随着业界持续向云端迁移，安全实践者不仅仅需要保护云实现的安全，还需要在上线后能够做出应急响应和取证。很多企业已经在以一种或者另外的格式使用云，这取决于服务模型——基础架构即服务，软件即服务或者平台即服务——需要按需采用对应的应急响应和取证调查流程来支持云计算服务。本文调研了实现云应急响应和取证的注意点和好处。

云应急响应：让我们开始吧

迁移到某个云服务供应商的时候，需要做的第一件事情是评估企业当前拥有的东西，以及迁移到云端将如何改变自己的应急响应和取证流程。在云上执行这些流程是一个全新的领域，需要在转变开始之前就完整地理解所有东西。这样过程中的核心因素是决定实现云的所有系统的服务模型，以及数据会存储在哪里。这有助于指导决策，如果企业已经知道数据存储在哪里，那么在事件发生时就能够更快地处理整个流程。

另外，企业通常会减慢向云端迁移的速度，并且仍然在本地数据中心保留一个实例。使用这样的混合架构时，企业需要更加小心，因为当前的应急响应和取证工具并非为云而设计或者实现的。这会在网络上留下安全盲区，使得发现不了攻击，并且没有能力执行云取证。比如，登录进云系统是否就能够获得登入本地日志管理存储的能力?既然流量并没有离开云实例，那么企业如何处理入侵防御系统的检查?如果不从这个角度彻底设计，那么既处在云端又链接到物理世界的架构可能就是危险的。

进行针对企业内已有应急响应/取证工具和流程是如何使用的，以及它们如何在云端使用的差距分析至关重要。这决定了迁移到云端是否会造成流程里的限制，或者可能会有什么改进。进程的所有改动需要基于以后将如何工作来决定。在这期间，需要进行对云里的应急响应和取证流程的CSP角色和职责的审核，这样企业能够理解如何在云上在合作模型下运行。

CSP支持和数据管理

取决于服务模型，CSP支持在流程里扮演的角色有所不同，这点必须在迁移上云之前了解清楚。CSP支持团队会成为应急响应团队的重要且活跃的成员，并且需要知道如何在runbook里工作。这些流程必须在迁移之前就制定出来，并且在集成阶段进行测试，在云端和本地都要进行验证。企业从IaaS服务模型里得到的越多，供应商通常需要负责的就越少;这对于应急响应和取证评估也是一样的。必须理解每个部门负责什么，以及在真正的事件发生时该如何处理。

执行应急响应和取证需要考虑到的另一个因素是事件中如何收集并保存数据。完成这些时，产销监管链很重要，并且现在会包含一个辅助流程的第三方工具。非常有可能系统会作为共享基础架构的一部分来实现，之前也去所拥有的日志源现在都不可用了。比如，如果针对某个托管在公有云上的网站发起拒绝服务攻击，因为基于其他客户的隐私考虑，很可能不会接受到NetFlow数据。即使在IaaS模型里，请求日志时还不可用这样的情况也会经常发生。只要有内置的共享基础架构，那么就有可能丢失日志和可见性。

很多CSP都在全面地提供扩展的安全产品或者功能，帮助云上的安全服务尽可能得不出问题。如果整个基础架构都是基于云的，那么本质上你需要按需管理所有在一个供应商里的系统。可以冻结，停用链接，或者甚至为应急响应和取证所需而在安全地域隔离虚拟机。

应急响应和取证：问题列表

当选择提供很好的应急响应和取证框架的云供应商/应用程序时，可以查看如下列表：

开放API使得企业可以直达CSP产品，并且直接接入到企业已有的产品和服务里。如果往云上的迁移最终是混合状态的话，这一点至关重要。

决定系统如何记录日志，以及会存储哪些类型的日志。产品不同时这一点会有所区别，但是CSP是否能提供这样的功能或者你是否需要云上的日志管理产品，或者需要发送日志的单独的系统?

检查CSP和你的安全软件如何是处理云上的弹性的。当新系统出现，或者摧毁时，日志，端点安全和网络安全如何处理?从应急响应和取证的角度来看，这些团队都需要了解这些系统是如何迁移的，以及它们的软件能否被部署。另外，还需要了解系统退役时，如何处理数据。

决定是否现有的安全服务也能够在云上实现。如何执行IPS?大部分情况下，是在网络上完成的，但是现在在云上，那么很多情况下会在主机级别完成这件事情。在云上是否有当前在本地使用的东西的虚拟副本?这一点在进行调查时很重要。

你的数据，系统，应用程序和日志是否可能需要移动到别的国家?如果那个国家的隐私法规限制应急响应和取证团队完成他们的工作的话，就有可能让调查停滞不前。

提前审查CSP，SOC 2以及其他合规相关的文档。这会让你充分了解CSP是什么，以及填补云上的应急响应和取证流程还有哪些缺失的地方。

总结

进行应急响应和取证有很多好处;并不总是很难进行。企业在开始完全向云上迁移时就能够最大地体会到这些好处，但是要知道服务模型在这上面起着很大的作用。如果企业是从IaaS角度进入云世界的话，就需要首先从安全的角度调研CSP能够提供什么。

本文作者：佚名

来源：51CTO