Il cloud computing ha trasformato il settore IT, poiché i servizi possono ora essere distribuiti in una frazione del tempo impiegato. Soluzioni di calcolo scalabili hanno generato grandi aziende di cloud computing come Amazon Web Services (AWS), Google Cloud e Microsoft Azure. Con un clic di un pulsante, il personale può creare o reimpostare l’intera infrastruttura per una risorsa di calcolo in tre diversi modelli di servizi di cloud computer: Software as a Service (SaaS), Platform as a Service (PaaS) e Infrastructure as a Service (IaaS). Questi modelli presentano tre sfide uniche per condurre indagini forensi sul cloud.
Modelli di servizi di cloud Computing
Con i servizi IT tradizionali, il proprietario è responsabile di tutti i servizi dalle apparecchiature di rete all’applicazione stessa. Il cloud computing offre queste soluzioni SaaS, PaaS e IaaS per rendere più efficiente l’implementazione e la gestione delle risorse di calcolo.
Esaminiamo ciascuno di questi modelli in modo più dettagliato di seguito.
IaaS
Il proprietario è parzialmente responsabile del sistema operativo e di tutti i middleware, runtime, dati e applicazioni negli ambienti IaaS di cloud computing. Tuttavia, la distribuzione del sistema operativo, la virtualizzazione e tutte le apparecchiature hardware, storage e di rete sono gestiti per il cliente dal provider cloud. Questo modello offre il massimo controllo sull’infrastruttura sottostante delle risorse di calcolo al cliente. Esempi di IaaS sono la creazione di host con AWS Elastic Computing Cloud (EC2), Digital Ocean e Rackspace.
PaaS
PaaS è meno inclusiva nella responsabilità delle risorse di cloud computing. È dove il proprietario è responsabile solo per i dati e le applicazioni, ma non l’infrastruttura cloud essenziale, tra cui rete, server, sistemi operativi o storage. Questo modello di servizio viene utilizzato principalmente dagli sviluppatori che creano applicazioni o software. Esempi di PaaS sono AWS Elastic Beanstalk, Windows Azure e Apache Stratos.
SaaS
SaaS è un ambiente di hosting di cloud computing all-inclusive in cui il proprietario dell’applicazione fornisce l’applicazione al provider cloud ed è ospitato e gestito interamente dal provider di servizi cloud. Esempi di SaaS sono Google Apps, Dropbox e Slack. Queste applicazioni sono interamente gestite dal Cloud Service Provider (CSP), e gli utenti utilizzano le applicazioni in gran parte attraverso un browser web.
Cloud Computing e Forensics
I problemi forensi che sono unici per il cloud computing sono la giurisdizione, la multi-tenancy e la dipendenza dai CSP. Cloud forensics è un sottoinsieme di digital forensics basato sull’approccio unico per indagare gli ambienti cloud. I CSP dispongono di server in tutto il mondo per ospitare i dati dei clienti. Quando si verifica un incidente informatico, la giurisdizione legale e le leggi che governano la regione presentano sfide uniche. Un ordine del tribunale emesso in una giurisdizione in cui risiede un data center probabilmente non sarà applicabile alla giurisdizione per un host diverso in un altro paese. Nei moderni ambienti CSP, il cliente può scegliere la regione in cui risiederanno i dati, e questo dovrebbe essere scelto con attenzione.
Una preoccupazione principale per un investigatore è garantire che le prove digitali non siano state manomesse da terzi in modo che possano essere ammissibili in un tribunale. Nei modelli di servizio PaaS e SaaS, i clienti devono dipendere dai fornitori di servizi cloud per l’accesso ai log in quanto non hanno il controllo sull’hardware. In alcuni casi, i CSP a volte nascondono intenzionalmente i dettagli dei log ai clienti. In altri casi, i CSP hanno criteri che non offriranno servizi per raccogliere i registri.
Mantenere una catena di custodia è molto impegnativo in un ambiente cloud rispetto a un ambiente forense tradizionale. Nell’ambiente forense tradizionale, il team di sicurezza interno ha il controllo su chi sta conducendo le operazioni forensi su una macchina, mentre nel cloud forensics, il team di sicurezza non ha il controllo su chi il CSP sceglie di raccogliere prove. Se non sono addestrati secondo uno standard forense,la catena di custodia non può essere tenuta in un tribunale.
Sommario
Nel cloud computing, ci sono tre modelli di servizio e almeno tre sfide uniche per cloud forensics. Ogni livello di modello di servizio per il cloud computing condivide la responsabilità parziale con il fornitore di servizi cloud. Questa relazione causa sfide uniche durante lo svolgimento di indagini forensi cloud, in quanto qualsiasi incidente può impedire che le prove siano ammissibili in un tribunale.
Poiché i server cloud possono essere ospitati in diversi paesi, anche i dati forensi possono esserlo. Ciò presenta sfide di giurisdizione legale. I fornitori di servizi cloud non sempre operano a tuo favore quando si tratta di condurre indagini forensi, poiché stai costando loro tempo e denaro per questioni che sono meno preoccupanti per loro. Queste sfide sono uniche per il sottoinsieme del campo forense, cloud forensics.
Circa l’autore: Tyler Wall è un ingegnere di sicurezza informatica principale e appassionato ricercatore di sicurezza informatica e hobbista IoT. Ha sette anni di esperienza nelle operazioni di sicurezza e ha portato tre programmi di monitoraggio della sicurezza a livelli più elevati di maturità. È ai sensi di un Master of Science in Cybersecurity Management e sarà completo gennaio 2020. Detiene inoltre le attuali certificazioni Certified Information Systems Security Professional (CISSP), Certified Ethical Hacker (CEH) e Certified Forensic Security Responder (CFSR).
Nota del redattore: Le opinioni espresse in questo articolo dell’autore ospite sono esclusivamente quelle del collaboratore e non riflettono necessariamente quelle di Tripwire, Inc.