Итоги 2013: шифровальщики, Сноуден и автоматизация всего
Год прошёл под знаком CryptoLocker, разоблачений PRISM и зрелеющих DevOps-инструментов. Что изменилось в работе и мышлении клиентов.
2013 год ознаменовался появлением массовых шифровальщиков, разоблачениями PRISM и зрелостью DevOps-инструментов.
Традиционный итоговый пост в декабре - не для того, чтобы подвести красивую черту, а потому что год оказался достаточно насыщенным, чтобы разобраться что именно поменялось в работе и почему.
Три темы заняли больше всего времени и головы: шифровальщики, история с PRISM, и автоматизация через Puppet/Ansible. Они никак не связаны технически, но объединяет их одно - все три изменили то, как клиенты думают про инфраструктуру. Не мы их убеждали, убедили обстоятельства.
CryptoLocker перевернул отношение к бэкапам
До осени разговор про резервное копирование выглядел примерно одинаково. Мы объясняли, клиент кивал, бюджет на нормальный NAS или облачный бэкап не выделялся. «У нас есть внешний диск». Потом CryptoLocker.
Мы писали про первый инцидент в октябре: зашифрованный файловый сервер, восстановление из снапшота Synology, потеря двух часов работы вместо недели только потому, что снапшоты были настроены. С того момента разговор про бэкапы пошёл совсем иначе.
Несколько клиентов в ноябре-декабре сами инициировали пересмотр резервного копирования. Не «а давайте посмотрим», а «сделайте нормально». Это заметный сдвиг. NAS со снапшотами, Veeam на виртуальных средах, проверка восстановления по расписанию - вещи, которые раньше продавались с трудом, теперь продаются сами.
AppLocker мы тоже поставили нескольким клиентам по следам того инцидента. Запрет запуска из %AppData% и %Temp% закрывает самый очевидный вектор CryptoLocker - без сложных политик и без агентов. На парках с Windows 7 Enterprise и 2008 R2 это настраивается через GPO за день. Правда, каждый раз находится что-то, что запускалось из пользовательской папки и о чём никто не знал: обновляторы, скрипты в VBScript, иногда что-то совсем экзотическое. Неделя на отладку - нормальный ориентир.
Сноуден поднял вопрос, который клиенты раньше не задавали
История с PRISM и документами Сноудена ударила по нескольким нашим проектам неожиданным образом. Не потому что кто-то из клиентов думал, что АНБ следит именно за ними. А потому что вопрос «где физически хранятся наши данные» вдруг стал звучать в переговорах там, где раньше его никто не задавал.
Летом мы делали аудит для клиента, который рассматривал Amazon AWS для бэкапов и тестовых сред. Тогда подробно разбирали 152-ФЗ и трансграничную передачу данных. После июньских новостей про PRISM похожие вопросы стали приходить чаще - даже от компаний, которые про 152-ФЗ особо не думали.
Практически это выразилось в двух вещах. Первая: несколько клиентов попросили провести инвентаризацию - что и куда уходит, где лежат данные, есть ли что-то в иностранных облаках, о чём IT не отчитывался явно. Иногда находили: корпоративные документы в Google Drive личных аккаунтов, почта частично настроенная через Gmail, дашборды мониторинга торчащие в американских SaaS. Не криминал, но неожиданно для руководства.
Вторая: вопрос локализации данных начали включать в технические задания. Нечасто и часто формально, но год назад этого не было совсем.
Поправки к 152-ФЗ о требовании хранить ПДн граждан РФ на российских серверах продолжают обсуждаться в Думе. Что из этого выйдет и когда - открытый вопрос, но проектировать инфраструктуру с оглядкой на возможную локализацию уже имеет смысл.
Автоматизация перестала быть «экзотикой для энтузиастов»
Puppet мы начали использовать раньше, Ansible появился в практике в этом году. За двенадцать месяцев произошло что-то важное: конфигурация как код из разговора про «правильный подход» превратилась в рабочую практику на реальных проектах.
Разница ощутима в двух моментах.
Первое - развёртывание нового сервера. Раньше это был список шагов в голове или в вики, который каждый раз чуть отличался в зависимости от того, кто делает и когда. Ansible-плейбук на 50 строк даёт воспроизводимый результат за десять минут. На проекте с пятнадцатью серверами это превратилось из дня работы в час.
Второе - аудируемость изменений. Манифесты Puppet и плейбуки Ansible лежат в git. Это значит: кто изменил конфигурацию, когда, зачем - всё есть в истории. Звучит банально, но когда после инцидента нужно понять что поменялось на сервере за последний месяц, разница между «история в git» и «спроси у Васи» очень ощутима.
Куда идут эти инструменты - вопрос открытый. Docker мы смотрели ещё весной и решили, что рано для продакшна. Puppet DSC для Windows Server появился в августе в виде preview. Экосистема явно движется, но темп и направление неочевидны.
Что изменилось в работе
Если коротко: клиенты стали больше думать об инфраструктуре. Не в смысле «больше платить», а в смысле «задавать вопросы, которых раньше не было». CryptoLocker поднял тему бэкапов и контроля запуска программ. Сноуден - тему локализации и инвентаризации данных. Ansible и Puppet - тему воспроизводимости и аудита конфигурации.
Три независимых события, три разных слоя инфраструктуры. Но итог у них общий: разговор про инфраструктуру стал чуть более конкретным и чуть менее абстрактным. Это не плохо.
- CryptoLocker: первый звонок с зашифрованным файловым сервером · 17 октября 2013
- Ansible без агентов: playbook на 50 строк разворачивает сервер с нуля · 6 июня 2013