Festplatten auf NetApp Systemen richtig löschen

Nach dem ersten Teil Sicheres Löschen von Daten und Festplatten, der die rechtliche Lage beleuchtet, folgt heute der zweite Teil, der erklärt, wie es bei NetApp Systemen umgesetzt wird.

NetApp Systeme bieten den Vorteil, dass sie die Löschvorrichtung für Festplatten schon mitbringen. Dieser Vorgang nennt sich Sanitize (engl. für Desinfizieren). Dabei werden die Festplatten vollständig mit einem Muster oder Zufallsdaten überschrieben.

Einige Systeme benötigen eine spezielle Lizenz für den den Sanitize-Vorgang, diese ist jedoch kostenfrei erhältlich. Daher bietet es sich an, NetApp Festplatten direkt dort zu löschen.

Um Festplatten direkt auf einem NetApp-System zu löschen, müssen diese zuerst als Spare-Platten im System angemeldet sein. Die Platte muss also dem System zugewiesen sein und darf nicht in einem Aggregat in Verwendung sein. Danach wird das Löschen mit dem Befehl disk sanitize start gestartet. Hierbei wird mit Parametern angegeben, nach welchem Ablauf zu löschen ist:

-p MUSTER   Pattern: Angabe eines hexadezimalen Musters, mit dem die Platte überschrieben werden soll.
-r          Random: Zufallsmuster benutzen
-c ANZAHL   Cycles: Anzahl der Durchläufe, die das beschriebene Muster wiederholt werden soll.

Um zum Beispiel zweimal mit Zufallsdaten zu überschreiben kann folgende Konfiguration benutzt werden:

-r   -c 2

Möchte man mit komplementären Bitmustern überschreiben, so ist folgende Konfiguration nötig:
-p 0x55   -p 0xAA   -c 1     (0x55 = 01010101, 0xAA = 10101010)

Persönlich empfehle ich die Mischung von beidem, zuerst ein komplementäres Muster, dann ein Zufallsmuster. Damit sind wir auch im Bereich, den das BSI im IT-Grundschutzkatalog für hohe Sicherheit empfiehlt. Der fertige Befehl hierfür sieht so aus:

disk sanitize start -p 0x55 -p 0xAA -r -c 1 [disk]

Nun löscht der NetApp Filer die Festplatte vollständig. Dies kann je nach System und Anzahl der Festplatten 1-3 Tage dauern. Den Status kann man zwischendurch mit dem Status-Befehl ermitteln:

disk sanitize status

Ist das Löschen abgeschlossen, werden die Festplatten mit dem Status „sanitized“ angezeigt:

aggr status -r

Nun kann die Platte wieder freigegeben werden:

disk sanitize release [disk]

NetApp verhält sich hier etwas komisch: Unmittelbar nach dem Auslöschen findet NetApp seine eigenen Strukturen auf der Festplatte nicht vor und nimmt  daher an, dass die Festplatte defekt ist. Dazu ist die Disk mit dem Kommando „disk unfail“ wieder als normal zu markieren:

disk unfail -s [disk]

Ein erneutes aggr status -r zeigt die Disk jetzt wieder als Spare-Disk an, das System bemängelt jedoch, dass die Platte nicht genullt (not zeroed) ist. NetApp nutzt das „nullen“ einer Platte nicht nur zum Ausnullen, sondern schreibt dabei auch gleich seine Strukturen auf die Platte. Daher ist nach dem Sanitize vor der nächsten Verwendung ein Nullen nötig:

disk zero spares

Soll die Platte zuletzt aus dem System herausgenommen werden, muss sie zuvor noch vom System entfernt werden. Dies geht nur mit den erweiterten Kommandos:

priv set advanced
disk remove_ownership -f [disk];
priv set admin

Die jetzt gelöschte Festplatte kann nun guten Gewissens wieder ins Lager oder für sonstige Zwecke eingesetzt werden. Ein Wiederherstellen der zuvor gespeicherten Daten sollte einem Dritten jetzt absolut unmöglich sein.

Defekte Festplatten behalten: Non-returnable Disk

Bei defekten Festplatten besteht immer die Möglichkeit, dass Blöcke nicht mehr beschreibbar sind und damit das Löschen fehlschlägt. NetApp-Systeme ignorieren solche Fehler und versuchen, so viel wie möglich zu überschreiben. Erst beim abschließenden Zero-Vorgang werden Fehler wieder verarbeitet und die Festplatte dann als „Failed“ markiert.

Damit sind NetApp-Systeme zum Auslöschen bestens geeignet, solange die Platte noch ansprechbar ist. Alle Bereiche, die sich noch beschreiben lassen, werden ausgelöscht, auch wenn manche Bereiche der Festplatte nicht mehr ansprechbar sind.

Falls das nicht genügt, z.B. weil sich streng vertrauliche Daten auf der Festplatte befinden, so besteht die Möglichkeit, bei NetApp die sogenannte „Non-returnable Disk“ Option zu buchen. Diese beträgt üblicherweise nur 10% vom Service-Preis und erlaubt es, bei einem Defekt eine Ersatzplatte zu erhalten und dennoch die alte Platte behalten zu können.

Damit wird es dann möglich, die defekte Platte selbst und nach eigenen Vorgaben vernichten zu können, z.B. in einem Degausser. Damit können dann auch defekte Bereiche restlos ausgelöscht werden.

M.B. war bis 2012 bei Proact Deutschland als Produktmanager für die Backup-as-a-Service Produktreihe "FlexVault" um alle Belange der Datensicherung. Zuvor war er technischer Leiter eines großen Nürnberger Datacenters und kennt daher die Sorgen und Nöte der IT-Leiter und Administratoren bestens.

 
Kommentare

Mein Kollege Felix hat mir zu diesem Artikel noch einen interessanten Hinweis gegeben: Ab Ontap Version 8.1 wird für Sanitize keine (kostenlose) Lizenz mehr benötigt, sondern es kann per Option einfach eingeschaltet werden. Danke Felix für diesen Hinweis.

Hallo,

wie viele Durchläufe sind notwendig um die Daten sicher zu löschen? Reicht „disk sanitize start -p 0x55 -p 0xAA -r -c 1 [disk]“ aus?

Gruß

Sebastian

Hallo Sebastian,

der erste Teil des Artikels (verlinkt oben in der ersten Zeile des Textes) geht darauf ein, wie viele Durchläufe notwendig sind.

Gruß, Michael

Hinterlassen Sie einen Kommentar an Sebastian