

8. 在多租户环境下，云服务供应商团队将采取哪些步骤来最大程度降低安全事故对租户的影响?

9. 云服务供应商如何在虚拟环境下实现基于网络的监控与追踪任务?是否在环境中使用虚拟防火墙或者其它方案?如果答案是肯定的，供应商又如何管理这些方案?另外，供应商是否建立起适当的职责分离以及基于角色的访问控制机制，从而在发生安全事故时限制特定团队成员与数据的接触程度?

10. 云服务供应商团队通过怎样的规程引导执法人员介入系统及业务资产?如何保证未受影响的租户远离取证工作的干扰?

除了上述问题，云安全联盟还在指南报告中提出了一些与客户端及移动设备访问云资源相关的取证建议，不过其中大部分内容都比较艰深、更适合纯技术人员阅读。

总而言之，如果盲目签订云服务合约而疏于考虑后果，企业用户往往会在真正遭遇事故后束手无策。因此安全与运营团队应该加倍努力，在合同实际签订之前尽可能多地收集有价值信息。

作为企业客户，如果大家在与云供应商的谈判中未能达到百分百满意，请认真思考是否需要对合作方甚至云服务进行再次评估。只有这样，才能做到对未来可能出现的问题未雨绸缪。

而作为云供应商在未来的事故中应该与客户加深合作，为使用者提供合理的证据并要求安全团队成员具备强大的取证及响应能力。随着消费者对于云服务供应商取证流程的需求逐步升级，一套标准化的信息取证流程将呼之欲出。