在NVME SPEC 1.3中，NVME協議就增加了一個關于數據安全的協議命令字：sanitize，基于此NVME盤也能同SATA和SAS盤一樣具有更加完整的數據安全防護功能。

在NVME SSD盤即將退役或者是用于其他用途，為了保證NVME盤上的數據不被別有用心的人竊取，一般情況會采用secure erase命令將盤上數據擦除、或者是全盤format成為一個新盤等一系列方法。但是，這些方法本質上沒有真實地對存儲介質上的數據做改變（所有的數據都存儲在存儲介質上面），只是簡單修改盤上的映射表，將數據標記為無效數據。因此，如果使用以上的方法，在后續其他人拿到這個盤，繞過盤系統管理軟件直接讀存儲介質上面的數據就會造成數據泄露。

Sanitize的數據銷毀是從數據存儲的本質出發，也就是sanitize會改變存儲介質上面存儲的數據，以保證即使在繞過盤的管理軟件直接讀存儲介質也不會存在數據泄露的風險。在NVME SPEC中一共定義了三種數據銷毀類型分別為：crypto erase，block erase和overwrite。

crypto erase是用于擦除安全密鑰。

block erase采用的是將當前盤里面所有的存放用戶數據的物理block全部擦除一遍，由此在經過block erase之后，即使繞過盤的管理軟件讀取存儲介質返回的數據將會是全F；

overwrite是將盤上所有存放用戶數據的block以固定的數據pattern寫一次或者多次，overwrite完成之后存儲介質上存儲的數據都是用戶指定pattern的數據。但是對于NAND存儲介質overwrite會額外增加一次擦寫次數，降低了NAND的使用壽命。

如上圖所示，sanitize之后存儲介質上面的數據都以固定的pattern形式存儲，有效的解決了數據泄露的問題。

一旦sanitize啟動了之后，整個sanitize過程是不能被中斷不能退出，除非sanitize失敗，只有在sanitize失敗了之后才能夠退出sanitize。另外，sanitize過程中只支持協議中限定的admin命令，其他所有的命令都不能下發成功。

Dapustor作為一家專業的企業級SSD存儲企業，所規劃的產品皆已支持sanitize功能，不僅保證了客戶在享受高質量的SSD產品，同時也能確保客戶資料安全，從源頭為客戶信息安全保駕護航。

原文標題：數據千萬條，安全第一條——NVME SSD的數據安全防護

文章出處：【微信公眾號：大普微】歡迎添加關注！文章轉載請注明出處。

責任編輯:haq