Pièges potentiels associés à la suppression sécurisée des disques SSD

12

J'ai besoin de mettre hors service deux disques SSD de l'un de mes serveurs hébergés Linux.

Pour les données supprimer en toute sécurité stockées dans les disques que je comptais utiliser: hdparm --security-erase.

J'ai lu ce document et il a suggéré de ne pas avoir de disques connectés à l'hôte, autres que ceux destinés à la suppression.

Et cet article souligne que s'il y a des bogues dans le noyau ou le firmware, cette procédure peut rendre le lecteur inutilisable ou planter l'ordinateur sur lequel il fonctionne .

Ce serveur est actuellement en production, avec une configuration RAID logicielle pour les disques de production. Il n'y a pas de contrôleur RAID pour les disques que je dois retirer.

Question:

Est-ce une opération plutôt sûre à effectuer dans un environnement de production, ou serais-je mieux servi en retirant les disques et en exécutant cette procédure sur un autre hôte?

Edit: juste un lien avec une belle procédure documentée

ssd secure-delete Matías
la source
8
Gravez-les simplement, sérieusement, si la sécurité est la plus importante, détruisez-les simplement avec le feu, les SSD sont relativement bon marché de nos jours - c'est le seul moyen d'en être sûr :)
Chopper3
2
À moins de les faire sortir de l'orbite.
Lilienthal
1
Quelqu'un a-t-il appelé?
Courses de légèreté en orbite

Réponses:

18

ATA Secure Erase fait partie de la spécification ATA ANSI et, une fois implémenté correctement , efface l'intégralité du contenu d'un lecteur au niveau matériel au lieu d'utiliser des outils logiciels. Les outils logiciels écrasent les données sur les disques durs et SSD, souvent via plusieurs passes; le problème avec les disques SSD est que ces outils de réécriture de logiciels ne peuvent pas accéder à toutes les zones de stockage sur un disque SSD, laissant des blocs de données dans les régions de service du lecteur (exemples: blocs défectueux, blocs de niveau d'usure réservés, etc.)

Lorsqu'une commande ATA Secure Erase (SE) est émise contre le contrôleur intégré d'un SSD qui le prend correctement en charge , le contrôleur SSD réinitialise toutes ses cellules de stockage comme vides (libérant des électrons stockés) - rétablissant ainsi le SSD aux paramètres par défaut d'usine et les performances d'écriture . Lorsqu'il est correctement mis en œuvre, SE traitera toutes les régions de stockage, y compris les régions de service protégées du support.

Libéralement copié depuis http://www.kingston.com/us/community/articledetail?ArticleId=10 [via archive.org] , c'est moi qui souligne.

Le problème est que, selon certains, le support et la mise en œuvre correcte de ATA Secure Erase par les fabricants "font défaut".

Ce document de recherche de 2011 montre que sur la moitié des SSD testés, l'effacement sécurisé ATA n'a pas réussi à détruire efficacement les données sur le disque.

Dans ce même document de recherche, les tests ont montré que, peut-être de manière surprenante pour certains, les remplacements multi-passes traditionnels du SSD étaient en fait la plupart du temps réussis, bien que certaines données (peut-être de ces zones réservées d'un SSD qui sont en dehors de la taille déclarée des disques) puissent être récupérées .

Donc, la réponse courte est: l'utilisation d'un logiciel pour désinfecter un SSD entier peut être efficace à 100% ou non.
Cela peut cependant suffire à vos besoins.

Deuxièmement, le faire sur un serveur exécutant la production: mon impression est que la plupart des manuels conseillent de démarrer à partir d'un disque de secours pour effacer les disques pour la simple raison que l'utilisation d'un logiciel pour effacer votre disque de démarrage / OS échouera lamentablement et la plupart des ordinateurs portables et PC n'ont qu'un disque unique.
Les risques universels de l'exécution de commandes destructrices potentiellement (ou plutôt intentionnelles) sur les systèmes de production s'appliquent également bien sûr.

Le chiffrement de vos disques rendra la récupération (partielle) des données des disques éliminés (SSD ou du type tournant) beaucoup moins probable. Tant que le disque entier a été crypté et que vous n'avez pas de partition non cryptée (swap) bien sûr.

Sinon, ce sont toujours les déchiqueteurs .

HBruijn
la source
8

Fondamentalement - en raison du fonctionnement des SSD - il est impossible de `` nettoyer en toute sécurité ''. Surtout pour les disques d'entreprise - la plupart d'entre eux sont plus gros qu'ils ne le paraissent en premier lieu, car ils contiennent une capacité «de rechange» à des fins de nivellement de l'usure.

Ce même nivellement d'usure signifie que l'effacement de style «écraser» ne fait pas ce que vous pensez qu'il fait non plus.

À un niveau assez fondamental, cela dépend du risque qui vous préoccupe:

  • si vous souhaitez simplement «nettoyer» et redéployer le matériel au sein de votre domaine: formatez et en finir avec.
  • si vous vous inquiétez d'un adversaire malveillant et doté de ressources suffisantes qui achète du matériel sensible: ne vous embêtez pas à essuyer, détruisez physiquement *.

(*) où «détruire physiquement» signifie déchiqueter, incinérer et auditer. Résistez à la tentation du bricolage - ce n'est pas aussi amusant sur les SSD de toute façon.

Sobrique
la source
1
-1, il n'y a aucune raison de s'attendre à ce que l'implémentation ATA Secure Erase du fournisseur de disques n'efface pas réellement tous les blocs.
personne
7
+1 de moi parce que oui, il y en a. Voir, par exemple, cseweb.ucsd.edu/~m3wei/assets/pdf/FMS-2010-Secure-Erase.pdf : "Les commandes d'effacement sécurisé sur disque ne sont pas fiables " (sur neuf combinaisons contrôleur-SSD testées, une refusée) pour faire l'effacement, deux n'ont pas fait l'effacement correctement, et un ne l'a pas fait du tout mais a signalé qu'il l'avait fait). Ce rapport date de quelques années, mais cela signifie que nous avons besoin de raisons positives pour faire confiance à l'effacement sécurisé moderne, plutôt que de simplement supposer qu'il fonctionne maintenant.
MadHatter
1
Je suis paranoïaque. J'ai vu trop d'occasions où «irrécupérable» n'est pas aussi irrécupérable que je le suppose. Cependant, je ferais également valoir ce point - la plupart du temps, cela n'a pas d'importance. Si vous faites vaguement confiance à l'endroit où cela va et que le contenu n'est pas incroyablement sensible, cela ne fait pas beaucoup de différence. Et s'il est incroyablement sensible, pourquoi le laissez-vous quitter le bâtiment en premier lieu?
Sobrique du
1
Je dois ajouter que ce n'est pas impossible. Mais vous devrez faire confiance à l'implémentation du fabricant car vous ne pouvez pas le faire de manière fiable en utilisant uniquement les commandes d'écriture du secteur.
le-wabbit
6

Je ne recommanderais certainement pas de lancer des opérations d'effacement sécurisé sur un système sur lequel tous les disques dont vous vous souciez sont toujours connectés. Il suffit d'une petite faute de frappe pour détruire les données d'un disque encore utilisé au-delà de tout espoir de récupération.

Si vous allez utiliser Secure Erase, faites-le sans aucun doute dans un système qui n'a pas de disques que vous êtes sur le point de connecter.

personne
la source