Заўвага перакладчыка.
Як заснавальнік Simple Analytics, я заўсёды памятаў аб важнасці даверу і празрыстасці для нашых кліентаў. Мы нясем адказнасць за іх, каб яны маглі спаць спакойна. Выбар павінен быць аптымальным з пункту гледжання прыватнасці і наведвальнікаў, і кліентаў. Так, адным з найважнейшых для нас пытаннем стаў выбар месцазнаходжання сервераў.
За апошнія некалькі месяцаў мы паступова перамясцілі нашы серверы ў Ісландыю. Жадаю растлумачыць, як усё адбывалася, і, самае галоўнае, чаму. Гэта быў няпросты працэс, і я хацеў бы падзяліцца нашым досведам. У артыкуле ёсць некаторыя тэхнічныя дэталі, якія я паспрабаваў напісаць зразумелай мовай, але прашу прабачэння, калі яны занадта тэхнічныя.
Навошта пераносіць сэрвэры?
Усё пачалося з таго, што наш сайт дадалі ў
Я напісаў
[…] Так што калі мы працягнем блакаваць добрыя кампаніі, якія паважаюць канфідэнцыяльнасць карыстальнікаў, які ў гэтым сэнс? Думаю, што гэта няправільна, не варта змяшчаць кожную кампанію ў спіс толькі таму, што яна дасылае запыт. […]
І атрымаў
Усё з вамі згодны, але я не хачу, каб мае запыты адпраўляліся ў амерыканскую кампанію (у вашым выпадку Digital Ocean […]
Спачатку мне не спадабаўся адказ, але ў абмеркаванні з супольнасцю мне ўказалі на ягоную правату. Урад ЗША на самой справе можа атрымаць доступ да дадзеных нашых карыстальнікаў. У той час нашы серверы сапраўды працавалі ў Digital Ocean, яны маглі проста выцягнуць нашу кружэлку і прачытаць дадзеныя.
Ёсць тэхнічнае вырашэнне праблемы. Вы можаце зрабіць так, што скрадзены (ці адлучаны па якой-небудзь прычыне) дыск становіцца непрыдатны для іншых. Поўнае шыфраванне абцяжарыць доступ у адсутнасць ключа (нататка: ключ толькі ў Simple Analytics). Па-ранейшаму можна атрымаць невялікія фрагменты дадзеных, фізічна счытваючы аператыўную памяць сервера. Сервер не можа працуе без аператыўнай памяці, так што ў гэтых адносінах даводзіцца даверыцца хостынг-правайдэру.
Гэта прымусіла мяне задумацца, куды перамясціць нашыя сэрвэры.
Новае месца
Я пачаў шукаць у гэтым кірунку і натыкнуўся на старонку ў Вікіпедыі са
Апроч гэтага спісу, існуе альянс пад назвай
Пасля гэтага мы вырашылі, што не будзем хосціцца ні ў адной з краін са спісу "ворагаў інтэрнэту" і дакладна прапусцім краіны з альянсу 14 Eyes. Факту калектыўнага сачэння дастаткова, каб адмовіцца ад захоўвання там дадзеных нашых кліентаў.
Адносна Ісландыі вышэйзгаданая старонка Вікіпедыі абвяшчае наступнае:
Канстытуцыяй Ісландыі забаронена цэнзура, і існуе трывалая традыцыя абароны свабоды выказвання меркаванняў, якая распаўсюджваецца і на Інтэрнет. […]
Ісландыя
Падчас пошуку найлепшай краіны з пункту абароны прыватнасці Ісландыя з'яўлялася зноў і зноў. Таму я вырашыў старанна вывучыць яе. Калі ласка, майце на ўвазе, што я не размаўляю па-ісландску, з-за чаго мог выпусціць важную інфармацыю.
Паводле справаздачы
Ісландыя не з'яўляецца членам Еўрапейскага саюза, хаця ўваходзіць у Еўрапейскую эканамічную зону і пагадзілася прытрымлівацца заканадаўства ў галіне абароны правоў спажыўцоў і прадпрымальніцкага права, аналагічнага заканадаўству іншых дзяржаў-членаў. Сюды ўваходзіць Закон аб электронных паведамленнях (Electronic Communications Act 81/2003), які ўвёў патрабаванні да захоўвання дадзеных.
Закон прымяняецца да пастаўшчыкоў тэлекамунікацыйных паслуг і прадугледжвае захоўванне запісаў на працягу шасці месяцаў. У ім таксама гаворыцца, што кампаніі могуць падаваць інфармацыю аб тэлекамунікацыях толькі ў крымінальных справах ці па пытаннях грамадскай бяспекі і што такая інфармацыя не можа быць прадстаўлена нікому, акрамя паліцыі ці пракуратуры.
Хоць Ісландыя ў цэлым прытрымліваецца законаў Еўрапейскай эканамічнай зоны, у яе свой падыход да абароны прыватнасці. Напрыклад, ісландскі закон
Яшчэ адна перавага пераезду ў Ісландыю - клімат і размяшчэнне. Серверы вылучаюць шмат цяпла, а сярэднегадавая тэмпература ў Рэйк'явіку (сталіца Ісландыі, дзе размешчана большасць цэнтраў апрацоўкі дадзеных) складае 4,67 ° C, так што гэта выдатнае месца для астуджэння сервераў. На кожны ват для працы сервераў і сеткавага абсталявання сыходзіць прапарцыйна вельмі мала ват на астуджэнне, асвятленне і іншыя накладныя выдаткі. Акрамя таго, Ісландыя з'яўляецца найбуйнейшым у свеце вытворцам "чыстай" энергіі на душу насельніцтва і наогул найбуйнейшым вытворцам электраэнергіі на душу насельніцтва, з прыкладна 55 000 квт • ч на чалавека ў год. Для параўнання, сярэдні паказчык па ЕС менш за 6000 кВт•гадз. Большасць хостэраў у Ісландыі атрымліваюць 100% электраэнергіі з аднаўляльных крыніц.
Калі вы праведзяце прамую лінію ад Сан-Францыска да Амстэрдама, то перасячэце Ісландыю. У Simple Analytics большасць кліентаў з ЗША і Еўропы, таму ёсць сэнс абраць менавіта гэтае геаграфічнае становішча. Дадатковыя плюсы на карысць Ісландыі - законы, якія абараняюць прыватнасць, і экалагічны падыход.
Перанос сервераў
Па-першае, трэба было знайсці мясцовага хостынг-правайдэра. Іх даволі шмат, і сапраўды цяжка вызначыць найлепшага. У нас не было рэсурсаў, каб паспрабаваць усіх, таму мы напісалі некалькі аўтаматычных скрыптоў (
Аднак у ходзе гэтага працэсу мы сутыкнуліся з некалькімі перашкодамі. Гэтая частка артыкула даволі тэхнічная. Не саромейцеся перайсці да наступнай. Калі ў вас ёсць зашыфраваны сервер, ён разблакуецца з дапамогай зачыненага ключа. Гэты ключ нельга захоўваць на самім серверы, гэта значыць трэба ўводзіць яго выдалена пры загрузцы сервера. Пачакайце, а што адбываецца пры адключэнні харчавання? Атрымліваецца, што ўсе запыты вэб-старонак да сервера не выканаюцца пасля перазагрузкі?
Вось чаму мы дадалі перад галоўным серверам прымітыўны дадатковы сервер. Ён проста атрымлівае запыты на прагляд старонак і дасылае іх непасрэдна на галоўны сервер. Калі асноўны сервер упаў, то дадатковы сервер захавае запыты ва ўласнай БД і будзе паўтараць іх датуль, пакуль не атрымае адказ. Такім чынам, пасля збою харчавання няма страты даных.
Вернемся да загрузкі сервера. Калі загружаецца зашыфраваны галоўны сервер, нам трэба ўвесці пароль. Але мы не жадаем ехаць у Ісландыю ці прасіць кагосьці тамака ўвайсці ў серверную, па відавочных чынніках. Для аддаленага доступу да сервера звычайна выкарыстоўваецца абаронены пратакол SSH. Але гэтая праграма даступна толькі падчас працы сервера ці кампутара, а нам трэба падлучыцца да поўнай загрузкі сервера.
Так мы знайшлі
Пераезд на новы сервер у Ісландыі заняў у нас пары тыдняў, але мы рады, што нарэшце зрабілі гэта.
Захоўваць толькі неабходныя дадзеныя
Мы ў Simple Analytics жывем па прынцыпе "Захоўваць толькі неабходныя дадзеныя", збіраючы мінімальнае іх колькасць.
У вэб-прыкладаннях часта практыкуецца
У нас няма палёў delete_at 😉
Для кліентаў важна ведаць, якія дадзеныя захоўваюцца, а якія выдаляюцца. Калі нехта выдаляе свае дадзеныя,
Пытанне: калі вы захоўваеце толькі мінімум канфідэнцыйных дадзеных, навошта патрэбна ўся гэтая абарона і дадатковая бяспека?
Ну, мы хочам быць найлепшай у свеце аналітычнай кампаніяй, арыентаванай на прыватнасць. Мы зробім усё, што ў нашых сілах, каб даць лепшыя інструменты аналітыкі, не урываючыся ў прыватнае жыццё вашых наведвальнікаў. Нават абараняючы вялізныя аб'ёмы ананімізаванай інфармацыі аб наведвальніках, мы хочам паказаць, што вельмі сур'ёзна ставімся да канфідэнцыйнасці.
Што далей?
Калі мы палепшылі прыватнасць, крыху павялічылася хуткасць загрузкі скрыптоў, убудаваных у вэб-старонкі. Гэта мае сэнс, таму што раней яны размяшчаліся на CDN CloudFlare, гэта набор сервераў па ўсім свеце, якія паскараюць загрузку для ўсіх. Цяпер мы думаем падняць вельмі просты CDN з зашыфраванымі серверамі, якія будуць аддаваць толькі наш JavaScript і часова захоўваць запыты вэб-старонак перад адпраўкай на галоўны сервер у Ісландыі.
Крыніца: habr.com