In diversi articoli del blog abbiamo già spiegato come la cancellazione sicura dei dati sia un tema di fondamentale importanza per la sicurezza delle aziende. Sia che si tratti di un computer desktop, di un laptop usato da un manager o di un nuovo tablet, su tutti i device si trovano dei dati che devono essere protetti e cancellati in completa sicurezza una volta che i dispositivi raggiungono il termine del loro ciclo di vita.
Abbiamo anche più volte sottolineato che la cancellazione delle informazioni digitali deve essere inserita all'interno di un processo ben definito. Ma come deve essere questo processo? E in che modo la cancellazione dei dati si differenzia nel caso in cui le informazioni non debbano essere eliminate da "piccoli" dispositivi ma da sistemi di storage di elevata complessità, di produttori come EMC, HP e NetApp? E cosa bisogna considerare nel caso in cui si vogliano cancellare i dati o le LUN su questi sistemi durante la loro operatività?
In questo articolo cerchiamo di rispondere a tutte queste domande.
Contrariamente a quanto si potrebbe inizialmente pensare, programmare un processo di cancellazione dei dati adatto per le LUN (le unità logiche di un sistema storage) non è questione banale ma un’operazione piuttosto complicata. Di base, tutti i vendor forniscono algoritmi di cancellazione integrati per eliminare i contenuti delle LUN, ma in tutto questo processo manca ancora la parte più importante: una prova che attesti l’avvenuta cancellazione. Le aziende, in molti casi, per rispondere alla propria policy o agli SLA presi con i clienti, devono fornire evidenza che la cancellazione sia stata effettuata in maniera appropriata. In linea di principio, al termine di un processo di cancellazione sicura dei dati deve essere sempre fornito un report che certifica la cancellazione eseguita.
Nel caso sia necessario cancellare delle LUN, tre sono i possibili scenari che potrebbero verificarsi:
La cancellazione delle LUN è richiesta perché i dati non sono più necessari ai clienti interni o esterni e quindi lo spazio di storage può essere utilizzato per altri scopi
La cancellazione delle LUN è richiesta nel caso in cui le componenti hardware utilizzate (ad esempio gli hard disk drive) non funzionano più in maniera ottimale e nel breve periodo dovranno essere sostituite (es. un hard drive a superato la soglia di bad block)
La cancellazione delle LUN fa parte di un piano di migrazione nel caso in cui il sistema di storage esistente debba essere sostituito da uno nuovo
Uno degli esempi tipici della necessità di cancellare una o più LUN attive è il caso in cui un cliente decida di rimuovere i propri dati da un host. Questo potrebbe verificarsi se il cliente ha deciso di archiviare i propri dati in outsourcing in un datacenter esterno oppure su un provider cloud e ora vuole riportare le sue informazioni digitali all'interno dell’azienda oppure spostarli su di un altro provider. In questo scenario le differenti LUN che erano state assegnate all'interno del sistema di storage ora devono essere cancellate in maniera sicura.
La necessità di cancellare le LUN che si trovano internamente all'azienda si verifica invece quando i dati in esse contenuti vengono cancellati come parte di un regolare processo di "pulizia" degli storage al raggiungimento della fine del loro ciclo di vita.
Il processo in questi casi è lo stesso: durante l’operatività del sistema l’amministratore IT "libera" le LUN in questione – ossia le toglie dalla disponibilità del sistema di storage – e quindi cancella i drive con tutti i dati in essi contenuti utilizzando un tool appropriato.
Successivamente, viene creato un report che certifica l’avvenuta cancellazione. Nell’ultimo passaggio del processo le LUN, ora cancellate in modo sicuro, sono nuovamente connesse al sistema di storage attivo e destinate ad un nuovo cliente o un nuovo utente interno o esterno. Il sistema di storage continuerà a funzionare fino a quando non raggiungerà il termine del proprio ciclo di vita (EOL / End-of-Life).
Una soluzione in grado di effettuare la cancellazione sicura dei dati sui drive e capace di fornire anche un report dettagliato del processo è il nostro software di cancellazione sicura delle LUN. Da una semplice interfaccia di gestione è possibile individuare l‘unità, cancellare le LUN in questione e creare un report che attesta l’attività eseguita mentre il resto del sistema continuerà a funzionare come prima.
In molti sistemi high-end, i dati archiviati non sono soltanto distribuiti su diversi dischi ma spesso anche memorizzati in diverse versioni, in base alle funzioni di recupero dati offerte dal sistema.
Per questo motivo, in molti casi i dati che contengono informazioni riservate relative all'azienda possono essere recuperati da un singolo hard drive di un sistema high-end di EMC, NetApp o CommVault. Si rivela dunque fondamentale, prima dello smantellamento degli hard drive e degli SSD dei server high-end, distruggere in maniera sicura tutti i dati in essi contenuti. Questa operazione deve essere effettuata non solo in ottemperanza alle normative vigenti e al GDPR, ma anche per tutelare e proteggere ed esempio i diritti di proprietà intellettuale dell’azienda.
Persino in un sistema high-end gli hard drive utilizzati non possono durare per sempre. In molti casi il periodo di vita rimanente di un disco è rilevato direttamente dal sistema. Al superamento del limite predefinito di bad block è giunto il momento di sostituire quel determinato disco.
Lo stesso principio vale anche per un hard drive difettoso: deve essere sostituito.
Vediamo quindi insieme come dovrebbe funzionare un processo sicuro di cancellazione delle LUN.
Sia che si tratti di un disco difettoso, sia nel caso in cui si sia superato il limite di bad block, sarà lo stesso sistema high-end a inviare un messaggio automatico all'amministratore IT.
Seguendo direttive aziendali interne verrà quindi effettuato un test per verificare se il singolo disco è ancora efficiente oppure no e verrà valutata quale soluzione di cancellazione sicura adottare in termini tecnici e di costi, se tramite un software o con l’utilizzo di un degausser.
Una volta scelta l’opzione migliore, la LUN viene rimossa dal sistema, si chiama il tecnico del produttore del sistema high-end, il disco viene cancellato in modo sicuro tramite software oppure con un degausser.
Successivamente, il tecnico installerà un nuovo disco rigido nel sistema high-end e, se necessario, imposterà nuove LUN.
Non pensate che a questo punto il processo di cancellazione sia finito!
Dopo la sostituzione dell’hard drive danneggiato o obsoleto sorge infatti un nuovo quesito: tenere il supporto in azienda oppure - come succede nella maggior parte dei casi - consegnarlo al produttore?
Si tratta di un dilemma non da poco, poiché la risposta è strettamente connessa alle policy aziendali che riguardano i dati in questione.
Potrebbe quindi accadere che un’azienda, nonostante abbia effettuato una cancellazione sicura tramite software o degausser, decida di archiviare il disco fisicamente nella propria sede. In questo caso, però, l’azienda incorrerà in costi maggiori rispetto a quelli che avrebbe sostenuto nel caso in cui avesse deciso di consegnare il disco/i dischi al produttore.
Oltre ai costi legati allo stoccaggio in azienda, dovete pagare anche il produttore del sistema di modo che possiate tenere il disco e la quota da corrispondere è di solito alta.
Se l’azienda è ancora intenzionata a tenere il disco presso la sua struttura, potrebbe dover affrontare nuovi costi anche solo dopo pochi anni: i costi della dismissione secondo norma. L’azienda dovrebbe sostenere questi oneri anche nel caso in cui decidesse di affidare il disco a un’impresa di riciclaggio.
Se il disco viene consegnato al tecnico del produttore rimane il rischio (seppur limitato) che l’hard drive finisca in qualche Paese del Terzo Mondo dopo anni, smontato e riportato in qualche modo alla vita.
Per essere certi che i dati non possano essere mai più letti è molto importante che il disco venga cancellato in maniera sicura all'interno dell’azienda prima di essere consegnato al tecnico che lo porterà via.
Un altro scenario in cui è richiesta la cancellazione sicura delle LUN è quello in cui si effettua il passaggio da un vecchio sistema high-end di un produttore a una nuova macchina high-end di un altro fornitore, ovvero nel caso di una migrazione del sistema. Per questo motivo, oltre alla migrazione dei dati da un sistema all’altro, per le aziende sono di fondamentale importanza sia la sicurezza delle informazioni digitali sia la loro cancellazione sicura.
Di norma, la migrazione di un sistema è un progetto di lungo periodo e viaggia in parallelo all’operatività standard del vecchio sistema prima che questo venga permanentemente dismesso.
Un progetto di migrazione ha inizio in prossimità del termine stimato del ciclo di vita del vecchio sistema. Va sottolineato che la durata prevista per il processo di migrazione dei dati dovrebbe includere anche il tempo necessario per effettuare la cancellazione sicura delle LUN. Se i dati vengono migrati con successo sul nuovo sistema, allora è il momento di procedere con la cancellazione sicura delle informazioni digitali contenute nel vecchio sistema.
Tre sono i possibili approcci per definire il processo:
la macchina è ancora attiva e ha ancora un valore residuo
la macchina non è più attiva o è stata disattivata ma ha ancora un valore residuo
la macchina non è più attiva, virtualmente non ha più valore e l’unica cosa da fare è distruggerla
1. Migrazione con vecchio sistema ancora attivo
Nel primo caso, quando si ha ancora possibilità di accedere al sistema, la soluzione più adatta per la cancellazione della LUN è il software di cancellazione sicura della LUN.
Con questa soluzione tutti i dati sono disponibili e la LUN può essere cancellata in maniera sicura senza correre il rischio che, in futuro, queste informazioni possano essere in qualche modo recuperate.
A questo punto la macchina può essere rivenduta.
2. Migrazione con macchina non più attiva ma con valore residuo
Nel caso in cui la macchina high-end non sia più attiva ma abbia ancora un valore, potete cancellare i dischi rigidi in maniera sicura uno alla volta, utilizzando il software rivenduto da Ontrack.
In questo caso però il tempo necessario per questo processo è lungo, dal momento che alcuni vecchi sistemi high-end contengono dischi rigidi diversi tra loro che devono essere cancellati individualmente.
3. Migrazione con macchina non più attiva e senza più valore
Per quanto riguarda il terzo scenario, il sistema ha solo un valore legato alla sua dismissione. Anche in questo caso le LUN devono essere cancellate in maniera sicura, così come i dati in esse contenuti, prima che la macchina e le sue componenti hardware possano essere riciclate o dismesse.
Dal momento che in questo scenario non è più possibile e non è necessario accedere alle LUN, tutti gli hard drive vengono rimossi e preparati alla demagnetizzazione tramite Degausser. Attraverso il degausser i dischi rigidi vengono cancellati individualmente da un campo magnetico ad alta intensità e resi inutilizzabili. I dischi vengono quindi dismessi insieme al resto del sistema da un’azienda di smaltimento rifiuti certificata.
Attenzione! In tutte e tre i casi ricordatevi che la cancellazione dei vecchi sistemi e dei dati in essi contenuti deve essere attestata da un report dell’attività.
Se ciò non avvenisse, potreste avere dei problemi con gli organi di controllo poiché questi non riconoscerebbero l’avvenuta cancellazione dei dati e delle LUN. In particolare, con l’entrata in vigore del Regolamento Europeo sulla Protezione dei Dati (GDPR – General Data Protection Regulation), possedere un attestato che certifica la cancellazione sicura sarà indispensabile considerato che la norma prevede sanzioni fino a 100 milioni di euro o il 3% del fatturato annuo.