导语:在个人文件下安全删除数据实在太难,但当牵扯到企业存储的时候,事情变得尤为复杂。
上周我发表了一篇博客,描述了确保删除的数据确实被完全删除需要注意的一些基本挑战。在个人电脑与远程控制的情境下,这些担忧让用户感到困扰,但通过IT专业设备能够得到很好的掌控。但如果删除数据发生在存储虚拟化到IT专门机构的数据中心的情境下,专门机构也感到了困扰。
虚拟存储已经大范围地流行了很多年,同样的毫无疑问:提炼底层存储介质,通过这种方式将之提供给存储用户,大家可以实现超级酷的技巧。通过存储虚拟化、自动精简配置、快照、SSD磨损均衡、自动化的存储分层都有可能实现。
然而,以上所有程序带来了数据安全成本。你不能再在磁盘上重写随机垃圾数据,并假定磁盘上的任何数据都被有效地隐藏起来,正如你在PC上那般操作。与之相反,总会有残存的部分数据或字节在你的存储设备上飘荡。
如果你想明智地确信不会有人无意地闯进你的敏感数据,你可以很轻易地获得成功。但如果你想要证据确凿地保证你的敏感数据永远不会被暴露在阳光下,你会发现那实质上变得更加复杂。实际上,如果我们没有致力于一项伟大的事业,想保证数据永远不会被暴露是绝无可能的。
想象下你在一家中等会计公司担任IT职务,公司的数据中心基础设施由VMware vSphere系列虚拟化托管,还有一组戴尔EqualLogic SAN(存储区域网络)。你用Veeam公司的备份和复制备份功能并将每日数据传回至ExaGrid NAS,每月将数据磁带保存到档案库。或许你采用来自思科系统、惠普、微软或者NetApp的产品--没关系,普通的存储方案中出现的问题都是一样的,不管你采用哪家企业的产品。
对安全特别敏感的客户会要求合作伙伴提供担保,确保与项目计划相关的所有合作产品已经完整安全地从企业系统中清除。
为什么100%的删除在虚拟化存储中完全不可能实现
让我们看看这个保证对IT确实意味着什么。
文件服务器。从我上周提出的建议开始,最简单的事情就是开始虚拟化的文件服务器,存储的文件能够用相应装置如Eraser安全删除。你也可以用Eraser来安全地清扫磁盘上所有没用过的空间,这两个步骤能确保磁盘上用于存储文件的空间完全被垃圾文件覆盖,并且保证其他任何有可能存着老版本的产品的磁盘空间是不可恢复的。
虚拟机管理程序。然而你没法阻止,因为文件服务器是虚拟的,你需要考虑到VMFS文件系统中存有的内容,毕竟文件服务器磁盘就存在文件服务器中。如果你已经使用了VMware的快照,用于VM(你所拥有的VM,因为Veeam会自动将每次的性能表现进行备份),有些有问题的数据可能已经被写入到快照“delta”(一种文件,当磁盘快照活跃时文件更改也会被写入磁盘)中。当VMware快照稍后被删除的时候,存储在delta文件里的数据会被复制并传回到主磁盘文件,delta文件本身也会被删除。然而,正如删除正常文件一样,数据没能安全擦除--他们依然出现在磁盘上,尽管不会再有文件描述符来指向这些数据。
如果你想删除这些delta数据,你也必须安全清扫存放在整个VMFS分区的免费空间--多半情况下,是一个DIY程序作为专门为此设计出的少数工具。举例来说,你有可能使用DD实用的vSphere主机的控制板将零数据写入到VMFS系统文件中直到文件被写满,然后删除。由于会暂时性的填满文件空间,这种方法带有一定的危险性,可能影响到产品,但就删除数据而已,这个方法还是可行的。
存储区域网络。事情依然没完全解决,现在你该担心存储区域网络了。在这点上,戴尔的EqualLogic SAN负责存储VMFS卷,你只需勤加清除即可。由于你对维护正常运营时间、支持合作伙伴快速恢复被错误删除的数据的关心,你配置了周期性的快照以方便VMFS卷的定期清除。有了VMware的快照,当数据模块变动的时候,戴尔会EqualLogic SAN利用免费池空间进行存储--让旧的模块变成最近的快照的一部分。
用零数据重写活跃磁盘只会让磁盘的一个版本变得混乱,该磁盘(和你的目标文件)依然有许多其他版本完好无缺地存放在SAN中,只需片刻通知即可恢复。有了VMware的快照,你不能仅仅删除快照内容因为这样做并不能重写磁盘上的数据块。另外,如果你确实重写这些数据模块,这可能会阻碍设备的快速恢复能力,从而破坏灾难恢复服务水平协议(SLA)。
事情变得更糟。即使你找到了删除快照的方式,清除了SAN上的所有自由空间,问题依然没能得到解决。既然那些数据已经完整安全地被删除了,你现在需要追踪所有的做过的备份,那可能意味着你要从ExaGrid装置中摧毁母带并尝试安全删除数据。
甚至假定你能找到完成以上所有的方法,你仍然不得不花费无数的时间来安全删除放在文件服务器的文件系统、虚拟机管理程序的文件系统、存储区域网络的文件系统中的数据。你也不得不删除每个从VMFS卷(可能包含大量的其他VMs文件)中获取的快照,并几乎摧毁每一个你曾备份过的内容--以上所有都仅仅只是为了确保少量的关键文件真正得到完好地删除,不留任何疑虑。
如果你这样做,某个方法可行
当然,人们很少很少遇到删除数据这类的麻烦。然而,那并不能阻止大家承诺已经这么做了--承诺通常遭遇无视。冷冰冰的艰难事实就是几乎绝无可能(当然也无法实践)地安全删除非加密的数据,在使用多层级存储虚拟化且不会摧毁物理环境的情况下--那是指,物理粉碎处理控制。
事实就是产品厂商已经在制作更快速、更具适应性的存储和计算系统上做出了实质上的创新--这两个属性碰巧截然相反,使我们完全不可能访问数据。
如果你想有能力在类似的系统上安全地删除数据,你必须加密这些在创新点上的数据,并且永远不会复制这些数据到某个非加密的介质中。如果合作伙伴知道客户对数字安全非常敏感,那么他可能已经将客户的产品信息放在一个加密的文件系统中(例如通过使用存在文件服务器上的TrueCrypt卷)。一旦合作伙伴接受了客户的需求,他将删除该卷的内容,然后忘记他曾经用过的访问口令。在我举例的情境中,所有那些潜在的复制内容都将仍然存在,但没有访问口令,它们已对任何人都毫无用处,最终被我们高效地删除了。
我们对此问题能做的最佳方式就是去告诉我们的股东和用户一些基本的东西。他们需要了解:一旦数据产生,就绝不可能100%的被删除--只能做一些大体上的删减,且可能会被恢复。永远不要向任何人许诺你已经完全删除了他们的文件(以合约形式或其他)。
如果你对安全特别看重,就请随时紧盯着数据摧毁公司的服务吧(不管是审计准备软件或者是机器控制的粉碎机器),方便照顾即将解除不再使用的设备。
本文作者Matt Prigge,原文来源:www.infoworld.com