16 апреля Госдума приняла закон об автономном Рунете. Он уже подписан президентом и вступит в силу 1 ноября 2019 года. Закон пока детально не раскрывает, как технически будет реализован досмотр трафика.
Предполагается установка специальных средств на стороне интернет-провайдеров. Речь идет о системах DPI. Для пользователя это означает, что между узлами приложения будет стоять фильтр трафика, который абсолютно ему недоступен.
Список угроз Рунету будет определять Минкомсвязи, согласовывая их с ФСБ. Чтобы выявить угрозы Роскомнадзор будет мониторить сети связи и определять уровень опасности. При высоком уровне Роскомнадзор возьмет централизованное управление сетью на себя.
Почему бизнесу стоит консолидировать ИТ-инфраструктуру в одной юрисдикции
Система DPI (deep packet inspection) — программно-аппаратный комплекс, анализирующий составные части пакетов данных, которые проходят по сети: адрес назначения и отправителя, заголовок и тело. Тело и будет анализировать DPI-система.
Раньше Роскомнадзор обращал внимание только на адрес назначения, теперь сигнатурный анализ тоже будет иметь значение. Если сравнивается состав тела пакета и эталон, например известный пакет Telegram, а совпадение близко к единице, такой пакет отбрасывается.
Поскольку бизнес не будет знать всех параметров фильтрации, то прохождение облачного трафика через DPI-системы государства может привести к сбоям в работе компании. Например, когда поступают данные из находящейся за рубежом базы, а сетевые пакеты, которые содержат неизвестный для компании параметр фильтрации, не приходят на сервер, так как отбрасываются системой Роскомнадзора. Выход из такой ситуации один — держать все облачную инфраструктуру внутри страны.
Возможны сбои еще до официальных блокировок — из-за учений
В целях отработки механизмов блокировок законом предусмотрены специальные учения, которые проводятся с участием всех ключевых игроков, обеспечивающих работу интернета в России. Среди них — владельцы номеров автономных систем (больших групп IP-адресов с единой политикой маршрутизации).
Для облачного бизнеса дополнительные неудобства могут возникнуть из-за того, что к владельцам номеров автономных систем относятся и IaaS-провайдеры, инфраструктурой которых активно пользуются компании.
Новый закон также возлагает на операторов связи ряд обязанностей:
- Выполнять установленные Роскомнадзором правила маршрутизации.
- По требованию РКН корректировать маршрутизацию.
- Использовать только национальную систему доменных имён при разрешении доменных имен.
- Использовать только те точки обмена трафиком, которые есть в соответствующем реестре.
- Оперативно информировать РКН о маршрутах сообщений электросвязи, своих сетевых адресах и т. д.
Изменения правил маршрутизации могут привести к потере связности и скорости интернет-соединения. В России большинство провайдеров имеют хорошую связность, но из-за изменения маршрутизации могут возникнуть проблемы. Поставщикам облачных решений придется предусмотреть защиту на случай потери связности.
А компаниям нужно дополнительно подумать о перестройке сетевой инфраструктуры, не ограничиваясь облачными сервисами, но и с опорой на внутреннюю сеть. Это позволит ей оставаться под контролем при проведении учений и внедрении процедур досмотра трафика.
Сложности в работе облачных сервисов
Существует риск, что после введения мер, определенных законом об автономном Рунете, могут оказаться недоступными многие облачные сервисы, которые пользуются услугами зарубежных инфраструктур и дата-центров. Под угрозой офисные программы, CRM-системы, репозитории кода и др. Потерять работоспособность могут в первую очередь ресурсы, которые используют иностранные серверы, например AWS (Amazon Web Services).
Проблемы могут возникнуть и из-за особенностей использования CDN (Content Delivery Network). Географически распределенная сетевая инфраструктура для сокращения маршрута передачи данных делит содержимое между несколькими серверами. Если пропадет связь с зарубежными серверами этих CDN, то скрипты и контент на них станут недоступными. Может наступить полная неработоспособность сайта или отказ некоторых элементов и функций.
При этом закон освобождает провайдеров от ответственности перед клиентами за качество связи, если перебои возникают из-за специальных средств противодействия угрозам.
Тем не менее это будут временные перебои, которые можно исправить переносом инфраструктуры на аналоги в России. Сейчас компании не используют их из-за сравнительно высокой стоимости и отличающегося функционала. Новый закон подтолкнет бизнес к переходу на местные решения.
Расходы на переезд
Тем, кто не собирается выходить из российской юрисдикции и переносить всю инфраструктуру за рубеж, необходимо уже сейчас озаботиться полным переносом своего интернет-бизнеса в Россию.
Часты ситуации, когда на российской территории компании хранят персональные данные, а за границей имеют серверы, на которых осуществляется поддержка бизнес-процессов. Это связано с тем, что зарубежные аналоги дешевле и более защищены. Поэтому нужно понимать, что кроме разовых трат на перенос и настройку серверов для таких компаний вырастут и текущие расходы на хранение данных.
У тех, кто ведет облачный бизнес в нескольких странах, возникнет необходимость параллельного ведения баз данных и их синхронизации.
Трудности с обновлением ПО
Может возрасти количество атак с эксплойтами нулевого дня из-за отсутствия возможности обновлять ОС и браузеры. Возможно, российские разработчики смогут обеспечить поддержку Linux, Chromium и Firefox, но на все задачи их ресурсов не хватит.
В госзакупках доля отечественного ПО, по данным на 2018 год, достигла 70%, однако в корпоративном секторе иная ситуация. Компаниям стоит готовиться к переходу не только на российские серверы, но и на аналоги софта.
Как подготовиться к автономности Рунета
Если вы пользуетесь в своем бизнесе облачной инфраструктурой или другими клауд-сервисами, то можно принять ряд мер, чтобы подготовиться к автономности Рунета:
- Перенесите ваши приложения на площадку одного из крупных российских облачных провайдеров.
- Чтобы синхронизировать ваши приложения с иностранными ресурсами, настраивайте сеть так, чтобы соединение шло из РФ, а не наоборот. Или вместо доменов используйте IP-адрес.
- Существует большая вероятность роста цен на услуги облачных провайдеров, поэтому можно подстраховать себя, договорившись о скидке при оплате на год вперед.
- Начать использовать местный мессенджер, желательно через веб-интерфейс CRM вашей компании.
- Уйти с Gmail-почты.
- Купить у российского регистратора SSL-сертификат.
Как закон об автономном Рунете повлияет на бизнес
В краткосрочной перспективе, в связи с переходом бизнеса на отечественные аналоги, местные облачные провайдеры могут получить дополнительные выгоды.
Но когда процедуры, описанные в законе, начнут активно применяться, у многих облачных компаний может снизиться качество услуг. Несмотря на то что провайдеров освободили от ответственности за качество связи, это может снизить интерес к публичному облаку и затормозить развитие ИТ-рынка.
С другой стороны, закон предполагает необходимость развития собственной ИТ-инфраструктуры в стране, и это положительно. Однако на данный момент, по мнению экспертов, наши сети не готовы к изоляции.