El escenario específico involucra servidores Linux en hosts VMware con almacenamiento SAN. Si Linux elimina los archivos que contienen datos confidenciales, ¿se pueden recuperar con una herramienta de bajo nivel similar a la que se podría hacer con el almacenamiento local? Creo que hay una serie de escenarios que probablemente tienen diferentes respuestas:
- "Poco" después de la eliminación. La instancia de Linux no se ha reiniciado desde la eliminación y no se ha producido una reubicación explícita de la carga de trabajo de VMware. El resto del ambiente ha sido estable durante el tiempo intermedio
- "Largo" después de la eliminación. La instancia de Linux no se ha reiniciado desde la eliminación y no se ha producido una reubicación explícita de la carga de trabajo de VMware. Se han producido operaciones normales alrededor de la instancia que podrían haber incluido la reubicación de otras cargas de trabajo y la reasignación del almacenamiento SAN para otras cargas de trabajo.
- Se realizó un reinicio a nivel del sistema operativo, como por ejemplo para forzar la reinicialización de un servicio actualizado.
- Se realizó un cierre completo del sistema operativo y, un tiempo después, se reinició la imagen. [¿Qué sucede si la imagen se mueve a un host diferente antes de reiniciarla?]
- La carga de trabajo se cambió a un nuevo host de VMware sin apagar el sistema operativo.
Hay algunos otros casos que puedo imaginar, pero entiendes la idea. Entonces, ¿se pueden recuperar datos desde el sistema operativo en varios escenarios? ¿Qué tal desde el host virtual o la consola de administración SAN? ¿De los medios de comunicación? ¿Qué tan difíciles son estos vectores para explotar? ¿Qué protección existe contra la recuperación de datos eliminados en un entorno virtual basado en SAN?