事件響應(yīng)、通告和補(bǔ)救-云安全

由于云計算的本質(zhì)，所以當(dāng)發(fā)生安全事件、數(shù)據(jù)破壞、或其他需要調(diào)查和采取行動該找誰時顯得更難以確定。為了滿足相同匯報責(zé)任的需求的變化，需要修改標(biāo)準(zhǔn)安全事件響應(yīng)機(jī)制。對于客戶來說，部署到云的應(yīng)用程序并不總是把數(shù)據(jù)完整性和安全性設(shè)計放在第一位的。這可能導(dǎo)致脆弱的應(yīng)用部署進(jìn)云環(huán)境，進(jìn)而引發(fā)安全事故。此外，基礎(chǔ)設(shè)施架構(gòu)的缺陷、加固規(guī)程中的錯誤、以及簡單的操作疏忽都會對云服務(wù)的運(yùn)營構(gòu)成重大的威脅。當(dāng)然，類似的漏洞同樣也會危及傳統(tǒng)的數(shù)據(jù)中心的運(yùn)營。很明顯，事件處理過程需要專業(yè)技術(shù)知識，但隱私和法律專家對云安全同樣可以作出重大貢獻(xiàn)。在事件響應(yīng)中，他們還會在通知、補(bǔ)救、以及隨后可能采取的法律行動中發(fā)揮關(guān)鍵作用。如果一個組織考慮使用云服務(wù)，那么他需要審視有關(guān)未被用戶協(xié)議和隱私政策制約的員工對數(shù)據(jù)的訪問的機(jī)制是否已經(jīng)實施。在IaaS和PaaS架構(gòu)中，云服務(wù)提供商自己的應(yīng)用程序不管理應(yīng)用程序數(shù)據(jù)，這和SaaS提供商的應(yīng)用程序控制數(shù)據(jù)有所不同。大型云服務(wù)提供商交付SaaS、PaaS和IaaS服務(wù)的復(fù)雜性造成重大事件響應(yīng)過程中的隱患，潛在客戶必須評估相應(yīng)SLA的可接受水平。在評估云服務(wù)提供商時，很重要的一點事要意識到供應(yīng)商可能托管了成百上千的應(yīng)用程序?qū)嵗?。從事件監(jiān)測的角度講，任何外部應(yīng)用程序都會拓寬安全運(yùn)行中心(SOC)的責(zé)任。通常，SOC監(jiān)測那些由入侵檢測系統(tǒng)和防火墻中產(chǎn)生預(yù)警和其他事件的指標(biāo)，但是，在開放的云環(huán)境中這些必須監(jiān)測的消息來源和通告的數(shù)量將會以指數(shù)方式增長，例如，SOC可能需要監(jiān)測消費者之間的活動，還有外部事件。一個組織需要了解他們所選擇的云服務(wù)提供商的事件響應(yīng)策略。這一策略必須解決識別和通知，以及針對應(yīng)用程序數(shù)據(jù)的未經(jīng)授權(quán)訪問的補(bǔ)救選項。更為復(fù)雜的是，在不同的數(shù)據(jù)存放位置，應(yīng)用數(shù)據(jù)的管理和訪問有不同的含義和監(jiān)管要求。例如，如果涉及到的數(shù)據(jù)在德國，有事件發(fā)生，可是如何數(shù)據(jù)在美國，可能就不認(rèn)為是“事件”。這使得事件識別充滿挑戰(zhàn)性。建議?在服務(wù)部署前，云客戶要明確界定，并且和云服務(wù)提供商溝通什么是他們認(rèn)為的事故(incident)(如數(shù)據(jù)破壞)，什么僅僅是事件(event)。?云客戶參與云服務(wù)提供商的事件響應(yīng)活動可能非常有限。因此，客戶了解與云服務(wù)提供商的事件響應(yīng)小組的既定溝通路徑非常關(guān)鍵。?云客戶應(yīng)該調(diào)查云服務(wù)提供商使用哪些事件檢測和分析工具，以確保他們對自己的系統(tǒng)兼容。在聯(lián)合調(diào)查，特別是那些涉及法律調(diào)查(discovery)或政府干預(yù)(intervention)時，云服務(wù)提供商的某個私有的或者非常規(guī)格式的日志往往會成為主要障礙。?設(shè)計和保護(hù)不當(dāng)?shù)膽?yīng)用程序和系統(tǒng)可以很容易地“淹沒”每個人的事件響應(yīng)能力。對系統(tǒng)進(jìn)行適當(dāng)?shù)娘L(fēng)險管理，并且利用縱深防御的做法在第一時間減少發(fā)生安全事件的機(jī)會是很關(guān)鍵的。?安全運(yùn)行中心(SOC)經(jīng)常假定對事件響應(yīng)上只有一個單一的管控模型，但是這對多租戶的云服務(wù)提供商來說并不恰當(dāng)。一個強(qiáng)勁而良好維護(hù)的安全信息和事件管理(SIEM)流程用以識別可用數(shù)據(jù)源(應(yīng)用程序日志、防火墻日志、以及IDS日志等等)，并且將這些日志合并進(jìn)可以協(xié)助SOC檢測云計算環(huán)境事件的通用分析告警平臺。?為了極大地方便的進(jìn)行詳盡的離線分析，可以考察能夠提供整個客戶虛擬環(huán)境快照的能力的云服務(wù)提供商，這些快照包括防火墻、網(wǎng)絡(luò)(交換機(jī))、系統(tǒng)應(yīng)用程序和數(shù)據(jù)。?遏制(containment)是破壞控制和搜集證據(jù)之間的一場賽跑?；跈C(jī)密性-完整性-可用性(CIA)這樣三位一體的遏制做法才是有效的。?補(bǔ)救突出了能夠?qū)⑾到y(tǒng)恢復(fù)到某個先前狀態(tài)的重要性，甚至需要回到6個月或12個月前的已知可用配置。將法律選擇和要求牢記在心，補(bǔ)救可能還需要支持事件數(shù)據(jù)的“事后分析”(forensics)記錄。?所有因為數(shù)據(jù)泄漏監(jiān)管而被分類為“私有”的數(shù)據(jù)都應(yīng)該加密，以減少泄漏事件帶來的后果?？蛻魬?yīng)在合同中規(guī)定相關(guān)的加密要求。?有些云服務(wù)提供商可能擁有一大批擁有獨特應(yīng)用的客戶。為了能夠給每一個特定客戶提供細(xì)顆粒度的事件，這些云服務(wù)提供商應(yīng)該考慮應(yīng)用層日志框架。這些云服務(wù)提供商還應(yīng)該構(gòu)建一個注冊表