25 Августа, 2019

Криминалистика в облаке: что нужно знать

Владимир Безмалый

Облачные вычисления изменили ИТ-индустрию, поскольку теперь службы могут быть развернуты за долю времени, которое раньше они занимали. Масштабируемые вычислительные решения породили крупные компании облачных вычислений, такие как Amazon Web Services (AWS), Google Cloud и Microsoft Azure. Одним нажатием кнопки сотрудники могут создавать или сбрасывать всю инфраструктуру для вычислительного ресурса в трех различных моделях облачных компьютерных услуг: программное обеспечение как услуга (SaaS), платформа как услуга (PaaS) и инфраструктура как услуга (IaaS). Эти модели представляют три уникальные проблемы для проведения криминалистических исследований.

Модели облачных вычислений

С помощью традиционных ИТ-услуг владелец несет ответственность за все услуги, от сетевого оборудования до самого приложения. Облачные вычисления предлагают эти решения SaaS, PaaS и IaaS для повышения эффективности развертывания и управления вычислительными ресурсами.

Давайте рассмотрим каждую из этих моделей более подробно.

IaaS

Владелец частично отвечает за операционную систему и все промежуточное программное обеспечение, среду выполнения, данные и приложения в облачных средах IaaS. Однако развертывание операционной системы, виртуализация и все оборудование, хранилище и сетевое оборудование управляются заказчиком поставщиком облачных услуг. Эта модель предоставляет клиенту максимальный контроль над базовой инфраструктурой вычислительных ресурсов. Примерами IaaS являются создание хостов с AWS Elastic Computing Cloud (EC2), Digital Ocean и Rackspace.

PaaS

PaaS менее ответственен за ресурсы облачных вычислений. Именно здесь владелец отвечает только за данные и приложения, но не за необходимую облачную инфраструктуру, включая сеть, серверы, операционные системы или хранилище. Эта сервисная модель в основном используется разработчиками, создающими приложения или программное обеспечение . Примерами PaaS являются AWS Elastic Beanstalk, Windows Azure и Apache Stratos.

SaaS

SaaS — это комплексная хостинговая среда для облачных вычислений, где владелец приложения предоставляет приложение поставщику облачных услуг, и оно полностью размещается и управляется поставщиком облачных услуг . Примерами SaaS являются Google Apps, Dropbox и Slack. Эти приложения полностью управляются провайдером облачных услуг (CSP), и пользователи используют приложения в основном через веб-браузер.

Облачные вычисления и криминалистика

Криминалистическими проблемами, которые являются уникальными для облачных вычислений, являются юрисдикция, многопользовательский режим и зависимость от CSP. Облачная криминалистика — это разновидность цифровой криминалистики, основанная на уникальном подходе к исследованию облачных сред. CSP имеют серверы по всему миру для размещения данных клиентов. Когда происходит кибер-инцидент, юридическая юрисдикция и законы, регулирующие регион, создают уникальные проблемы. Судебный приказ, изданный в юрисдикции, где расположен центр обработки данных, скорее всего, не будет применим к юрисдикции для другого хоста в другой стране . В современных средах CSP заказчик может выбрать регион, в котором будут находиться данные, и это следует выбирать осторожно.

Основная задача следователя заключается в том, чтобы убедиться, что цифровые доказательства не были подделаны третьими лицами, чтобы их можно было принять в суде. В моделях обслуживания PaaS и SaaS клиенты должны зависеть от поставщиков облачных услуг для доступа к журналам, поскольку они не имеют контроля над оборудованием. В некоторых случаях CSP иногда намеренно скрывают детали журналов от клиентов. В других случаях у CSP есть политика, согласно которой они не будут предлагать услуги по сбору журналов.

Поддержание цепочки поставок очень сложно в облачной среде по сравнению с традиционной криминалистической средой. В традиционной криминалистической среде внутренняя группа безопасности контролирует, кто выполняет криминалистические операции на машине, тогда как в облачной криминалистике команда безопасности не контролирует, кто выбирает CSP для сбора доказательств. Если они не обучены в соответствии с судебно-медицинским стандартом, цепь опеки может не пройти в суде.

Резюме

В облачных вычислениях существует три модели обслуживания и как минимум три задачи, уникальные для облачной криминалистики. Каждый уровень модели сервиса для облачных вычислений разделяет частичную ответственность с поставщиком облачных услуг. Эти отношения создают уникальные проблемы при проведении криминалистических расследований, так как любая неудача может помешать принятию доказательств в суде.

Поскольку облачные серверы могут быть размещены в нескольких странах, данные судебной экспертизы создают проблемы юрисдикции. Поставщики облачных услуг не всегда работают в вашу пользу, когда дело доходит до проведения криминалистических расследований, так как вы стоите им времени и денег на менее важные для них вопросы. Эти проблемы являются уникальными для подмножества судебной экспертизы, облачной криминалистики.

Оригинал