Cloud Computing hat die IT-Branche verändert, da Dienste jetzt in einem Bruchteil der Zeit bereitgestellt werden können, die früher erforderlich war. Skalierbare Computing-Lösungen haben große Cloud-Computing-Unternehmen wie Amazon Web Services (AWS), Google Cloud und Microsoft Azure hervorgebracht. Mit einem Klick auf eine Schaltfläche können Mitarbeiter die gesamte Infrastruktur für eine Computerressource in drei verschiedenen Cloud-Computerservicemodellen erstellen oder zurücksetzen: Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS). Diese Modelle stellen drei einzigartige Herausforderungen für die Durchführung forensischer Cloud-Untersuchungen dar.
Cloud-Computing-Service-Modelle
Bei herkömmlichen IT-Diensten ist der Eigentümer für alle Dienste von der Netzwerkausrüstung bis zur Anwendung selbst verantwortlich. Cloud Computing bietet diese SaaS-, PaaS- und IaaS-Lösungen, um die Bereitstellung und Verwaltung von Computerressourcen effizienter zu gestalten.
Lassen Sie uns jedes dieser Modelle im Folgenden genauer untersuchen.
IaaS
Der Eigentümer ist teilweise verantwortlich für das Betriebssystem und die gesamte Middleware, Laufzeit, Daten und Anwendungen in Cloud-Computing-IaaS-Umgebungen. Die Bereitstellung des Betriebssystems, die Virtualisierung und die gesamte Hardware, Speicher- und Netzwerkausrüstung werden jedoch vom Cloud-Anbieter für den Kunden verwaltet. Dieses Modell gibt dem Kunden die größte Kontrolle über die zugrunde liegende Infrastruktur der Computerressourcen. Beispiele für IaaS sind die Erstellung von Hosts mit AWS Elastic Computing Cloud (EC2), Digital Ocean und Rackspace.
PaaS
PaaS ist weniger inklusiv in der Verantwortung der Cloud-Computing-Ressourcen. Hier ist der Eigentümer nur für die Daten und Anwendungen verantwortlich, nicht jedoch für die wesentliche Cloud-Infrastruktur einschließlich Netzwerk, Servern, Betriebssystemen oder Speicher. Dieses Servicemodell wird hauptsächlich von Entwicklern verwendet, die Anwendungen oder Software erstellen. Beispiele für PaaS sind AWS Elastic Beanstalk, Windows Azure und Apache Stratos.
SaaS
SaaS ist eine All-Inclusive-Cloud-Computing-Hosting-Umgebung, in der der Anwendungseigentümer die Anwendung dem Cloud-Anbieter bereitstellt und die vollständig vom Cloud-Dienstanbieter gehostet und verwaltet wird. Beispiele für SaaS sind Google Apps, Dropbox und Slack. Diese Anwendungen werden vollständig vom Cloud Service Provider (CSP) verwaltet, und die Benutzer verwenden die Anwendungen größtenteils über einen Webbrowser.
Cloud Computing und Forensik
Forensische Probleme, die für Cloud Computing einzigartig sind, sind Gerichtsbarkeit, Mandantenfähigkeit und Abhängigkeit von CSPs. Cloud-Forensik ist eine Teilmenge der digitalen Forensik, die auf dem einzigartigen Ansatz zur Untersuchung von Cloud-Umgebungen basiert. CSPs haben Server auf der ganzen Welt, um Kundendaten zu hosten. Wenn ein Cyber-Vorfall eintritt, stellen die Gerichtsbarkeit und die Gesetze, die die Region regeln, einzigartige Herausforderungen dar. Ein Gerichtsbeschluss, der in einer Gerichtsbarkeit erlassen wurde, in der sich ein Rechenzentrum befindet, gilt wahrscheinlich nicht für die Gerichtsbarkeit eines anderen Hosts in einem anderen Land. In modernen CSP-Umgebungen kann der Kunde die Region auswählen, in der sich die Daten befinden sollen.
Ein Hauptanliegen eines Ermittlers ist es, sicherzustellen, dass die digitalen Beweise nicht von Dritten manipuliert wurden, damit sie vor Gericht zulässig sind. In PaaS- und SaaS-Servicemodellen müssen sich Kunden beim Zugriff auf die Protokolle auf die Cloud-Dienstanbieter verlassen, da sie keine Kontrolle über die Hardware haben. In einigen Fällen verbergen CSPs manchmal absichtlich die Details der Protokolle vor Kunden. In anderen Fällen haben CSPs Richtlinien, dass sie keine Dienste zum Sammeln von Protokollen anbieten.
Die Aufrechterhaltung einer Chain of Custody ist in einer Cloud-Umgebung im Vergleich zu einer herkömmlichen Forensik-Umgebung eine große Herausforderung. In einer traditionellen forensischen Umgebung hat das interne Sicherheitsteam die Kontrolle darüber, wer forensische Vorgänge auf einer Maschine durchführt, während das Sicherheitsteam in der Cloud-Forensik keine Kontrolle darüber hat, wen der CSP auswählt, um Beweise zu sammeln. Wenn sie nicht nach einem forensischen Standard geschult sind, kann die Chain of Custody vor Gericht nicht gelten.
Zusammenfassung
Im Cloud Computing gibt es drei Servicemodelle und mindestens drei Herausforderungen, die für die Cloud-Forensik einzigartig sind. Jede Servicemodellebene für Cloud Computing teilt sich eine Teilverantwortung mit dem Cloud-Service-Provider. Diese Beziehung führt zu einzigartigen Herausforderungen bei der Durchführung von Cloud-Forensik-Untersuchungen, da jedes Missgeschick verhindern kann, dass Beweise vor Gericht zulässig sind.
Da Cloud-Server in mehreren Ländern gehostet werden können, können auch forensische Daten gehostet werden. Dies stellt die rechtliche Zuständigkeit vor Herausforderungen. Cloud-Service-Provider arbeiten nicht immer zu Ihren Gunsten, wenn es um die Durchführung von forensischen Untersuchungen geht, da Sie ihnen Zeit und Geld für Probleme kosten, die sie weniger betreffen. Diese Herausforderungen sind einzigartig für die Teilmenge der Forensik, Cloud-Forensik.
Über den Autor: Tyler Wall ist ein leitender Cybersicherheitsingenieur und leidenschaftlicher Cybersicherheitsforscher und IoT-Bastler. Er verfügt über sieben Jahre Erfahrung im Sicherheitsbetrieb und hat drei Sicherheitsüberwachungsprogramme in höhere Reifegrade geführt. Er verfügt über einen Master of Science in Cybersecurity Management und wird im Januar 2020 abgeschlossen sein. Darüber hinaus verfügt er über die Zertifizierungen Certified Information Systems Security Professional (CISSP), Certified Ethical Hacker (CEH) und Certified Forensic Security Responder (CFSR).
Anmerkung der Redaktion: Die in diesem Gastautorenartikel geäußerten Meinungen sind ausschließlich die des Beitragenden und spiegeln nicht unbedingt die von Tripwire, Inc. wider.