Virtualisierung Ihres forensischen Labors in der Cloud Teil 1: Nutzung von IaaS für Ihr Labor
Die Cloud.
Sie verwenden sie vermutlich bereits und wissen auch, dass Sie sie vermutlich noch mehr ausnutzen könnten.
Die Cloud kann fremd und abschreckend wirkend, aber das muss nicht sein.
Wir haben eine Reihe von Artikeln zusammengestellt, die hoffentlich etwas Licht ins Dunkle darüber bringt, wie die Cloud genutzt werden kann, um Ihr Forensiklabor zu virtualisieren. Wir wissen, dass es dauert, dort anzukommen, aber wir haben schon einigen Kunden auf diesem Pfad geholfen und wollen die Karte dorthin auch mit Ihnen teilen.
In dieser Reihe werden wir einige allgemeine Konzepte für die Nutzung von Cloud-Plattformen für Ihr Labor sowie einige praktische Tools für die Einrichtung Ihrer Umgebung vorstellen. Das erwartet Sie bei dieser Serie mit dem Namen: Virtualisierung Ihres Forensiklabors in der Cloud:
- Gründe, IaaS für Ihr Forensiklabor zu nutzen
- Vorteile des Betriebs eines Labors in der Cloud
- Eine praktische Anleitung zum Aufsetzen einer AWS EC2-Instanz für Magnet AXIOM Cyber
- Sicherheitseinstellungen, die Sie bei der Nutzung der Cloud für Ihr Labor bedenken sollten
- Überlegungen, wie Sie in einem virtuellen Labor mit Beweisen arbeiten können
- Ein Ausblick darauf, wie die Cloud in der Zukunft genutzt werden kann
Teil 1: Vier Gründe, IaaS für Ihr Forensiklabor zu nutzen
Traditionell stellen wir uns das digitale Forensiklabor als eine Reihe ultraschneller und oft ultrateurer schreibtischbasierter Hardware vor, die dazu entwickelt ist, die Anforderungen wachsender Fallgrößen und der Komplexität dieser Fälle erfüllen zu können. Laborkapazitäten zu erweitern kann ein teures Unterfangen sein (z. B. mehr Hardware oder mehr Leute), und da der Umfang der Fälle immer weiter wächst und das Budget fast immer eine Rolle spielt, müssen Forensiklabore alternative Ansätze finden.
In diesem Beitrag beleuchten wir, wie Unternehmen die Leistung und Skalierbarkeit der cloud-basierten Infrastructure-As-A-Service (IaaS)-Plattformen wie Amazon Web Services oder Microsoft Azure nutzen können, um ein virtuelles Forensiklabor zu erstellen, das sich schnell den Anforderungen wie nötig anpassen kann, ohne dass teure Hardware gekauft werden muss.
Wir stellen dann in zukünftigen Teilen dieser Reihe die Auswirkungen vor, die wir für die Cloud auf digitale Forensik jetzt und in der Zukunft erwarten.
Was ist Infrastructure-as-A-Service?
IaaS ist ein Cloud-Service-Modell, bei dem Nutzer virtuelle Maschinen auf physischer Hardware einsetzen und darauf zugreifen können, die einem Cloud-Service-Anbieter wie Microsoft Azure oder Amazon Web Services gehört. Sowohl Azure als auch AWS bieten hunderte cloud-basierter Dienste und damit zahlreiche Möglichkeiten, Anwendungen in der Cloud zu entwickeln und einzusetzen.
Für diesen Artikel konzentrieren wir und speziell auf AWS Elastic Compute Cloud (EC2) und Microsoft Azure Virtual Machines. Diese Dienste sind so nah an der Arbeit mit physischen Servern oder Desktop-Systemen wie möglich – mit dem großen Unterschied, dass die Hardware dem Dienstanbieter gehört und von ihm verwaltet wird. Der Endbenutzer ist nur für die Konfiguration und Wartung des Betriebssystems und der Software zuständig, die in der Umgebung eingesetzt werden.
Obwohl es viele Gründe gibt, eine IaaS-Plattform zu nutzen, um Ihr Labor zu virtualisieren, sind hier die wichtigsten vier:
- Potentielle Kostenersparnisse: Nutzer bezahlen nur die Verarbeitungszeit, die sie nutzen. Der Preis für die Ausführung eines Systems basiert auf der Leistung des Systems (normalerweise CPU, RAM und Speicherplatz). Effektiv mieten Sie einen Computer vom Anbieter und bezahlen nur die Zeit, in der Sie das System benötigen, oft zu Kursen von weniger als 1$/genutzter Stunde1
- Flexible Hardwareeinstellungen: Cloud-Dienst-Anbieter bieten eine große Bandbreite an Hardware und Betriebssystemkonfigurationen an, sodass der Nutzer das richtige System für seine Arbeit auswählen kann.
- Geschwindigkeit: Virtuelle Maschinen können oft innerhalb von Minuten bereitgestellt und eingesetzt werden und bieten Tools zum Einsatz jeglicher Anzahl an VMs von Grund auf oder basierend auf vordefinierten System-Templates.
- Globale Orte: IaaS bietet eine große Flexibilität im Einsatz virtueller Maschinen, darunter die Möglichkeit, auszuwählen, in welcher Region Sie das System einsetzen möchten, komplette Kontrolle über Netzwerkarbeit und Sicherheit, Redundanz und Notfallwiederherstellung. Die Vorteile daran, Ihren forensischen Arbeitsplatz nah an Ihren Ziel-Endpunkten einzusetzen, sind u.a. zuverlässigere Erfassung und in einigen Fällen können Sie ggf. Probleme mit der Ansässigkeit der Daten vermeiden.
Diese Liste kratzt nur an der Oberfläche, doch es gibt viele Ressourcen und Schulungsprogramme für Ihre Anfänge in der Cloud:
Wie können Sie die Cloud für Ihr Forensiklabor nutzen?
Viele der oben genannten Vorteile können direkt auf die Erweiterung Ihres digitalen Forensiklabors in die Cloud angewendet werden. Beispielsweise können Sie bei der Nutzung von AWS eine neue virtuelle Maschine erstellen, die einen Windows-Server ausführt. Sobald die virtuelle Maschine gestartet wurde (was oft weniger als fünf Minuten dauert), nutzen Sie einfach den Remote Desktop, um sich einzuloggen und können das System nutzen wie jeden anderen Server in Ihrem Netzwerk. Dazu gehört auch, Magnet AXIOM Cyber zu installieren sowie alle anderen Tools, die Sie in Ihrem Forensiklabor normalerweise nutzen. Dies ist oft deutlich schneller als die Beschaffung, Installation und Konfiguration auf einem physischen Server.
Cloud-Plattformen ermöglichen Ihnen außerdem Speicherauszüge Ihrer Konfigurationen. Diese Speicherauszüge können als Template für zukünftige Einsätze verwendet werden. Sobald Sie ein Template haben, auf dem all Ihre Tools vorinstalliert sind, können Sie so viele virtuelle Maschinen mit diesem Template aufsetzen, wie Sie benötigen.
Und, nochmal, Sie müssen die Systeme nur bezahlen, während sie verwendet werden, Sie können also so viele verschiedene Konfigurationen aufbauen, wie Sie benötigen. Dieses Modell bietet jede Menge Flexibilität, um Systeme einzusetzen, die der Arbeit entsprechen, anstatt ein universelles Desktop-System zu kaufen. Wenn Sie beispielsweise ein leistungsstärkeres System zur Verarbeitung von Beweisen konfigurieren: eine Aufgabe, die länger dauern kann, aber die Kosten für ein leistungsstärkeres System können es wert sein, dass Sie schneller an die Beweise kommen. Im Gegensatz dazu können Sie ein leistungsschwächeres System für Ihre Prüfungen konfigurieren, da dies keine ressourcen-intensive Aufgabe ist.
Jetzt, wo wir die großen Vorteile der Nutzung einer IaaS-Plattform wie AWS oder Azure abgedeckt haben, kümmern wir uns im nächsten Teil von Virtualisierung Ihres Forensiklabors in der Cloud um einige der spezifischen Vorteile der Virtualisierung Ihres Labors, darunter die Möglichkeit, Remote-Erfassungen von Endpunkten, die nicht mit Ihrem Unternehmensnetzwerk verbunden sind, durchzuführen.