Kāpēc mēs pārcēlām serverus uz Islandi

Tulkotāja piezīme. Vienkārša analīze - uz privātumu vērsts vietņu analīzes pakalpojums (dažos veidos ir pretējs Google Analytics)

Kā Simple Analytics dibinātājs es vienmēr esmu apzinājies, cik svarīga mūsu klientiem ir uzticēšanās un pārredzamība. Mēs esam par viņiem atbildīgi, lai viņi varētu mierīgi gulēt. Izvēlei jābūt optimālai gan no apmeklētāju, gan klientu privātuma viedokļa. Tātad viens no svarīgākajiem jautājumiem mums bija servera atrašanās vietas izvēle.

Dažu pēdējo mēnešu laikā mēs esam pakāpeniski pārvietojuši savus serverus uz Islandi. Es gribu paskaidrot, kā viss notika, un, pats galvenais, kāpēc. Tas nebija viegls process, un es vēlētos dalīties pieredzē. Rakstā ir dažas tehniskas detaļas, kuras centos uzrakstīt saprotamā veidā, bet atvainojos, ja tās ir pārāk tehniskas.

Kāpēc jāpārvieto serveri?

Tas viss sākās, kad mūsu vietne tika pievienota EasyList. Šis ir reklāmu bloķētāju domēnu nosaukumu saraksts. Es jautāju, kāpēc mūs pievienoja, jo mēs neizsekojam apmeklētājus. Mēs pat mēs paklausām Iestatījums “Neizsekot” jūsu pārlūkprogrammā.

ES rakstīju tāds komentārs к izvilkt pieprasījumu vietnē GitHub:

[…] Tātad, ja mēs turpinām bloķēt labus uzņēmumus, kas ievēro lietotāju privātumu, kāda jēga? Manuprāt, tas ir nepareizi, katru uzņēmumu nevajadzētu iekļaut sarakstā tikai tāpēc, ka viņi iesniedz pieprasījumu. […]

Un saņēma atbildēt no @cassowary714:

Visi jums piekrīt, taču es nevēlos, lai mani pieprasījumi tiktu nosūtīti kādam amerikāņu uzņēmumam (jūsu gadījumā Digital Ocean […]

Sākumā man nepatika atbilde, bet diskusijā ar sabiedrību man norādīja, ka viņam ir taisnība. ASV valdībai patiešām var būt piekļuve mūsu lietotāju datiem. Tajā laikā Digital Ocean faktiski darbojās mūsu serveri, viņi varēja vienkārši izņemt mūsu disku un nolasīt datus.

Problēmai ir tehnisks risinājums. Jūs varat padarīt nozagtu (vai jebkāda iemesla dēļ atvienotu) disku nederīgu citiem. Pilnīga šifrēšana apgrūtinās piekļuvi bez atslēgas (piezīme: atslēga ir paredzēta tikai Simple Analytics). Joprojām ir iespējams iegūt nelielus datu fragmentus, fiziski nolasot servera RAM. Serveris nevar darboties bez RAM, tāpēc šajā ziņā ir jāuzticas mitināšanas pakalpojumu sniedzējam.

Tas man lika aizdomāties par to, kur pārvietot mūsu serverus.

Jauna vieta

Sāku meklēt šajā virzienā un uzgāju Vikipēdijas lapu ar to valstu saraksts, kurās ir noteikta cenzūra un lietotāju uzraudzība. Ir izveidots "interneta ienaidnieku" saraksts no starptautiskās nevalstiskās organizācijas Reportieri bez robežām, kas atrodas Parīzē un iestājas par preses brīvību. Valsts tiek klasificēta kā interneta ienaidniece, ja tā "ne tikai cenzē ziņas un informāciju internetā, bet arī veic gandrīz sistemātiskas represijas pret lietotājiem".

Papildus šim sarakstam ir arī alianse, ko sauc Piecas acis aka FVEY. Šī ir Austrālijas, Kanādas, Jaunzēlandes, Lielbritānijas un ASV alianse. Pēdējos gados dokumenti liecina, ka viņi apzināti izspiego viens otra pilsoņus un dalās ar savākto informāciju, lai apietu iekšzemes spiegošanas juridiskos ierobežojumus (avoti). Bijušais NSA līgumslēdzējs Edvards Snoudens raksturoja FVEY kā "pārnacionālu izlūkošanas organizāciju, kas nav pakļauta tās valstu likumiem". Ir arī citas valstis, kas strādā kopā ar FVEY citos starptautiskos kooperatīvos, tostarp Dānijā, Francijā, Nīderlandē, Norvēģijā, Beļģijā, Vācijā, Itālijā, Spānijā un Zviedrijā (tā sauktās 14 Eyes). Es nevarēju atrast pierādījumus tam, ka alianse 14 Eyes ļaunprātīgi izmanto savākto informāciju.

Pēc tam nolēmām, ka neviesosim nevienā no “interneta ienaidnieku” saraksta valstīm un noteikti izlaidīsim valstis no 14 Eyes alianses. Ar kolektīvās novērošanas faktu pietiek, lai atteiktos tur uzglabāt mūsu klientu datus.

Attiecībā uz Islandi iepriekš minētajā Vikipēdijas lapā ir teikts:

Islandes konstitūcija aizliedz cenzūru, un tai ir spēcīgas tradīcijas aizsargāt vārda brīvību, kas attiecas arī uz internetu. […]

Islande

Meklējot labāko valsti privātuma aizsardzībai, Islande atkal un atkal parādījās. Tāpēc es nolēmu to rūpīgi izpētīt. Lūdzu, ņemiet vērā, ka es nerunāju islandiešu valodā, tāpēc, iespējams, esmu palaidusi garām svarīgu informāciju. Paziņojiet man, ja jums ir kāda informācija par tēmu.

Saskaņā ar ziņojumu Brīvība tīklā 2018 no Freedom House, pēc cenzūras līmeņa Islande un Igaunija ieguva 6/100 punktu (jo zemāk, jo labāk). Tas ir labākais rezultāts. Lūdzu, ņemiet vērā, ka netika novērtētas visas valstis.

Islande nav Eiropas Savienības dalībvalsts, lai gan tā ir daļa no Eiropas Ekonomikas zonas un ir piekritusi ievērot patērētāju aizsardzības un uzņēmējdarbības tiesības līdzīgi kā citās dalībvalstīs. Tas ietver Elektronisko sakaru likumu 81/2003, kas ieviesa datu uzglabāšanas prasības.

Likums attiecas uz telekomunikāciju pakalpojumu sniedzējiem un nosaka, ka ieraksti ir jāsaglabā sešus mēnešus. Tajā arī teikts, ka uzņēmumi telekomunikāciju informāciju var sniegt tikai krimināllietās vai sabiedriskās drošības jautājumos un ka šādu informāciju nevar kopīgot ar citiem, izņemot policiju vai prokuratūru.

Lai gan Islande parasti ievēro Eiropas Ekonomikas zonas likumus, tai ir sava pieeja privātuma aizsardzībai. Piemēram, Islandes likumi "Par datu aizsardzību" veicina lietotāju datu anonimitāti. Interneta pakalpojumu sniedzēji un mitinātāji nav juridiski atbildīgi par saturu, ko tie ievieto vai pārraida. Saskaņā ar Islandes tiesību aktiem domēna zonas reģistrators (ISNIC). Valdība nenosaka nekādus ierobežojumus anonīmajai saziņai un neprasa reģistrāciju, iegādājoties SIM kartes.

Vēl viena priekšrocība, pārceļoties uz Islandi, ir klimats un atrašanās vieta. Serveri rada daudz siltuma, un vidējā gada temperatūra Reikjavīkā (Islandes galvaspilsētā, kur atrodas lielākā daļa datu centru) ir 4,67°C, tāpēc tā ir lieliska vieta serveru dzesēšanai. Par katru vatu, kurā darbojas serveri un tīkla aprīkojums, dzesēšanai, apgaismojumam un citām pieskaitāmajām izmaksām tiek iztērēts ļoti maz vatu. Turklāt Islande ir pasaulē lielākais tīrās enerģijas ražotājs uz vienu iedzīvotāju un lielākais elektroenerģijas ražotājs uz vienu iedzīvotāju kopumā ar aptuveni 55 000 kWh uz vienu cilvēku gadā. Salīdzinājumam ES vidējais rādītājs ir mazāks par 6000 kWh. Lielākā daļa Islandes saimnieku 100% elektroenerģijas saņem no atjaunojamiem avotiem.

Novelkot taisnu līniju no Sanfrancisko uz Amsterdamu, jūs šķērsosit Islandi. Simple Analytics lielākā daļa klientu ir no ASV un Eiropas, tāpēc ir lietderīgi izvēlēties šo ģeogrāfisko atrašanās vietu. Papildu priekšrocības Islandei ir privātuma aizsardzības likumi un vides pieeja.

Servera pārsūtīšana

Pirmkārt, mums bija jāatrod vietējais mitināšanas pakalpojumu sniedzējs. To ir diezgan daudz, un ir patiešām grūti noteikt labāko. Mums nebija resursu, lai izmēģinātu visus, tāpēc mēs uzrakstījām dažus automatizētus skriptus (Iespējams), lai konfigurētu serveri tā, lai vajadzības gadījumā varētu viegli pārslēgties uz citu mitinātāju. Mēs izlēmām par uzņēmumu 1984 ar devīzi “Privātuma un civiltiesību aizsardzība kopš 2006. gada”. Mums patika šis moto un uzdevām viņiem dažus jautājumus par to, kā viņi apstrādās mūsu datus. Viņi mūs nomierināja, tāpēc mēs turpinājām galvenā servera uzstādīšanu. Un viņi izmanto tikai elektrību no atjaunojamiem avotiem.

Tomēr šī procesa laikā mēs saskārāmies ar vairākiem šķēršļiem. Šī raksta daļa ir diezgan tehniska. Jūtieties brīvi pāriet uz nākamo. Ja jums ir šifrēts serveris, tas tiek atbloķēts, izmantojot privāto atslēgu. Šo atslēgu nevar glabāt pašā serverī, tas ir, tā jāievada attālināti, kad serveris sāk palaist. Pagaidiet, kas notiek, kad strāva tiek izslēgta? Izrādās, ka pēc pārstartēšanas visi tīmekļa lapu pieprasījumi serverim netiks izpildīti?

Tāpēc galvenā servera priekšā pievienojām primitīvu sekundāro serveri. Tas vienkārši saņem lapu skatīšanas pieprasījumus un nosūta tos tieši uz galveno serveri. Ja galvenais serveris avarē, sekundārais serveris saglabās pieprasījumus savā datu bāzē un atkārtos tos, līdz saņems atbildi. Tādējādi pēc strāvas padeves pārtraukuma dati netiek zaudēti.

Atgriezīsimies pie servera ielādes. Kad tiek palaists šifrētais galvenais serveris, mums jāievada parole. Taču mēs nevēlamies doties uz Islandi vai lūgt nevienam tur pieteikties serveru telpā acīmredzamu iemeslu dēļ. Attālinātai piekļuvei serverim parasti tiek izmantots drošais SSH protokols. Taču šī programma ir pieejama tikai tad, kad darbojas serveris vai dators, un mums ir jāizveido savienojums, pirms serveris ir pilnībā ielādēts.

Tātad mēs atradām Lāce, ļoti mazs SSH klients, no kura var palaist disks RAM sākotnējai inicializācijai (initramfs). Un jūs varat atļaut ārējos savienojumus, izmantojot SSH. Tagad jums nav jālido uz Islandi, lai ielādētu mūsu serveri, urrā!

Mums bija vajadzīgas pāris nedēļas, lai pārietu uz jauno serveri Islandē, taču esam priecīgi, ka beidzot to izdarījām.

Saglabājiet tikai nepieciešamos datus

Simple Analytics mēs dzīvojam pēc principa “Uzglabāt tikai nepieciešamos datus”, savācot to minimālo apjomu.

Bieži izmanto tīmekļa lietojumprogrammās mīksta noņemšana datus. Tas nozīmē, ka dati faktiski netiek dzēsti, bet vienkārši kļūst nepieejami gala lietotājam. Mēs to nedarām – ja izdzēsīsiet savus datus, tie pazudīs no mūsu datu bāzes. Mēs izmantojam cieto dzēšanu. Piezīme. Tie tiks saglabāti šifrētās dublējumkopijās ne ilgāk kā 90 dienas. Kļūdas gadījumā varam tās atjaunot.

Mums nav lauku delete_at 😉

Klientiem ir svarīgi zināt, kādi dati tiek glabāti un kādi tiek dzēsti. Kad kāds izdzēš savus datus, mēs par to runājam tieši. Lietotājs un viņa analītika tiek noņemti no datu bāzes. Mēs arī noņemam kredītkarti un e-pastu no Stripe (maksājumu nodrošinātāja). Mēs saglabājam maksājumu vēsturi, kas ir nepieciešama nodokļu nomaksai, un saglabājam savus žurnālfailus un datu bāzes dublējumus 90 dienas.

Jautājums: Ja jūs glabājat tikai minimālu sensitīvu datu daudzumu, kāpēc jums ir nepieciešama visa šī aizsardzība un papildu drošība?

Mēs vēlamies būt pasaulē labākais analītikas uzņēmums, kas orientēts uz privātumu. Mēs darīsim visu iespējamo, lai nodrošinātu labākos analīzes rīkus, nepārkāpjot jūsu apmeklētāju privātumu. Pat ja mēs aizsargājam lielu daudzumu anonimizētas apmeklētāju informācijas, mēs vēlamies parādīt, ka mēs ļoti nopietni uztveram privātumu.

Ko tālāk?

Kad mēs uzlabojām privātumu, tīmekļa lapās iegulto skriptu ielādes ātrums nedaudz palielinājās. Tas ir loģiski, jo tie agrāk tika mitināti CloudFlare CDN, kas ir serveru kolekcija visā pasaulē, kas visiem paātrina ielādes laiku. Pašlaik mēs domājam izveidot ļoti vienkāršu CDN ar šifrētiem serveriem, kas apkalpos tikai mūsu JavaScript un īslaicīgi saglabās tīmekļa lapu pieprasījumus pirms to nosūtīšanas uz galveno serveri Islandē.

Avots: www.habr.com