如何在云上迁移日志(迁移上云的步骤）

随着行业不断向云迁移，安全从业者不仅需要保护云实现的安全性，还需要能够在上线后做出应急响应和取证。许多企业已经在以这样或那样的形式使用云，这取决于服务模型——。基础设施即服务、软件即服务或平台即服务3354需要根据需要采用相应的应急响应和取证调查流程来支持云计算服务。本文探讨了云应急响应和取证的注意事项和优势。

云应急响应：让我们开始吧

当迁移到云服务提供商时，您需要做的第一件事是评估企业当前拥有什么，以及迁移到云将如何改变您的应急响应和取证流程。在云上执行这些流程是一个全新的领域，在转型开始之前，有必要充分了解一切。这个过程中的关键因素是确定实现云的所有系统的服务模型以及数据将存储在哪里。这有助于指导决策。如果企业已经知道数据存储在哪里，它就可以在事件发生时更快地处理整个过程。

此外，企业通常会减缓向云的迁移，并且仍然在本地数据中心保留一个实例。企业在使用这种混合架构时需要更加小心，因为当前的应急响应和取证工具不是为云设计或实现的。这会在网络上留下安全盲区，无法检测攻击，无法进行云取证。比如登录云系统，能不能获得登录本地日志管理存储的能力？既然流量不离开云实例，企业如何处理入侵防御系统的检查？如果不从这个角度彻底设计，既在云端又链接到物理世界的架构可能是危险的。

有必要对企业中现有的应急响应/取证工具和流程的使用方式以及它们在云中的使用方式进行差距分析。这决定了向云的迁移是否会导致流程中的限制，或者可以做出哪些改进。对流程的所有更改都需要根据其未来的工作方式来决定。在此期间，需要回顾CSP在云应急响应和取证过程中的角色和职责，以便企业了解如何在合作模式下在云端运营。

CSP支持和数据管理

根据服务模型的不同，CSP支持在流程中扮演不同的角色，在迁移到云之前必须清楚地了解这一点。CSP支持团队将成为应急响应团队中重要而活跃的成员，需要知道如何在runbook中工作。这些流程必须在迁移之前制定出来，在集成阶段进行测试，并在云和本地进行验证。从企业IaaS服务模式中获得的越多，供应商通常负责的就越少；应急反应和法医鉴定也是如此。你必须明白每个部门负责什么，以及真实事件发生时如何处理。

执行紧急响应和取证时需要考虑的另一个因素是如何在事件中收集和保存数据。当这一步完成后，生产和销售的监管链非常重要，现在它将包括一个第三方工具来辅助这一过程。很可能该系统将作为共享基础设施的一部分实现，而以前拥有的日志源现在不可用。例如，如果对公共云上托管的网站发起拒绝服务攻击，则很可能由于其他客户的隐私考虑而不会接收到NetFlow数据。即使在IaaS模型中，也经常会出现请求时日志不可用的情况。只要有内置的共享基础设施，就有可能丢失日志和可见性。

许多通信服务提供商正在全面提供扩展的安全产品或功能，帮助云上的安全服务尽可能无故障。如果整个基础设施是基于云的，那么本质上，您需要按需管理一个供应商的所有系统。您可以冻结、停用链接，甚至将虚拟机隔离在安全区域，以便进行紧急响应和取证。

应急响应和法医学：问题清单

当选择能够为应急响应和取证提供良好框架的云供应商/应用时，您可以查看以下列表：

开放API使企业可以直接访问CSP产品，直接访问企业现有的产品和服务。如果向云的迁移最终是一种混合状态，这一点至关重要。

决定系统如何记录日志以及将存储什么类型的日志。这将因产品而异，但是CSP能提供这样的功能吗，或者您需要一个云上的日志管理产品或一个单独的系统来发送日志吗？

查看CSP和您的安全软件如何在云上处理弹性。当一个新的系统出现，或者被破坏，如何处理日志，端点安全和网络安全？从应急响应和取证的角度来看，这些团队需要知道这些系统是如何迁移的，以及他们的软件是否可以部署。此外，您需要知道当系统退役时如何处理数据。

决定现有的安全服务是否也可以在云上实现。如何执行IPS？大部分时候是在网络上做，现在是在云上，所以很多情况下是在主机层面做。是否存在当前在云上本地使用的虚拟副本？这在进行调查时非常重要。

您的数据、系统、应用程序和日志有可能需要转移到其他国家吗？如果该国的隐私法限制应急响应和取证团队完成工作，可能会使调查陷入停滞。

提前审查CSP、SOC 2和其他合规性相关文件。这将让您全面了解CSP是什么，以及在云上的应急响应和取证过程中还缺少什么。

摘要

应急反应和证据收集有许多优点；做起来并不总是很难。当企业开始完全迁移到云时，他们可以实现这些好处，但重要的是要知道服务模型在这方面起着很大的作用。如果企业从IaaS的角度进入云世界，首先需要从安全的角度考察CSP能提供什么。