如何保护虚拟机内的删除？

Question

这里有一个棘手的问题:您能安全地从VM中删除一个文件吗？

我相信答案取决于一百万个不同的变量，我相信答案是“不完全”，但我想知道专家们的想法和原因。

如果安全删除是不可能通过传统的方法，如切碎，它有可能通过非常规的方法？

如果安全删除根本不可能(或者超出断言的能力)，那么“云”意味着什么呢？“云”对安全来说根本不可行吗？或者这是否意味着我们必须在“云”中始终使用完整的磁盘加密？

Answer 1

不，绝对不是。

虚拟机缺乏对底层存储基础结构的必要知识和控制，以确保数据的安全删除。

由于各种原因，写入可能被重定向到新块，从而使旧数据在物理存储中保持不变。对于SSD设备来说，这是一种典型的行为，其原因包括磨损水平、存储阵列和文件处理程序的错误更正和效率，以及支持备份、克隆或数据保留的任何类型的快照功能。

在某些配置中，可能会出现例外情况，在这些配置中，虚拟机管理程序能够方便删除(通过可以从来宾调用的API )，或者VM与物理存储有足够的直接关系(通过I/O半虚拟化或将iSCSI设备直接附加到来宾)，但通常不应依赖任何虚拟机覆盖特定的物理块。

特别是对于云中的虚拟机(基础设施即服务，也称为虚拟专用服务器)，您不能期望对物理存储产生任何影响。在实现不佳的服务上，可以想象数据块可能会泄漏到邻近的虚拟机。

敏感数据应在rest时使用加密保护，或者存储在可信存储服务中，以提供所需的安全级别。

许多这甚至适用于物理服务器，您需要知道存储组件的具体情况，以确保安全删除-例如。释放快照，修复单元，销毁多余的块副本，重写奇偶校验信息，清除日志和事务日志，或者将写回缓存提交到磁盘--所有这些都取决于存储类型。

Answer 2

来宾操作系统通常无法访问机器的硬件(您可以创建一个使用物理全硬盘驱动器的虚拟机，但它不是最常见的)，因此不能依赖来宾计算机覆盖相应的块。

我认为实现您想要的最好的方法就是在来宾机器中使用一个完全加密的硬盘，而不必担心安全地删除文件。

Answer 3

是。虚拟机(VM)硬盘文件实际上是一个包含主引导记录(MBR)的虚拟磁盘文件，虚拟磁盘上的分区和文件系统等于物理硬盘驱动器。

数据存储设备，像物理硬盘驱动器一样，只是一个原始设备，它存储从零到端的数据，没有格式或任何东西。数据的格式由存储在磁盘上的数据的应用程序(操作系统)决定。

同样的情况也可以应用于单个文件。因此，您可以在硬盘中存储硬盘驱动器、硬盘驱动器等(最后一个硬盘是物理驱动器)。

其结论是，您可以安全地从VM中删除数据，就像在实际系统上一样。您需要考虑来宾操作系统使用的文件系统，因为它可能使用日志之类的，如果不正确删除数据，敏感数据可能会以这种方式泄漏。

有些VM可能也不会在关闭前将对虚拟硬盘的更改刷新到真正的磁盘上，因此如果您想要进行安全擦除，您可能需要擦除1次关机，然后关闭并启动VM，再擦除1次，然后关闭并启动VM，然后执行最后的擦除传递。

还要考虑主机操作系统可能保存实际VM虚拟磁盘文件的日志和敏感数据。为了解决这个问题，我建议将完成的VM磁盘文件(例如删除敏感文件的位置)复制到新位置，然后删除旧的VM磁盘文件，包括日志之类的元数据，然后将新文件(副本)复制回原来的位置。这样的系统可以使用批处理脚本进行编码，每次从VM中安全删除文件时都可以使用该脚本。

请注意，如果您无法访问VM上的主机操作系统，那么您可能根本无法安全地删除VM上的文件。然后，我建议对VM进行加密，当对VM说再见时，只需销毁加密密钥即可。