Posibles dificultades asociadas con la eliminación segura de discos SSD

Necesito desmantelar dos discos SSD de uno de mis servidores alojados en Linux.

Con el fin de borrado de datos con seguridad almacenados en los discos que tenía la intención de utilizar: hdparm --security-erase.

Leí este documento y sugirió no tener ningún disco conectado al host, aparte de los destinados a ser eliminados.

Y este artículo señala que si hay errores de kernel o firmware, este procedimiento podría inutilizar la unidad o bloquear la computadora en la que se está ejecutando .

Este servidor está actualmente en producción, con una configuración RAID de software para discos de producción. No hay un controlador RAID para los discos que necesito eliminar.

Pregunta:

¿Es esta una operación bastante segura para realizar en un entorno de producción, o sería mejor eliminar los discos y realizar este procedimiento en otro host?

Editar: solo un enlace con un buen procedimiento documentado

ATA Secure Erase es parte de la especificación ATA ANSI y, cuando se implementa correctamente , borra todo el contenido de una unidad a nivel de hardware en lugar de a través de herramientas de software. Las herramientas de software sobreescriben datos en discos duros y SSD, a menudo a través de múltiples pases; El problema con los SSD es que dichas herramientas de sobrescritura de software no pueden acceder a todas las áreas de almacenamiento en un SSD, dejando atrás bloques de datos en las regiones de servicio de la unidad (ejemplos: bloques defectuosos, bloques de nivelación de desgaste reservados, etc.)

Cuando se emite un comando ATA Secure Erase (SE) contra un controlador integrado de SSD que lo admite correctamente , el controlador SSD restablece todas sus celdas de almacenamiento como vacías (liberando electrones almacenados), restaurando así el SSD a la configuración predeterminada de fábrica y el rendimiento de escritura . Cuando se implementa correctamente, SE procesará todas las regiones de almacenamiento, incluidas las regiones de servicio protegidas de los medios.

Copiado liberalmente de http://www.kingston.com/us/community/articledetail?ArticleId=10 [vía archive.org] , énfasis mío.

El problema es que, según algunos, "falta" tanto el soporte como la implementación adecuada de ATA Secure Erase por parte de los fabricantes.

Este trabajo de investigación de 2011 muestra que la mitad de los SSD probaron que el borrado seguro ATA no pudo destruir efectivamente los datos en el disco.

En ese mismo trabajo de investigación, las pruebas mostraron que tal vez sea sorprendente para algunos, las sobrescrituras tradicionales de múltiples pasadas de la SSD fueron realmente exitosas, aunque aún se pudieron recuperar algunos datos (posiblemente de aquellas áreas reservadas de una SSD que están fuera del tamaño informado de los discos) .

Entonces, la respuesta corta es: el uso de software para desinfectar un SSD completo puede o no ser 100% efectivo.
Sin embargo, aún puede ser suficiente para sus requisitos.

En segundo lugar, hacerlo en un servidor que ejecuta la producción: mi impresión es que la mayoría de los manuales recomiendan arrancar desde un disco de rescate para borrar discos por la sencilla razón de que el uso de software para borrar el disco de arranque / sistema operativo fallará miserablemente y la mayoría de las computadoras portátiles y PC tienen solo un solo disco
Por supuesto, también se aplican los riesgos universales de ejecutar comandos destructivos potencialmente (o más bien intencionales) en los sistemas de producción.

Cifrar sus unidades hará que la recuperación (parcial) de datos de los discos desechados (SSD o de tipo giratorio) sea mucho menos probable. Siempre que todo el disco esté encriptado y, por supuesto, no haya una partición sin encriptar (intercambiar).

De lo contrario, estos siempre la trituradora .

Fundamentalmente, debido a la forma en que funcionan los SSD, es imposible 'borrar de forma segura'. Especialmente para unidades empresariales: la mayoría de ellas son más grandes de lo que parecen en primer lugar, porque tienen una capacidad 'libre' en ellas, para propósitos de nivelación de desgaste.

Esa misma nivelación de desgaste significa que el borrado de estilo 'sobrescribir' tampoco hace lo que crees que hace.

En un nivel bastante fundamental, depende del riesgo que le preocupa:

• si solo quiere "limpiar" y volver a implementar hardware dentro de su patrimonio: formatee y termine de hacerlo.
• Si te preocupa que un oponente malicioso y con buenos recursos adquiera material sensible: no te molestes en limpiar, destruye físicamente *.

(*) donde por 'destruir físicamente' me refiero a triturar, incinerar y auditar. Resista la tentación de hacer bricolaje: de todos modos, no es tan divertido con los SSD.

Ciertamente, no recomendaría iniciar operaciones de borrado seguro en un sistema que todavía tenga conectadas las unidades que le interesan. Todo lo que se necesita es un pequeño error tipográfico para destruir los datos de una unidad aún en uso más allá de cualquier esperanza de recuperación.

Si va a usar el borrado seguro, definitivamente hágalo en un sistema que no tenga ninguna unidad que esté conectada.