Защита данных в Evernote: как мы избавляемся от сломанных дисков

В нашей записи “Три правила защиты данных в Evernote” ^[1] мы уже рассказывали о некоторых мерах, которые мы предпринимаем для защиты данных, чтобы наши пользователи могли доверять нашему сервису. На самом деле таких мер гораздо больше, и сегодня хотелось бы рассказать об одном важном моменте: что мы делаем, когда выходят из строя жесткие диски.

Вам, вероятно, приходилось читать истории о людях, которые покупали компьютеры с рук и находили там разнообразную информацию от предыдущего владельца, с весьма конфиденциальными порой данными. Поэтому в Evernote очень серьезно относятся к выводу из эксплуатации отслуживших свое дисков.

В нашей инфраструктуре хранения пользовательских данных мы используем как жесткие диски, так и твердотельные накопители (SSD). Жесткие диски механические по своей природе, а потому, как и все вещи с подвижными составляющими, рано или поздно ломаются. У SSD характер выхода из строя другой: такие накопители имеют ограниченное число циклов перезаписи, после которых они становятся доступными только для чтения.

Мы обеспечиваем избыточность хранения данных с помощью аппаратных RAID-контроллеров. Это означает, что отказ одного диска не влияет на сохранность ваших данных. Кроме того, мы предпринимаем превентивные меры для определения дисков, которые могут выйти из строя, отслеживая ошибки передачи данных и прогнозы, предоставляемые самим накопителем ^[2]. Если эти значения достигают критического порога, мы заменяем диск, не дожидаясь поломки, обычно в тот же или на следующий рабочий день. Иногда диски просто ломаются без предупреждения, и тогда наша задача заменить их как можно быстрее.

В результате у нас остаются все эти сломанные диски, которые могут содержать пользовательские данные. Набор инструкций ATA содержит функцию Secure Erase ^[3], которая перезаписывает каждый трек диска, делая практически невозможным восстановление данных. Все это здорово, но для этого нужно, чтобы диск был в рабочем состоянии. А в нашем случае большинство вышедших из строя накопителей уже не функционируют, поэтому эта возможность нам не подходит.

Диски стоят дорого и, как правило, поставляются с гарантией (обычно трехлетней, иногда даже больше). Производители обычно требуют, чтобы покупатели возвращали неработающие диски для замены в рамках гарантийной программы. Но поскольку наши диски могут содержать данные пользователей, и у нас нет возможности воспользоваться той самой функцией Secure Erase, мы не можем позволить себе отправить диски в ремонт или на замену и тем самым рисковать данными пользователей. К счастью для подобных случаев большинство производителей предлагает особые программы замены, известные как “Черная дыра” (Black Hole). Конкретные условия могут отличаться у разных компаний, но обычно достаточно, чтобы клиент отправил лицевую панель диска и некую форму или письменное заявление о физическом уничтожении диска.

В целом, наш подход к работе со сломанными дисками заключается в их уничтожении, где мы также придерживаемся принципа избыточности.

Есть такой Национальный Институт стандартов и технологий (NIST ^[4]) — правительственное агентство США, задачи которого включают разработку и публикацию руководств по технологическим вопросам для других американских агентств. Эти руководства доступны в Интернете бесплатно и в целом отвечают отраслевым стандартам. Публикация NIST за номером 800-88 (“Руководства по очистке носителей информации” ^[5]) охватывает как физические, так и электронные формы записи. Подход в Evernote основан на этой инструкции.

Наша работа со сломанными дисками состоит из следующих шагов:

• Диски, направленные для уничтожения, хранятся в безопасном месте.
• Лицевая панель дисков снимается (см. фото #1, #2 и #3), для чего нужно несколько разных видов отверток (что бы мы делали без наборов iFixit ^[6]!).
  ^{[7] [8] [9]}
• Диск помещается в размагничиватель Garner Products HD-2 ^[10] (фото #4), где данные надежно стираются.
  ^[11]
• Затем носитель уничтожается физически с помощью устройства, которое физически сминает диск мощным клином (Garner Products PD-4 ^[12] на фото #5 и #6). Это делает диск окончательно непригодным для использования (фото #7 и #8).
  ^{[13] [14]}

  ^{[15] [16]}

• Разбитые части диска затем отправляются в утилизацию.
• Лицевые панели (фото #9) отправляются соответствующим производителям, и прибывшие им на замену диски снова вступают в строй.
  ^[17]

Цель всех этих операций — быть уверенным в том, что безопасность пользовательских данных никогда не подвергается риску в процессе работы с дисками. Этот принцип в сочетании со строгим следованием руководствам NIST и другим отраслевым стандартам гарантирует, что мы используем проверенные и надежные методы.

Автор: Roberto