¿Cuál es el riesgo de que los datos se recuperen del almacenamiento SAN después de la eliminación lógica?

2

El escenario específico involucra servidores Linux en hosts VMware con almacenamiento SAN. Si Linux elimina los archivos que contienen datos confidenciales, ¿se pueden recuperar con una herramienta de bajo nivel similar a la que se podría hacer con el almacenamiento local? Creo que hay una serie de escenarios que probablemente tienen diferentes respuestas:

  1. "Poco" después de la eliminación. La instancia de Linux no se ha reiniciado desde la eliminación y no se ha producido una reubicación explícita de la carga de trabajo de VMware. El resto del ambiente ha sido estable durante el tiempo intermedio
  2. "Largo" después de la eliminación. La instancia de Linux no se ha reiniciado desde la eliminación y no se ha producido una reubicación explícita de la carga de trabajo de VMware. Se han producido operaciones normales alrededor de la instancia que podrían haber incluido la reubicación de otras cargas de trabajo y la reasignación del almacenamiento SAN para otras cargas de trabajo.
  3. Se realizó un reinicio a nivel del sistema operativo, como por ejemplo para forzar la reinicialización de un servicio actualizado.
  4. Se realizó un cierre completo del sistema operativo y, un tiempo después, se reinició la imagen. [¿Qué sucede si la imagen se mueve a un host diferente antes de reiniciarla?]
  5. La carga de trabajo se cambió a un nuevo host de VMware sin apagar el sistema operativo.

Hay algunos otros casos que puedo imaginar, pero entiendes la idea. Entonces, ¿se pueden recuperar datos desde el sistema operativo en varios escenarios? ¿Qué tal desde el host virtual o la consola de administración SAN? ¿De los medios de comunicación? ¿Qué tan difíciles son estos vectores para explotar? ¿Qué protección existe contra la recuperación de datos eliminados en un entorno virtual basado en SAN?

    
pregunta JaimeCastells 26.10.2015 - 15:28
fuente

1 respuesta

2

Cada capa de indirección hace que esto sea más difícil de responder.

Los SAN de NetApp, por ejemplo, tienen la política explícita de hacer siempre Copia en escritura. Esto significa que los datos NUNCA se actualizan en su lugar. Nada se sobreescribe directamente. En su lugar, se escribe una nueva franja RAID, los datos de esta nueva franja se asignan a la dirección de la franja antigua y los datos de la franja antigua se marcan como disponibles para sobrescribir. Esto es completamente desconocido para la máquina virtual que se ejecuta sobre ella. Si recuerdo correctamente las rayas eran algo así como 4k. Entonces, si su clave privada estaba dentro de esa franja y pensó que el comando "destruir" de Linux en realidad la sobrescribió en el disco, entonces no, esto no es lo que sucedió en el nivel de hardware.

Y no hay una información real sobre cuándo se reutilizarán realmente esos datos de banda antiguos que una vez se marcaron como reutilizables. Por lo tanto, dependiendo del porcentaje de espacio libre en la SAN y el rendimiento, puede dar alguna probabilidad de sobrescritura. Pero solo las probabilidades.

Y cada capa hace que esto sea más difícil de predecir:

  • ¿Qué pasa con el almacenamiento en niveles?
  • ¿Qué pasa con el sistema de archivos en la máquina virtual de Linux? ¿Realmente liberará ese espacio para sobrescribir? ¿Reenviará el comando "trim" de SATA a la capa de almacenamiento?

Así que para cerrar: muy buena manera de decirlo. Si se preocupa por los remanentes de datos eliminados, considere el cifrado completo del disco.

    
respondido por el StackzOfZtuff 29.10.2015 - 06:58
fuente

Lea otras preguntas en las etiquetas