SnapLock – неизменяемое сохранение данных на дисках
Тема магнитных лент не отпускает долго. Тем не менее, приближаемся к финалу.
В прошлой и позапрошлой статье под заголовком “Так ли незаменимы магнитные ленты для бэкапов” я рассмотрел два популярных “кейса”, считающихся классической “вотчиной” ленточного метода хранения, а именно: удаленное хранение копии и “длиные” retention, или циклы хранения копий, и показал, как эти задачи могут быть решены с использованием дисковых систем хранения, в частности интересующих меня NetApp.
Однако в комментариях подсказали и еще один кейс. Дело в том, что “оффлайновое” хранение данных в случае ленты облегчает неизменямое хранение сохраненных данных. Ведь в случае онлайн-хранения на дисках, при всех плючах такого хранения, сохраняется определенная опасность того, что онлайн-копия може быть случайно или злонамеренно повреждена. Особенно это важно в случаях, когда немодифицируемое долговременное хранение определено соответствующим законодательством страны. Так, например, такие условия хранения архивных данных определены в США для публичных компаний (акт Sarbanes-Oxley), для биржевых брокеров (SEC Rule 17a-4), компаний, работающих в области здравоохранения (HIPAA), правительственных учреждений (DOD 5015.2) и других случаях. Зачастую в этих требованиях фигурируют сроки такого хранения, исчисляемые десятками лет.
Для решеня этой залачи у NetApp есть сравнительно малоизвестная в России функция, и о которой я пока еще не писал, но которая, тем не менее, по понятным и описанным выше причинам, широко применятся в инсталляциях за рубежом – SnapLock.
Я уже рассказывал, что лежащая в основе всех систем хранения NetApp пециальная файловая структура – WAFL, имеет одну очень интересную особенность. Эта особенность, в свою очередь, определяет один из базовых приципов ее работы, используемой системой.
В WAFL единожды записанный блок в дальнейшем не модифицируется. В случае необходимости изменить данные, хранящиеся в этом блоке, диспетчер блоков выделяет для записи измененных данных пустой блок из пула свободных блоков. На основе этого принципа работает механизм снэпшотов (Snapshots), о котором я уже таже писал, и иллюстрировал принцип работы несложной анимацией, посмотрите по ссылке, возможно станет понятнее, как это работает.
Процесс записи изменений в новые блоки происходит до тех пор, пока файл, которому принадлежат эти блоки данных существует. После того, как удаляется файл и все его снэпшоты, все блоки помечаются в битовой карте как “пустые”. Таким образом, процесс записи возможен только таким образом: если блок пустой, то его можно записать. Если блок уже не пустой, то повторная запись в него невозможна. Пока файл существует, то все принадлежащие ему блоки WAFL сохраняются неизменными. Если блок записан, то средств изменить его “непустое” содержимое у OS нет.
Это, так сказать, основа функциональности WAFL.
Таким образом, мы видим, что заблокировав в OS одну единственную функцию, которая помечает блоки данной файловой системы как неиспользуемые, мы легко превратим наш раздел на системе хранения в строгий WORM (write once, read many).
У системы хранения просто не будет никакой физической возможности внести изменения в уже записанные данные, а при необходимости, даже заблокировать удаление их.
??менно этот функционал в NetApp называется опцией SnapLock.
SnapLock существует в двух вариантах, отличающихся строгостью их использования: SnapLock Compliance и SnapLock Enterprise.
Первый вариант – это самая строгая реализация описанных требований Compliance. Для дискового тома в момент конфигурирования задается срок его WORM-состояния, и после этого нет никаких возможностей изменить или удалить записываемые на этот том данные на весь заданный срок. Вообще никаких. Никому, включая админа системы с “рутовыми” правами. Даже после физической перестановки дисков в другую систему. Надежность работы подтверждена многочисленными сертификациями на соответствие вышеперечисленным законодательным актам.
Менее строгая SnapLock Enterprise позволяет, также как и для SnapLock Compliance, задавать период неизменяемого хранения, однако “высший” администратор системы хранения, по-прежнему не имея возможности изменить хранимые данные, может, при необходимости, такой том удалить целиком.
Таким образом, использование SnapLock на системах хранения NetApp может помочь реализовать заведомо надежно защищенное от возможности удаления или изменения данных хранилище, в тех случаях, когда такие требования стоят во главе угла.
Вот ведь всё-таки как по-другому у людей мозги работают - всегда присутствует некий доверительный допуск: ежу ведь понятно, что без соответствующей криптографии и внешнего заверения таймстэмпов эта система работает только на честном слове. (собственно как и архив на worm-ленточках в общем виде), но верят ведь…
Думаю, в России таких законов нет по одной простой причине - никто не верит честному слову, а без этого реализация многократно усложняется, если не становится невозможной.
Это “честное слово” называется “сертификация”.
Любая криптография, кстати, это тоже доверие на слово. Вы верите тому, что вам сказали, что AES-256 не взламывается. :)
Законов нет по простой причине - это в России никому (пока) не нужно, в том виде, в котором оно существует в Евросоюзе и США. В США акт Sarbanes-Oxley тоже не сразу появился, как и SEC организовалась. Оно не возникает на пустом месте, а рождается в ответ на какие-то бизнес-нужды. В России нужды вести априори честный бизнес пока немного :-}
romx, алгоритмы ЭЦП общеизвестны, их анализировали по всему миру криптоаналитики. Если их взломают, то последнее о чём следует беспокоиться - их применение в данном аспекте.
Более того, с минимальным применением математики можно, скажем, создать банк хэшей государственный - и поди подбери через n лет так изменённую информацию, чтоб совпал хэш с тем, что отправили когда-то в единый госреестр(или нотариальный реестр). Это достаточно легко реализовать, тем более на Западе. Но не реализуют - “В нашем клубе принято джентльменам верить на слово”.
Без защиты же сертификация может показать только одно - штатными средствами ничего сделать нельзя для конкретной сертифицируемой прошивки. Вынув же диски и подключив их тупо к компьютеру, зная какие конкретно данные нам надо изменить и обладая самыми минимальными знаниями о WAFL из публичных источников, можно модифицировать содержимое. Цена вопроса может быть вполне адекватной спросу.
Подделать worm-кассету без ЭЦП, правда, ещё проще.
>> Вы верите тому, что вам сказали, что AES-256 не взламывается. :)
> их анализировали по всему миру криптоаналитики.
Ну, а я про что ;)
> Вынув же диски и подключив их тупо к компьютеру, _зная какие конкретно данные нам надо изменить_ и обладая самыми минимальными знаниями о WAFL.
Выделено.
Ну это… вперед. Есть шансы хорошо поднять бабла ;) Обещаю, что целый месяц я про вашу гениальную догадку никому не скажу, пользуйтесь форой, время пошло. ;)
romx, я имел в виду, что мы знаем информацию в наших файлах, которые разрезаны на кусочки и лежат на файловой системе, насколько я понимаю, в незашифрованном виде. Остаётся вопрос чексумов (рейд деградируем сразу, чтоб не мешал). При соответствующей цене вопроса это решается - не вижу тут ничего принципиально нерешимого.
Я думаю, что вы, все же, переоцениваете свои возможности, и недооцениваете NetApp ;)
romx, я конкретно про себя не говорил - мне есть чем заняться, не нарушая законов. При соответствующей оплате и достаточном выделенном на решение задачи времени, я абсолютно не вижу принципиальных препятствий для соответствующих специалистов. Что по-вашему может таковым стать? Закрытость решения? Кого это когда останавливало? Криптографии нет. В конце концов прошивка свободно доступна, и выполняется на обычном x86. Тем более, 8-ка вообще на базе FreeBSD. Половина внутреннего строения описана патентами и документацией.
Ну что там такого принципиально непостижимого-то? Вопрос только в цене, как я изначально и сказал.
“Если русскому гимназисту вечером дать карту звездного неба, которую он доселе не видел, то он наутро вам вернет ее исправленной” (с) Ф.М.Достоевский.
Действительно, фигня какая. ;-D