一項調查顯示,由于未能妥善處理存儲硬件,很多數據中心運營商浪費大量費用,并面臨數據泄露的風險。
當自動駕駛汽車工程師Andrew Levandowski從谷歌公司離職跳槽到Uber公司工作時,他聲稱在幾個星期之后才發現在他的衣柜找出了五個裝滿了源代碼、設計和工程文件的硬盤。將硬盤切碎似乎是一種安全處理的好方法,但是當谷歌公司的無人駕駛汽車業務部門Waymo公司起訴Levandowski所就職的Uber公司,并聲稱他竊取了這些資料文件時,其結果是令人尷尬的(這兩家公司在法庭訴訟之后,僅用了五天就意外地達成和解)。
數據中心應該有更好的流程來處理可能存儲企業或客戶機密數據的廢舊硬盤。但數據擦除專家Blancco公司最近的一項調查顯示,很多組織未能正確處理退役硬盤,并面臨暴露客戶和員工信息的罰款風險,或者存儲硬件方面浪費了數十萬美元。
流程管理
這個調查報告表明,有四分之一的組織根據退貨授權流程(RMA)條款,每年至少花費5萬美元對硬盤進行更換,另外39%的組織每年花費超過10萬美元。在過去兩年中,超過一半的組織因為沒有遵守數據保護法,因此遭到處罰,并可能提高了成本。
更糟糕的是,參與調查的全球600位數據中心專業人員表示,似乎并不知道他們處理硬盤的方式不安全,并且沒有遵守歐洲通用數據保護法規或將于2020年1月生效的加利福尼亞州的數字隱私法。
企業沒有遵循正確程序進行處理硬盤并不是什么新鮮事。但潛在的后果如今有所不同。 “組織需要有效的數據保留和處理政策和程序。”數據保護咨詢機構Privacy Matters公司常務董事Pat Walshe表示,“這不是新事物,幾十年來一直是道德和合規數據管理的關鍵方面。退貨授權(RMA)硬盤驅動器也不例外。不同的是,由于未能以保護人們數據的方式處理個人數據而產生的責任。”
人工擦除成本高昂
盡管將數據安全性、隱私性、合規性和效率列為首要任務,但很少有受訪者擁有有效的流程來刪除數據和清理硬盤以便重復使用或返回制造商,或者進行審核以確保完成此操作。只有三分之一的受訪者表示使用自動遠程工具進行安全擦除。其他受訪者表示,通過人工刪除機架和服務器的硬盤驅動器,一半受訪者表示通過人工實施刪除,另一半受訪者表示將硬盤驅動器存放在現場。
具有諷刺意味的是,他們已經意識到數據泄漏的風險。Blancco公司企業和云擦除解決方案副總裁Fredrik Forslund表示,“他們在空閑空間存放存儲硬件,這會增加成本。這些用戶沒有從這些硬件中獲得任何剩余價值,反而需要占用寶貴的資源和空間存放和管理,而且在大多數情況下,很多企業會因為沒有退回硬盤驅動器而受到供應商的處罰”。
對于不再使用的硬盤驅動器,超過一半的企業都會使用免費的在線工具(如DBAN)手動擦除。“他們只是從互聯網上下載一些東西,并將其作為流程的一部分運行,這非常可怕。”Forslund指出,“免費的在線工具只選用于個人使用,這意味著他們將面臨許可證問題,而且沒有審計跟蹤。”
如果企業決定物理性銷毀磁盤,SSD硬盤的銷毀也會造成更多的麻煩。“即使銷毀的SSD硬盤也可能會發現數據。”Forslund指出。雖然像Microsoft Azure和谷歌云這樣的超大規模云計算供應商使用碎紙機處理驅動器(谷歌使用機器人自動化銷毀),但這在傳統的企業數據中心中很少見。除非拍攝每個驅動器的序列號以及粉碎過程,否則沒有進行審計跟蹤。相反,一些擔心安全性的組織使用具有強磁性的消磁器來擦除數據,而并不是物理損壞硬盤驅動器。但當今的硬盤外殼將會阻擋磁性,另外SSD硬盤的數據并不會受到磁鐵的影響。
第三方服務可以通過審計跟蹤提供有效的物理粉碎措施,但是在傳輸過程中將會增加保護驅動器的成本。“用戶需要服務提供商安全地將硬盤運送到他們的設施。”Forslund說,“很多安全團隊都不會允許這種運輸。如果允許這樣做,就會有嚴格的要求,例如采用武裝押運車輛運輸驅動器,這會花費很多費用。這就是大量存放的廢舊硬盤成本高昂的原因:因為這是一項繁瑣的操作。”
準備加密所有內容
通過簡單地刪除密鑰對硬盤進行密碼擦除越來越流行,因為它既快速又簡單。根據研究報告,64%的組織使用密碼刪除措施,而這一比例在醫療保健和制藥等受監管行業中甚至更高。
Forslund警告說,“這并不是萬無一失的措施,用戶需要一直加密存儲設備的數據,因為如果在任何時候開放,就可能會有數據泄漏。用戶需要有一個良好的系統來管理加密密鑰,因此不必擔心丟失可能用于恢復數據的密鑰。”
驗證和審核擦除非常重要,即使硬盤的數據已被刪除,而管理工具將其標記為失敗。Forslund公司估計,在70%到80%的情況下,廢舊的硬盤可以被擦除到可審核的級別,這意味著數據也可以使用正確的工具從中恢復。
如今,有關硬盤退役的有效性研究很少,但Moor Insights&Strategy公司高級分析師Steve McDowell表示,通常是流程而不是政策問題。他說:“大多數IT組織確實有相關的政策,但對硬盤和其他設備進行適當的清理和回收,即使在制定了相關政策的情況下,也會沒有很好地實施或錯失。大多數組織都非常精明,在電腦報廢之前移除硬盤,但這些硬盤的處置通常只不過是相當于垃圾填埋場的電子回收。”
他警告說,“隨著退役的存儲設備越來越多,其安全處理的問題將超越硬盤驅動器本身的處理。存儲系統開始使用多個級別的持久緩存進行構建,這只會隨著行業開始部署服務器級內存(例如Intel Optane)等技術而加速,在這些技術中,靜態加密可能不是一個很好的選擇。”
這些存儲硬件設備將無法在一段時間內返回廠商或進行回收,但高容量和高價格將使它們正確集成到涵蓋整個存儲生命周期的資產管理系統中變得更加重要。
