Побег от блокировок: что необходимо учесть бизнесу при переходе в облако

Из-за блокировок Роскомнадзором зарубежных облачных ресурсов началась вторая волна миграции с сервисов подобных Amazon Web Services и Google Cloud в российские облака. Первую волну связывают с началом ввода в действие новых нормативов по хранению и обработке персональных данных, предусмотренных ФЗ-152, что дало толчок для развития российского облачного рынка. Схожие законодательные инициативы можно наблюдать, как в Европе, где Deutsche Telekom строит национальное облако Open Telekom Cloud, так и в Азии, где конкурируют с Amazon сразу несколько китайских интернет-гигантов. Готовы ли российские облака предложить достойную альтернативу зарубежным аналогам и каковы основные причины и риски, связанные с переходом сейчас? Работа в российском правовом поле Первый момент, на который стоит обратить внимание — это те данные, с которыми оперирует ваша компания. Если мы говорим об общедоступных данных или данных, которые не могут быть отнесены к персональным или конфиденциальным, никаких ограничений для их размещения в облаке нет. Однако если данные классифицированы по ФЗ-152 и ФЗ-243, то храниться они должны на территории РФ. А если, помимо этого, требуют и определенного уровня защиты или, например, компания оперирует конфиденциальной или секретной информацией, регулируемой ФСТЭК или ФСБ, то и провайдер должен обладать соответствующими лицензиями. Конечно, далеко не все провайдеры такими лицензиями обладают. Зачастую интеграторы предлагают индивидуальные решения по хранению данных и их защите под нужды конкретного клиента с проведением регламентных испытаний и аттестации информационной системы, что находит весьма значительное отражение в цене. Без блокировок В любом публичном облачном сервисе есть большой риск неожиданной блокировки IP-адресов целыми подсетями, соответственно выбирая зарубежный сервис выше риск того, что «соседний» адрес будет арендовать следующая компания из черного списка и ваш адрес будет недоступен. Массовые блокировки целыми подсетями связаны с тем, что сервисы Amazon Web Services (AWS),Google Cloud используют сложные распределенные системы, а также встроенные сервисы, позволяющие осуществлять динамическое переключение между различными адресами и автоматизированную развертку инфраструктуры, что делает блокировку отдельных адресов бессмысленным. В России в настоящее время просто нет таких распределенных публичных сервисов, поэтому риск попасть под тотальную блокировку меньше в разы- тот редкий случай, когда техническое несовершенство предоставляет явное преимущество. Также стоит отметить, что при работе с российским облачным провайдером можно рассчитывать на уведомление от регулятора, предшествующее блокировке, с предписанием прекратить неправомерную деятельность, при этом отсутствуют неожиданные блокировки как в случае с зарубежными провайдерами, не работающими в российском правовом поле, и, соответственно, появляется возможность мирного решения проблемы без ущерба для инфраструктуры и простоев. Проксирование не пройдет Прокси-сервер является посредником между вашим устройством и компьютером через интернет, весь ваш трафик сначала идет на прокси сервер, затем передается на ваш сайт или приложение. Чаще всего используется для защиты от DDOS-атак, анонимности или для доступа к сайтам с географическими ограничениями. После принятия год назад ФЗ-149, запрещающего использовать VPN (защищенная сеть между вашим компьютером и сервером VPN в сети интернет, весь трафик при этом шифруется) и прокси-сервисы для доступа к заблокированным ресурсам, вероятность стать соседом анонимайзера у российского провайдера близка к нулю. Отечественные провайдеры как правило щепетильно отслеживают и блокируют подобных нарушителей, да и постоянно расширяющийся список ограничений делает задачу их обхода с использованием облаков внутри страны невозможной. Поддерживать VPN у зарубежного провайдера стабильно достаточно сложно в свете тех же блокировок. Перенос инфраструктуры и создание VPN на других зарубежных серверах не поможет — те же Hetzner, Microsoft и многие другие попали в список блокировок сразу сотнями подсетями. Не все облака в одну корзину В любом случае — спасение утопающих дело рук самих утопающих, и все крупные интернет-сервисы используют собственные геораспределенные системы, объединяющие IP-адреса десятков различных публичных облаков по всему миру, включая российские, с собственными системами балансировки адресов, что собственно исключает подобные проблемы из повестки дня. Аналога облачным решениям для данной задачи не существует и даже установка собственного оборудования не избавит вас от потенциальных сетевых проблем с IP-адресами поставщиков связи. Помимо риска блокировки не стоит забывать и о технических сбоях, от которых не застрахованы даже самые именитые и крупные игроки рынка облачных услуг. Например, в феврале 2017 сбой в дата-центре Amazon Web Services привел к перебоям в работе не менее 150 000 сайтов и сервисов, среди которых Netflix, Spotify и Airbnb, а в марте этого года британский хостер 123 Reg и вовсе «потерял» данные всех своих клиентов, включая бэкапы, причем по иронии судьбы уже второй раз за 2 года. Пострадавшие здесь, как правило те, кто положил все яйца в одну корзину и работает лишь с одним провайдером, а здесь принципы диверсификации работают не хуже финансовых рынков. Поэтому выбирайте как минимум двух облачных провайдеров как в России так и за рубежом, имеющими несколько дата центров в разных странах, чтобы в случае необходимости вы могли быстро и без потерь развернуть бэкап инфраструктуры и перенаправить ваш трафик на запасной сервер. Великий уравнитель В конечном итоге Интернет был задуман Робертом Эллиотом Каном и Винтоном Серфом именно как геораспределенная система, неуязвимая к блокировкам. Рано или поздно на смену IPv4 придет адресация по IPv6 (в которой число возможных адресов на порядки больше, чем в текущем стандарте — 2128), а на смену облачным сервисам с широкой географией — децентрализованные peer-to-peer сети обмена трафиком, построенные по уже знакомому всем блокчейн-принципу, и эпопея продолжится. Если, конечно, Google и Apple не сдадутся раньше и не подчинятся воле Роскомнадзора, как уже это было в 2016 году с Linkedin, и закроют возможность заблокированным сервисам передавать новые сетевые настройки посредством пуш-уведомлений. А уступки данных компаний в отношении требований китайских властей лишь увеличивают вероятность в положительном для регулятора исходе дела. Читайте также Веерные отключения. Почему участились сбои в крупных банках и связано ли это с Telegram