Cloud Log Forensik

Definition

Mit Log-basierter Cloud Forensik – auch als "Cloud Log Forensik (CLF)" bekannt – wird die Anwendung forensischer Prozesse auf Log-Daten Cloud-basierter Systeme bezeichnet.[1]

Thematische Einordnung

Bei der CLF handelt es sich um ein Teilgebiet der Cloud-Forensik, welche wiederum ein Teilgebiet der IT-Forensik/Digitale Forensik darstellt[2].
Dabei werden die üblichen Speicher- und Systemabbilder (in der Regel in Form von Snapshots) durch eine forensische Betrachtung der Logfiles ergänzt. Die Methodik berücksichtigt dabei auch Besonderheiten, die in Cloud-Umgebungen zu beachten sind (siehe auch Abschnitt 'Besondere Cloud-Charakteristika').

Die beiden maßgeblichen Ziele der CLF sind die zeitnahe Warnung beim Auftreten von Unregelmäßigkeiten sowie die Erbringung von Hinweisen (Spuren) zur vereinfachten Auswertung. Anwendung findet die CLF damit u. a. im Security Information and Event Management (SIEM), Logging as a Service (LaaS) und der Digital Forensics & Incident Response (DFIR).

Bei der CLF liegt der Fokus auf den Aspekten[1]:

Besondere Cloud-Charakteristika

Cloud-Umgebungen unterscheiden sich durch ihre besonderen Charakteristiken wie Virtualisierung, Multi-Tenant-Architektur (und der damit verbundenen Orts-, Zugriffs-, Persistenz- und Skalierungs-Transparenz) sowie der Shared-Responsibility (zwischen Cloud Service Provider (CSP) und Cloud-User (CU)) sowie weiteren Aspekten wie Datenschutz[4] und grenzüberschreitende Rechtsanwendung[2] (multi-jurisdiction) maßgeblich von konventionellen (OnPrem) IT-Landschaften.
Diese Parameter beeinflussen auch die Ablage von Informationen in Log-Files, so dass eine ‚einfache‘, vor Gericht verwendbare Auswertung (Datensammlung und Ermittlungsarbeit) derselbigen oft nicht durchführbar ist[5]. Werden Informationen aus zentral gespeicherten Dateien extrahiert muss beispielsweise immer betrachtet werden, ob diese in der Form auch verwendbar sind, oder ob lokale Gesetze aus dem Land des Cloud-Providers oder des Cloud-Users dagegen sprechen[6].
Dieser Besonderheit soll mittels neuer Betrachtungsweisen, angepasster Werkzeuge & Methoden, Frameworks und Taxonomien sowie offener Forschungsfragen Rechnung getragen werden.[1]

Anwendung von CLF in der Praxis (Continual- und Sporadic Forensics)

CLF in der Praxis anzuwenden bedeutet, dass Parameter definiert werden müssen, die Abweichungen von regulären Verarbeitungen und damit Hinweise auf potentielle Gefährdungen erkennen lassen. Dies können beispielsweise 'Log-Einträge pro Sekunde', 'Veränderungen der Log-Datei-Größe pro Sekunde' oder auch die 'Protokollierung des Zugriffs auf geschützte Dateien' sein, jeweils unter Berücksichtigung definierter regulärer Arbeitszeiten.
Stellt das Erkennen solcher Auffälligkeiten in on-Prem-Log-Files schon eine Herausforderung dar, so vergrößert sich das Problem bei Log-Files von Cloudservices, wie im vorigen Absatz bereits beschrieben.
Generell kann CLF auf 2 Arten Anwendung finden[1]:

  • im Bereich der Continual Forensics
  • bei Sporadic Forensics

Bei 'Continual Forensics' werden die definierten, zu überwachenden Parameter laufend überprüft, wodurch Auffälligkeiten zeitnah erkannt werden. Diese Methode eignet sich daher auch sehr gut, um in ein Security Information and Event-Management eingebettet zu werden. Relevante Logs werden für einen bestimmten Zeitraum gespeichert.
Dauer und Umfang hängen dabei stark von folgenden Faktoren ab[4]:

  • Verantwortungsbereich: bei CSP oder CU gespeichert
  • rechtliche Vorgaben (Litigation Hold)
  • Datenschutzrichtlinien (Datenschutzerklärung und EU-DSGVO)
  • Sicherheitskonzept und Service Level Agreements[5][2] (SLAs)
  • wirtschaftliche Faktoren (Speicherplatz, Lizenz-Kosten)[4][2]

'Sporadic Forensics' bedeutet dagegen die nachträgliche Auswertung von Auffälligkeiten auf Anforderung. Hierfür sind in Abhängig vom benötigten Zugriff richterliche Erlasse nötig.
Beide Anwendungen werden von den 3 grundlegenden Cloud-Service-Modellen unterstützt, jedoch mit entsprechenden Hürden in der Auswertbarkeit. Nachfolgende Tabelle gibt eine auszugsweise Übersicht hierüber.

Infrastructure as a Service: IaaS Da bei diesem Servicemodell der Server inkl. Betriebssystem, Middleware und Anwendungssoftware von dem Cloud-User verwaltet werden, bietet sich hier die beste Möglichkeit, eigenständig CLF einzusetzen. Sowohl Server-lastige Informationen (CPU-Verbrauch, Memory-Auslastung, Zugriff auf geschützte Dateien,...), als auch Zugriffe auf Daten (z. B. Datenbanken, Office-Dokumente) können effizient in Log-Files dokumentiert werden. Werden die Server auch noch physisch dediziert dem Cloud-User bereit gestellt, können Nebeneffekte anderer durch den Hypervisor bereit gestellten virtueller Umgebungen ausgeschlossen werden. Eine Manipulation dieser Log-Files kann zwar mit entsprechenden Rechten erfolgen, aber auch diese werden wiederum dokumentiert.
Platform as a Service: PaaS Bei PaaS wird es sehr schwer, physische Parameter zu überwachen, zumal dort in der Regel mehrere virtuelle Instanzen auf den physikalischen Maschinen installiert sind und Auffälligkeiten nicht eindeutig zugewiesen werden können. Effizient können hier nur Parameter angewandt werden, die sich auf Auffälligkeiten bei den installierten Middleware- und Applikations-Lösungen beziehen.[5]
Software as a Service: SaaS Bei diesem Modell besteht fast keine Möglichkeit für den Cloud-Kunden, individuelle Attribute zur Überwachung zu definieren, da die bereitgestellten Ressourcen und Applikationen komplett von dem Cloud-Anbieter verwaltet werden. In diesem Fall ist es besonders wichtig, mit dem Cloud-Anbieter über mögliche Angriffsszenarien und vorbeugende Maßnahmen zu verhandeln.[4]

Selbstauskunft der CSP gem. BSI-C5-Katalog und Cloud Control Matrix (CCM)

Über die Analysemöglichkeiten bei ihren CSP können sich Cloud-Nutzer unter anderem auch via deren C5-Reports sowie CCM-Einträgen informieren. Die C5 Kategorien OPS 10-17 geben Auskunft über die Aspekte des "Logging and Monitoring". Insbesondere OPS-15 (Accountability) wird diesbezüglich sehr konkret: "The log data generated allows an unambiguous identification of user accesses at tenant level to support (forensic) analysis in the event of a security incident. Interfaces are available to conduct forensic analyses and perform backups of infrastructure components and their network communication."
Hinsichtlich CCM-Einträgen könnten sich folgende Katalog-Fragen aus den Bereichen Security Incident Management, E-Discovery, & Cloud Forensics (SEF) sowie Infrastructure & Virtualization Security (IVS) als relevant erweisen:

  • SEF-02.2: "Do you integrate customized tenant requirements into your security incident response plans?"
  • SEF-04.2: "Does your incident response capability include the use of legally admissible forensic data collection and analysis techniques?"
  • IVS-01.1: "Are file integrity (host) and network intrusion detection (IDS) tools implemented to help facilitate timely detection, investigation by root cause analysis, and response to incidents?"
  • IVS-01.2: "Is physical and logical user access to audit logs restricted to authorized personnel?"

Somit stellt BSI-C5 OPS-15 (Accountability) gegenüber den entsprechenden CCM-Fragen hinsichtlich der Möglichkeiten und Anwendbarkeit von CLF den aussagekräftigeren Standard dar.[7]




  1. 1,0 1,1 1,2 1,3 Ghosh, A., De, D., Majumder, K. (2021) "A Systematic Review of Log-Based Cloud Forensics." In: Smys, S., Balas, V.E., Kamel, K.A., Lafata, P. (eds) "Inventive Computation and Information Technologies" Lecture Notes in Networks and Systems, vol 173. Springer, Singapore. https://doi.org/10.1007/978-981-33-4305-4_26
  2. 2,0 2,1 2,2 2,3 Ruan, Keyun & Carthy, Joe & Kechadi, Tahar & Crosbie, Mark. (2011) "Cloud forensics: An overview"
  3. Simou, Stavros, et al. "A framework for designing cloud forensic forensic-enabled services (CFeS)." Requirements Engineering 24.3 (2019): 403-430.
  4. 4,0 4,1 4,2 4,3 Shaun, M. Akbar. (2020) "A Compendium of Cloud Forensics" http://dx.doi.org/10.4018/978-1-7998-1558-7.ch012.
  5. 5,0 5,1 5,2 T. Sang "A Log Based Approach to Make Digital Forensics Easier on Cloud Computing" In: "Third International Conference on Intelligent System Design and Engineering Applications", 2013, pp. 91-94 doi: 10.1109/ISDEA.2012.29.
  6. https://en.wikipedia.org/wiki/Cloud_computing_security#Legal_and_contractual_issues
  7. C5:2020 Referenztabelle, abgerufen am 10.07.2022: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020_Referenztabelle.xlsx?__blob=publicationFile&v=1