Облачное хранилище
Руководитель направления облачных и бизнес-сервисов Mail.Ru Group Егор Ганин — о происхождении мифов про облачные хранилища
О воздействии 25-го кадра на сознание человека слышали, наверное, все. И все на всякий случай его побаиваются. Но далеко не все знают, что это миф, придуманный предприимчивым бизнесменом в 1957 году. Учёные опровергли эту теорию, позже под давлением общественности автор сознался, что все это — выдумка. Несмотря на это, миф укрепился в нашем сознании настолько, что использование 25-го кадра в рекламе запрещено в некоторых странах законодательно. Мы больше склонны верить в недоказанные теории заговоров и манипуляций, чем руководствоваться собственными знаниями, опытом и здравым смыслом. Проверить тот факт, что 25-й кадр — это миф, вы можете самостоятельно, а в этой статье я разберу мифы и легенды, связанные с облачными сервисами.
Мифы прорастают на почве интереса к какой-либо теме. Нет времени в ней разбираться, поэтому мы довольствуемся домыслами. Облачные сервисы обросли мифами, так как информация для нас — ценность. Иногда мы даже не знаем, какой сценарий страшнее: если данные кто-то получит, или если они просто пропадут. Эти страхи и приводят нас к вопросу: «Насколько безопасно хранить файлы в облаке?».
Мифы прорастают на почве интереса к какой-либо теме. Нет времени в ней разбираться, поэтому мы довольствуемся домыслами. Облачные сервисы обросли мифами, так как информация для нас — ценность. Иногда мы даже не знаем, какой сценарий страшнее: если данные кто-то получит, или если они просто пропадут. Эти страхи и приводят нас к вопросу: «Насколько безопасно хранить файлы в облаке?».
Миф #1. Грабитель выкрадет сервер с моими данными
Это байка времён каменного века, когда входы в пещеру не запирались на дверной замок по причине отсутствия дверей, а серверы воровали пачками. Сегодня же вынести сервер из дата-центра может, пожалуй, только Дэнни Оушен со своими знакомыми из очередной серии блокбастера.
Здание дата-центра даже снаружи выглядит, как неприступная крепость: высокие монолитные фасады с узенькими окнами-бойницами. Пропускной режим в ДЦ соответствует внешнему виду. Все дело в том, что для владельцев этих помещений хостинг — это основной бизнес. А суть этого бизнеса — обеспечивать постоянную и бесперебойную работу серверов, которые хранятся за стенами цитадели.
Дата-центр внутри — это лабиринт из коридоров, жужжащих стоек с серверами и воткнутыми в них проводами. Просто так разобраться, где чьи сервера, невозможно.
Раз уж мы говорим о мифах, то Фавнами в этих лабиринтах являются сотрудники ДЦ: они действительно с закрытыми глазами могут найти сервер, принадлежащий тому или иному проекту. Но и для них это просто железки, в которых хранится какая-то информация. Дежурные администраторы отвечают за техническое обслуживание и бесперебойную работу: установить видеокарту, снять жёсткий диск, поменять блок питания, обесточить сервер.
Но, допустим, кто-то из команды Оушена нашёл нужный сервер, забрал и начал изучать его содержимое. А там десятки, сотни терабайт неструктурированной информации!
Давайте посчитаем. Одна фотография — это в среднем 3 МБ, а на сервере, предположим, лежит 300 ТБ информации. На просмотр одной фотографии уходит примерно 2 секунды. Переводим 300 ТБ в мегабайты — 314,5 млн. Делим на средний размер фото, умножаем на время просмотра, получаем более 209 млн секунд, свыше 58 тысяч часов, или около 2417 дней. Шесть с половиной лет просмотра одного сервера без сна и отдыха. Не думаю, что даже Гераклу был бы под силу такой подвиг.
И это мы даже не приняли во внимание тот факт, что на сервере своя система хранения данных: файлы в ней не выглядят так, как мы привыкли видеть у себя на компьютере. Это набор байт, для дешифровки которых нужны метаданные и ключи, хранящиеся совершенно в других местах.
Простите, что говорю это вслух, но вскрыть квартиру, украсть сумку, залезть в машину, стащить гаджет из-за находящейся там информации куда проще и быстрее, чем заниматься налётами на дата-центры. Ваши данные в опасности, если они не лежат в облаке.
Раз уж мы говорим о мифах, то Фавнами в этих лабиринтах являются сотрудники ДЦ: они действительно с закрытыми глазами могут найти сервер, принадлежащий тому или иному проекту. Но и для них это просто железки, в которых хранится какая-то информация. Дежурные администраторы отвечают за техническое обслуживание и бесперебойную работу: установить видеокарту, снять жёсткий диск, поменять блок питания, обесточить сервер.
Но, допустим, кто-то из команды Оушена нашёл нужный сервер, забрал и начал изучать его содержимое. А там десятки, сотни терабайт неструктурированной информации!
Давайте посчитаем. Одна фотография — это в среднем 3 МБ, а на сервере, предположим, лежит 300 ТБ информации. На просмотр одной фотографии уходит примерно 2 секунды. Переводим 300 ТБ в мегабайты — 314,5 млн. Делим на средний размер фото, умножаем на время просмотра, получаем более 209 млн секунд, свыше 58 тысяч часов, или около 2417 дней. Шесть с половиной лет просмотра одного сервера без сна и отдыха. Не думаю, что даже Гераклу был бы под силу такой подвиг.
И это мы даже не приняли во внимание тот факт, что на сервере своя система хранения данных: файлы в ней не выглядят так, как мы привыкли видеть у себя на компьютере. Это набор байт, для дешифровки которых нужны метаданные и ключи, хранящиеся совершенно в других местах.
Простите, что говорю это вслух, но вскрыть квартиру, украсть сумку, залезть в машину, стащить гаджет из-за находящейся там информации куда проще и быстрее, чем заниматься налётами на дата-центры. Ваши данные в опасности, если они не лежат в облаке.
Миф #2. В моё личное облако может сунуть свой нос сотрудник облачного сервиса
Мощная легенда, прочно засевшая в наших головах. Порой кажется, что даже Нестор упомянул бы о ней ещё в XII веке в «Повести временных лет», если бы у него не закончилась береста и не затупилось писало. Сказка начинается так: «В любом облачном сервисе любой файл может посмотреть любой сотрудник компании». Причём в интернетах утверждается, что сотрудникам российских компаний доступ к файлам получить проще, чем западным — оттого и доверие к зарубежным выше. Может быть, так думают потому, что файлы в российских компаниях физически ближе, а до западных — дальше… Не знаю. Но даже если предположить наличие такого желания у сотрудников, получить доступ к документам конкретного пользователя непросто.
Давайте развенчаем этот миф вместе.
В популярные облачные хранилища каждый день заливают десятки, а то и сотни терабайт данных. Этот огромный объём загружается в несколько параллельных потоков и записывается на разные серверы. Например, в дата-центры Облака Mail.Ru добавляется до 20 новых серверов в месяц. При этом файлы одного пользователя, даже если он их загружает в течение одного дня, могут быть записаны на разные серверы — а их у Облака несколько тысяч в разных концах Москвы.
Предположим, что масштаб нас не напугал, и мы все еще хотим получить доступ к чужим файлам. Тогда нам придётся нарушить закон, организовав ОПГ из коллег, и пойти на преступление по предварительному сговору. Все это уголовно наказуемые деяния, за совершение которых предусмотрена ответственность.
Для наглядности разберём процесс получения доступа к файлам облачного сервиса на примере работы Облака Mail.Ru. Уверен, уже на половине пути будет понятно, что задача, на которой базируется первый миф, неосуществима.
Допустим, наша цель — фото в облаке пользователя. Первым делом нужно будет узнать адрес электронной почты, который он использует для авторизации в Облаке. Без этого мы не сможем идентифицировать его личное хранилище. Кстати, адрес необязательно будет на Mail.Ru — он может принадлежать любому почтовому сервису; кроме того, человек мог авторизоваться с помощью одного из своих профилей в социальных сетях.
Дальше по почте пользователя нам нужно вычислить его уникальный идентификатор (это как номерок в гардеробе, по которому можно отыскать вещи). Этими «номерками» в компании ведает отдельный департамент. Значит, перед главарём ОПГ встаёт задача — найти пособника из числа людей, которые получают зарплату за хранение той информации, которой владеют. Задача, мягко говоря, сложная. А невыполнимой она становится из-за NDA (соглашение о неразглашении информации), которое подписывает каждый сотрудник. Кроме того, все сотрудники равны перед УК РФ, так что они крайне настороженно отнесутся к просьбе об обращении к пользовательским данным.
Но, так как мы говорим о мифах, я предлагаю продолжить фантазировать и предположить, что благодаря подкупу, шантажу или насилию подельника найти удалось.
И тут ОПГ ждёт новое препятствие. Как и у спецагентов, у нас есть уровни доступа. Например, у простых инженеров, занимающихся серверной частью, нет доступа почти ни к чему, кроме кода, который они пишут. А до того, как код пойдёт в дело, он должен пройти ревью у двух сотрудников и проверку у тех, кто отвечает за выход в продакшн. То есть заходить с этой стороны максимально сложно: придётся заманить в ОПГ ещё как минимум четверых человек.
Кажется, есть более лёгкий путь: найти человека, у которого есть прямой доступ к продакшну.
К реальным данным мы подпускаем сотрудников далеко не сразу, только после того, как человек доказал свой профессионализм и продемонстрировал личные качества. Кстати, доступа к боевым машинам нет у технического директора Облака, нет у руководителя направления, в который входит этот сервис, то есть у меня. Нет его даже у моего начальника. Он есть только у тех, кому он необходим для выполнения рабочих задач.
Давайте развенчаем этот миф вместе.
В популярные облачные хранилища каждый день заливают десятки, а то и сотни терабайт данных. Этот огромный объём загружается в несколько параллельных потоков и записывается на разные серверы. Например, в дата-центры Облака Mail.Ru добавляется до 20 новых серверов в месяц. При этом файлы одного пользователя, даже если он их загружает в течение одного дня, могут быть записаны на разные серверы — а их у Облака несколько тысяч в разных концах Москвы.
Предположим, что масштаб нас не напугал, и мы все еще хотим получить доступ к чужим файлам. Тогда нам придётся нарушить закон, организовав ОПГ из коллег, и пойти на преступление по предварительному сговору. Все это уголовно наказуемые деяния, за совершение которых предусмотрена ответственность.
Для наглядности разберём процесс получения доступа к файлам облачного сервиса на примере работы Облака Mail.Ru. Уверен, уже на половине пути будет понятно, что задача, на которой базируется первый миф, неосуществима.
Допустим, наша цель — фото в облаке пользователя. Первым делом нужно будет узнать адрес электронной почты, который он использует для авторизации в Облаке. Без этого мы не сможем идентифицировать его личное хранилище. Кстати, адрес необязательно будет на Mail.Ru — он может принадлежать любому почтовому сервису; кроме того, человек мог авторизоваться с помощью одного из своих профилей в социальных сетях.
Дальше по почте пользователя нам нужно вычислить его уникальный идентификатор (это как номерок в гардеробе, по которому можно отыскать вещи). Этими «номерками» в компании ведает отдельный департамент. Значит, перед главарём ОПГ встаёт задача — найти пособника из числа людей, которые получают зарплату за хранение той информации, которой владеют. Задача, мягко говоря, сложная. А невыполнимой она становится из-за NDA (соглашение о неразглашении информации), которое подписывает каждый сотрудник. Кроме того, все сотрудники равны перед УК РФ, так что они крайне настороженно отнесутся к просьбе об обращении к пользовательским данным.
Но, так как мы говорим о мифах, я предлагаю продолжить фантазировать и предположить, что благодаря подкупу, шантажу или насилию подельника найти удалось.
И тут ОПГ ждёт новое препятствие. Как и у спецагентов, у нас есть уровни доступа. Например, у простых инженеров, занимающихся серверной частью, нет доступа почти ни к чему, кроме кода, который они пишут. А до того, как код пойдёт в дело, он должен пройти ревью у двух сотрудников и проверку у тех, кто отвечает за выход в продакшн. То есть заходить с этой стороны максимально сложно: придётся заманить в ОПГ ещё как минимум четверых человек.
Кажется, есть более лёгкий путь: найти человека, у которого есть прямой доступ к продакшну.
К реальным данным мы подпускаем сотрудников далеко не сразу, только после того, как человек доказал свой профессионализм и продемонстрировал личные качества. Кстати, доступа к боевым машинам нет у технического директора Облака, нет у руководителя направления, в который входит этот сервис, то есть у меня. Нет его даже у моего начальника. Он есть только у тех, кому он необходим для выполнения рабочих задач.
«Спецагенты» (именно их должен будет завербовать наш злоумышленник) с высшим уровнем доступа могут получить данные с продакшена. Однако и тут есть нюанс: все действия сотрудников логируются. Логи — это запись действий. Они, как следы на снегу в солнечную погоду: скрыть их невозможно, и, если по ним идти, наверняка найдёшь того, кто их оставил. Файлы с логами обрабатываются в реальном времени. О любом нестандартном действии моментально приходит уведомление службе безопасности. Безопасники — это суровые парни, которые никогда не улыбаются; они ездят в лифте, обедают и, мне кажется, даже пьют пиво в компании молча. Всем своим видом они напоминают сотрудникам, что за целенаправленную выгрузку данных пользователя без веских на то причин (а такой причиной может являться только решение суда) грозит увольнение и уголовное преследование.
Честно говоря, я не уверен, что до этого шага дошёл бы сам Мориарти. А если бы и дошёл, вряд ли смог бы замести следы.
В общем, если один из сотрудников вдруг решит добраться до ваших файлов, ему придётся совершить огромное количество действий, в том числе и противозаконных, вовлечь в этот процесс других людей, а все его ходы будут записаны. За подобные телодвижения деятеля уволят раньше, чем он добьется своей цели.
А самое главное, как и в передаче «Расследование авиакатастроф», абсолютно любой инцидент мы постфактум разбираем по частям. Результатом разбора является комплекс мер, дублирующих функций, контролирующих механизмов, которые в совокупности делают невозможным воспроизведение аналогичного сценария в будущем.
Ну и последний факт: большинство облачных хранилищ принадлежат публичным компаниям, торгующим на бирже. Успешность таких компаний зависит от двух показателей: от выручки и репутации. Так вот, репутация облачных хранилищ обратно пропорциональна количеству утечек данных их пользователей. Например, акции Facebook в результате недавнего скандала с потерей данных пользователей обвалились на 40%, несмотря на то, что компании удалось доказать отсутствие злого умысла. Это простой пример, демонстрирующий, что сотрудники публичных компаний финансово заинтересованы в том, чтобы исключить несанкционированный доступ к данным, потому что последствия могут быть непоправимыми.
В общем, если один из сотрудников вдруг решит добраться до ваших файлов, ему придётся совершить огромное количество действий, в том числе и противозаконных, вовлечь в этот процесс других людей, а все его ходы будут записаны. За подобные телодвижения деятеля уволят раньше, чем он добьется своей цели.
А самое главное, как и в передаче «Расследование авиакатастроф», абсолютно любой инцидент мы постфактум разбираем по частям. Результатом разбора является комплекс мер, дублирующих функций, контролирующих механизмов, которые в совокупности делают невозможным воспроизведение аналогичного сценария в будущем.
Ну и последний факт: большинство облачных хранилищ принадлежат публичным компаниям, торгующим на бирже. Успешность таких компаний зависит от двух показателей: от выручки и репутации. Так вот, репутация облачных хранилищ обратно пропорциональна количеству утечек данных их пользователей. Например, акции Facebook в результате недавнего скандала с потерей данных пользователей обвалились на 40%, несмотря на то, что компании удалось доказать отсутствие злого умысла. Это простой пример, демонстрирующий, что сотрудники публичных компаний финансово заинтересованы в том, чтобы исключить несанкционированный доступ к данным, потому что последствия могут быть непоправимыми.
Миф #3. Вся информация, хранящаяся в облаке, будет безвозвратно утеряна в случае ЧП
Полагаю, это что-то из греческой мифологии, где Зевс, бог-громовержец, метал молнии исключительно метко и точно, попадая прямиком в нужный сервер и не задевая другие. В жизни же форс-мажоры работают по-другому. Если на один из московских ДЦ упадёт, например, метеорит, то пострадают компьютеры многих пользователей, в том числе, и в других городах — как минимум от взрывной волны: Голливуд снял достаточно фильмов, в красках описывающих последствия разрушительных стихийных бедствий.
Но даже в таком неправдоподобном сценарии у файла в облаке шансов выжить больше, чем у документа на персональном компьютере. Все крупные сервисы делают копии на такой случай — и в Облаке Mail.Ru осуществляется резервное копирование всех данных. В случае выхода из строя одного дата-центра вы можете быть уверены, что не потеряете свои фотографии за N лет жизни, потому что копия их находится в другом. Более того, если что-то случится с одним дата-центром, данные со второго тут же начинают копироваться в третий.
Но даже в таком неправдоподобном сценарии у файла в облаке шансов выжить больше, чем у документа на персональном компьютере. Все крупные сервисы делают копии на такой случай — и в Облаке Mail.Ru осуществляется резервное копирование всех данных. В случае выхода из строя одного дата-центра вы можете быть уверены, что не потеряете свои фотографии за N лет жизни, потому что копия их находится в другом. Более того, если что-то случится с одним дата-центром, данные со второго тут же начинают копироваться в третий.
Любая техника имеет свойство ломаться даже без участия таких весьма вероятных факторов, как мировой потоп и упавший на ДЦ модуль космической станции. Рабочие могут перерезать какой-нибудь кабель, а сервер выйдет из строя под нагрузкой. Но и тут у ваших файлов шансов выжить больше, чем в случае, если вы зальёте свой ноутбук чашечкой ароматного кофе. Специалисты облачного сервиса начинают заниматься проблемой сразу же, не делают перерывов на обед и сон и не останавливаются, пока не решат ее. Чего не скажешь о сотрудниках сервисного центра, в который вы понесёте свой гаджет на реанимацию.
Компании – разработчики облаков очень щепетильно относятся к соблюдению SLA – соглашения об уровне предоставления услуги – и всячески стараются этот уровень повышать (конкуренция на рынке обязывает).
Компании – разработчики облаков очень щепетильно относятся к соблюдению SLA – соглашения об уровне предоставления услуги – и всячески стараются этот уровень повышать (конкуренция на рынке обязывает).
Миф #4. Я потеряю смартфон, и кто-то получит доступ к файлам в облаке
Всё в точности наоборот: если вы потеряете смартфон, кто-то абсолютно точно получит доступ к вашим данным, которые на нём хранятся. А вот получить доступ к облаку через него будет весьма затруднительно.
Во-первых, вы сможете сменить пароль от облака с любого устройства до того, как телефон взломают. Во-вторых, даже если вы этого не сделаете, у сервисов есть дополнительные способы защиты. У Облака Mail.Ru, например, это двухфакторная аутентификация и дополнительный PIN-код, а ещё оно фотографирует человека, который вводит неверный пароль. Всё это делает облачное хранилище практически неуязвимым в случае утери гаджета. А если вы держите фотографии только в облаке, автоматически удаляя их с устройства (так облако тоже умеет), вы оставите любого вора с носом: ему не достанутся ваши снимки, и вы не станете очередным героем жёлтой прессы под заголовком «Личные данные звёзд утекли в сеть».
Чтобы ваша фамилия и фотографии не появились в той же статье, в которой упоминаются Уотсон, Лоуренс, Данст и другие знаменитости, соблюдайте простые правила.
Чтобы ваша фамилия и фотографии не появились в той же статье, в которой упоминаются Уотсон, Лоуренс, Данст и другие знаменитости, соблюдайте простые правила.
- Сложные пароли, разные для всех сайтов. Придумайте какое-то слово, которое вы не забудете, добавьте приставку сайта, в котором регистрируйтесь, и случайный набор цифр, который вы помните. Например: Shevchuk_ml_2304. Шевчук — ваш любимый певец, ml — первая и последняя буквы в имени сервиса Mail, на котором вы регистрируетесь, а 2304 — день рождения лучшего друга. Для Яндекса будет Shevchuk_yx_2304.
- Всегда включайте двухфакторную аутентификацию. Она есть практически на всех крупных порталах.
- Установите пин-код на разблокировку телефона и регулярно его меняйте.
- Установите Облако Mail.ru и пин на вход, там же включите функции «Фото при неудачном входе» и не забывайте периодически чистить память вашего устройства. Облако вам в этом поможет.
