前言
云计算已逐步进入了成熟和规模化应用的阶段,越来越多的用户将自己的业务和私密数据部署在云端。与此同时,国内外政府和监管机构对云服务的安全也提出了严格的规范和标准,如国内的《等保》《个人信息安全规范》,国际通用的《ISO27001》、《PCI》等。腾讯是如何捍卫数据中心物理安全的?前文《互联网业务安如磐石之根基——IDC物理安全》有说明。对于数据存储介质销毁的规划,鹅厂网事的《数据存储介质销毁:护航数据安全的最后一公里》也有说明,此不赘述。那传闻中神秘的“数据销毁工厂”、“IDC销毁中心”现场情况是怎样的呢?请看下文——
众所周知,从物理层面来说,用户的数据最终承载于IT设备的存储介质中,在IT设备的生命周期中,绝大部分时候设备都是处于online的状态。这时,我们可以通过各种在线的管控手段进行数据的保护。但是在介质故障和退役这两个阶段,存储介质或IT设备是处于离线状态,在这两个特殊的阶段我们又是如何确保用户数据的安全呢?
图1 更换故障存储介质
经过多年的探索,我们认为,以系统工具平台驱动安全流程,通过对资产(介质或设备)唯一性的管理,及数据销毁技术的运用,可以确保用户数据隐私安全。
资产的唯一性,确保了要操作的介质或设备的准确性。其中防篡改是管理的难点,腾讯主要运营设备和部件均是以SN进行管理,这种管理方式为资产唯一性奠定了基础。我们依托CMDB系统,配合线上、线下技术手段达到了预期的管理效果。
图2 硬盘托架移除
图3 扫描固资SN
在所有资产出入库环节,均会通过扫描器对SN进行识别和比对。在资产的运输环节,我们在外包装上粘贴了防开箱封条,杜绝运输环节的安全隐患。
图4 防开箱封条
关于数据消磁和粉碎,业内有比较成熟的解决方案,但我们依旧追求卓越,深入业务挖掘需求,与供应商进行了联合定制,在介质进入消磁粉碎环节前,设备会对介质进行SN扫描、核对以及拍照留档,其满载产能可以达到1500片/天。在介质粉碎的颗粒度上,国内暂无参考标准,我们按海外金融监管的要求——“HDD硬盘为30mm*60mm,SSD硬盘为9mm*18mm”来严格要求自己。
图5 介质粉碎颗粒度
下面我们回到数据中心内,来看看实际故障处理中,我们是如何进行运作的?在存储介质(HDD或SSD)故障后,腾讯数据中心现场IT工程师将对故障的介质进行更换,并将更换下来的故障介质扫描SN入库。这时后台运营系统将比对“扫描入库的故障介质SN”与“之前系统记录的SN”:如果一致则顺利入库,以待后续进行消磁粉碎处理;如SN比对异常,则可以在第一时间发现问题,进行异常事件的回溯处理。
图6 待销毁的存储介质
这时数据中心的视频监控系统又将起到重要的线索作用。腾讯数据中心的视频监控,不仅做到了全天无死角,还参照国内外金融级数据中心建设标准,在数据中心规划和建设之初就考虑到视频路径跟踪,在数据中心内部署足够的视频摄像头,以实现从机架—冷/热通道—房间走廊—功能房(库房/办公室)的全程记录。简单来说,所有人员进入数据中心大楼内,每一步活动路径都会完全地在视频监控中被跟踪和记录。
图7 视频监控全路径跟踪
那么对于退役的设备,我们是如何进行处理的?首先,在关机下电前,我们会在OS层删除介质内的数据,并在介质中通过多次覆写的方式,将介质的每个块空间覆盖脏数据。之后,我们再将介质从设备上移除,扫描SN。最后存入库房等待最终的消磁粉碎。介质抵达数据中心的消磁间,现场工作人员将检查封箱标签是否完好。之后,只需简单的将介质放置到消磁设备中,系统便会自动比对介质的SN与销毁工单中的介质SN。确认无误后,再进行拍照存档。
图8 SN扫描比对以及拍照留档
到这里,物理存储介质即将走到生命周期的尽头。消磁设备将自动对存储介质先消磁再粉碎。对于粉碎后的废料,我们也是严格按照国家环境保护的要求,与国内具备电子垃圾回收资质的企业签约,定期上门回收。
图9 多媒体介质粉碎机
图10 检查粉碎后的介质
总结
每一块硬盘的告别,都是我们对用户隐私的尊重。
对于用户数据隐私的保护,我们从未有一秒掉以轻心。