云计算改变了 IT 行业,因为服务部署如今仅需以往耗时的些微部分。可扩展计算解决方案孕育出 AWS、谷歌云和微软 Azure 等大型云计算公司。鼠标轻点,员工便能以软件即服务 (SaaS)、平台即服务 (PaaS)、基础设施即服务 (IaaS) 这三种不同云计算服务模式,创建或重置计算资源的整个基础设施。这些模式给云取证调查带来了三种独特的挑战。
云计算服务模式
传统 IT 服务中,从网络设备到应用本身的所有服务都是拥有者的责任。云计算则提供 SaaS、PaaS 和 IaaS 解决方案以高效部署和管理计算资源。
我们不妨仔细审视这三种模式。
1. IaaS
IaaS 云计算环境中,拥有者对操作系统和所有中间件、运行时、数据及应用部分负责。操作系统部署、虚拟化和所有硬件、存储及网络设备则由云提供商为客户代管。这种模式给了客户计算资源底层基础设施的大部分控制权。在 AWS 弹性计算云 (EC2)、Digital Ocean 和 Rackspace 上创建主机即是 IaaS 模式。
2. PaaS
PaaS 模式中,拥有者对云计算资源负有的责任较小,仅需对数据和应用负责,包括网络、服务器、操作系统和存储在内的基本云基础设施都不用管。该服务模式主要为创建应用或软件的开发人员所用。PaaS 模式的样例可参考 AWS Elastic Beanstalk、Windows Azure 和 Apache Stratos。
3. SaaS
SaaS 是大包大揽型的云计算托管环境,应用拥有者将应用交付给云提供商,此后该应用便由云服务提供商完全托管了。谷歌 Apps、Dropbox 和 Slack 均为 SaaS 模式。这些应用由云服务提供商 (CSP) 全权管理,用户基本上通过 Web 浏览器加以使用。
云计算与取证
特定于云计算的取证问题主要是管辖权、多租户和对 CSP 的依赖。云取证是数字取证的子集,基于特定方法调查云环境。CSP 托管客户数据的服务器遍布全球。网络事件发生时,法律管辖权和当地适用法律就很成问题了。数据中心所在地颁布的法庭命令,可能不适用于另一个国家托管的主机。现代 CSP 环境中,客户可以选择数据存储的地点,做出这一选择时应特别小心谨慎。
对调查人员而言,则要确保数字证据不受第三方篡改,以便能被法庭采纳。PaaS 和 SaaS 服务模式中,因为没有硬件控制权,客户必须通过云服务提供商才可以访问到日志。某些情况下,CSP 有时候会故意隐瞒日志细节。其他情况下,CSP 的策略中就声明不会提供收集日志的服务。
相对于传统取证环境,在云环境中维护证据监管链非常困难。传统取证环境中,内部安全团队可以控制谁来执行取证操作,但在云取证中,安全团队无力控制 CSP 会选择谁来收集证据。只要执行取证操作的人未经标准取证流程培训,监管链便有可能在法庭上站不住脚。
总结
云计算有三种服务模式,云取证至少有三大特定挑战。云计算的每种服务模式中,云服务提供商都与客户共担了部分责任。这一共担责任的关系导致云取证调查面临独特挑战,因为任何小事故都能导致证据不受法庭承认。
由于云服务器可位于多个国家,取证数据也可能归属多个司法辖区。司法管辖权的问题不容忽视。涉及取证调查的时候,云服务提供商未必总能按照客户的要求操作,因为这相当于在为几乎与己无关的事情耗费自身时间和金钱。以上困难和挑战都是特定于云取证这一数字取证领域子集的。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】