Datenlöschung in Rechenzentren und Sicherheit bei Cloud-Computing

Transkript

1 Datenlöschung in Rechenzentren und Sicherheit bei Cloud-Computing Blancco White Paper Dt. Ausgabe veröffentlicht am 10. März 2014

2 Inhaltsverzeichnis Kurzdarstellung...3 Datenflut und Informationssicherheit...4 Rechenzentren: Trends und Löschanforderungen...6 Umweltfreundlicher Betrieb... 6 Datensicherheit: Standards und Vorschriften... 7 Cloud-Computing und virtualisierte Rechenzentren... 7 Konsolidierung... 8 Die fünf ebenen der datenlöschung Löschen auf Datei-Ebene Löschen auf LUN-Ebene Löschen auf Festplatten-Ebene Löschen auf Server-Ebene Löschen auf Storage-Ebene...15 Zertifizierte Datenlöschung für komplexe Anforderungen...16 Quellen- und Literaturverzeichnis

3 Kurzdarstellung Verschärfte gesetzliche Regelungen, Trends zur Konsolidierung, ein steigendes Umweltbewusstsein und die Zunahme des Cloud-Computing sind nur einige der Entwicklungen, denen sich Rechenzentren heute gegenübersehen. Zur Bewältigung dieser Herausforderungen bedarf es zuverlässiger, leistungsfähiger und flexibler Tools um die wachsende Menge an Kundendaten zu sichern. Eines davon ist die zertifizierte Datenlöschung. Die Löschanforderungen von Rechenzentren sind ebenso komplex wie die dort vorhandenen Hardware-Umgebungen. Eine zertifizierte Lösung mit automatisierten Löschprozessen ist in der Lage, eine Vielzahl von Szenarien zu bewältigen angefangen vom Löschen einzelner Dateien gemäß PCI-DSS-Standard bis hin zum Entfernen von Daten von virtuellen Festplatten, Servern, ausgebauten Festplatten und Speicher-Arrays. Gerade in kritischen Übergangssituationen, wie z. B. beim Austausch, der Wiederverwendung oder Rückgabe von Hardwaregeräten, ist eine vollständige Datenlöschung einschließlich eines auditfähigen Löschnachweises von entscheidender Bedeutung. Dank einer zertifizierten Datenlöschung sind Rechenzentren heute in der Lage: eine sichere und kosteneffiziente Cloud-Computing-Umgebung mit einem umfassenden Löschmanagement einzurichten. Kunden in regulierten Branchen wie Handel, Gesundheits- und Finanzwesen zu gewinnen. die Forderungen eines nachhaltigen Betriebs durch Wiederverwendung von Hardware zu erfüllen. zusätzliche Einnahmen durch Remarketing von IT-Geräten zu erzielen. den wirtschaftlichen Nutzen von IT-Geräten durch interne Wiederverwendung zu maximieren. Hardware bei Konsolidierung sicher auszutauschen. In diesem Whitepaper werden die wichtigsten Branchentrends und Herausforderungen für Rechenzentren einschließlich der Notwendigkeit einer zertifizierten Datenlöschung betrachtet. Darüber hinaus werden zertifizierte Lösungen zur Datenvernichtung für eine Vielzahl von Massenspeichern und Gerätekonfigurationen vorgestellt, wie sie üblicherweise in Rechenzentren und Cloud-Computing-Umgebungen vorhanden sind. 3

4 Menge der digitalen Daten weltweit ZB ZB ZB ZB Datenflut und Informationssicherheit Schätzungen von IDC zufolge wird das weltweite digitale Datenvolumen bis 2020 auf rund 40 Billionen Gigabyte anwachsen. Dies entspricht einem Anstieg der digitalen Informationen um mehr als das 40-fache gegenüber dem heutigen Stand.1 Ein Großteil dieser Informationen wird angesichts des verstärkten Einsatzes von Cloud-Computing-Umgebungen früher oder später in Rechenzentren von Unternehmen oder externen Storage-Dienstleistern verwaltet werden. Gartner geht davon aus, dass sich die weltweiten Ausgaben für Rechenzentren im Jahr 2014 auf 143 Milliarden US-Dollar belaufen werden.2 4

5 Bei einem Großteil der Informationen, die sich auf der Hardware von Rechenzentren befinden, handelt es sich um sensible Daten, die einer wachsenden Zahl von Branchenstandards und -vorschriften unterliegen; u. a. der Payment Card Industry Data Security Standard (PCI DSS), der Health Insurance Portability and Accountability Act (HIPAA) sowie der Sarbanes-Oxley Act. Asset Manager von Rechenzentren stehen somit vor zwei zentralen Herausforderungen: Zum einen müssen sie eine Möglichkeit finden, den Schutz von Daten in kritischen Übergangssituationen zu gewährleisten, und zum anderen müssen sie den Lebenszyklus von Enterprise-Storage-Systemen verlängern. Das Löschen von Daten ist eine entscheidende Sicherheitsmaßnahme, um zu verhindern, dass aus ruhenden Daten (data at rest) versehentlich Übertragungsdaten (data in transit) werden. In der Regel beschränkt sich der Schutz bei der Datenübertragung auf den Schutz elektronisch übermittelter Daten. Zieht jedoch ein ganzes Rechenzentrum um oder werden Hardwaregeräte wiederverwendet oder gar verkauft, gerät der Schutz der darauf befindlichen Daten häufig aus dem Blickfeld. Der explosionsartige Anstieg digitaler Informationen, die zunehmende Verbreitung von Rechenzentren, neue Datenschutzgesetze und neue Branchentrends machen das sichere Löschen von Daten, z. B. mithilfe einer zertifizierten Löschsoftware, unverzichtbar. Eine zertifizierte Datenlöschsoftware mit automatisierten Löschprozessen erfüllt die Anforderungen der erhöhten Datensicherheit in Rechenzentren für eine Vielzahl von Gerätekonfigurationen in der Massendatenverwaltung. Die Lösung ist nach allen wichtigen internationalen Löschstandards zertifiziert und erfüllt dadurch zwei wesentliche Kriterien: den Schutz sensibler Kundeninformationen und die Einhaltung gesetzlicher Vorschriften. Die zertifizierte Datenlöschung ist eine sichere und kosteneffiziente Lösung, die sowohl die Wiederverwendung teurer und komplexer Enterprise-Storage-Systeme als auch deren sichere Stilllegung am Ende des Lebenszyklus unterstützt. Der explosionsartige Anstieg digitaler Informationen, die zunehmende Verbreitung von Rechenzentren, neue Datenschutzgesetze und Branchentrends machen das sichere Entfernen von Daten, z. B. mithilfe einer zertifizierten Löschsoftware, unverzichtbar. 5

6 CLOUD COMPUTING UMSÄTZE In 2014 werden 60% VIRTUELLE SERVER Milliarden Milliarden der Server werden virtualisiert sein werden häufiger eingesetztals physikalische Server Rechenzentren: Trends und Löschanforderungen Die Zunahme an Daten und Vorschriften in den letzten zehn Jahren hat für Rechenzentren eine Vielzahl an Veränderungen und Herausforderungen mit sich gebracht. Aufgrund von einigen zentralen Trends die sich bei Rechenzentren unmittelbar auswirken, wird eine zertifizierte Datenlöschung für Rechenzentren heute unmittelbar notwendig. Die Erwartung eines umweltfreundlichen RZ-Betriebs, der Anstieg an Datensicherheitsstandards und Vorschriften, das Wachstum des Cloud-Computing und die Konsolidierung von Rechenzentren sind nur einige wichtige Entwicklungen. UMWELTFREUNDLICHER BETRIEB Der Kundenwunsch nach Nachhaltigkeit hat einen umweltfreundlichen Betrieb von Rechenzentren in den Vordergrund gerückt. Obwohl der Einsatz energieeffizienter Technologien, wie z. B. die Server- Virtualisierung zu Hardwareeinsparungen und einer Verlangsamung des Wachstums beim Energieverbrauch geführt hat, gibt es weitere Bereiche, die bei dem Thema Nachhaltigkeit berücksichtigt werden sollten. Die Reduzierung von Elektroschrott, wie z. B. Computer, Server und Smartphones, durch ein effektives Asset Management ist einer davon. Elektroschrott ist nicht nur wesentlicher Bestandteil des Materialkreislaufs von Rechenzentren, sondern verursacht in den USA (und wahrscheinlich sogar weltweit) das am schnellsten wachsende Abfallproblem. Berichte gehen von einer Wachstumsrate von 8,6 Prozent bei Elektroschrott aus. Allein im Jahr 2010 wurden in den USA rund 52 Millionen Computer ausrangiert, aber nur 40 Prozent davon wurden recycelt.3 Durch die zertifizierte Datenlöschung sind Rechenzentren in der Lage, bei ihren IT-Geräten die Daten vollständig zu entfernen und können diese anschließend ohne Gefahr von Datenmissbrauch wiederverwenden oder verkaufen. Gleichzeitig können sie dadurch ihre Menge an Elektroschrott erheblich verringern. So hat zum Beispiel Ghana als einer der größten Importeure von Elektroschrott nicht nur unter einer gefährlichen Verunreinigung von Luft, Boden und Wasser durch ausrangierte Elektronikgeräte zu leiden, sondern gehört nach Angaben des US State Department aufgrund der Unmenge an unsachgemäß entsorgten IT-Geräten, die den Weg in das Land finden, auch zu einem Zentrum der Cyberkriminalität.4 6

7 DATENSICHERHEIT: STANDARDS UND VORSCHRIFTEN Die steigende Zahl aufsehenerregender Fälle von Datenmissbrauch hat zu verstärkten Anstrengungen beim Schutz sensibler Daten geführt. Mittlerweile gibt es in 75 Ländern Datenschutzgesetze, und zahlreiche Branchen arbeiten an der Definition eigener Datenschutzvorschriften. Zur Zielgruppe von Rechenzentren und Anbietern von Cloud-Diensten gehören häufig auch Branchen mit besonders strengen Datenschutzvorschriften, wie z. B. der Handel, der Bankensektor, Behörden und das Gesundheitswesen. Um diesen Kundenkreis erschließen zu können, ist die Einhaltung von Standards und Gesetzen wie das Bundesdatenschutzgesetz, PCI DSS, HIPAA und dem Sarbanes-Oxley Act unerlässlich. Insbesondere bei Cloud-Anbietern hängt die Differenzierung und Wettbewerbsfähigkeit von der Compliance-Unterstützung und Effektivität der angebotenen Dienste ab. Für Rechenzentren besteht eine zentrale Aufgabe darin, die Compliance-Kosten durch automatisierte Prozesse auszugleichen. Darüber hinaus wird derzeit sowohl in den USA im Rahmen der Consumer Privacy Bill of Rights als auch in der EU im Rahmen der neuen Datenschutz-Verordnung an umfassenden Sicherheitsanforderungen gearbeitet, die auch explizit Bestimmungen zur sicheren Datenlöschung beinhalten. Die Consumer Privacy Bill of Rights regelt die Förderung voranschreitender Innovationen bei gleichzeitiger Wahrung eines strengen Datenschutzes. Dazu zählen u. a. Auflagen zum Löschen von Daten. Hintergrund der Überarbeitung der seit 1995 bestehenden Datenschutzrichtlinie der EU ist die Berücksichtigung technologischer Entwicklungen wie soziale Netzwerke, Cloud-Computing und standortbasierte Dienste. Ein Entwurf dieser Änderungen wird derzeit von allen Mitgliedstaaten der EU überprüft. Mit der geplanten Verabschiedung der Datenschutz-Verordnung werden auch neue Bestimmungen zum Löschen von Online-Daten und zur Nutzung Eine moderne Datenlöschsoftware bietet ein automatisiertes, auditfähiges und zielgerichtetes Verfahren zum Löschen von Daten aus Dateien, auf LUNs, Festplatten, Servern und Speichersystemen, das alle gesetzlichen Anforderungen und Branchenstandards erfüllt. auditfähiger Verfahren für Unternehmen in Kraft treten, die personenbezogene Daten verarbeiten. Die neue Datenschutz-Verordnung befürwortet ferner die Nutzung von zertifizierten Tools und Verfahren. Unternehmen mit Cloud-Diensten, die personenbezogene Daten von EU-Bürgern verarbeiten, sind unabhängig davon, ob sich ihre Server innerhalb oder außerhalb der EU befinden zur Einhaltung dieser Rechtsvorschriften verpflichtet. Eine moderne Datenlöschsoftware bietet ein automatisiertes, auditfähiges und zielgerichtetes Verfahren zum Löschen von Dateien, von LUNs, Festplatten, komplette Server und Speichersysteme, das alle wichtigen gesetzlichen Anforderungen und Branchenstandards erfüllt. Ein revisionssicherer Löschbericht, mit dem sich nachweisen lässt, dass die Daten an wichtigen Übergabe-Punkten gelöscht wurden, wie z. B. vor der Wiederverwendung oder dem Verkauf von Hardware oder bei einer Standortverlagerung, gehört zu den entscheidenden Compliance-Kriterien. Ein solcher Bericht enthält wichtige Hardwareangaben wie Seriennummer, Anzahl der Serverlaufwerke, Größe und Geschwindigkeit sowie Informationen über den Löschprozess, d. h. wie lange die Löschung gedauert hat und von wem diese durchgeführt wurde. CLOUD-COMPUTING UND VIRTUALISIERTE RECHENZENTREN Cloud-Computing gewinnt zunehmend an Bedeutung. Grund hierfür ist die Tatsache, dass Unternehmen in wirtschaftlich unsicheren Zeiten davor zurückschrecken in IT zu investieren und dass viele Mitarbeiter heute gewohnt sind, dass die erforderliche 7

8 IT on demand zur Verfügung steht. Gartner geht für das Jahr 2014 von einem weltweiten Umsatz von 148,8 Milliarden US-Dollar im Cloud-Computing-Markt aus, und Forrester rechnet bis 2020 sogar mit einem Anstieg auf 241 Milliarden US-Dollar.5 Rechenzentren benötigen einen revisionssicheren Löschbericht, der von einer zertifizierten Löschsoftware erstellt wurde und mit dem nachgewiesen werden kann, dass bei der ausgemusterten oder für die Wiederverwendung vorgesehene Hardware alle Daten absolut sicher gelöscht wurden. wachsenden Datenvolumens und der Verwaltung von immer mehr Anwendungen nicht nur das Rechenzentrum selbst schützen, sondern auch die auf der Hardware gespeicherten Daten. Während in der Vergangenheit die Auslagerung von Daten in die Cloud im Fokus stand, ist mittlerweile der Schutz dieser Daten beim Verlassen der Cloud in den Vordergrund gerückt, wie dies z. B. bei einem Anbieterwechsel der Fall ist. Anbieter von Cloud-Diensten und Managed-Services erzielen durch den Einsatz eines modernen Datenlöschmanagements, das ein zeit- oder ereignisgesteuertes Löschen einzelner und kompletter Datensätze unterstützt und damit die Anforderungen von Standards wie PCI DSS erfüllt, ein höheres Maß an Sicherheit. Virtualisierung ist dabei eine Schlüsseltechnologie für Cloud-Computing Umgebungen. Physische Laufwerke für virtuelle Maschinen (VMs) aufzuteilen, ermöglicht einen effizienteren und kostengünstigeren Einsatz von Hardware. Es ist davon auszugehen, dass sich dieser Trend auch in Zukunft fortsetzen wird. Schätzungen von Gartner zufolge werden bis zum Jahr 2014 rund 60 Prozent der gesamten Serverauslastung virtualisiert sein.6 Anders ausgedrückt: Virtuelle Maschinen werden häufiger eingesetzt als physikalische Server. Obwohl die Sicherheitsanforderungen für virtuelle Maschinen genauso hoch sind wie für physikalische Server, stellt das Löschen von virtuellen Maschinen für Rechenzentren eine Herausforderung dar. Grund hierfür ist die Tatsache, dass der Löschprozess in der aktiven Online-Umgebung erfolgen muss, ohne dass dabei andere VMs, die auf einer bestimmten Hardware laufen, beeinträchtigt werden. Dies erfordert ein gezieltes Löschen ohne Betriebsunterbrechung. KONSOLIDIERUNG Fusionen, Übernahmen, Optimierungsmaßnahmen und eine Reihe weiterer Initiativen haben zur Konsolidierung von Rechenzentren geführt. So sah beispielsweise die US Federal Data Center Consolidation Initiative aus dem Jahr 2010 im Zuge einer Senkung der Staatsausgaben und Verbesserung der Umweltbilanz die Schließung von über 370 Rechenzentren bis Ende 2012 vor.7 Obwohl sich viele Rechenzentren bei der Planung eines Umzugs häufig für die Anschaffung neuer Hardware entscheiden, empfiehlt Gartner, die bestehenden Verträge dahingehend zu prüfen, ob während der Migrationsphase Miet-Hardware für den neuen Standort zur Verfügung gestellt werden kann.8 In jedem Fall benötigen Rechenzentren einen Löschbericht, der von einer zertifizierten Löschsoftware erstellt wurde und mit dem nachgewiesen werden kann, dass vor der Stilllegung oder Wiederverwendung die Hardware zertifiziert gelöscht wurde. Aufgrund des Wachstums im Cloud-Computing-Markt wird sich der Investitionstrend in Rechenzentren fortsetzen. Rechenzentren müssen angesichts des 8

9 Die fünf Ebenen der Datenlöschung Der Schutz sensibler Kundendaten, die Einhaltung von Vorschriften, die Steigerung der Produktivität und ein umweltfreundliches Betriebskonzept sind Kriterien, die für Rechenzentren eine wichtige Rolle spielen und durch den Einsatz einer zertifizierten Datenlöschung erfüllt werden können. Professionelle Datenlösch-Lösungen spielen insbesondere beim Schutz vor Datenverlust in kritischen Übergangssituationen eine Rolle, wie z. B. bei der Wiederverwendung oder dem Verkauf von Hardware. Um die Anforderungen der erhöhten Datensicherheit in Rechenzentren zu erfüllen, werden automatisierte Löschprozesse für eine Vielzahl von Gerätekonfigurationen in der Massendatenverwaltung eingesetzt. 1. LÖSCHEN AUF DATEI-EBENE Rechenzentren mit hoher Verfügbarkeitsanforderung speichern zum Schutz vor Datenverlust mehrere redundante Kopien von Dateien. Standards wie PCI DSS erfordern, dass Daten auf Datei-Ebene in bestimmten Zeitabständen gelöscht werden. Administratoren benötigen dafür ein zentrales Tool, das es ihnen ermöglicht, spezifische oder doppelte Dateien und Ordner auf Servern und im Netzwerkspeicher per Fernzugriff zu löschen. Zur Gewährleistung eines unterbrechungsfreien Betriebs in Windows-Umgebungen mit einem Distributed File System (DFS) muss der Löschprozess parallel in allen redundanten und gespiegelten Systemen ablaufen. Gleichzeitig muss ein entsprechender Löschnachweis erstellt werden. Das Löschtool, das von einem Systemadministrator zentral verwaltet wird, ist auf Ebene des Serverknotens in der Regel nicht sichtbar. In einer virtuellen Umgebung ist es durch eine entsprechende Konfiguration eines virtuellen Laufwerks möglich, eine virtuelle Maschine zu erstellen. Dabei handelt es sich um eine einzelne Datei, wie z. B. eine.vmdk-datei, in einem Storage Area Network (SAN), einem Speichergerät oder auf einem lokalen Laufwerk. In bestimmten Situationen ist es erforderlich, eine virtuelle Maschine in einer Live-Umgebung zu löschen, ohne dass dabei die Prozesse auf dem Hostgerät unterbrochen werden. Zur Gewährleistung eines unterbrechungsfreien Betriebs in Windows-Umgebungen mit einem Distributed File System (DFS) muss der Löschprozess Datei- Replikation A 2 MANAGEMENT CONSOLE A A 1 Fileserver z.b. Windows DFS B LÖSCH- BERICHTE 1. Auswahl der Zielsysteme 2. Durchführung der Löschprozesse 3. Übermittlung der Berichte an die MC Abbildung 1: Löschen auf Datei-Ebene 9

10 parallel in allen redundanten und gespiegelten Systemen ablaufen. Gleichzeitig muss ein entsprechender Löschnachweis erstellt werden. Das Löschtool, das von einem Systemadministrator zentral verwaltet wird, ist auf Ebene des Serverknotens in der Regel nicht sichtbar. Ein professionelles Datenlöschtool vernichtet einzelne Dateien entweder zeit- oder ereignisgesteuert oder entsprechend den Vorgaben des Anwenders oder Systemadministrators. In einer virtuellen Umgebung ist es durch eine entsprechende Konfiguration eines virtuellen Laufwerks möglich, eine virtuelle Maschine zu erstellen. Dabei handelt es sich um eine einzelne Datei in einem Storage Area Network (SAN), einem Speichergerät oder auf einem lokalen Laufwerk. In bestimmten Situationen ist es erforderlich, eine virtuelle Maschine in einer Live-Umgebung zu löschen, ohne dass dabei die Prozesse auf dem Hostgerät unterbrochen werden. BEISPIELSZENARIEN FÜR DAS LÖSCHEN EINZELNER DATEIEN PCI-DSS-Compliance Gemäß den Anforderungen des PCI DSS sollten Kreditkarteninformationen spätestens nach fünf Jahren gelöscht werden. Um dies zu gewährleisten, benötigen Rechenzentren eine Lösung, die ein zeit- und ereignisgesteuertes Löschen von spezifischen Dateien unterstützt. Datenverwaltung Das Löschen von Daten ist Teil einer guten Datenverwaltung. Nur so kann gewährleistet werden, dass nicht unnötig viele Kopien von Daten an zu vielen Orten abgelegt sind und die Gefahr des Datenverlusts erhöhen. Nicht autorisierter Datentransfer (Data Spillage) Es kommt gelegentlich vor, dass sensible oder vertrauliche Daten versehentlich in ein nicht autorisiertes System oder eine nicht autorisierte Anwendung kopiert werden. Zwar gelangen die Daten dabei nicht wie im Falle eines Datenlecks nach außen, allerdings wurden sie innerhalb des Unternehmens oder Rechenzentrums an einen falschen Ort kopiert. Vertrauliche Daten, die in einem falschen System abgelegt wurden, müssen nachweislich gelöscht und unwiderruflich vernichtet werden. Beendigung des Hostings von virtuellen Laufwerken Das gezielte Löschen einer virtuellen Maschine mit einem virtuellen Laufwerk, das sich auf einem Storage-System oder einer lokalen Festplatte befindet, ist z. B. dann erforderlich, wenn der Kunde den Dienstleister wechselt oder die virtuelle Maschine innerhalb des Rechenzentrums an einen anderen Ort migriert wird. Hierzu bedarf es eines Tools, das in der Lage ist, den Löschprozess ohne einen Neustart des Hostgerätes durchzuführen. Anschließend kann der Speicher ohne Gefahr für die Daten des Kunden sicher wiederverwendet werden. Ein professionelles Datenlöschtool vernichtet einzelne Dateien entweder zeit- oder ereignisgesteuert oder entsprechend den Vorgaben des Nutzers oder Systemadministrators. Wie in Abbildung 1 dargestellt, lassen sich mit diesem Tool alle Windows-Löschbefehle durch eine sichere und gezielte Vernichtung von Dateien in Echtzeit ersetzen. Die Regeln und zu löschenden Speicherbereiche werden vom Administrator über eine zentrale Management Konsole festgelegt. Durch die vollständige Vernichtung aller temporären Dateien und gelöschten Informationen werden diese als Gefahrenquelle für Datenverlust ausgeschlossen. Die Lösung ermöglicht eine vollständige Kontrolle und protokolliert sämtliche Vernichtungsschritte. In virtuellen Umgebungen mit VMware, Microsoft Hyper-V und VBox lassen sich mit professionellen Datenlöschtools virtuelle Maschinen löschen, die als einzelne Datei konfiguriert wurden. Der Löschvorgang kann wahlweise manuell bei Bedarf oder durch 10

11 MANAGEMENT CONSOLE LUNs und Speichersysteme LÖSCH- BERICHTE 1. Auswahl und Löschen der LUN Abbildung 2: Löschen von Live-Daten auf LUN-Ebene 2. Wiederverwendung der gelöschten LUN 3. Übermittlung der Berichte an die MC Scripting und Automatisierung durchgeführt werden. Ebenfalls möglich ist die vollständige Integration der Lösung in Unternehmen, die den vcenter Server und/ oder vcloud Director von VMware einsetzen. Darüber hinaus unterstützt die Software die Dateiklassifizierung mittels Microsoft Windows Server 2008 R2 und bietet Administratoren die Möglichkeit, Informationen innerhalb des Netzwerks unabhängig vom Speicherort gezielt auszuwählen und zu löschen, wie z. B. geschützte Gesundheitsinformationen oder PCI-DSS-Daten. Dank des flexiblen Backends lässt sich das Tool problemlos in intern entwickelte Dateiklassifizierungs- und Dateimanagementsysteme integrieren. 2. LÖSCHEN AUF LUN-EBENE Rechenzentren müssen in der heutigen Cloud-Computing-Umgebung eine sichere und kosteneffiziente Lösung zur Wiederverwendung von Enterprise-Storage-Systemen ohne aufwändige Neukonfigurationen zur Hand haben. Möglich ist dies mit einem zentralisierten Tool zum Löschen von logischen Laufwerken (wie z. B. LUNs) in aktiven Speicherumgebungen, in denen ein Offline-Schalten des Speicher-Arrays nicht zur Disposition steht. Ein solches Szenario umfasst virtuelle Maschinen, die mit einem dezidierten Speicher mit einem oder mehreren LUNs in einem SAN-System konfiguriert werden können. Ohne einen LUN Eraser, der den DoD-Standard oder andere vorgeschriebene Standards erfüllt, ist die Beseitigung alter Kundendaten mit einem erheblichen Arbeitsaufwand für den Anbieter verbunden. Wichtig ist hierbei, dass das Tool eine Reihe von Richtlinien, Löschstandards und Vorschriften wie PCI DSS, HIPAA und DoD (Standard des US-Verteidigungsministeriums) unterstützt. Nicht weniger wichtig ist die Erstellung auditfähiger Löschnachweise. Auch in Sachen Benutzerfreundlichkeit und beschleunigte Löschprozesse sollte die Lösung überzeugen können. Das Löschen einer LUN erfolgt über den Anwendungsserver, der das gleichzeitige Löschen von mehreren logischen Einheiten unterstützt. Insbesondere Hosting-Anbieter und Anbieter von Cloud-Computing, die Kunden betreuen, die mit US-Behörden zusammenarbeiten, brauchen eine sichere Lösung zum Löschen von logischen Laufwerken. Wenn ein Kunde den Anbieter wechselt oder beim selben Anbieter eine andere Plattform zugewiesen bekommt, muss der Nachweis erbracht werden, dass alle Daten gemäß dem DoD-Standard gelöscht wurden. Ohne einen LUN Eraser, der den 11

12 MANAGEMENT CONSOLE LÖSCH- MODUL Ausgebaute HDDs LÖSCH- BERICHTE 1. Anschließen der HDDs 2. Löschen der Festplatten 3. Übermittlung der Berichte an die MC Abbildung 3: Löschen von ausgebauten Festplatten DoD-Standard oder andere vorgeschriebene Standards erfüllt, ist die Beseitigung alter Kundendaten mit einem erheblichen Arbeitsaufwand für den Anbieter verbunden. Unter Umständen muss zum Löschen physikalischer Laufwerke ein komplettes Speicher-Array offline geschaltet oder alte LUNs mit Kundendaten müssen in die Quarantäne verschoben werden. Letzteres bedeutet automatisch höhere Speicherkosten. Mit einem LUN Eraser ist der gleiche Anbieter hingegen in der Lage, eine bestehende LUN nach DoD-Standard zu löschen, ohne dass andere Nutzer des Speicher-Arrays dadurch in irgendeiner Weise beeinträchtigt werden. BEISPIELSSZENARIEN FÜR DAS LÖSCHEN VON LUNS: Ende des Hostingvertrags Zur Weiterverwendung einer LUN in einer Hosting-Umgebung müssen Daten beseitigt werden, wenn ein bestehender Kunde kündigt und ein neuer Nutzer einer vorhandenen LUN zugewiesen wird. Dieses Szenario tritt sowohl bei physikalischen Servern auf, die LUNs als Speicher nutzen, als auch bei virtuellen Maschinen mit einem dezidierten Speicher auf einer bestimmten LUN. Disaster-Recovery-Test Bei einem Disaster-Recovery-Test werden von LUN-Daten mehrere Kopien erstellt. Nach einem solchen Test müssen diese Kopien aus Sicherheitsgründen vernichtet werden. Backup-Recovery-Test Bei einem Backup-Recovery-Test werden ähnlich wie bei einem Disaster-Recovery-Test durch LUN- und Serverkopien schnell mal mehrere Terrabyte an Daten erstellt. Diese sollten aus Sicherheitsgründen selbstverständlich gelöscht werden, bevor der nächste Kunde die Hardware nutzt. Mit einem LUN Eraser lassen sich Daten auf 200 oder mehr logischen Einheiten gleichzeitig löschen. Dazu startet der Administrator parallel mehrere Instanzen der Software über eine zentrale Verwaltungsoberfläche, wie in Abbildung 2 dargestellt. Die Software löscht sowohl physikalische als auch logische Laufwerke, die von Windows, Unix und Linux erkannt werden. Dazu überschreibt die Software den gesamten beschreibbaren Bereich Sektor für Sektor gemäß dem Verfahren, das der Nutzer ausgewählt hat. Dokumentiert wird dies durch entsprechende Löschberichte. Eine professionelle Datenlöschsoftware ist genau wie bei virtuellen Maschinen, die als einzelne Datei konfiguriert wurden in der Lage, die spezifischen LUNs einer virtuellen Maschine gezielt und sicher zu löschen. Dies ist in jeder virtualisierten Umgebung möglich. 3. LÖSCHEN AUF FESTPLATTEN-EBENE Das Löschen auf Laufwerksebene ist z. B. beim Löschen von Festplatten erforderlich, die aus SAN-Servern 12

13 MANAGEMENT CONSOLE Zielserver mit ilo/ipmi/drac etc. LÖSCH- BERICHTE 1. Reboot des Zielservers über ein virtuelles CD-Laufwerk Abbildung 4: Remote Löschung von Servern 2. Durchführung der Löschprozesse 3. Übermittlung der Berichte an die MC ausgebaut wurden. Häufig handelt es sich hierbei um defekte Festplatten, die innerhalb des Garantiezeitraums mit der entsprechenden RMA-Nummer (Return Material Authorization) an den OEM zurückgeschickt werden müssen. Bevor diese sogenannten RMA-Festplatten an den OEM eingeschickt werden, müssen alle darauf enthaltenen Daten entfernt werden. Die Datenlöschung bietet eine maßgeschneiderte Lösung für Server-Umgebungen, die ein schnelles, simultanes und vor allem permanentes Löschen aller angeschlossenen Festplattenlaufwerke (HDDs) ermöglicht. Die Handhabungsbestimmungen und Fragen der Rückverfolgbarkeit machen es erforderlich, die Laufwerke vor Ort zu löschen. Zum Löschen ausgebauter Festplatten müssen diese mit einem externen Host- bzw. Boot-Gerät verbunden werden. Nach Initialisierung des Löschprozesses sollte das Tool die vollständige Überwachung und ein professionelles Lösch-Reporting unterstützen. BEISPIELSZENARIEN FÜR DAS LÖSCHEN EINZELNER LAUFWERKE Austausch von RMA-Festplatten im Garantiefall Beim Löschen defekter Festplatten vor Ort wird der komplette Inhalt der Festplatte entfernt. Anschließend kann die Festplatte ohne Gefahr vor einem Datenverlust und ohne kostspielige Archivierungskosten zum Garantieaustausch an den OEM geschickt werden. Gesammelte Festplatten Rechenzentren, die in der Vergangenheit beim End-of-Life-Management nicht auf eine sichere Datenlöschung gesetzt haben, verfügen meist über eine ganze Ansammlung von Festplatten mit sensiblen Daten. Um keinen Datenverlust zu riskieren, müssen diese professionell gelöscht werden. Festplattenaustausch bei Stilllegen von Servern Ein häufig angewandtes und schnelles Verfahren zur Stilllegen von Servern mit bereits gelöschten Festplatten ist der Austausch und die Verwendung von ausgebauten Festplatten als Ersatz. Allerdings führt dies zu einer Fülle von ausgebauten Festplatten mit ungesicherten Daten, da diese beim Löschen häufig nicht vollständig vernichtet wurden. Demgegenüber bietet die zertifizierte Datenlöschung eine maßgeschneiderte Lösung für Server-Umgebungen, die ein schnelles, gleichzeitiges und vor allem permanentes Löschen aller angeschlossenen Festplattenlaufwerke (HDDs) ermöglicht. Dazu wählt der Administrator die zu löschenden RMA-Festplatten und den gewünschten Löschstandard aus einer Vielzahl unterstützter Standards aus. Die Löschung erfolgt über ein spezielles Lösch-Modul zum Löschen von Daten auf Laufwerksebene, wie in Abbildung 3 dargestellt. Die RMA-Festplatten werden zuvor 13

14 MANAGEMENT CONSOLE SAN-Zielsystem LÖSCH- BERICHT 1. Verbindung zum SAN Figure 5. Löschen eines kompletten Array 2. Erkennen der HDDs und Durchführung der Löschung 3. Übermittlung der Berichte an die MC einfach aus dem Server oder Disk-Array ausgebaut und an das Löschgerät angeschlossen. Gebootet wird das Gerät mithilfe der Löschsoftware, die auch die zu löschenden Festplatten erkennt. Die zertifizierte Datenlöschung unterstützt darüber hinaus das simultane Löschen von SCSI-, SAS-, SATA-, FC- und IDE-Festplatten. Im Durchschnitt lässt sich so ein Gigabyte pro Minute löschen. Nach Beendigung des Löschvorgangs wird automatisch ein entsprechender Löschbericht erstellt und über das Netzwerk an die Management Console oder die Asset-Management-Datenbank übermittelt. Die Konsole bestätigt die Echtheit des Löschberichts, überprüft die vollständige Durchführung des Löschprozesses und archiviert die Löschberichte. Ferner unterstützt die Lösung auch die Löschung der immer häufiger eingesetzten Solid State Drives (SSDs) indem Flash basierende Standards ausgewählt werden können. Für vollständige Sicherheit müssen Löschtools für Rechenzentren in der Lage sein, während des Löschprozesses geschützte Bereiche der Festplatte und remappte Sektoren zu erkennen und nicht löschbare Bereiche zu kennzeichnen. 4. LÖSCHEN AUF SERVER-EBENE Eine vollständige Löschung von Servern erfordert das Löschen aller angeschlossenen Festplatten, wobei die Löschung sowohl vor Ort als auch per Fernzugriff durchgeführt werden kann. Server mit ilo-, IPMIoder DRAC-Unterstützung lassen sich beispielsweise problemlos mithilfe eines virtuellen CD-Laufwerks per Fernzugriff löschen. Die Erstellung auditfähiger Berichte mit Angaben zu den Hardwareeigenschaften und zum Löschprozess gewährleistet nicht nur das nötige Maß an Sicherheit, sondern auch die Einhaltung von Standards wie PCI DSS. Für vollständige Sicherheit müssen Löschtools für Rechenzentren darüber hinaus in der Lage sein, während des Löschprozesses geschützte Bereiche der Festplatte und remappte Sektoren zu erkennen und nicht löschbare Bereiche zu kennzeichnen. Nach erfolgreicher Löschung können Rechenzentren ihre Server in Abhängigkeit von den internen Richtlinien und der Risikotoleranz neu aufsetzen oder verkaufen. In jedem Fall muss eine Datenlöschung durchgeführt werden, bevor ein Server das Betriebsgelände verlässt. BEISPIELSZENARIEN FÜR DAS LÖSCHEN KOMPLETTER SERVER Stilllegung Um die Einhaltung von Vorschriften und die Sicherheit von Kundendaten zu gewährleisten, müssen Rechenzentren nach einem Hardware-Refresh dafür 14

15 sorgen, dass alle auf den Servern enthaltenen Informationen vollständig entfernt werden. Neben dem Sicherheitsaspekt bietet die Datenlöschung noch weitere Vorteile: Gewinne aus dem Verkauf oder Recycling funktionsfähiger Festplatten zu erzielen und die Entwicklung eines grünen Rechenzentrums zu fördern. Ende des Hostingvertrags Wenn ein Kunde einen bestehenden Hostingvertrag kündigt, ist es bei der Weiterverwendung eines Servers in einer Hosting-Umgebung erforderlich, dass die darauf gespeicherten Daten gelöscht werden. Umzug des Rechenzentrums Ein Umzug oder Ausbau von Rechenzentren ist keine Seltenheit. Werden Server verlegt, besteht ohne sichere Datenlöschung die Gefahr, dass Daten während des Transports in falsche Hände gelangen. 5. LÖSCHEN AUF STORAGE-EBENE Rechenzentren arbeiten mit komplexen Speicherumgebungen, mit denen sich auch nach deren Stilllegung noch Erlöse erwirtschaften lassen. Voraussetzung für den Verkauf von Festplatten aus SAN-Umgebungen und anderen Massenspeichergeräten ist, dass die darauf gespeicherten Daten vor der Außerbetriebnahme unwiderruflich gelöscht werden. Um nicht auf eine Vielzahl unterschiedlicher Löschprodukte angewiesen zu sein, benötigen Rechenzentren mit High-End-Servern und SAN-Umgebungen ein Tool, mit dem sich Daten von einer ganzen Palette an Hardwaregeräten löschen lassen, einschließlich serielle ATA-, SAS-, SCSI- und Fiber-Channel-Festplatten. Nicht zuletzt die Größe von Rechenzentren macht das simultane Löschen mehrerer Festplatten zur Notwendigkeit. Ähnlich wie beim Löschen auf Laufwerksebene gibt es auch zum Löschen von Servern eine zertifizierte Lösung. Dazu bootet der Administrator wie in Abbildung 4 dargestellt einfach die Löschsoftware von einer CD, einem USB-Stick oder über das Netzwerk. Die Software erkennt automatisch die installierten Festplatten, löscht diese und übermittelt den Löschbericht an eine Management Console, eine Datenbank oder einen USB-Speicherstick. Um nicht auf eine Vielzahl unterschiedlicher Löschprodukte angewiesen zu sein, benötigen Rechenzentren mit High-End-Servern und SAN-Umgebungen ein Tool, mit dem sich Daten von einer breiten Palette an Hardwaregeräten löschen lassen. Mit der zertifizierten Löschsoftware lassen sich sowohl x86- als auch x64-server löschen. Darüber hinaus unterstützt eine zertifizierte Lösung das Löschen von Servern mit und ohne RAID. Bei Servern mit integriertem RAID-Controller löst die Löschsoftware das RAID-System auf und löscht direkt alle internen Festplatten gemäß dem Löschstandard, der zuvor vom Administrator festgelegt wurde. SPARC-Server werden in Rechenzentren in der Regel zur Verarbeitung von Massendaten eingesetzt, wie z. B. in der Finanzbranche. Auch hierfür gibt es eine zertifizierte Löschsoftware, die SPARC-Architekturen von Unternehmen wie SUN Microsystems unterstützt. BEISPIELSZENARIEN FÜR DAS LÖSCHEN KOMPLETTER SPEICHERSYSTEME Ende des Leasingvertrags Sollen ausrangierte Speichersysteme nach einem Hardware-Refresh an das Leasingunternehmen zurückgeliefert werden, müssen die darauf enthaltenen Daten im Vorfeld unwiderruflich entfernt werden. Sowohl die Aufbewahrung als auch die physikalische Vernichtung von Festplatten sind kostspielig und kommen aufgrund der hohen Gebühren bei Nichtrückgabe von Leasinggeräten nicht infrage. 15

16 Kostensparender Hardware-Refresh Zum Verkauf oder Recycling funktionsfähiger Festplatten und zur Unterstützung eines grünen Rechenzentrums müssen Speicher-Arrays nach einem Hardware-Refresh sicher gelöscht werden. Das Rechenzentrum und nicht der OEM ist Eigentümer der Daten. Folglich liegt es in der Verantwortung des Rechenzentrums, die Gefahr von Datenverlust durch eine entsprechende Datenlöschung zu vermeiden. Umzug des Rechenzentrums Ein Umzug oder Ausbau von Rechenzentren ist ein häufiger Vorgang. Werden Speichersysteme verlegt, besteht ohne sichere Datenlöschung die Gefahr, dass Daten während des Transports verloren gehen oder in falsche Hände gelangen. Eine zertifizierte Löschsoftware für Rechentrenzen bietet eine 100-prozentig Datenvernichtung bei High-End-Speicher-Arrays. Die Software läuft dabei auf einem extern angeschlossenen x86-server, der nicht direkt mit den SAN Hostanschluss verbunden wird, sondern stattdessen direkt mit dem Festplatten-Anschluss des Speichergeräts (DAE). Einige Speicher-Arrays ermöglichen den gleichzeitigen Zugriff auf mehrere DAEs über integrierte Loop Switches. Der simultane Zugriff auf mehrere Festplatten ermöglicht somit auch ein gleichzeitiges Löschen derselben. Der externe Boot-Server muss mit dem richtigen Host-Bus-Adapter, z. B. bei SCSI- oder Fiber-Channel-Festplatten, konfiguriert werden. Um die optimalen Leistung zu gewährleisten ist ebenfalls das richtige Kabel erforderlich. Sobald der externe Boot-Server angeschlossen wurde, kann der Administrator die Löschsoftware starten. Mit der Software lassen sich innerhalb eines Speicher-Arrays 250 und mehr HDDs gleichzeitig erkennen und löschen. Damit ist die Software die ideale Lösung zum schnellen Löschen von ATA-, SATA-, SCSI, Fiber- Channel- und SAS-Festplatten. Diese Lösung ermöglicht ebenfalls das Löschen von remappten Sektoren auf ATA-, SATA-, SCSI- und Fiber-Channel-Festplatten und liefert detaillierte Hardwareberichte zu ihrem Funktionszustand. Zertifizierte Datenlöschung für komplexe Anforderungen Die Entwicklung des Marktes für Cloud-Computing und die wachsenden Speicheranforderungen von Rechenzentren werfen die Frage auf, wie auch in Zukunft ein effizienter und sicherer Betrieb gewährleisten werden kann. Als praktische, automatisierte und auditfähige Lösung bietet sich die zertifizierte Datenlöschung an. Neben dem Löschen sämtlicher Hardware und Speicherkonfigurationen von Rechenzentren unterstützt die Software auch die gezielte Löschung von Ordnern, Dateien, logischen Einheiten und virtuellen Maschinen in einer Vielzahl von Umgebungen. Um Betriebsunterbrechungen zu minimieren und absolute Datensicherheit in dynamischen Rechenzentrumsumgebungen zu garantieren, bietet die zertifizierte Datenlöschung Administratoren, Anwendern und Kunden die Gewissheit, dass sie sowohl für die heutigen als auch für zukünftige Anforderungen bestens gerüstet sind. 16

17 Quellen- und Literaturverzeichnis 1 IDC Digital Universe Study, sponsored by EMC, December Gartner, Worldwide IT Spending Forecast, January Electronics Takeback Coalition, Facts and Figures on E-Waste and Recycling, September Newsweek, Digital Dump, July Wall Street Journal, More Predictions on the Huge Growth of Cloud Computing, April Cloud Computing, 5 Cloud Computing Statistics You May Find Surprising, November Federal Data Center Consolidation Initiative (FDCCI) Data Center Closings , Federal-Data-Center-Consolidation-Initiative-FDCCI/d5wm-4c37 8 Gartner, Data Center Consolidation: Top 10 Best Practices for Project Success, Research Note, May 2011 Auszüge aus diesem Whitepaper sind ursprünglich in der Zeitschrift ITAK, Vol. 6, Issue 8, der International Association of Information Technology Asset Managers erschienen.. Die in diesem Dokument enthaltenen Informationen stellen die Sichtweise von Blancco Oy Ltd zu den behandelten Themen zum Zeitpunkt der Veröffentlichung dar. Blancco kann aufgrund sich ändernder Marktbedingungen die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren. Dieses Whitepaper dient nur zu Informationszwecken. Blancco schließt für dieses Dokument jede ausdrückliche oder stillschweigende Gewährleistung aus. Die Einhaltung aller geltenden Urheberrechtsgesetze liegt in der Verantwortung des Nutzers. Kein Teil dieses Dokuments darf unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze ohne ausdrückliche schriftliche Erlaubnis von Blancco in irgendeiner Weise vervielfältigt oder in einem Datenempfangssystem gespeichert oder in ein solches eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln dies geschieht. 17

18 +49 (0) ,