導語：在個人文件下安全刪除數(shù)據(jù)實在太難，但當牽扯到企業(yè)存儲的時候，事情變得尤為復雜。

上周我發(fā)表了一篇博客，描述了確保刪除的數(shù)據(jù)確實被完全刪除需要注意的一些基本挑戰(zhàn)。在個人電腦與遠程控制的情境下，這些擔憂讓用戶感到困擾，但通過IT專業(yè)設備能夠得到很好的掌控。但如果刪除數(shù)據(jù)發(fā)生在存儲虛擬化到IT專門機構的數(shù)據(jù)中心的情境下，專門機構也感到了困擾。

虛擬存儲已經(jīng)大范圍地流行了很多年，同樣的毫無疑問：提煉底層存儲介質，通過這種方式將之提供給存儲用戶，大家可以實現(xiàn)超級酷的技巧。通過存儲虛擬化、自動精簡配置、快照、SSD磨損均衡、自動化的存儲分層都有可能實現(xiàn)。

然而，以上所有程序帶來了數(shù)據(jù)安全成本。你不能再在磁盤上重寫隨機垃圾數(shù)據(jù)，并假定磁盤上的任何數(shù)據(jù)都被有效地隱藏起來，正如你在PC上那般操作。與之相反，總會有殘存的部分數(shù)據(jù)或字節(jié)在你的存儲設備上飄蕩。

如果你想明智地確信不會有人無意地闖進你的敏感數(shù)據(jù)，你可以很輕易地獲得成功。但如果你想要證據(jù)確鑿地保證你的敏感數(shù)據(jù)永遠不會被暴露在陽光下，你會發(fā)現(xiàn)那實質上變得更加復雜。實際上，如果我們沒有致力于一項偉大的事業(yè)，想保證數(shù)據(jù)永遠不會被暴露是絕無可能的。

想象下你在一家中等會計公司擔任IT職務，公司的數(shù)據(jù)中心基礎設施由VMware vSphere系列虛擬化托管，還有一組戴爾EqualLogic SAN（存儲區(qū)域網(wǎng)絡）。你用Veeam公司的備份和復制備份功能并將每日數(shù)據(jù)傳回至ExaGrid NAS，每月將數(shù)據(jù)磁帶保存到檔案庫?；蛟S你采用來自思科系統(tǒng)、惠普、微軟或者NetApp的產(chǎn)品--沒關系，普通的存儲方案中出現(xiàn)的問題都是一樣的，不管你采用哪家企業(yè)的產(chǎn)品。

對安全特別敏感的客戶會要求合作伙伴提供擔保，確保與項目計劃相關的所有合作產(chǎn)品已經(jīng)完整安全地從企業(yè)系統(tǒng)中清除。

為什么100%的刪除在虛擬化存儲中完全不可能實現(xiàn)

讓我們看看這個保證對IT確實意味著什么。

文件服務器。從我上周提出的建議開始，最簡單的事情就是開始虛擬化的文件服務器，存儲的文件能夠用相應裝置如Eraser安全刪除。你也可以用Eraser來安全地清掃磁盤上所有沒用過的空間，這兩個步驟能確保磁盤上用于存儲文件的空間完全被垃圾文件覆蓋，并且保證其他任何有可能存著老版本的產(chǎn)品的磁盤空間是不可恢復的。

虛擬機管理程序。然而你沒法阻止，因為文件服務器是虛擬的，你需要考慮到VMFS文件系統(tǒng)中存有的內容，畢竟文件服務器磁盤就存在文件服務器中。如果你已經(jīng)使用了VMware的快照，用于VM（你所擁有的VM，因為Veeam會自動將每次的性能表現(xiàn)進行備份），有些有問題的數(shù)據(jù)可能已經(jīng)被寫入到快照“delta”（一種文件，當磁盤快照活躍時文件更改也會被寫入磁盤）中。當VMware快照稍后被刪除的時候，存儲在delta文件里的數(shù)據(jù)會被復制并傳回到主磁盤文件，delta文件本身也會被刪除。然而，正如刪除正常文件一樣，數(shù)據(jù)沒能安全擦除--他們依然出現(xiàn)在磁盤上，盡管不會再有文件描述符來指向這些數(shù)據(jù)。

如果你想刪除這些delta數(shù)據(jù)，你也必須安全清掃存放在整個VMFS分區(qū)的免費空間--多半情況下，是一個DIY程序作為專門為此設計出的少數(shù)工具。舉例來說，你有可能使用DD實用的vSphere主機的控制板將零數(shù)據(jù)寫入到VMFS系統(tǒng)文件中直到文件被寫滿，然后刪除。由于會暫時性的填滿文件空間，這種方法帶有一定的危險性，可能影響到產(chǎn)品，但就刪除數(shù)據(jù)而已，這個方法還是可行的。

存儲區(qū)域網(wǎng)絡。事情依然沒完全解決，現(xiàn)在你該擔心存儲區(qū)域網(wǎng)絡了。在這點上，戴爾的EqualLogic SAN負責存儲VMFS卷，你只需勤加清除即可。由于你對維護正常運營時間、支持合作伙伴快速恢復被錯誤刪除的數(shù)據(jù)的關心，你配置了周期性的快照以方便VMFS卷的定期清除。有了VMware的快照，當數(shù)據(jù)模塊變動的時候，戴爾會EqualLogic SAN利用免費池空間進行存儲--讓舊的模塊變成最近的快照的一部分。

用零數(shù)據(jù)重寫活躍磁盤只會讓磁盤的一個版本變得混亂，該磁盤（和你的目標文件）依然有許多其他版本完好無缺地存放在SAN中，只需片刻通知即可恢復。有了VMware的快照，你不能僅僅刪除快照內容因為這樣做并不能重寫磁盤上的數(shù)據(jù)塊。另外，如果你確實重寫這些數(shù)據(jù)模塊，這可能會阻礙設備的快速恢復能力，從而破壞災難恢復服務水平協(xié)議（SLA）。

事情變得更糟。即使你找到了刪除快照的方式，清除了SAN上的所有自由空間，問題依然沒能得到解決。既然那些數(shù)據(jù)已經(jīng)完整安全地被刪除了，你現(xiàn)在需要追蹤所有的做過的備份，那可能意味著你要從ExaGrid裝置中摧毀母帶并嘗試安全刪除數(shù)據(jù)。

甚至假定你能找到完成以上所有的方法，你仍然不得不花費無數(shù)的時間來安全刪除放在文件服務器的文件系統(tǒng)、虛擬機管理程序的文件系統(tǒng)、存儲區(qū)域網(wǎng)絡的文件系統(tǒng)中的數(shù)據(jù)。你也不得不刪除每個從VMFS卷（可能包含大量的其他VMs文件）中獲取的快照，并幾乎摧毀每一個你曾備份過的內容--以上所有都僅僅只是為了確保少量的關鍵文件真正得到完好地刪除，不留任何疑慮。

如果你這樣做，某個方法可行

當然，人們很少很少遇到刪除數(shù)據(jù)這類的麻煩。然而，那并不能阻止大家承諾已經(jīng)這么做了--承諾通常遭遇無視。冷冰冰的艱難事實就是幾乎絕無可能（當然也無法實踐）地安全刪除非加密的數(shù)據(jù)，在使用多層級存儲虛擬化且不會摧毀物理環(huán)境的情況下--那是指，物理粉碎處理控制。

事實就是產(chǎn)品廠商已經(jīng)在制作更快速、更具適應性的存儲和計算系統(tǒng)上做出了實質上的創(chuàng)新--這兩個屬性碰巧截然相反，使我們完全不可能訪問數(shù)據(jù)。

如果你想有能力在類似的系統(tǒng)上安全地刪除數(shù)據(jù)，你必須加密這些在創(chuàng)新點上的數(shù)據(jù)，并且永遠不會復制這些數(shù)據(jù)到某個非加密的介質中。如果合作伙伴知道客戶對數(shù)字安全非常敏感，那么他可能已經(jīng)將客戶的產(chǎn)品信息放在一個加密的文件系統(tǒng)中（例如通過使用存在文件服務器上的TrueCrypt卷）。一旦合作伙伴接受了客戶的需求，他將刪除該卷的內容，然后忘記他曾經(jīng)用過的訪問口令。在我舉例的情境中，所有那些潛在的復制內容都將仍然存在，但沒有訪問口令，它們已對任何人都毫無用處，最終被我們高效地刪除了。

我們對此問題能做的最佳方式就是去告訴我們的股東和用戶一些基本的東西。他們需要了解：一旦數(shù)據(jù)產(chǎn)生，就絕不可能100%的被刪除--只能做一些大體上的刪減，且可能會被恢復。永遠不要向任何人許諾你已經(jīng)完全刪除了他們的文件（以合約形式或其他）。

如果你對安全特別看重，就請隨時緊盯著數(shù)據(jù)摧毀公司的服務吧（不管是審計準備軟件或者是機器控制的粉碎機器），方便照顧即將解除不再使用的設備。

本文作者Matt Prigge，原文來源：www.infoworld.com