Вы находитесь на странице: 1из 1

Реагирование на компьютерные инциденты в облаке     47

Облачный провайдер

Saas

Paas

Iaas

Клиент

Рис. 2.6

Понимание обязанностей важно для определения границ сбора данных в це-


лях реагирования на инциденты. В среде IaaS у вас есть полный контроль над
виртуальной машиной и полный доступ ко всем журналам, предоставляемым
операционной системой. Единственная недостающая информация в этой мо-
дели – базовая сетевая инфраструктура и журналы гипервизора. У каждого об-
лачного провайдера (5) будет своя собственная политика сбора данных в целях
реагирования на инциденты, поэтому обязательно ознакомьтесь с политикой
облачного провайдера, прежде чем запрашивать какие-либо данные.
Для модели SaaS подавляющее большинство информации, относящейся
к  реагированию на инциденты, принадлежит облачному провайдеру. Если
в  службе SaaS обнаружены подозрительные действия, вам следует связаться
напрямую с провайдером или сообщить об инциденте через портал (6). Обяза-
тельно ознакомьтесь со своим соглашением об уровне предоставления услуги,
чтобы лучше понять правила участия в сценарии реагирования на инцидент.

Обновление процесса реагирования, чтобы включить облако


В идеале у вас должен быть единый процесс реагирования на компьютерные
инциденты, охватывающий оба основных сценария – локальный и облачный.
Это означает, что вам необходимо обновить текущий процесс, чтобы включить
всю соответствующую информацию, связанную с облаком.
Обязательно просмотрите весь жизненный цикл реагирования, чтобы вклю-
чить аспекты, связанные с  облачными вычислениями. Например, во время
подготовки необходимо обновить список контактов, включив в него контакт-
ную информацию поставщика облачных услуг, дежурный процесс и т. д. То же
самое относится и к другим этапам, таким как:
 обнаружение. В  зависимости от используемой вами облачной модели
можно включить решение облачного провайдера для обнаружения, что-
бы помочь вам во время расследования (7);