La computación en la nube ha transformado la industria de TI, ya que los servicios ahora se pueden implementar en una fracción del tiempo que solía llevar. Las soluciones de computación escalables han dado lugar a grandes empresas de computación en la nube, como Amazon Web Services (AWS), Google Cloud y Microsoft Azure. Con solo hacer clic en un botón, el personal puede crear o restablecer toda la infraestructura de un recurso informático en tres modelos de servicios informáticos en la nube diferentes: Software como Servicio (SaaS), Plataforma como Servicio (PaaS) e Infraestructura como Servicio (IaaS). Estos modelos presentan tres desafíos únicos para realizar investigaciones forenses en la nube.
Modelos de servicios de computación en la nube
Con los servicios de TI tradicionales, el propietario es responsable de todos los servicios, desde el equipo de red hasta la aplicación en sí. La computación en la nube ofrece estas soluciones SaaS, PaaS e IaaS para hacer que la implementación y la gestión de los recursos informáticos sean más eficientes.
Examinemos cada uno de estos modelos con más detalle a continuación.
IaaS
El propietario es parcialmente responsable del sistema operativo y de todo el middleware, el tiempo de ejecución, los datos y las aplicaciones en entornos IaaS de computación en la nube. Sin embargo, la implementación del sistema operativo, la virtualización y todo el hardware, el almacenamiento y el equipo de red son administrados para el cliente por el proveedor de la nube. Este modelo proporciona al cliente el mayor control sobre la infraestructura subyacente de recursos informáticos. Ejemplos de IaaS son la creación de hosts con AWS Elastic Computing Cloud (EC2), Digital Ocean y Rackspace.
PaaS
PaaS es menos incluyente en la responsabilidad de los recursos de computación en la nube. Es donde el propietario solo es responsable de los datos y las aplicaciones, pero no de la infraestructura de nube esencial, incluida la red, los servidores, los sistemas operativos o el almacenamiento. Este modelo de servicio es utilizado principalmente por desarrolladores que crean aplicaciones o software. Ejemplos de PaaS son AWS Elastic Beanstalk, Windows Azure y Apache Stratos.
SaaS
SaaS es un entorno de alojamiento de computación en la nube todo incluido en el que el propietario de la aplicación proporciona la aplicación al proveedor de la nube, y el proveedor de servicios en la nube la aloja y administra en su totalidad. Ejemplos de SaaS son Google Apps, Dropbox y Slack. Estas aplicaciones son administradas en su totalidad por el Proveedor de servicios en la nube (CSP), y los usuarios utilizan las aplicaciones en gran medida a través de un navegador web.
Computación en la nube y análisis forense
Los problemas forenses que son exclusivos de la computación en la nube son la jurisdicción, el arrendamiento múltiple y la dependencia de los CSP. La ciencia forense en la nube es un subconjunto de la ciencia forense digital basado en el enfoque único para investigar entornos en la nube. Los CSP tienen servidores en todo el mundo para alojar los datos de los clientes. Cuando ocurre un incidente cibernético, la jurisdicción legal y las leyes que rigen la región presentan desafíos únicos. Una orden judicial emitida en una jurisdicción donde reside un centro de datos probablemente no será aplicable a la jurisdicción para un host diferente en otro país. En los entornos CSP modernos, el cliente puede elegir la región en la que residirán los datos, y esto debe elegirse cuidadosamente.
Una de las principales preocupaciones de un investigador es asegurarse de que las pruebas digitales no hayan sido manipuladas por terceros para que puedan ser admisibles en un tribunal de justicia. En los modelos de servicios PaaS y SaaS, los clientes deben depender de los proveedores de servicios en la nube para acceder a los registros, ya que no tienen control sobre el hardware. En algunos casos, los CSP a veces ocultan intencionalmente los detalles de los registros de los clientes. En otros casos, los CSP tienen políticas de que no ofrecerán servicios para recopilar registros.
Mantener una cadena de custodia es muy difícil en un entorno de nube en comparación con un entorno forense tradicional. En el entorno forense tradicional, el equipo de seguridad interna tiene control sobre quién está realizando operaciones forenses en una máquina, mientras que en la medicina forense en la nube, el equipo de seguridad no tiene control sobre quién elige el CSP para recopilar pruebas. Si no están capacitados de acuerdo con una norma forense, la cadena de custodia no puede mantenerse en un tribunal de justicia.
Resumen
En computación en la nube, hay tres modelos de servicio y al menos tres desafíos exclusivos de la ciencia forense en la nube. Cada nivel de modelo de servicio para computación en la nube comparte una responsabilidad parcial con el proveedor de servicios en la nube. Esta relación causa desafíos únicos al realizar investigaciones forenses en la nube, ya que cualquier percance puede impedir que las pruebas sean admisibles en un tribunal de justicia.
Dado que los servidores en la nube se pueden alojar en varios países, los datos forenses también lo pueden ser. Esto plantea problemas de jurisdicción. Los proveedores de servicios en la nube no siempre operan a su favor cuando se trata de realizar investigaciones forenses, ya que les cuesta tiempo y dinero por problemas que les preocupan menos. Estos desafíos son exclusivos del subconjunto del campo forense, la ciencia forense en la nube.
Sobre el autor: Tyler Wall es un Ingeniero Principal de Seguridad cibernética e investigador apasionado de ciberseguridad y aficionado a IoT. Tiene siete años de experiencia en operaciones de seguridad y ha dirigido tres programas de monitoreo de seguridad a niveles más altos de madurez. Está cursando una Maestría en Ciencias en Gestión de Ciberseguridad y finalizará en enero de 2020. También tiene certificaciones actuales de Profesionales de Seguridad de Sistemas de Información Certificados (CISSP), Hacker Ético Certificado (CEH) y Respondedor de Seguridad Forense Certificado (CFSR).
Nota del editor: Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las de Tripwire, Inc.