サーバーをアイスランドに移転した理由

翻訳者のメモ シンプルな分析 - プライバシーを重視したウェブサイト分析サービス (ある意味、Google Analytics の逆)

Simple Analytics の創設者として、私はクライアントに対する信頼と透明性の重要性を常に念頭に置いてきました。 私たちは彼らが安らかに眠れるように責任を持っています。 訪問者とクライアントの両方のプライバシーの観点から最適な選択を行う必要があります。 したがって、私たちにとって最も重要な問題の XNUMX つは、サーバーの場所の選択でした。

過去数か月にわたって、私たちはサーバーをアイスランドに徐々に移動してきました。 すべてがどのように起こったのか、そして最も重要なことに、なぜ起こったのかを説明したいと思います。 それは簡単なプロセスではありませんでしたが、私たちの経験を共有したいと思います。 記事内には技術的な内容も含まれており、分かりやすく書いたつもりですが、専門的すぎる部分がありましたらご容赦ください。

なぜサーバーを移動するのでしょうか?

すべては私たちのサイトが追加されたときに始まりました イージーリスト。 これは広告ブロッカーのドメイン名のリストです。 私たちは訪問者を追跡していないのに、なぜ追加されたのか尋ねました。 私たちも 私たちは従う ブラウザの「追跡拒否」設定。

書いた そのようなコメント к GitHub でのプル リクエスト:

[…] では、ユーザーのプライバシーを尊重する優良企業をブロックし続けたら、一体何の意味があるのでしょうか? これは間違っていると思います。申請を提出したからといって、すべての企業がリストに掲載されるべきではありません。 […]

そして受け取った 答え から @cassowary714:

誰もがあなたに同意しますが、私のリクエストがアメリカの会社 (あなたの場合は Digital Ocean 社) に送信されることを望みません。

最初はその答えが気に入らなかったのですが、コミュニティとのディスカッションの中で、彼の言うことが正しいと指摘されました。 米国政府は実際にユーザーのデータにアクセスできる可能性があります。 当時、Digital Ocean は実際にサーバーを稼働させており、ドライブを取り出してデータを読み取ることができました。

この問題には技術的な解決策があります。 盗難された（または何らかの理由で切断された）ドライブを他の人が使用できないようにすることができます。 完全に暗号化すると、キーなしでアクセスすることが困難になります（注: このキーは Simple Analytics 専用です）。 サーバーの RAM を物理的に読み取ることで、小さなデータを取得することは可能です。 サーバーは RAM がないと動作しないため、この点ではホスティング プロバイダーを信頼する必要があります。

これをきっかけに、サーバーをどこに移転するかを考えるようになりました。

新しい場所

私はこの方向で検索を開始し、次のようなウィキペディアのページを見つけました。 ユーザーの検閲と監視で注目されている国のリスト。 パリに拠点を置き報道の自由を主張する国際非政府組織「国境なき記者団」による「インターネットの敵」のリストがある。 「インターネット上のニュースや情報を検閲するだけでなく、ユーザーに対してほぼ組織的な弾圧を行っている」国は、インターネットの敵国として分類されます。

このリストの他に、と呼ばれる同盟があります。 5つの目 通称FVEY。 これはオーストラリア、カナダ、ニュージーランド、イギリス、アメリカの同盟です。 近年、国内スパイに対する法的規制を回避するために、彼らが意図的に互いの国民をスパイし、収集した情報を共有していることが文書で明らかになった（の出所）。 元NSA契約職員のエドワード・スノーデン氏は、FVEYを「自国の法律の適用を受けない超国家的諜報組織」と評した。 デンマーク、フランス、オランダ、ノルウェー、ベルギー、ドイツ、イタリア、スペイン、スウェーデン (いわゆる 14 Eyes) など、他の国際協同組合で FVEY と協力している国もあります。 14 Eyes 同盟が収集した情報を悪用しているという証拠は見つかりませんでした。

その後、私たちは「インターネットの敵」のリストに載っている国では開催せず、14 Eyes アライアンスから参加している国は絶対に除外することを決定しました。 集団監視の事実は、クライアントのデータをそこに保存することを拒否するのに十分です。

アイスランドについて、上記の Wikipedia ページには次のように記載されています。

アイスランドの憲法は検閲を禁止しており、インターネットにまで及ぶ表現の自由を保護する強い伝統を持っています。 […]

アイスランド

プライバシー保護に最適な国を探す中で、アイスランドが何度も浮上しました。 そこで、慎重に勉強することにしました。 私はアイスランド語を話せないので、重要な情報を見逃している可能性があることに注意してください。 お知らせ下さい、このトピックに関する情報をお持ちの場合は。

報告書によると ネットの自由 2018 フリーダムハウスの調査によると、検閲のレベルによると、アイスランドとエストニアは 6/100 点（低いほど良い）を獲得しました。 これが最高の結果です。 すべての国が評価されたわけではないことに注意してください。

アイスランドは欧州連合の加盟国ではありませんが、欧州経済領域の一部であり、他の加盟国と同様の消費者保護および商法に従うことに同意しています。 これには、データ ストレージ要件を導入した電子通信法 81/2003 が含まれます。

この法律は電気通信サービスプロバイダーに適用され、記録を XNUMX か月間保存することが義務付けられています。 また、企業が電気通信情報を提供できるのは刑事事件または公安問題のみであり、そのような情報は警察または検察以外の者と共有することはできないとも述べている。

アイスランドは一般に欧州経済地域の法律に従っていますが、プライバシー保護に関しては独自のアプローチをとっています。 たとえば、アイスランドの法律 「データ保護について」 ユーザーデータの匿名性を促進します。 インターネットプロバイダーとホストは、投稿または送信するコンテンツに対して法的責任を負いません。 アイスランドの法律によれば、ドメイン ゾーン レジストラ (イスニック）。 政府は匿名通信にいかなる制限も課しておらず、SIMカードの購入時に登録も必要としない。

アイスランドに移住するもう 4,67 つの利点は、気候と場所です。 サーバーは大量の熱を発生しますが、レイキャビク (ほとんどのデータセンターがあるアイスランドの首都) の年間平均気温は 55°C であるため、サーバーを冷却するのに最適な場所です。 サーバーやネットワーク機器を実行する 000 ワット当たり、冷却、照明、その他の諸経費に費やされるのは、比例してわずかなワットです。 さらに、アイスランドは一人当たりのクリーンエネルギーの世界最大の生産国であり、一人当たり年間の発電量は約6000kWhであり、一人当たり全体の電力生産量も世界最大である。 比較のために、EU の平均は 100 kWh 未満です。 アイスランドのほとんどのホストは、電力の XNUMX% を再生可能エネルギーから得ています。

サンフランシスコからアムステルダムまで直線を引くとアイスランドを横断することになります。 Simple Analytics のクライアントのほとんどは米国とヨーロッパであるため、この地理的な場所を選択するのは理にかなっています。 アイスランドに有利な追加の利点は、プライバシーを保護する法律と環境へのアプローチです。

サーバー移転

まず、ローカルのホスティングプロバイダーを見つける必要がありました。 それらはかなりの数あり、最適なものを決定するのは非常に困難です。 全員を試すためのリソースがなかったため、いくつかの自動スクリプトを作成しました (Ansible) 必要に応じて別のホスターに簡単に切り替えられるようにサーバーを構成します。 私たちはその会社に落ち着きました 1984 「2006 年以来、プライバシーと公民権の保護」をモットーにしています。 私たちはこのモットーが気に入ったので、データをどのように扱うかについていくつか質問しました。 彼らは私たちを安心させたので、メインサーバーのインストールを続行しました。 そして、再生可能エネルギーからの電力のみを使用します。

ただし、このプロセス中にいくつかの障害に遭遇しました。 記事のこの部分はかなり技術的な内容です。 ご自由に次の項目に進んでください。 暗号化されたサーバーがある場合は、秘密キーを使用してロックを解除します。 このキーはサーバー自体に保存することはできません。つまり、サーバーの起動時にリモートから入力する必要があります。 ちょっと待って、電源が切れたらどうなるのでしょうか？ 再起動後は、サーバーに対するすべての Web ページ リクエストが満たされないことがわかりますか?

そのため、メイン サーバーの前に基本的なセカンダリ サーバーを追加しました。 ページビューリクエストを受信し、メインサーバーに直接送信するだけです。 メイン サーバーがクラッシュすると、セカンダリ サーバーはリクエストを独自のデータベースに保存し、応答を受信するまでリクエストを繰り返します。 したがって、停電後にデータが失われることはありません。

サーバーのロードに戻りましょう。 暗号化されたマスターサーバーが起動するとき、パスワードを入力する必要があります。 しかし、明らかな理由から、私たちはアイスランドに行ったり、アイスランドにいる人にサーバー ルームへのログインを求めたりしたくありません。 サーバーへのリモート アクセスには、通常、安全な SSH プロトコルが使用されます。 ただし、このプログラムはサーバーまたはコンピューターが実行されている間のみ使用できるため、サーバーが完全にロードされる前に接続する必要があります。

それで私たちは見つけました ドロップベア、から実行できる非常に小さな SSH クライアント 初期初期化のためにRAM内のディスク (initramfs)。 また、SSH 経由の外部接続を許可することもできます。 これで、サーバーにロードするためにアイスランドに飛ぶ必要はなくなりました。

アイスランドの新しいサーバーに移動するのに数週間かかりましたが、最終的に移動できてよかったと思っています。

必要なデータだけを保存する

Simple Analytics では、「必要なデータのみを保存する」という原則に従って、最小限のデータを収集します。

Webアプリケーションでよく使われる ソフト除去 データ。 これは、データが実際に削除されるのではなく、エンド ユーザーが利用できなくなるだけであることを意味します。 当社はこれを行いません。お客様がデータを削除すると、そのデータは当社のデータベースから消去されます。 強制削除を使用します。 注: 暗号化されたバックアップには最大 90 日間保存されます。 エラーが発生した場合は復元できます。

delete_at フィールドはありません 😉

顧客にとって、どのようなデータが保存され、どのデータが削除されるのかを知ることが重要です。 誰かが自分のデータを削除すると、 私たちはそれについて直接話します。 ユーザーとその分析はデータベースから削除されます。 また、Stripe (決済プロバイダー) からクレジット カードと電子メールも削除します。 当社は税金に必要な支払い履歴を維持し、ログ ファイルとデータベースのバックアップを 90 日間保管します。

質問: 最小限の機密データのみを保存する場合、なぜこれほどの保護と追加のセキュリティが必要なのでしょうか?

私たちは、世界最高のプライバシー重視の分析会社になりたいと考えています。 当社は、訪問者のプライバシーを侵害することなく、最高の分析ツールを提供できるよう最善を尽くします。 私たちは、匿名化された膨大な量の訪問者情報を保護しながらも、プライバシーを非常に重視していることを示したいと考えています。

次は何ですか？

プライバシーを改善すると、Web ページに埋め込まれたスクリプトの読み込み速度がわずかに向上しました。 以前は CloudFlare CDN でホストされていたため、これは当然のことです。CloudFlare CDN は、すべてのユーザーの読み込み時間を短縮する世界中のサーバーの集合です。 私たちは現在、JavaScript のみを処理し、Web ページのリクエストをアイスランドのメイン サーバーに送信する前に一時的に保存する、暗号化されたサーバーを備えた非常にシンプルな CDN を構築することを考えています。

出所： habr.com