Защита данных в Evernote: как мы избавляемся от сломанных дисков

в 11:55, , рубрики: evernote, Блог компании Evernote Corporation, жесткие диски, информационная безопасность, утилизация, метки: , , ,

image
В нашей записи “Три правила защиты данных в Evernote” мы уже рассказывали о некоторых мерах, которые мы предпринимаем для защиты данных, чтобы наши пользователи могли доверять нашему сервису. На самом деле таких мер гораздо больше, и сегодня хотелось бы рассказать об одном важном моменте: что мы делаем, когда выходят из строя жесткие диски.

Вам, вероятно, приходилось читать истории о людях, которые покупали компьютеры с рук и находили там разнообразную информацию от предыдущего владельца, с весьма конфиденциальными порой данными. Поэтому в Evernote очень серьезно относятся к выводу из эксплуатации отслуживших свое дисков.

В нашей инфраструктуре хранения пользовательских данных мы используем как жесткие диски, так и твердотельные накопители (SSD). Жесткие диски механические по своей природе, а потому, как и все вещи с подвижными составляющими, рано или поздно ломаются. У SSD характер выхода из строя другой: такие накопители имеют ограниченное число циклов перезаписи, после которых они становятся доступными только для чтения.

Мы обеспечиваем избыточность хранения данных с помощью аппаратных RAID-контроллеров. Это означает, что отказ одного диска не влияет на сохранность ваших данных. Кроме того, мы предпринимаем превентивные меры для определения дисков, которые могут выйти из строя, отслеживая ошибки передачи данных и прогнозы, предоставляемые самим накопителем. Если эти значения достигают критического порога, мы заменяем диск, не дожидаясь поломки, обычно в тот же или на следующий рабочий день. Иногда диски просто ломаются без предупреждения, и тогда наша задача заменить их как можно быстрее.

В результате у нас остаются все эти сломанные диски, которые могут содержать пользовательские данные. Набор инструкций ATA содержит функцию Secure Erase, которая перезаписывает каждый трек диска, делая практически невозможным восстановление данных. Все это здорово, но для этого нужно, чтобы диск был в рабочем состоянии. А в нашем случае большинство вышедших из строя накопителей уже не функционируют, поэтому эта возможность нам не подходит.

Диски стоят дорого и, как правило, поставляются с гарантией (обычно трехлетней, иногда даже больше). Производители обычно требуют, чтобы покупатели возвращали неработающие диски для замены в рамках гарантийной программы. Но поскольку наши диски могут содержать данные пользователей, и у нас нет возможности воспользоваться той самой функцией Secure Erase, мы не можем позволить себе отправить диски в ремонт или на замену и тем самым рисковать данными пользователей. К счастью для подобных случаев большинство производителей предлагает особые программы замены, известные как “Черная дыра” (Black Hole). Конкретные условия могут отличаться у разных компаний, но обычно достаточно, чтобы клиент отправил лицевую панель диска и некую форму или письменное заявление о физическом уничтожении диска.

В целом, наш подход к работе со сломанными дисками заключается в их уничтожении, где мы также придерживаемся принципа избыточности.

Есть такой Национальный Институт стандартов и технологий (NIST) — правительственное агентство США, задачи которого включают разработку и публикацию руководств по технологическим вопросам для других американских агентств. Эти руководства доступны в Интернете бесплатно и в целом отвечают отраслевым стандартам. Публикация NIST за номером 800-88 (“Руководства по очистке носителей информации”) охватывает как физические, так и электронные формы записи. Подход в Evernote основан на этой инструкции.

Наша работа со сломанными дисками состоит из следующих шагов:

  • Диски, направленные для уничтожения, хранятся в безопасном месте.
  • Лицевая панель дисков снимается (см. фото #1, #2 и #3), для чего нужно несколько разных видов отверток (что бы мы делали без наборов iFixit!).
    image imageimage
  • Диск помещается в размагничиватель Garner Products HD-2 (фото #4), где данные надежно стираются.
    image
  • Затем носитель уничтожается физически с помощью устройства, которое физически сминает диск мощным клином (Garner Products PD-4 на фото #5 и #6). Это делает диск окончательно непригодным для использования (фото #7 и #8).
    image image

    image image

  • Разбитые части диска затем отправляются в утилизацию.
  • Лицевые панели (фото #9) отправляются соответствующим производителям, и прибывшие им на замену диски снова вступают в строй.
    image

Цель всех этих операций — быть уверенным в том, что безопасность пользовательских данных никогда не подвергается риску в процессе работы с дисками. Этот принцип в сочетании со строгим следованием руководствам NIST и другим отраслевым стандартам гарантирует, что мы используем проверенные и надежные методы.

Автор: Roberto

Поделиться

* - обязательные к заполнению поля