Цифровий реалізм vs цифровий популізм

... або Чи сняться електробюрократам цифрові хмарки?

Цей текст на тему complaince і cloud спровокований постом Kostiantyn Korsun який цікавиться, а наскільки законно сайт Нацполіції використовує CloudFlare. І там, крім того факту що навіть фахівці не завжди розуміють як працює CDN, проявилася ще одна цікава тема — оцінки ризиків використання сучасних інфраструктурних сервісів.

На прикладі CloudFlare це виглядає так — безумовно, CDN є одним з дієвих інструментів для захисту від DDoS (не абсолютним правда) та покращення роботи сайту. Але! Використання будь-якого CDN означає що ви делегуєте йому свою доменну зону і, що найнебезпечніше, провайдер термінує шифроване з’єднання від вашого користувача до вашого сайту на своєму проміжному сервері. Що означає що на цьому сервері є ваш незашифрований трафік. І це може створювати ризик безпеці, бо цей сервер знаходиться за межами української юрисдикції. А в найгіршому випадку і на території ворожої країни.

Тобто виходить що без CloudFlare погано, а з ним виникають ризики якими ми не можемо якось керувати.

Аналогічно з хмарними провайдерами інфраструктури (IaaS) — Google Cloud Platform, AWS, Azure. Будь-який сервіс з цього списку забезпечує захист даних клієнтів набагато краще ніж наявний українські датацентри, не згадуючи вже проти ночі «серверні кімнати». Плюс їх архітектура і наявність локацій в різних регіонах дозволяють забезпечити надійне дублювання ресурсів на випадок катастрофічних подій (Disaster Recovery) що є обов’язковим для критичних ресурсів типу Дії та держ сервісів. (Наскільки я знаю та ж Дія хоститься в двох датацентрах, але обидва вони знаходяться в Києві. Ні про яку надійність такого Disaster Recovery говорити не приходиться навіть в мирний час — я пам’ятаю як екскаватор розкопав магістральний кабель і пів-Харкова сиділо без інтернету. А в умовах теперішньої загрози так тим більше).

Тобто рівень комерційних IaaS просто захмарний і немає ніяких резонів будувати щось аналогічне, але під госуху і виключно в Україні. Але... Знову ж таки немає ніяких гарантій що спецслужби країн де фізично знаходяться датацентри цих IaaS не отримають доступ до чутливих даних держави Україна (а нагадаю що вічних союзників не буває). Щоб ви не думали що я параною то саме цей факт — неконтрольованість доступу до даних — і змусив європейців відмовитися від зберігання даних в США, а США в свою чергу створити юридичні фреймворки на кшталт Safe Harbour та Security Sheild, щоб надати хоч якійсь гарантії.

І от як раз ці юридичні механізми дають нам приклад можливого виходу з ситуації.

Будувати свої власні інфраструктурні сервіси це дорого і довго. І на мою думку все-таки треба дивитися в сторону використання вже існуючих комерційних. Просто нашому Мінцирку треба було не злоДію мастачити та Вискуба на людей нацьковувати, а розробити стандарт по типу американського FedRAMP який би дозволив адекватно оцінювати ризики і безпеку доступних комерційних сервісів для їх використання українськими державними системами.

Проектуючи це на вже згадану ситуацію з сайтом Нацполіції за його допомогою можна було б спокійно прописати чи можемо ми використовувати CloudFlare для цього сайту, які документи і угоди мають бути укладені з провайдером, яка має бути процедура комунікації з провайдером і коли припинити співробітництво з ним. І тому подібне. Так, як це роблять притомні держави і організації по всьому світу.

Але Міністерство цифрової Трансформації займається не трансформацією законодавства і стандартів, а цифровим популізмом з присмаком аферизму в той час, коли адміни на свій страх і ризик направляють в неперевірені і незрозумілі сервіси за межами України (та і всередині країни) наші персональні дані, а може і чутливу інформацію державних органів.

👍ПодобаєтьсяСподобалось4
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Тобто рівень комерційних IaaS просто захмарний і немає ніяких резонів будувати щось аналогічне, але під госуху і виключно в Україні. Але... Знову ж таки немає ніяких гарантій що спецслужби країн де фізично знаходяться датацентри цих IaaS не отримають доступ до чутливих даних держави Україна (а нагадаю що вічних союзників не буває).

Це відомий tradeoff. Що ж автор пропонує? Таке враження, що автор пропонує ще більше критикувати Міністерство цифрової трансформації ☺.

Що автор пропонує написано в кінці, а саме Мінцифрі треба зайнятися трансформацією нормативної бази і керуванням ризиками а не їх створенням.

Спасибо, Кэп. Ваш шлюп готов.

Чого ж в ньому ніхто не пливе?

Будувати свої власні інфраструктурні сервіси це дорого і довго. І на мою думку все-таки треба дивитися в сторону використання вже існуючих комерційних.

Лучше всё таки своё

Підписатись на коментарі