Побег от блокировок: что необходимо учесть бизнесу при переходе в облако
Из-за блокировок Роскомнадзором зарубежных облачных ресурсов началась вторая волна миграции с сервисов, подобных Amazon Web Services и Google Cloud, в российские облака. Первую волну связывают с началом ввода в действие новых нормативов по хранению и обработке персональных данных, предусмотренных ФЗ-152, что дало толчок для развития российского облачного рынка.
Схожие законодательные инициативы можно наблюдать как в Европе, где Deutsche Telekom строит национальное облако Open Telekom Cloud, так и в Азии, где конкурируют с Amazon сразу несколько китайских интернет-гигантов. Готовы ли российские облака предложить достойную альтернативу зарубежным аналогам и каковы основные причины и риски, связанные с переходом сейчас?
Работа в российском правовом поле
Первый момент, на который стоит обратить внимание, — это те данные, с которыми оперирует ваша компания. Если мы говорим об общедоступных данных или данных, которые не могут быть отнесены к персональным или конфиденциальным, никаких ограничений для их размещения в облаке нет. Однако если данные классифицированы по ФЗ-152 и ФЗ-243, то храниться они должны на территории РФ. А если, помимо этого, требуют и определенного уровня защиты или, например, компания оперирует конфиденциальной или секретной информацией, регулируемой ФСТЭК или ФСБ, то и провайдер должен обладать соответствующими лицензиями.
Конечно, далеко не все провайдеры такими лицензиями обладают. Зачастую интеграторы предлагают индивидуальные решения по хранению данных и их защите под нужды конкретного клиента с проведением регламентных испытаний и аттестации информационной системы, что находит весьма значительное отражение в цене.
Без блокировок
В любом публичном облачном сервисе есть большой риск неожиданной блокировки IP-адресов целыми подсетями, соответственно, выбирая зарубежный сервис, выше риск того, что «соседний» адрес будет арендовать следующая компания из черного списка и ваш адрес будет недоступен.
Массовые блокировки целыми подсетями связаны с тем, что сервисы Amazon Web Services (AWS), Google Cloud используют сложные распределенные системы, а также встроенные сервисы, позволяющие осуществлять динамическое переключение между различными адресами и автоматизированную развертку инфраструктуры, что делает блокировку отдельных адресов бессмысленным.
В России в настоящее время просто нет таких распределенных публичных сервисов, поэтому риск попасть под тотальную блокировку меньше в разы — тот редкий случай, когда техническое несовершенство предоставляет явное преимущество.
Также стоит отметить, что при работе с российским облачным провайдером можно рассчитывать на уведомление от регулятора, предшествующее блокировке, с предписанием прекратить неправомерную деятельность, при этом отсутствуют неожиданные блокировки, как в случае с зарубежными провайдерами, не работающими в российском правовом поле, и, соответственно, появляется возможность мирного решения проблемы без ущерба для инфраструктуры и простоев.
Проксирование не пройдет
Прокси-сервер является посредником между вашим устройством и компьютером через интернет, весь ваш трафик сначала идет на прокси-сервер, затем передается на ваш сайт или приложение. Чаще всего используется для защиты от DDOS-атак, анонимности или для доступа к сайтам с географическими ограничениями. После принятия год назад ФЗ-149, запрещающего использовать VPN (защищенная сеть между вашим компьютером и сервером VPN в сети интернет, весь трафик при этом шифруется) и прокси-сервисы для доступа к заблокированным ресурсам, вероятность стать соседом анонимайзера у российского провайдера близка к нулю. Отечественные провайдеры, как правило, щепетильно отслеживают и блокируют подобных нарушителей, да и постоянно расширяющийся список ограничений делает задачу их обхода с использованием облаков внутри страны невозможной.
Поддерживать VPN у зарубежного провайдера стабильно достаточно сложно в свете тех же блокировок. Перенос инфраструктуры и создание VPN на других зарубежных серверах не поможет — те же Hetzner, Microsoft и многие другие попали в список блокировок сразу сотнями подсетями.
Не все облака в одну корзину
В любом случае спасение утопающих — дело рук самих утопающих, и все крупные интернет-сервисы используют собственные геораспределенные системы, объединяющие IP-адреса десятков различных публичных облаков по всему миру, включая российские, с собственными системами балансировки адресов, что собственно исключает подобные проблемы из повестки дня. Аналога облачным решениям для данной задачи не существует, и даже установка собственного оборудования не избавит вас от потенциальных сетевых проблем с IP-адресами поставщиков связи.
Помимо риска блокировки не стоит забывать и о технических сбоях, от которых не застрахованы даже самые именитые и крупные игроки рынка облачных услуг. Например, в феврале 2017 года сбой в дата-центре Amazon Web Services привел к перебоям в работе не менее 150 000 сайтов и сервисов, среди которых Netflix, Spotify и Airbnb, а в марте этого года британский хостер 123 Reg и вовсе «потерял» данные всех своих клиентов, включая бэкапы, причем, по иронии судьбы, уже второй раз за два года. Пострадавшие здесь, как правило, те, кто положил все яйца в одну корзину и работает лишь с одним провайдером, а здесь принципы диверсификации работают не хуже финансовых рынков. Поэтому выбирайте как минимум двух облачных провайдеров как в России, так и за рубежом, имеющих несколько дата-центров в разных странах, чтобы в случае необходимости вы могли быстро и без потерь развернуть бэкап инфраструктуры и перенаправить ваш трафик на запасной сервер.
Великий уравнитель
В конечном итоге интернет был задуман Робертом Эллиотом Каном и Винтоном Серфом именно как геораспределенная система, неуязвимая к блокировкам. Рано или поздно на смену IPv4 придет адресация по IPv6 (в которой число возможных адресов на порядки больше, чем в текущем стандарте, — 2128), а на смену облачным сервисам с широкой географией — децентрализованные peer-to-peer сети обмена трафиком, построенные по уже знакомому всем блокчейн-принципу, и эпопея продолжится. Если, конечно, Google и Apple не сдадутся раньше и не подчинятся воле Роскомнадзора, как это уже было в 2016 году с Linkedin, и закроют возможность заблокированным сервисам передавать новые сетевые настройки посредством пуш-уведомлений. А уступки данных компаний в отношении требований китайских властей лишь увеличивают вероятность в положительном для регулятора исходе дела.