Примітка перекладача.
Як засновник Simple Analytics, я завжди пам'ятав про важливість довіри та прозорості для наших клієнтів. Ми несемо відповідальність за них, щоб вони могли спати спокійно. Вибір має бути оптимальним з погляду конфіденційності і відвідувачів, і клієнтів. Так, одним із найважливіших для нас питанням став вибір розташування серверів.
В останні кілька місяців ми поступово перемістили наші сервери до Ісландії. Хочу пояснити, як все відбувалося, і найголовніше чому. Це був непростий процес, і я хотів би поділитись нашим досвідом. У статті є деякі технічні деталі, які я спробував написати зрозумілою мовою, але перепрошую, якщо вони надто технічні.
Навіщо переносити сервери?
Все почалося з того, що наш сайт додали в
Я написав
[…] Отже, якщо ми продовжимо блокувати хороші компанії, які поважають конфіденційність користувачів, який у цьому сенс? Думаю, що це неправильно, не слід поміщати кожну компанію до списку лише тому, що вона надсилає запит. […]
І отримав
Всі з вами згодні, але я не хочу, щоб мої запити надсилалися до американської компанії (у вашому випадку Digital Ocean […]
Спочатку мені не сподобалася відповідь, але в обговоренні із спільнотою мені вказали на її правоту. Уряд США може отримати доступ до даних наших користувачів. Тоді наші сервери дійсно працювали у Digital Ocean, вони могли просто витягнути наш диск і прочитати дані.
Є технічне вирішення проблеми. Ви можете зробити так, що вкрадений (або від'єднаний з якоїсь причини) диск стає непридатним для інших. Повне шифрування ускладнить доступ без ключа (примітка: ключ тільки у Simple Analytics). Як і раніше, можна отримати невеликі фрагменти даних, фізично зчитуючи оперативну пам'ять сервера. Сервер не може працювати без оперативної пам'яті, тому в цьому відношенні доводиться довіритися хостинг-провайдеру.
Це змусило мене замислитись, куди перемістити наші сервери.
Нове місце
Я почав шукати в цьому напрямку і наткнувся на сторінку у Вікіпедії зі
Крім цього списку існує альянс під назвою
Після цього ми вирішили, що не будемо хоститися в жодній із країн зі списку «ворогів інтернету» і точно пропустимо країни з альянсу 14 Eyes. Факту колективного стеження достатньо, щоб відмовитись від зберігання там даних наших клієнтів.
Щодо Ісландії вищезгадана сторінка Вікіпедії сказано таке:
Конституцією Ісландії заборонено цензуру, і існує міцна традиція захисту свободи вираження поглядів, яка поширюється і на Інтернет. […]
Ісландія
Під час пошуку кращої країни з точки зору захисту приватності Ісландія з'являлася знову і знову. Тому я вирішив ретельно вивчити її. Будь ласка, майте на увазі, що я не говорю ісландською, через що міг упустити важливу інформацію.
Відповідно до звіту
Ісландія не є членом Європейського союзу, хоча входить до Європейської економічної зони і погодилася дотримуватися законодавства щодо захисту прав споживачів та підприємницького права, аналогічного законодавству інших держав-членів. Сюди входить Закон про електронні повідомлення (Electronic Communications Act 81/2003), який запровадив вимоги щодо зберігання даних.
Закон застосовується до постачальників телекомунікаційних послуг та передбачає зберігання записів протягом шести місяців. У ньому також йдеться про те, що компанії можуть надавати інформацію про телекомунікації лише у кримінальних справах або з питань громадської безпеки і що така інформація не може бути надана нікому, крім поліції чи прокуратури.
Хоча Ісландія загалом дотримується законів Європейської економічної зони, вона має свій підхід до захисту приватності. Наприклад, ісландський закон
Ще одна перевага переїзду до Ісландії – клімат та розташування. Сервери виділяють багато тепла, а середньорічна температура в Рейк'явіку (столиця Ісландії, де розташована більшість центрів обробки даних) становить 4,67 ° C, так що це відмінне місце для охолодження серверів. На кожен ват для роботи серверів та мережного обладнання йде пропорційно дуже мало ват на охолодження, освітлення та інші накладні витрати. Крім того, Ісландія є найбільшим у світі виробником «чистої» енергії на душу населення і взагалі найбільшим виробником електроенергії на душу населення, приблизно з 55 000 кВт•год на людину на рік. Для порівняння, середній показник ЄС менше 6000 кВт•год. Більшість хостерів в Ісландії одержують 100% електроенергії з відновлюваних джерел.
Якщо ви проведете пряму лінію від Сан-Франциско до Амстердама, то перетнете Ісландії. У Simple Analytics більшість клієнтів із США та Європи, тому є сенс обрати саме це географічне положення. Додаткові плюси на користь Ісландії - закони, що захищають приватність, та екологічний підхід.
Перенесення серверів
По-перше, потрібно було знайти місцевого хостинг-провайдера. Їх досить багато, і справді важко визначити найкращого. Ми не мали ресурсів, щоб спробувати всіх, тому ми написали кілька автоматичних скриптів (
Однак під час цього процесу ми зіткнулися з кількома перешкодами. Ця частина статті є досить технічною. Не соромтеся перейти до наступного. Коли ви маєте зашифрований сервер, він розблокується за допомогою закритого ключа. Цей ключ не можна зберігати на сервері, тобто потрібно вводити його віддалено при завантаженні сервера. Зачекайте, а що відбувається при вимкненні живлення? Виходить, що всі запити веб-сторінок до сервера не виконуються після перезавантаження?
Саме тому ми додали перед головним сервером примітивний додатковий сервер. Він просто отримує запити на перегляд сторінок та надсилає їх безпосередньо на головний сервер. Якщо основний сервер впав, то додатковий сервер збереже запити у власній БД і повторюватиме їх доти, доки не отримає відповідь. Таким чином, після збою харчування немає втрат даних.
Повернімося до завантаження сервера. Коли завантажується зашифрований головний сервер, потрібно ввести пароль. Але ми не хочемо їхати до Ісландії чи просити когось там увійти до серверної, з очевидних причин. Для віддаленого доступу до сервера зазвичай використовується захищений протокол SSH. Але ця програма доступна лише під час роботи сервера або комп'ютера, а нам потрібно підключитись до повного завантаження сервера.
Так ми знайшли
Переїзд на новий сервер в Ісландії зайняв у нас два тижні, але ми раді, що нарешті зробили це.
Зберігати лише необхідні дані
Ми в Simple Analytics живемо за принципом «Зберігати лише необхідні дані», збираючи їх мінімальну кількість.
У веб-додатках часто практикується
У нас немає полів delete_at 😉
Для клієнтів важливо знати, які дані зберігаються, а які видаляються. Коли хтось видаляє свої дані,
Питання: якщо ви зберігаєте лише мінімум конфіденційних даних, навіщо потрібна вся ця захист та додаткова безпека?
Ну, ми хочемо бути найкращою у світі аналітичною компанією, орієнтованою на приватність. Ми зробимо все, що в наших силах, щоб надати найкращі інструменти аналітики, не втручаючись у приватне життя ваших відвідувачів. Навіть захищаючи величезні обсяги анонімізованої інформації про відвідувачів, ми хочемо показати, що дуже серйозно ставимося до конфіденційності.
Що далі?
Коли ми покращили приватність, трохи збільшилася швидкість завантаження скриптів, вбудованих у веб-сторінки. Це має сенс тому, що раніше вони розміщувалися на CDN CloudFlare, це набір серверів по всьому світу, що прискорюють завантаження для всіх. Зараз ми думаємо підняти дуже простий CDN із зашифрованими серверами, які будуть віддавати лише наш JavaScript та тимчасово зберігати запити веб-сторінок перед відправкою на головний сервер в Ісландії.
Джерело: habr.com