Cloud Forensics: 云网络取证数据的采集

　　云计算和数字取证继续相互渗透. 术语“云取证”是指从云基础架构采集数字取证数据. 长期以来，事件响应和数字取证一直是计算机*敏*感*词*调查的关键部分. 随着云计算的飞速发展，事件响应和数字取证越来越具有挑战性.

　　仅举几例，本地法证包括从日志文件采集的信息，磁盘上存储的数据，网络流量和入侵标记. 本地分析和云服务分析之间的基本区别在于，您可以通过使用本地计算机简单地进入系统来采集和分析信息. 但是，谈到云时，无法物理访问计算机，只能通过云应用程序界面访问计算机的某些部分.

　　在本文中，我们将从对云的简短描述开始，然后探讨为什么云取证变得比以往任何时候都重要，并探讨从不同的云服务和部署模型获取信息的挑战. 最后，我们将讨论与云服务提供商建立良好关系以确保云取证成功的最佳实践.

　　云计算

　　首先探索云的不同部署和服务模式. 在云计算中，有五种不同的部署模型:

　　私有云-在此部署模型中，组织运行具有完全访问权限的私有云. 云位于防火墙的后面，该组织为用户提供访问界面，同时保留了存储在云中的数据的私密性.

　　公共云-在公共云模型中，服务是通过Internet向公众提供的. 公共云包括Amazon Web Services，Google Computer Engine和Microsoft Azure. 在公共云中，经常使用虚拟化环境.

　　社区云组织可以访问社区云服务，与私有云相比可以降低成本. 无论社区云是在内部还是在外部部署，都可以由组织作为一个团体或由第三方提供商进行管理.

　　混合云-在混合云模型下，服务混合在私有，本地和公共云服务之间. 这种方法可以帮助公司享受云的成本效益，而不必完全依赖第三方提供商.

　　分布式云分布式云服务分散在不同位置的多台计算机中，但都连接到同一网络.

　　共有三种主要的公共云计算服务模型，它们也是企业常用的模型. 包括:

　　基础架构即服务（IaaS），可提供整个基础架构（例如物理/虚拟机，防火墙，负载平衡和虚拟机管理程序）

　　平台即服务（PaaS）提供了一个平台（例如操作系统，数据库和Web服务器）

　　软件即服务（SaaS），组织可以访问该服务，并且服务提供商负责管理该服务.

　　云网络取证的重要性

　　云网络取证的重要性不可否认. 当攻击者尝试攻击云服务时，取证不仅可以检测到它，还可以帮助组织预防和防止此类攻击的发生.

　　当涉及网络取证时，这意味着发生了攻击，并且组织需要从大量数据中采集证据，以确定黑客是谁，黑客如何攻击服务以及黑客拥有哪些信息. 获得. 网络取证调查人员必须仔细检查采集的数据，例如文件系统，进程，注册表和网络流量，以得出上述结论.

　　云取证过程的基本区别在于，它限制了网络取证检查员持有的数据. 有限的数据是最大的障碍，因为调查人员必须经常使用虚拟映像而不是物理机器. 云提供商必须提供大部分数据采集，并且可能提供的数据不是必需的数据. 幸运的是，云取证所依赖的工具与传统取证流程所依赖的工具类型相同. 在过去的几年中，云取证技术发展迅速，因此未来几年可能会编写专门为云取证创建的新工具.

　　从云中采集数据

　　采集的信息类型不同，这取决于企业使用哪种云服务模型. 右侧的表格显示了组织在使用SaaS，PaaS，IaaS或本地专用网络时可以获得的信息.

　　很明显，与在本地计算机上进行取证分析相比，执行云网络取证分析时，组织无法访问云中的相同信息.

　　云数据采集: 与服务提供商的合作

　　为弥合差距，公司必须与云提供商合作以获取信息进行分析，包括应用程序日志，数据库日志或Web日志. 有必要保持持续和开放的通信并与云提供商建立良好的关系，以获得对成功进行审核和数据分析至关重要的信息.

　　不幸的是，许多云提供商并不关心客户的调查，并且极不合作. 他们或者拥有一个聪明和/或安全的响应团队来协助采集法医调查所需的数据. 在某些情况下，云提供商甚至可能会提供无法在法庭上使用的不正确信息. 这似乎有些牵强，但是云提供商很难找到并提供正确的信息. 与云提供商环境中的复杂性相比，企业环境中的复杂性相比之下显得苍白. 通常，组织的数据位于世界各地的多个数据中心，并且没人真正知道它在哪里. 而且，这些数据不会与其他组织的数据分开存储. 因此，提供商很难确定哪些日志属于哪个公司.

　　选择云提供商时，请务必小心. 不同的云提供商具有不同的竞争力. 企业云网络调查可能会取得巨大成功或完全失败.

　　在评估云服务提供商时，公司不能只是盲目地相信云服务提供商所说的话. 如果提供商说云服务是安全的，则公司应询问提供商基础架构已进行了哪些测试以及如何进行测试. 公司还应该询问数据的位置以及有权访问数据的人. 发生安全漏洞时，重要的标准是与IT部门合作. 我们知道，法医检查员必须与云服务提供商紧密合作，以获取有关该漏洞所需的信息-如果提供商拥有自己的安全团队，这将是一个巨大的优势.

　　随着云计算和云服务的加速发展，云网络取证将变得越来越重要. 非常重要的是，在建立合同和采用云服务之前，组织必须仔细阅读所有条款，以确保当一天需要进行云计算调查和证据采集时，组织的服务提供商不会影响组织的效率和成功.

　　[请添加微信公众号: 大唐微信账号: 大唐]