Lo scenario specifico coinvolge server Linux su host VMware con storage SAN. Se i file che contengono dati sensibili vengono cancellati da Linux, possono essere recuperati da uno strumento di basso livello simile a quello che potrebbe essere fatto con l'archiviazione locale? Penso che ci siano una serie di scenari che probabilmente hanno risposte diverse:
- "Poco" dopo la cancellazione. L'istanza Linux non è stata riavviata dall'eliminazione e non si è verificata alcuna delocalizzazione esplicita del carico di lavoro VMware. Il resto dell'ambiente è stato stabile durante il tempo intercorso
- "Long" dopo la cancellazione. L'istanza Linux non è stata riavviata dall'eliminazione e non si è verificata alcuna delocalizzazione esplicita del carico di lavoro VMware. Le normali operazioni si sono verificate attorno all'istanza che potrebbe aver incluso il trasferimento di altri carichi di lavoro e la riallocazione dello storage SAN per altri carichi di lavoro.
- È stato eseguito un riavvio a livello di sistema operativo, ad esempio per forzare la reinizializzazione di un servizio aggiornato.
- È stato eseguito uno spegnimento completo del sistema operativo e qualche tempo dopo l'immagine è stata riavviata. [Cosa succede se l'immagine viene spostata su un host diverso prima di riavviare?]
- Il carico di lavoro è stato spostato sul nuovo host VMware senza arresto del sistema operativo.
Ci sono alcuni altri casi che posso immaginare, ma hai un'idea. Quindi, i dati possono essere recuperati dall'interno del sistema operativo in vari scenari? Che ne dici dall'host virtuale o dalla console di gestione SAN? Dai media? Quanto sono difficili da sfruttare questi vettori? Qual è la protezione contro il recupero dei dati cancellati in un ambiente virtuale basato su SAN?