Совет надзорных комиссаров: чем грозит бизнесу отказ от сервисов Cloudflare

Cloudflare — крупнейший иностранный игрок на рынке защиты от интернет-атак, поставщик услуг доставки контента и потому серьезный конкурент для российских сервис-провайдеров. Поэтому провайдеры должны, казалось бы, безмерно радоваться тому факту, что Роскомнадзор (РКН) рекомендует российским компаниям отказаться от использования CDN-сервиса компании.

Однако вместо ликования настоятельные рекомендации регулятора вселяют скорее тревогу, поскольку привести они могут вовсе не к повышению защищенности отечественных компаний и скорейшему импортозамещению, а к парализации работы большого числа ресурсов. И потому подход к миграции должен быть плавным и комплексным.

Но обо всем по порядку. 7 ноября подведомственный РКН Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) официально сообщил, что используемое в CDN-сервисе Cloudflare по умолчанию расширение нарушает российское законодательство, применяя технологии для предоставления доступа к запрещенной информации. Через день заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин допустил, что провайдеры облачных и хостинг-услуг могут оказаться в списке «нерекомендованных сервисов». В частности, в список могут попасть сервисы Akamai и CDN77.

Посмотрим, что это означает, на цифрах. Согласно данным TechJury.net, по состоянию на сентябрь 2024 года общее количество активных веб-сайтов по всему миру, которые являются клиентами Cloudflare, превышает 27 млн. При этом из всех ресурсов, использующих CDN, 76% выбирают Cloudflare, а из 10 000 самых популярных сайтов в мире 3114 — это пользователи сервисов американской компании. В России по состоянию на 8 ноября, согласно нашему исследованию, более 317 000 ресурсов, расположенных в доменной зоне .RU, использовали решения Cloudflare. При этом среди клиентов иностранного вендора ретейлеры, финансовые организации, онлайн-аптеки, госучреждения, СМИ (включая много региональных телеканалов).

Сервисы Cloudflare, к которым прибегают отечественные компании, самые разные. Это непосредственно CDN (Content Delivery Network), то есть сеть доставки контента, ускоряющая загрузку веб-страниц за счет кеширования и распределения контента по серверам, расположенным по всему миру. Кроме того, компании могут защищаться от DDoS-атак или применять решение по балансировке нагрузки, позволяющее распределить трафик между серверами для обеспечения высокой доступности и отказоустойчивости приложений. Есть у Cloudflare и управляемый DNS: высокопроизводительный и надежный DNS-сервис, обеспечивающий быструю и стабильную работу доменных имен.

Но какой бы сервис ни приобретали у Cloudflare, стандартная процедура подключения предполагает перенос управления вашей DNS-зоной на их серверы. Это означает, что вы обновляете записи у вашего доменного регистратора, указывая на неймсерверы Cloudflare. То есть вы даете указания на серверы, преобразующие доменные имена, с которыми работают пользователи, в понятные компьютерам IP-адреса или в обратном направлении, например, из www.romashka.ru в 77.51.199.15... После этого все DNS-запросы к вашему домену обрабатываются их инфраструктурой. Правда, для enterprise-клиентов могут использоваться и другие варианты подключения, что дороже стандартного варианта.

Сложно предугадать, ограничатся ли регуляторы рекомендациями в отношении Cloudflare или они выльются в полный запрет использования ее сервисами как таковыми. Но формулировки официального сообщения (в частности, «Cloudflare была одной из компаний BigTech, которые собирал Госдеп США в сентябре для обсуждения комплексного и организованного противодействия странам, активно защищающим свой информационный суверенитет») дают основания предполагать вероятность сценария с полным запретом.

Если так случится, блокировка Cloudflare в России может привести к серьезным последствиям для компаний, использующих его услуги. Главный риск — потеря доступности веб-ресурсов. Если Cloudflare обрабатывает DNS-запросы для веб-сайта, его блокировка может сделать сайт недоступным для пользователей в России. Готовы ли мы, что будет заблокирован, например, сайт ведущего телеканала одного из регионов или важный новостной канал? Для пользователей, пытающихся получить доступ к ресурсам, это может выглядеть как отказ в обслуживании или ошибка подключения.

Не стоит забывать, что компании из самых разных отраслей до сих пор используют решения Cloudflare по защите от DDoS-атак. Принудительное отключение Cloudflare означает сделать ранее защищенные ресурсы уязвимыми для атак и потенциальных простоев. Кроме того, без защиты от DDoS компании могут испытывать проблемы с перегрузкой серверов, особенно во время пиковых нагрузок или целенаправленных атак.

Если компании используют Cloudflare для распределения контента или кеширования через CDN, блокировка может привести к значительному снижению скорости загрузки и стабильности работы приложений и API. Некоторые приложения могут зависеть от низкой задержки и распределенных серверов, которые предоставляет Cloudflare. Блокировка таких сервисов может вызвать задержки и периодические сбои в работе. Для организаций может быть сложно оперативно переключить управление DNS на другого провайдера, особенно если настройки и интеграции сильно завязаны на Cloudflare. Перенос DNS-записей и конфигураций может занять время, особенно, если клиенты иностранного вендора не подготовлены к такой миграции, есть риск потери резервных копий и конфигураций.

Еще один риск — нарушение безопасности и конфиденциальности данных. В случае блокировки отечественные игроки могут потерять поддержку SSL/TLS сертификатов, которые автоматически предоставляются и обновляются через Cloudflare. Это приведет к риску передачи данных без шифрования. Блокировка может отключить защиту от угроз, предоставляемую Web Application Firewall (WAF) Cloudflare, что повышает риск проникновения вредоносного кода и утечек данных.

Все это в итоге непременно выльется в финансовые потери и репутационные риски. И потому, как бы ни было велико желание убрать из России крупных ИБ-игроков из недружественных стран, отечественному бизнесу просто необходим лаг времени для миграции на отечественные решения.

Для минимизации рисков необходимо обеспечить использование второго DNS от отечественного провайдера, который может быстро подхватить домен в случае блокировки, настроить защиту от атак. Кроме того, необходим четкий план миграции на случай, если потребуется переключиться на альтернативный сервис с сохранением всех ключевых настроек и резервных копий.

Несмотря на бурное развитие российских провайдеров услуг и высокую степень зрелости определенных продуктов, в стране нет ни одной компании, чей продуктовый портфель был бы столь же широк, как у Cloudflare. В то же время коллаборация, то есть сотрудничество нескольких российских игроков, чтобы разработать комплексное предложение для тех, кому потребуется миграция с Cloudflare на сервисы отечественного производства, может решить проблему. Такие партнерства уже создаются, планы миграции готовятся. Если дать рынку немного времени и не рубить сплеча, то переход с Cloudflare на российские решения можно сделать безболезненным. И, что самое важное, незаметным для посетителей ресурсов, потому что сохранение доступности сервисов вне зависимости от миграций — самое главное.

Мнение редакции может не совпадать с точкой зрения автора