Pull to refresh

Comments 48

>>AES шифрование с длиной ключа минимум 256 бит.
А Blowfish с предварительм хэндшейком по TLS уже не в моде?
>> с шифровкой устойчивым ассиметричным методом
Безотносительно, но симетричное шифрование быстрее и надежнее как то *)
а главное и ключ лежит на серваке, очень удобно… для вскрытия, или генерить взрывающиеся винчестеры/флешки?
Я не вижу связи между методом шифрования и местом для хранения ключей.
Иногда читаю посты в стиле «держите проекты за границей, держите деньги за границей, живите за границей!». Дальше оказывается, что пишет все это напуганный пионер, у которого районный опер МВД отобрал компик с пиратской виндой и апачем, который раздавал порнуху…

Это Вы про agava.ru?
агава — показательный процесс, да и за дело, все-таки. Я про остальные случаи.
Проблема в том, что в Этой Стране под «показательный процесс» может попасть абсолютно каждый — как «пионер с пиратской виндой», так и «большие дяди» вроде «Агавы». Я считаю, единственный годный способ — держать сервера за границей. И самому жить там же.

Потому что какое бы ни было шифрование, и где бы ключи не хранились — от самого применения «терморектального криптоанализа» это не спасет. И даже если вы будете пользоваться токенами, и с гордостью на глазах у людей в масках проглотите токен с мастер-ключом — это приведет лишь к тому, что вас в лучшем случае накормят пургеном, а скорее всего — вспорят живот, чтобы ключик достать. Мало какая информация стоит таких жертв. Особенно — если ты не владелец бизнеса а простой сисадмин, работающий «на дядю».
любой бизнесмен запуская проект оценивает риски, сейчас они оцениваются не совсем правильно. Риски по забугорным серверам тоже есть и не малые, зависит еще от того в какой стране. Баланс «преступность — жесткость правосудия» для разных стран разный, вот в тайланде вроде все либерально, а как наш народ из тюрем воет…

Админ в банке должен просто пароль держать на работе в столе/сейфе/ячейке. Нужен пароль, паролей нет, вместо них «сертификатный ключик» — идите в офис, лежит в сейфе, каждый вечер меняется, принести не могу… испортится пока нести буду. Да и если еще доступ к внутренней машине только с определенных адресов будет разрешен, то только из офиса. Ну и если собственная безопасность достаточно компетентна, чтобы доверится, если семье угрожать вдруг надумают, то можно работать. А если нет — делать супер «главную консоль» под замком, пусть ее сторожат.
Если речь идет о банке — то да, тут вся надежда на СБ. Хотя будут ли они защищать «простого админа», которого звать никак — вопрос тот еще.
Ключ в сейфе, яйцо в утке, утка в зайце и т.д. — это все хорошо и надежно, но совсем не гарантируют от того, что ElcomHard не будет применен к сисадмину — на всякий случай, а вдруг он все же какой-то пароль знает?
у меня знакомый был техническим директором. так директора разругались, его к стенке и выстрел рядом с головой. Все пароли вспомнил, все документы сразу же подписал
Скрытая реклама своего ЦОД? ;)
Я так и не понял: Вы за или против серверов за границей?
открытая реклама по-моему :)
Так это же корпоративный блог, им тут можно. Да и информация всё же довольно полезная, хоть и для новичков. А то тут такие кадры попадались…

>Скрытая реклама своего ЦОД? ;)
да вы на блог посмотрите, куда уж более открыто-то)
сервера должны быть там, где аудитория/пользователи/администраторы. Если проект для «ТАМ», то однозначно там, но и то нанять ТАМошнего тех. специалиста, чтобы решал вопросы нормально взаимодействуя с дата-центром. Вообще, плюсы и минусы везде свои, надо смотреть под конкретные проекты. А для каких-то проектов и проценты размещения в разных сетях разных стран планировать. Я думаю, ни для кого не секрет, что Интернет для проектов до 1-2 Гбит/сек однородный, далее «Интернет» пропадает, а появляются конкретные отдельные сети с вполне конкретными коннективити и схемами резервирования.
Не сказать, чтоб что-то новое… В принципе — выше описана типичная нормальная политика безопасности, применимая не только против ФСБКГБ, но и в любой другой информационной среде, оперирующей личной информацией. И да, я терминальники уже давно в хетзнере держу. Как-то спокойнее.
Придерживаться правил надо не против кого-то конкретно, а для себя… просто не подставляться. Часто «удостоверениями» сопровождают конкретные атаки на бизнес, на клиентов. В России этот тип атак более опасен, чем чисто информационный. Если брать в расчет мысль, что все люди с удостоверениями абсолютно честные и работают на благо граждан, то пару правил можно было бы вычеркнуть, но большинство оставить.
По-моему, надо топик в «Я пиарюсь» перенести :)
За границей дешевле и вероятность присылки бымажки от опера практически равна нулю. Смысл?
Ну там тоже не дураки живут и вы вдруг можете каким-либо образом нарушить их законы. Так же сложнее будет что-то доказывать, отстаивать, если проблемы будут у забугорного хостера. Хотя да, как правило там хранить информацию спокойнее.

Про нарушение законов всё понятно. Я имею ввиду самоуправство местный полисменов.
про это и статья. Риски по шальным налетам на самом деле сильно завышены в СМИ. И при грамотном отношении к проекту, они вообще сводятся к нулю.
Из статьи:

>А вот бумажных обращений из МВД, ФСБ, прокуротуры, судебных приставов, правообладателей – десяток в месяц на каждую тысячу физических серверов.
Ах да, прокуротура это волшебно :)
смотря с чем. Если люди решают изначально делать что-то противозаконное, а не просто от налетов укрываться, то их ТАМ быстрее задавят. В европе, штатах… намного быстрее. А потом бояться билет на самолет покупать. :-)
Проблемы у забугорного хостера могут быть только в том случае, если вы нарушаете законы — это абсолютно верно. Обычно перечень «что запрещено делать» озвучивается клиенту заранее. И с этим проблем не возникает…
дешевле да, в некоторых случаях. Когда один частник арендует за наличку один сервачек, то да. А если хоть сколько-нибудь серьезный проект, то не все так просто. Попробуйте хоть договор с нормальной ответственностью заключить, а потом платить безналом, ломая голову как принять эти расходы и обосновать для налоговых органов. Все кто работал с интернет проектами масштаба «больше одного сервера» — знает и минусы. Чем больше проект, тем больше проблем.
Это же такая же экспортно/импортная операция как все остальные. Да, они сложные, но народ работает же как-то.
у вас есть опыт прохождения налоговой проверки по компании, у которой доходы в России, а заметная часть расходов ТАМ? Да так чтобы оборот по компании больше хотя бы 1e6$ в месяц? ой как я вам этого не желаю. :-)
Вы тратите миллион долларов в месяц на сервера?
> компании, у которой доходы в России, а заметная часть расходов ТАМ? Да так чтобы оборот по компании больше хотя бы 1e6$ в
> месяц?

Действительно. Вы описали сейчас портрет хабравчанина.
отличайте компании и их бюджеты от людей, это все же разные порядки. Здесь есть те специалисты, которым приходится работать в компаниях, которые запускает проекты. У меня больше половины знакомых ИТшников работает в компаниях с оборотами больше 10e6$ в месяц. Но решать как раскидать роли на серверах и как все организовать им, а не учредителям/директорам.
дешевле да, в некоторых случаях. Когда один частник арендует за наличку один сервачек, то да. А если хоть сколько-нибудь серьезный проект, то не все так просто. Попробуйте хоть договор с нормальной ответственностью заключить, а потом платить безналом,
Пробовали…
, ломая голову как принять эти расходы и обосновать для налоговых органов. Все кто работал с интернет проектами масштаба «больше одного сервера» — знает и минусы. Чем больше проект, тем больше проблем
Какие страшилки — просто прелесть! Платёж по безналу падает на российское юрлицо и всё… И для пользователя — это обходится намного дешевле. Для примера: сколько в вашем ДЦ стоит арендовать стойку? В нашем — не дороже 27000рублей ( и с НДС)…
Никаких проблем при работе с российскими юрлицами — мы(зарубежные хостеры) не испытываем.., так же как и наши клиенты — так что ваши страшилки просьба оставить при себе…
было бы странно, если бы Вы чувствовали проблемы. :-) С вашей стороны то все замечательно. Это наши сограждане должны напрягаться. В налоговой обосновать оплату лицензируемых услуг мелкой прослойке. Вы на прослойку лицензии хоть получили? а вместе с ними и требования по сдаче узлов, правилам построения сетей, СОРМ и т.д? Выполняете? Или все клиенты платят, не принимая на расходы? или каждые пол года прослойки меняете?
По ценам — для вашего уровня ДЦ в России есть дешевле варианты. Судя по вашему прайсу на сайте и максимальной мощности в 16А в прайсе, я бы сказал, что у вас дорого. Яндекс в даже москве дешевле варианты покажет, с тем же описанием «у нас датацентр», даже без описания и фоток здания/стоек/УПС/кондеев/дизеля/охраны.
По ценам — для вашего уровня ДЦ в России есть дешевле варианты. Судя по вашему прайсу на сайте и максимальной мощности в 16А в прайсе, я бы сказал, что у вас дорого.


Зачем быть голословным, уважаемый. Опубликуйте, что у вас дешевле — и люди с Хабра к вам потянутся без проблем…
было бы странно, если бы e-Style Telecom с вами мериться стал. :-) Это как будет макдональдс будет мериться ценой на одну булку с одиноким привокзальным ларьком. Поиск на яндексу «аренда стойки москва» дает гарантированно более выгодные предложения, чем у вас. Даже если не брать в расчет коннективити, риски и TCO.
Люди с хабры и так регулярно в estt тянутся, именно по этому этот блог компании и живет.
Конечно меряться — это самое интересное занятие… По вашей рекомендации открыл яндекс и в первых рядах есть сравнительный анализ услуги в Москве и Питере… в Москве стоимость услуг начинается от 63тысячи, в Питере от 46тысяч… Где ваше более выгодное предложение..?
только мощность 5кВт и больше, в два раза больше чем у вас за 27 круб. К тому же, как в парикмахерской, считать «сколько волос состригли за сколько рублей» — не актуально, важен сервис в целом, а его у вас нет.
Коннективити — у вас всего один оператор (судя по вашим текущим BGP анонсам), у нас больше 80 прямых IP/BGP стыков. И дата-центры в Москве в большинстве своем Tier3, а не как у вас. Ровняться на Московские «от 63 круб» вам еще слишком рано, сначала вложите пару млн$. А аппаратных комнат вашего уровня в Москве сдается вагон и маленькая тележка, найти чтобы за ввод с автоматом 16А платить 27круб в месяц — с существенно лучшим коннективити. Для начала хоть свои IP адреса получите и станьте провайдером (LIR RIPE), а не на PI адресах клиентов сажайте.
еще забыл добавить, у нас яндекс по-другому виден. Вы не видете предложений из директа для Москвы. Если из Москвы открывать — яндекс полон предложений и по 35-37 круб за стойку 5кВт (32А автомат класса D, или 40А класса C), похожих на Ваш сарайчиков.
Не горячитесь, уважаемый… Я Яндекс именно из Москвы наблюдаю..:)…
> чем найти немого админа, который после недели висения за наручники в КПЗ

Все-таки вы меня напугали…
мы «консультировали» как отстраивать системы безопасности крупных международных банков, избавиться потом от административного доступа на железки было не просто… люди тоже все понимали. Такие вещи надо перекладывать на флешки, или на других… Интеграторы знают. :-) Проекты разные с разными рисками.
Похоже, AES 256 ломать уже научились. Потому и рекомендуете :)
пока буржуи не дадут — не научатся.
А если бы они рекомендовали что-то нехорошее, то скорее убеждали бы пользоваться СЕРТИФИЦИРОВАННЫМИ комплексами. :-)
Советы по ведению бизнеса от инструкции по выживанию почти не отличаются. Забавно.
>Иногда читаю посты в стиле «держите проекты за границей, держите деньги за границей, живите за границей!».
>Дальше оказывается, что пишет все это напуганный пионер, у которого районный опер МВД отобрал компик с пиратской виндой и апачем, который раздавал порнуху…
>Реальный опыт эксплуатации дата-центров говорит другое.

А если человек арендовал железо в хецнере и спит спокойно — это у него нереальный опыт, а сам он бестолковый пионер?

Только Москва-М9, только договоры между юрлицами, только оплата по безналу из сбербанка, только пиропатроны в винчестерах, только хардкор! :D
Sign up to leave a comment.