Отключить автообновления и настроить зеркала: как защитить свою IT-инфраструктуру от санкций

Марсель Ибраев, технический директор учебного центра «Слёрм», рассказывает, как смотрит на вопрос защиты инфраструктуры от санкций.

В IT-среде ходят разные слухи — от частичной до полной интернет-изоляции России. Я не хочу никого пугать и наводить панику. Ещё ничего точно неизвестно, ситуация меняется каждый день. Нужно следить за повесткой и трезво оценивать происходящее. Однако обезопасить IT-инфраструктуру лишним не будет. В статье — несколько конкретных вещей, которые можно сделать прямо сейчас, чтобы защитить свои информационные ресурсы. Без терминов в этом материале не обойтись. Если они не понятны, покажите статью вашему техническому директору, сисадмину или разработчику.

В первую очередь следует провести ревизию инфраструктуры и составить список всех зарубежных технологий, которые используются в проекте. Совет кажется абсолютно тривиальным, но вы уже так сделали?

После этого — почитать новости и профессиональные форумы и прикинуть риски. Есть ли сообщения о возможной блокировке применяемых сервисов и приложений? Если, согласно повестке, большинство инструментов в опасности, следует поискать отечественные аналоги или принять меры, о которых я расскажу ниже.

Если для своего проекта компания использует зарубежное облако или арендует физические сервера у иностранного хостера, сейчас идеальный момент, чтобы задуматься о переезде к российскому провайдеру.

Отмечу, что по функциональности и некоторым другим факторам отечественные облака пока отстают от зарубежных, но это вполне готовые инструменты для работы. Многие российские компании, в том числе и крупные, уже работают в них и чувствую себя нормально.

Плюсы и минусы переезда на российские облака:

В нашей стране множество компаний размещает свою кодовую базу на GitHub. Ещё несколько дней назад были опасения, что российским пользователям закроют доступ к ресурсу. К счастью, GitHub решил не блокировать россиян. Увы, это решение может ещё сто раз поменяться. Чтобы не потерять наработки, компаниям с репозиториями на GitHub стоит организовать зеркала — развернуть локальное кодовое хранилище внутри своей сети или на российских серверах и работать с ним.

Представим, что команда разработки использует эксклюзивную внешнюю библиотеку, например от Microsoft или Google — компании, которая теоретически может применить санкции. Как не потерять инструмент? Пока есть доступ, разработчикам следует скачать библиотеку и сохранить её либо на своём сервере, либо на сервере российского провайдера. В этом случае при блокировке доступ к библиотеке останется.

На всякий случай стоит отключить автообновления всех приложений и инфраструктурных инструментов и обновлять их вручную. Это исключит возможность полной блокировки или частичных ограничений, которые могут прилететь вместе с обновлениями.

Новую версию используемого приложения сначала следует проверить на тестовом контуре и убедиться, что она не опасна. Если внутри обновления будет блокировка, ничего страшного — она выскочит на тесте и не попадёт в рабочее окружение. Если же с обновлениями всё ок, то можно заменить старую версию приложения в локальном хранилище (помните о зеркале из предыдущего пункта?) и оттуда подкачать в рабочее окружение.

Довольно простой способ ограничить доступ к приложению — заблокировать IP-адрес. Это можно сделать точечно, на уровне пользователя или конкретной компании, а можно массово, на уровне страны.

Избежать подобного сценария позволит настройка хорошего VPN. VPN маскирует IP-адрес и позволяет обойти блокировку. Если вдруг отдельные компании начнут банить российские IP-адреса, VPN станет своеобразным «окном в Европу», через которое можно будет скачивать обновления приложений, библиотеки, фреймворки и поддерживать инфраструктуру в рабочем состоянии.

Совет тем, кто ценит безопасность — лучше настроить VPN самостоятельно либо привлечь для этого проверенных специалистов. Точно не стоит пользоваться бесплатными сервисами, и даже к платным VPN нужно относиться с осторожностью. При использовании общедоступных сервисов VPN, в том числе платных, есть риск, что трафик будут прослушивать — смотреть, на какие сайты ходит пользователь, что скачивает, даже какие вводит пароли.

Также следует учитывать, что при подключении VPN или похожего инструмента, сайт, приложение, портал может работать медленнее. Это происходит потому, что запрос от приложения делает крюк и сначала подключается к зарубежному серверу, а уже от него — к конечной точке.

DNS-сервера преобразуют адреса сайтов в IP-адреса — уникальные цифровые идентификаторы, через которые компьютеры и серверы общаются друг с другом в интернете. Если компания использует в своей инфраструктуре иностранные DNS-сервера, в текущей обстановке она уязвима. При запрете в России зарубежных DNS-серверов компьютер не сможет подключиться к другому сайту, потому что не найдёт его IP-адрес.

Чтобы такого не случилось, нужно перейти на российские DNS-сервера. Они есть и общедоступны.

Если вы хотите максимально обезопасить свой бизнес, нужно уделить внимание сказанному выше прямо сейчас.

Повторю — ситуация меняется каждый день. Оплатить что-либо заграницей, в том числе хостинг, в связи с блокировками платежных систем уже стало проблемой. Все мартовские праздники мы перевозили свою инфраструктуру и инфраструктуру некоторых клиентов на российский хостинг.

Есть зарубежные хостеры, которые предлагают оплатить их услуги на несколько месяцев вперёд. На мой взгляд, учитывая текущие реалии, это большой риск. Лучше переехать к отечественному провайдеру и сделать это в ближайшее время. Ситуация с железом и серверами в России пока не критичная, однако усугубляется с каждым днём. Некоторых позиций серверов у хостеров уже нет, а некоторых осталось мало.

Что ждёт ИТ в России? Прогнозы наших экспертов — в блоге Southbridge.