一项调查显示,由于未能妥善处理存储硬件,很多数据中心运营商浪费大量费用,并面临数据泄露的风险。
当自动驾驶汽车工程师Andrew Levandowski从谷歌公司离职跳槽到Uber公司工作时,他声称在几个星期之后才发现在他的衣柜找出了五个装满了源代码、设计和工程文件的硬盘。将硬盘切碎似乎是一种安全处理的好方法,但是当谷歌公司的无人驾驶汽车业务部门Waymo公司起诉Levandowski所就职的Uber公司,并声称他窃取了这些资料文件时,其结果是令人尴尬的(这两家公司在法庭诉讼之后,仅用了五天就意外地达成和解)。
数据中心应该有更好的流程来处理可能存储企业或客户机密数据的废旧硬盘。但数据擦除专家Blancco公司最近的一项调查显示,很多组织未能正确处理退役硬盘,并面临暴露客户和员工信息的罚款风险,或者存储硬件方面浪费了数十万美元。
流程管理
这个调查报告表明,有四分之一的组织根据退货授权流程(RMA)条款,每年至少花费5万美元对硬盘进行更换,另外39%的组织每年花费超过10万美元。在过去两年中,超过一半的组织因为没有遵守数据保护法,因此遭到处罚,并可能提高了成本。
更糟糕的是,参与调查的全球600位数据中心专业人员表示,似乎并不知道他们处理硬盘的方式不安全,并且没有遵守欧洲通用数据保护法规或将于2020年1月生效的加利福尼亚州的数字隐私法。
企业没有遵循正确程序进行处理硬盘并不是什么新鲜事。但潜在的后果如今有所不同。“组织需要有效的数据保留和处理政策和程序。”数据保护咨询机构Privacy Matters公司常务董事PatWalshe表示,“这不是新事物,几十年来一直是道德和合规数据管理的关键方面。退货授权(RMA)硬盘驱动器也不例外。不同的是,由于未能以保护人们数据的方式处理个人数据而产生的责任。”
人工擦除成本高昂
尽管将数据安全性、隐私性、合规性和效率列为首要任务,但很少有受访者拥有有效的流程来删除数据和清理硬盘以便重复使用或返回制造商,或者进行审核以确保完成此操作。只有三分之一的受访者表示使用自动远程工具进行安全擦除。其他受访者表示,通过人工删除机架和服务器的硬盘驱动器,一半受访者表示通过人工实施删除,另一半受访者表示将硬盘驱动器存放在现场。
具有讽刺意味的是,他们已经意识到数据泄漏的风险。Blancco公司企业和云擦除解决方案副总裁Fredrik Forslund表示,“他们在空闲空间存放存储硬件,这会增加成本。这些用户没有从这些硬件中获得任何剩余价值,反而需要占用宝贵的资源和空间存放和管理,而且在大多数情况下,很多企业会因为没有退回硬盘驱动器而受到供应商的处罚”。
对于不再使用的硬盘驱动器,超过一半的企业都会使用免费的在线工具(如DBAN)手动擦除。“他们只是从互联网上下载一些东西,并将其作为流程的一部分运行,这非常可怕。”Forslund指出,“免费的在线工具只选用于个人使用,这意味着他们将面临许可证问题,而且没有审计跟踪。”
如果企业决定物理性销毁磁盘,SSD硬盘的销毁也会造成更多的麻烦。“即使销毁的SSD硬盘也可能会发现数据。”Forslund指出。虽然像MicrosoftAzure和谷歌云这样的超大规模云计算供应商使用碎纸机处理驱动器(谷歌使用机器人自动化销毁),但这在传统的企业数据中心中很少见。除非拍摄每个驱动器的序列号以及粉碎过程,否则没有进行审计跟踪。相反,一些担心安全性的组织使用具有强磁性的消磁器来擦除数据,而并不是物理损坏硬盘驱动器。但当今的硬盘外壳将会阻挡磁性,另外SSD硬盘的数据并不会受到磁铁的影响。
第三方服务可以通过审计跟踪提供有效的物理粉碎措施,但是在传输过程中将会增加保护驱动器的成本。“用户需要服务提供商安全地将硬盘运送到他们的设施。”Forslund说,“很多安全团队都不会允许这种运输。如果允许这样做,就会有严格的要求,例如采用武装押运车辆运输驱动器,这会花费很多费用。这就是大量存放的废旧硬盘成本高昂的原因:因为这是一项繁琐的操作。”
准备加密所有内容
通过简单地删除密钥对硬盘进行密码擦除越来越流行,因为它既快速又简单。根据研究报告,64%的组织使用密码删除措施,而这一比例在医疗保健和制药等受监管行业中甚至更高。
Forslund警告说,“这并不是万无一失的措施,用户需要一直加密存储设备的数据,因为如果在任何时候开放,就可能会有数据泄漏。用户需要有一个良好的系统来管理加密密钥,因此不必担心丢失可能用于恢复数据的密钥。”
验证和审核擦除非常重要,即使硬盘的数据已被删除,而管理工具将其标记为失败。Forslund公司估计,在70%到80%的情况下,废旧的硬盘可以被擦除到可审核的级别,这意味着数据也可以使用正确的工具从中恢复。
如今,有关硬盘退役的有效性研究很少,但Moor Insights&Strategy公司高级分析师Steve McDowell表示,通常是流程而不是政策问题。他说:“大多数IT组织确实有相关的政策,但对硬盘和其他设备进行适当的清理和回收,即使在制定了相关政策的情况下,也会没有很好地实施或错失。大多数组织都非常精明,在电脑报废之前移除硬盘,但这些硬盘的处置通常只不过是相当于垃圾填埋场的电子回收。”
他警告说,“随着退役的存储设备越来越多,其安全处理的问题将超越硬盘驱动器本身的处理。存储系统开始使用多个级别的持久缓存进行构建,这只会随着行业开始部署服务器级内存(例如IntelOptane)等技术而加速,在这些技术中,静态加密可能不是一个很好的选择。”
这些存储硬件设备将无法在一段时间内返回厂商或进行回收,但高容量和高价格将使它们正确集成到涵盖整个存储生命周期的资产管理系统中变得更加重要。
编辑:Harris