模块3：管理与计算安全与风险.ppt

首先，云计算环境的按需自服务的本质意味着一个云客户会发现当他们处理一个安全事件时，他们很难甚至不可能从云服务提供商那里获得需要的合作。根据采用的服务和部署模型，与云服务提供商的事件响应部门沟通的方式不同。实际上，服务产品中所集成的对安全事件的监测、分析、控制和恢复能力的程度，是服务商和客户都应关切的关键问题。 第二，云服务中的资源池化，以及云基础设施提供的快速可伸缩特征，会明显的使事件响应流程，尤其是事件分析中的取证活动变得更加复杂。取证必须在一个高度动态的环境中进行，这就对取证的必需要素比如建立事件范围、收集数据属性、保留数据的语义完整性、维持证据稳定性等构成了挑战。当云客户企图进行取证活动时，这些问题会更加恶化，因为他们是在一个不透明的环境中操作（如上所述，这强调了云提供商支持的必要性）。 第三，云服务的资源池化导致合作租户的隐私问题，这就是如何收集和分析与安全事件关联的测量信息和组件（例如日志、netFlow数据、内存、虚机镜像、存储等）却又不损害其它合作租户的隐私。这是一个服务商必须解决的基本技术问题。云客户应该确保他们的服务商具有适当的收集和数据隔离步骤，并能提供必要的事件处置支持。 第四，虽然没有作为一个核心的特征来描述，云计算可能会导致数据跨越地理或者司法辖区边界，而云客户可能对此并不知情。相应的法律和监管要求可能会对事件处置流程带来负面影响，它们可能会限制在一个事件的全生命周期各阶段什么可以做、什么不可以做或者规定什么必须做、什么必须不做。建议一个组织需要在事件响应小组中包含来自法律部门的代表，以提供此类问题的指导。 62 NIST 800-61 [1] describes the following main stages of the IR lifecycle: preparation; detection analysis; containment, eradication recovery. NIST 800-61 描述了事件响应生命周期的主要阶段：准备，检测分析，封锁，根除恢复。 We will walk through each of these 下面我们对各阶段进行逐一讨论。 63 准备是从清晰的理解和完整的记录客户数据在运行时和休息时的位置开始的。 假设客户信息资产会在组织范围内甚至跨地理边界转移，这会使得同时在物理平面和逻辑平面对威胁建模成为必要的。包含物理资产、组织、网络及司法辖区边界的映射关系的数据流图，可以通过突出所有在事件响应中可能出现的依赖关系来提供支持。 Since multiple organizations are now involved, Service Level Agreements (SLA) and contracts between the parties now become the primary means of communicating and enforcing expectations for responsibilities in each phase of the IR lifecycle. It is advisable to share IR plans with the other parties and to precisely define and clarify shared or unclear terminology. When possible, any ambiguities should be cleared up in advance of an incident. 由于现在涉及了多个组织，不同实体间的服务级别协议和合同现在就成为事件响应各阶段的基本的通信方式和职责预期。建议与其它实体分享事件响应计划，并准确的定义和澄清共享的或不清楚的术语。在可能的情况，任何事件的模糊点需要预先澄清。 It is unreasonable to expect CSP’s to create separate IR plans for each customer. However, the existence of some (or all) of the following points in a contract/SLA should give the customer organization some confidence that its provider has done some advanced planning for Incident Response: 期望云服务提供商为每个客户创建独立的事件响应计划是不合理的。但是，在合同/服务协议中包含如下的内容将会使客户组织对服务商已具备事件响应的高级计划