信息化觀察網(wǎng)

云計算改變了 IT 行業(yè)，因?yàn)榉?wù)部署如今僅需以往耗時的些微部分?？蓴U(kuò)展計算解決方案孕育出 AWS、谷歌云和微軟 Azure 等大型云計算公司。鼠標(biāo)輕點(diǎn)，員工便能以軟件即服務(wù) (SaaS)、平臺即服務(wù) (PaaS)、基礎(chǔ)設(shè)施即服務(wù) (IaaS) 這三種不同云計算服務(wù)模式，創(chuàng)建或重置計算資源的整個基礎(chǔ)設(shè)施。這些模式給云取證調(diào)查帶來了三種獨(dú)特的挑戰(zhàn)。

云計算服務(wù)模式

傳統(tǒng) IT 服務(wù)中，從網(wǎng)絡(luò)設(shè)備到應(yīng)用本身的所有服務(wù)都是擁有者的責(zé)任。云計算則提供 SaaS、PaaS 和 IaaS 解決方案以高效部署和管理計算資源。

我們不妨仔細(xì)審視這三種模式。

1. IaaS

IaaS 云計算環(huán)境中，擁有者對操作系統(tǒng)和所有中間件、運(yùn)行時、數(shù)據(jù)及應(yīng)用部分負(fù)責(zé)。操作系統(tǒng)部署、虛擬化和所有硬件、存儲及網(wǎng)絡(luò)設(shè)備則由云提供商為客戶代管。這種模式給了客戶計算資源底層基礎(chǔ)設(shè)施的大部分控制權(quán)。在 AWS 彈性計算云 (EC2)、Digital Ocean 和 Rackspace 上創(chuàng)建主機(jī)即是 IaaS 模式。

2. PaaS

PaaS 模式中，擁有者對云計算資源負(fù)有的責(zé)任較小，僅需對數(shù)據(jù)和應(yīng)用負(fù)責(zé)，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)和存儲在內(nèi)的基本云基礎(chǔ)設(shè)施都不用管。該服務(wù)模式主要為創(chuàng)建應(yīng)用或軟件的開發(fā)人員所用。PaaS 模式的樣例可參考 AWS Elastic Beanstalk、Windows Azure 和 Apache Stratos。

3. SaaS

SaaS 是大包大攬型的云計算托管環(huán)境，應(yīng)用擁有者將應(yīng)用交付給云提供商，此后該應(yīng)用便由云服務(wù)提供商完全托管了。谷歌 Apps、Dropbox 和 Slack 均為 SaaS 模式。這些應(yīng)用由云服務(wù)提供商 (CSP) 全權(quán)管理，用戶基本上通過 Web 瀏覽器加以使用。

云計算與取證

特定于云計算的取證問題主要是管轄權(quán)、多租戶和對 CSP 的依賴。云取證是數(shù)字取證的子集，基于特定方法調(diào)查云環(huán)境。CSP 托管客戶數(shù)據(jù)的服務(wù)器遍布全球。網(wǎng)絡(luò)事件發(fā)生時，法律管轄權(quán)和當(dāng)?shù)剡m用法律就很成問題了。數(shù)據(jù)中心所在地頒布的法庭命令，可能不適用于另一個國家托管的主機(jī)。現(xiàn)代 CSP 環(huán)境中，客戶可以選擇數(shù)據(jù)存儲的地點(diǎn)，做出這一選擇時應(yīng)特別小心謹(jǐn)慎。

對調(diào)查人員而言，則要確保數(shù)字證據(jù)不受第三方篡改，以便能被法庭采納。PaaS 和 SaaS 服務(wù)模式中，因?yàn)闆]有硬件控制權(quán)，客戶必須通過云服務(wù)提供商才可以訪問到日志。某些情況下，CSP 有時候會故意隱瞞日志細(xì)節(jié)。其他情況下，CSP 的策略中就聲明不會提供收集日志的服務(wù)。

相對于傳統(tǒng)取證環(huán)境，在云環(huán)境中維護(hù)證據(jù)監(jiān)管鏈非常困難。傳統(tǒng)取證環(huán)境中，內(nèi)部安全團(tuán)隊可以控制誰來執(zhí)行取證操作，但在云取證中，安全團(tuán)隊無力控制 CSP 會選擇誰來收集證據(jù)。只要執(zhí)行取證操作的人未經(jīng)標(biāo)準(zhǔn)取證流程培訓(xùn)，監(jiān)管鏈便有可能在法庭上站不住腳。

總結(jié)

云計算有三種服務(wù)模式，云取證至少有三大特定挑戰(zhàn)。云計算的每種服務(wù)模式中，云服務(wù)提供商都與客戶共擔(dān)了部分責(zé)任。這一共擔(dān)責(zé)任的關(guān)系導(dǎo)致云取證調(diào)查面臨獨(dú)特挑戰(zhàn)，因?yàn)槿魏涡∈鹿识寄軐?dǎo)致證據(jù)不受法庭承認(rèn)。

由于云服務(wù)器可位于多個國家，取證數(shù)據(jù)也可能歸屬多個司法轄區(qū)。司法管轄權(quán)的問題不容忽視。涉及取證調(diào)查的時候，云服務(wù)提供商未必總能按照客戶的要求操作，因?yàn)檫@相當(dāng)于在為幾乎與己無關(guān)的事情耗費(fèi)自身時間和金錢。以上困難和挑戰(zhàn)都是特定于云取證這一數(shù)字取證領(lǐng)域子集的。