由于云計(jì)算的本質(zhì)�,所以當(dāng)發(fā)生安全事件、數(shù)據(jù)破壞���、或其他需要調(diào)查和采取行動(dòng)該找誰(shuí)時(shí)顯得更難以確定�����。為了滿足相同匯報(bào)責(zé)任的需求的變化�����,需要修改標(biāo)準(zhǔn)安全事件響應(yīng)機(jī)制��。
對(duì)于客戶來(lái)說(shuō)�����,部署到云的應(yīng)用程序并不總是把數(shù)據(jù)完整性和安全性設(shè)計(jì)放在第一位的�����。這可能導(dǎo)致脆弱的應(yīng)用部署進(jìn)云環(huán)境���,進(jìn)而引發(fā)安全事故��。此外�,基礎(chǔ)設(shè)施架構(gòu)的缺陷�、加固規(guī)程中的錯(cuò)誤、以及簡(jiǎn)單的操作疏忽都會(huì)對(duì)云服務(wù)的運(yùn)營(yíng)構(gòu)成重大的威脅�����。當(dāng)然�����,類似的漏洞同樣也會(huì)危及傳統(tǒng)的數(shù)據(jù)中心的運(yùn)營(yíng)��。
很明顯��,事件處理過(guò)程需要專業(yè)技術(shù)知識(shí)�����,但隱私和法律專家對(duì)云安全同樣可以作出重大貢獻(xiàn)����。在事件響應(yīng)中,他們還會(huì)在通知��、補(bǔ)救�����、以及隨后可能采取的法律行動(dòng)中發(fā)揮關(guān)鍵作用��。如果一個(gè)組織考慮使用云服務(wù)����,那么他需要審視有關(guān)未被用戶協(xié)議和隱私政策制約的員工對(duì)數(shù)據(jù)的訪問(wèn)的機(jī)制是否已經(jīng)實(shí)施。在IaaS和PaaS架構(gòu)中����,云服務(wù)提供商自己的應(yīng)用程序不管理應(yīng)用程序數(shù)據(jù),這和SaaS提供商的應(yīng)用程序控制數(shù)據(jù)有所不同����。
大型云服務(wù)提供商交付SaaS、PaaS和IaaS服務(wù)的復(fù)雜性造成重大事件響應(yīng)過(guò)程中的隱患�����,潛在客戶必須評(píng)估相應(yīng)SLA的可接受水平。在評(píng)估云服務(wù)提供商時(shí)����,很重要的一點(diǎn)事要意識(shí)到供應(yīng)商可能托管了成百上千的應(yīng)用程序?qū)嵗氖录O(jiān)測(cè)的角度講���,任何外部應(yīng)用程序都會(huì)拓寬安全運(yùn)行中心(SOC)的責(zé)任��。通常��,SOC監(jiān)測(cè)那些由入侵檢測(cè)系統(tǒng)和防火墻中產(chǎn)生預(yù)警和其他事件的指標(biāo)�,但是��,在開(kāi)放的云環(huán)境中這些必須監(jiān)測(cè)的消息來(lái)源和通告的數(shù)量將會(huì)以指數(shù)方式增長(zhǎng)��,例如���,SOC可能需要監(jiān)測(cè)消費(fèi)者之間的活動(dòng)���,還有外部事件。
一個(gè)組織需要了解他們所選擇的云服務(wù)提供商的事件響應(yīng)策略���。這一策略必須解決識(shí)別和通知���,以及針對(duì)應(yīng)用程序數(shù)據(jù)的未經(jīng)授權(quán)訪問(wèn)的補(bǔ)救選項(xiàng)。更為復(fù)雜的是����,在不同的數(shù)據(jù)存放位置,應(yīng)用數(shù)據(jù)的管理和訪問(wèn)有不同的含義和監(jiān)管要求��。例如�,如果涉及到的數(shù)據(jù)在德國(guó),有事件發(fā)生����,可是如何數(shù)據(jù)在美國(guó),可能就不認(rèn)為是“事件”���。這使得事件識(shí)別充滿挑戰(zhàn)性����。
建議
• 在服務(wù)部署前�,云客戶要明確界定,并且和云服務(wù)提供商溝通什么是他們認(rèn)為的事故(incident)(如數(shù)據(jù)破壞)�����,什么僅僅是事件(event)。
• 云客戶參與云服務(wù)提供商的事件響應(yīng)活動(dòng)可能非常有限����。因此,客戶了解與云服務(wù)提供商的事件響應(yīng)小組的既定溝通路徑非常關(guān)鍵�����。
• 云客戶應(yīng)該調(diào)查云服務(wù)提供商使用哪些事件檢測(cè)和分析工具���,以確保他們對(duì)自己的系統(tǒng)兼容���。在聯(lián)合調(diào)查,特別是那些涉及法律調(diào)查(discovery)或政府干預(yù)(intervention)時(shí)�����,云服務(wù)提供商的某個(gè)私有的或者非常規(guī)格式的日志往往會(huì)成為主要障礙�。
• 設(shè)計(jì)和保護(hù)不當(dāng)?shù)膽?yīng)用程序和系統(tǒng)可以很容易地“淹沒(méi)”每個(gè)人的事件響應(yīng)能力。對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)管理�����,并且利用縱深防御的做法在第一時(shí)間減少發(fā)生安全事件的機(jī)會(huì)是很關(guān)鍵的。
• 安全運(yùn)行中心(SOC)經(jīng)常假定對(duì)事件響應(yīng)上只有一個(gè)單一的管控模型����,但是這對(duì)多租戶的云服務(wù)提供商來(lái)說(shuō)并不恰當(dāng)。一個(gè)強(qiáng)勁而良好維護(hù)的安全信息和事件管理(SIEM)流程用以識(shí)別可用數(shù)據(jù)源(應(yīng)用程序日志�、防火墻日志��、以及IDS日志等等)���,并且將這些日志合并進(jìn)可以協(xié)助SOC檢測(cè)云計(jì)算環(huán)境事件的通用分析告警平臺(tái)�。
• 為了極大地方便的進(jìn)行詳盡的離線分析��,可以考察能夠提供整個(gè)客戶虛擬環(huán)境快照的能力的云服務(wù)提供商�����,這些快照包括防火墻�����、網(wǎng)絡(luò)(交換機(jī))����、系統(tǒng)應(yīng)用程序和數(shù)據(jù)。
• 遏制(containment)是破壞控制和搜集證據(jù)之間的一場(chǎng)賽跑�;跈C(jī)密性-完整性-可用性(CIA)這樣三位一體的遏制做法才是有效的。
• 補(bǔ)救突出了能夠?qū)⑾到y(tǒng)恢復(fù)到某個(gè)先前狀態(tài)的重要性��,甚至需要回到6個(gè)月或12個(gè)月前的已知可用配置����。將法律選擇和要求牢記在心,補(bǔ)救可能還需要支持事件數(shù)據(jù)的“事后分析”(forensics)記錄���。
• 所有因?yàn)閿?shù)據(jù)泄漏監(jiān)管而被分類為“私有”的數(shù)據(jù)都應(yīng)該加密����,以減少泄漏事件帶來(lái)的后果�����?蛻魬(yīng)在合同中規(guī)定相關(guān)的加密要求��。
• 有些云服務(wù)提供商可能擁有一大批擁有獨(dú)特應(yīng)用的客戶��。為了能夠給每一個(gè)特定客戶提供細(xì)顆粒度的事件�����,這些云服務(wù)提供商應(yīng)該考慮應(yīng)用層日志框架���。這些云服務(wù)提供商還應(yīng)該構(gòu)建一個(gè)注冊(cè)表��,按照應(yīng)用程序接口(URL���、SOA服務(wù)、等)來(lái)記錄應(yīng)用程序所有者���。
• 在多租戶環(huán)境下,應(yīng)用級(jí)防火墻�����、代理服務(wù)器��,以及其它的應(yīng)用日志工具是當(dāng)前可用的協(xié)助事件響應(yīng)的關(guān)鍵能力�����。
京公網(wǎng)安備 11010802021500號(hào)
