Immutable Storage - definicja
Immutable Storage to model przechowywania danych w trybie niezmiennym, w którym zapisane obiekty nie mogą być modyfikowane ani usuwane przez określony czas lub do odwołania. W praktyce realizuje to polityka WORM (Write Once Read Many), blokada czasowa retencji oraz mechanizm legal hold. Celem jest odporność na manipulacje, zgodność regulacyjna i dowodowa integralność danych. W kontekście anonimizacji zdjęć i nagrań wideo oznacza to gwarantowane zachowanie oryginałów materiałów wejściowych, nieedytowalnych logów procesowych oraz kontrolę wersji wyników z zamazaniem twarzy i tablic rejestracyjnych.
W rozwiązaniach obiektowych mechanizm zapewniają m.in. blokady typu Object Lock, a w systemach plików polityki WORM i weryfikacja kryptograficzna. Integralność jest potwierdzana sumami kontrolnymi i metadanymi retencji. Rozwiązanie musi współgrać z wymogami RODO dotyczącymi minimalizacji, ograniczenia celu, retencji oraz bezpieczeństwa przetwarzania.
Rola immutable storage w anonimizacji zdjęć i wideo
Niezmienność przechowywania podnosi wiarygodność łańcucha dowodowego i upraszcza audyt zgodności. Dla procesów zamazywania twarzy i tablic rejestracyjnych pozwala wykazać, że:
- oryginał nagrania lub zdjęcia nie był modyfikowany przed anonimizacją,
- wynik anonimizacji jest powiązany z konkretną wersją algorytmu i konfiguracji,
- dane pomocnicze i logi nie zostały zmienione po fakcie.
W praktyce IOD i zespoły bezpieczeństwa wykorzystują niezmienne repozytoria do retencji oryginałów, polityk przetwarzania, sum kontrolnych i raportów wykonania procesu. W Gallio PRO dotyczy to materiałów wejściowych oraz metadanych procesu, przy czym oprogramowanie nie gromadzi logów zawierających współrzędne lub wyniki detekcji twarzy i tablic rejestracyjnych ani innych danych osobowych czy wrażliwych.
Technologie immutable storage
Niezmienność można uzyskać w chmurze i on-premise. Poniższe rozwiązania wspierają retencję WORM, blokady i weryfikację integralności. Wybór zależy od wymagań prawnych, budżetu i integracji z pipeline wideo.
Technologia | Kluczowa cecha | Zakres | Źródło
|
|---|---|---|---|
AWS S3 Object Lock | Tryby Governance i Compliance, retencja i legal hold | Obiektowy, API S3 | |
Azure Blob Immutable | Time-based retention, legal hold | Obiektowy, Blob | |
MinIO Object Lock | Zgodność z API S3 Object Lock | On-prem, obiektowy | |
NetApp SnapLock | WORM na poziomie wolumenu i pliku | NAS, on-prem | |
Dell EMC Retention Lock | Wymuszanie retencji i blokad | Systemy ochrony danych (w zależności od produktu) | |
Linux fs-verity | Weryfikowalna integralność plików (wykrywanie modyfikacji) | System plików |
Kluczowe parametry i metryki dla immutable storage
Parametry decydują o skuteczności i zgodności rozwiązania. Poniżej zestawienie atrybutów, sposobu weryfikacji i źródeł referencyjnych.
Parametr | Znaczenie | Weryfikacja | Źródło
|
|---|---|---|---|
Tryb retencji | Governance vs Compliance, możliwość obejścia | Inspekcja metadanych obiektu i uprawnień | |
Okres retencji | Czas nieusuwalności obiektu | Metadane retencji obiektu (np. RetainUntilDate) / API usługi | |
Legal hold | Blokada bez końcowej daty | Znacznik hold w metadanych | |
Zakres | Obiekt, kontener/bucket, wolumen | Konfiguracja polityk | |
Integralność kryptograficzna | Hash pliku, dowód niezmienności | SHA-256 zgodnie z FIPS 180-4 | |
Wersjonowanie | Historia zmian, ochrona przed nadpisaniem | Flagi versioning-enabled | |
Trwałość danych | Prawdopodobieństwo utraty danych | Deklaracje usługi | |
RPO/RTO kopii niezmiennych | Odzysk po incydencie i okno utraty | Harmonogram snapshotów i test odtworzeń |
Wyzwania i ograniczenia zgodności
Niezmienność musi być zaprojektowana z uwzględnieniem RODO. Kluczowe ryzyka wynikają z kolizji obowiązkowej retencji z prawem do usunięcia i zasadą minimalizacji.
- Zasada ograniczenia przechowywania - okres retencji musi wynikać z podstawy prawnej i polityki retention schedule (art. 5 ust. 1 lit. e RODO).
- Prawo do usunięcia - należy unikać trybu uniemożliwiającego skasowanie, gdy brak podstawy do dalszej retencji (art. 17 RODO).
- Bezpieczeństwo przetwarzania - kontrola dostępu, szyfrowanie i monitoring muszą uzupełniać niezmienność (art. 32 RODO).
- Operacyjne ryzyko mis-konfiguracji - tryb Compliance jest nieodwracalny do końca retencji.
- Kwestie kosztów i wydajności - wersjonowanie i kopie niezmienne zwiększają zużycie magazynu.
Przykłady zastosowań w Gallio PRO
Poniższy schemat pokazuje praktyczne użycie immutable storage przy anonimizacji zdjęć i wideo w Gallio PRO. Dotyczy to przetwarzania wsadowego, ponieważ oprogramowanie nie realizuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo.
- Ingest oryginałów do repozytorium z włączoną retencją WORM i wersjonowaniem.
- Wywołanie procesu Gallio PRO, który automatycznie zamazuje wyłącznie twarze i tablice rejestracyjne. Inne elementy można zamazać ręcznie w edytorze.
- Zapis wyników do oddzielnego bucketu z kontrolowaną wersją i sumami SHA-256.
- Zapis metadanych procesu i raportów do repozytorium niezmiennego. Bez logów detekcji zawierających dane osobowe.
- Utrzymywanie polityk retencji: krótsza dla materiałów zanonimizowanych, dłuższa dla oryginałów jeżeli wymaga tego podstawa prawna.
- Okresowe testy odtworzeniowe i audyt metadanych retencji na potrzeby IOD.
Odniesienia normatywne i źródła
- RODO: art. 5, 17, 32 - EUR-Lex, 2016/679, link.
- ISO/IEC 27040:2015 Information technology - Security techniques - Storage security, ISO, link.
- NIST SP 800-209 Security Guidelines for Storage Infrastructure, 2020, link.
- NIST FIPS 180-4 Secure Hash Standard, 2015, link.
- AWS S3 Object Lock, dokumentacja, link.
- Amazon S3 FAQ - trwałość 99.999999999%, link.
- Azure Blob Storage - immutable, Microsoft Docs, link.
- Linux fs-verity, dokumentacja jądra, link.
- NetApp SnapLock - Technical Report, link.