下载掌阅APP,畅读海量书库
立即打开
当我们谈论云计算时,指的是云提供商和承包服务的公司之间的共同责任。责任等级将根据服务模型的不同而有所不同,如图2.12所示。
图2.12 云中的责任划分
对于软件即服务(Software as a Service,SaaS),大部分责任在云提供商身上,事实上,客户的责任基本上是保护其内部的基础设施(包括访问云资源的终端)。对于基础架构即服务(Infrastructure as a Service,IaaS),大部分责任在于客户,包括漏洞和补丁管理。
要了解事件响应目的的数据收集边界,理解职责非常重要。在IaaS环境中,你可以完全控制虚拟机,并且可以完全访问操作系统提供的所有日志。此模型中唯一缺少的信息是底层网络基础设施和虚拟机管理程序日志。
针对事件响应目的的数据收集,每个云提供商都有自己的策略,因此请务必在请求数据之前查看云提供商策略。
对于SaaS模型,与事件响应相关的绝大多数信息都掌握在云提供商手中。如果在SaaS服务中发现可疑活动,你应该直接联系云提供商,或通过门户启动事件。请务必查看你的SLA,以便更好地了解事件响应场景中的参与规则。
然而,无论你的服务模式如何,在迁移到云时都有一些关键问题需要牢记,例如调整你的整体IR流程以适应基于云的事件(包括确保你拥有处理基于云的问题的必要工具),以及调查你的云服务提供商以确保他们有足够的IR策略。
理想情况下,你应该有一个涵盖主要场景(内部部署和云环境)的单一事件响应流程。这意味着你需要更新当前流程,以包括涉及云的所有相关信息。
请确保检查整个IR生命周期,以包括与云计算相关的要素。例如,在准备阶段,你需要更新联系人列表,以包括云提供商的联系信息、待命流程等。这同样适用于其他阶段:
●检测:根据正在使用的云模型,你希望包括云提供商检测解决方案,以便在调查过程中为你提供帮助。
●遏制:重新审视云提供商的能力,以便在事件发生时将其隔离,这也会因你使用的云模型而有所不同。例如,如果你在云中有一个受攻击的虚拟机,你可能希望将该虚拟机与不同虚拟网络中的其他虚拟机隔离,并暂时阻止外部访问。
有关云中事件响应的更多信息,建议你阅读 Cloud Security Alliance Guidance 的Domain9。
云上IR的另一个重要方面是拥有适当的工具集。在云环境中使用与内部部署相关的工具可能不可行,更糟糕的是,这可能会给你一种错误的印象,即你正在做正确的事情。
现实情况是,对于云计算,过去使用的许多与安全相关的工具在收集数据和检测威胁方面效率不高。在规划IR时,你必须修订当前的工具集,并确定对于云工作负载的潜在差距。
在第12章中,我们将介绍一些可以在IR流程中使用的基于云的工具,例如Microsoft Defender for Cloud和Microsoft Sentinel。
在计划迁移到云并比较不同的云解决方案提供商(Cloud Solution Provider,CSP)提供的方案时,请确保了解其自身的事件响应流程。如果云中的另一个租户开始对驻留在同一个云中的工作负载进行攻击,该怎么办?他们会对此作何反应?这些只是你在规划哪个CSP将托管你的工作负载时需要考虑的问题的一部分。
图2.13说明了CSP如何检测潜在威胁,利用其IR流程执行初始响应,并将事件通知其客户的过程。
图2.13 CSP如何检测潜在威胁、形成初步响应并通知客户
CSP和客户之间的交接必须非常同步,这应该在云采用的规划阶段解决。如果这种交接与CSP协调得很好,并且确保在你自己的IR和CSP的IR中都考虑到了基于云的事件,那么当这些事件发生时,你应该能够更好地做好准备。