За последнее время тема санкций и наших встречных шагов в сфере ИТ, как мне кажется, либо не освещается вовсе, либо освещается достаточно некорректно. Много читаю и про то как «у брата жены на работе программист сказал, что у нас все под контролем, и мы винду сейчас как сломаем и заживем». Такие мнения стоит умножать на ноль, поскольку программист разбирается в ИТ-инфраструктуре как сталевар в балете. ИТ отрасль многогранна и специалисты в одной ее части сильно далеки от понимания чего-либо за рамками своей основной компетенции.
Оставим за скобками проблемы станков и специфического оборудования, тема слишком многогранна, узкоспециализирована и требует индивидуального подхода. Также за скобки отправим проблему поставки серверного и пользовательского ИТ оборудования, комплектующих, переферии и сетевых железок. Запрет на их ввоз в РФ будет компенсирован пропорциональным ростом их поставок в Казахстан, Таджикистан, Узбекистан и т.п. Раньше ввозили телефоны как цветмед через казахстан, чтобы уйти от налогов, сейчас будут возить также и сервера. Проблемы будут с гарантией на такие железки, но поставщики еще не забыли, что такое содержать свои собственные сервисные центры и за 3-5% к цене покроют гарантией не хуже вендоров. Крупный бизнес, привыкший к сервисным контрактам на оборудование, решит проблему замены вышедших из строя комплектующих в «один бизнес день» путем классической избыточности в инфраструктуре и горизонтального масштабирования решений в железе. Все это чуть сложней и дороже, но не является проблемой.
Основное внимание стоит обратить на программно-аппаратные решения в инфраструктуре корпоративного сегмента на 99% зависящем от импортных и санкционных решений. Ни для кого не секрет, что информационные технологии являются элементом по сути любого бизнеса. От ИП сдающих данные по сети в налоговую, до росатома считающего зарплату в SAP. Посмотрим из чего состоит инфраструктура компаний в разных сегментах.
Компании уровня менее 100 пользователей в расчет не берем, там системным администратором зачастую является сын маминой подруги главного бухгалтера и использованные решения разноплановые, экзотичные и любительские. Все что касается гос.тайны и военки не затрагиваем, смотрим на массовый корпоративный сегмент, в тем числе с гос.участием, и полубюджетные компании.
В компаниях от 100 до 500 пользователей на 99% правит бал Microsoft. В крапления серверных и пользовательских решений из технологического стека Unix крайне редки, по причине дороговизны специалистов с одновременным скилом в MS и Unix. В компаниях отдел ИТ – 4-5 человек, из которых один начальник и один 1Сник, и двое на суппорт пользователей, т.е. системный администратор по сути один, и не шибко высокооплачиваем. В компаниях имеются 3-5 железных серверов, 10-20 виртуальных машин и весь технологический стек MS. Windows 7-10-11(7ка в бюджетном секторе еще сильна), server 2012-2016-2019 MS SQL, MS Exchange, MS Hyper-V. Активное сетевое оборудование L2- Cisco/HP, L3 – Cisco, L4 – Cisco/CheckPoint. Есть незначительные вкрапления Huawei, но их доля вне телекома менее 10%.
В компания 500-3000 пользователей уже в наличии департаменты ИТ на 20+ специалистов в том числе админы Unix стека, набор профильных специалистов побогаче, за счет чего технологические стеки шире. Виртуализация уже как правило VMWare+Veam. Пользовательские ОС Windows 10-11, server 2016-19, БД на MS SQL/Oracle, почта все также MS Exchange, телефония Asterisk, появляются ERP решения - MS DAX, решения SAP. В компаниях +-20 железных и 100-150 виртуальных серверов. Уже используется свободное ПО Unix-base, например, на почтовых шлюзах, некоторое количество серверов может быть под KVM виртуализацией или Xen серверами. Сетевая активка все также Cisco/Checkpoint, с вкраплениями Huawai/Fortigate. Местами применяется российское каналообразующее оборудования по ГОСТу, типо – Застава, VipNET… но только в части выполнения ФЗ о ПерсДанных или образования стыков с гоской. Часть серверов размещено в ЦОДах, часть мощностей в аренде, в основном на территории РФ.
В компаниях 3000+ по сути все тоже, что и в более мелких, только побогаче, решения новей, подписки на западное ПО «корпоративнее», но основное ядро бекофиса все также на связке Windows 10+Server16+Exchange,Oracle, все серверное на VMWare и под защитой Cisco ASA или Chechpoint, иногда применяются облачные решения, в основном с локацией в РФ.
Итак, основные данные и бизнес-процессы, корпоративного сегмента РФ завязаны на серверное ПО вендоров Microsoft, VMware, Cisco, и используемые им ОС - Windows, VSphere, Cisco iOS, 23-24 февраля, все эти ОС находились в рабочем состоянии, получали обновления, вендоров и большая часть из них до сих пор активирует свои лицензии и подписки у вендоров. Код этих операционных систем закрыть и никогда никакими нашими службами не был изучен. То что ФСБ – верифицирует все билды и обновления активного сетевого оборудования Cisco или VMware или MS – миф. Поскольку задача по поиску бекдоров и разных недокументированных возможностей в ПО размером гигабайты по сложности сопоставима с разработкой собственного ПО сходного функционала. Считать наших «стратегических партнеров» идиотами я не могу и предположить, что в ядрах этих ОС нет специальных закладок, на особый случай нельзя. Следовательно, все данных хранимые всем корпоративным сектором РФ, на текущий момент, могут быть уничтожены, даже в случае, если компании физически отсоединят свои локальные сети от глобальной сети, это не помешает уже запущенному таймеру сработать в день Д и час Ч, чтобы самоуничтожиться вместо с данными. Обращаю особое внимание, что вся наиболее популярная в РФ, да и в мире связка MS,VMware,Cisco находиться в USA. Сможет ли «4ый автопарк» в день Д и час Ч+1 выйти на маршрут если все ПК в РФ превратятся в кирпичи и маршрутные листы не на чем распечатать, а как в X5 ретейл на складах будут искать коробки без Oracle баз данных и складского ПО, вопрос открытый.
Для восстановления работоспособности компании из 500 человек силами собственного штата ИТ-шников, до уровня автоматизации сопоставимого с имеющемся до дня Д, по моим оценкам необходимо от 15 до 20 дней, при 14 часовой 7ми дневке, при это первые 5 дней работа компании будет в принципе парализована, а большая часть данных компании будет утрачена… поскольку ПО резервного копирование и оборудование хранения, в 99% случаях принадлежит нашим «стратегическим партнерам». Проиграйте в голове сценарий единовременной ситуации на всех двадцати миллионах рабочих станций в РФ можем ли мы при этом сказать, что это равно объявлению войны? Не уверен… раньше многим казалось, что арест счетов = война.
Стоит также понимать, что разнообразие продуктов ПО западного производства в РФ на рабочих местах пользователей – огромно. Связки CentOS+PostFix и RHEL+Libre офис существуют, но закрывают лишь базовые потребности. Также в РФ отсутствует как класс сетевое оборудование на собственных ОС… т.е. в данном случае вся сетевая маршрутизация, только через хардкор – iptables+ufw. Однако предположить, что в ядрах юниксовых сборок отсутствуют закладки, я не могу, как не могу и предположить решение всего спектра задач силами ОС на базе Астролинукса.
К счастью, мы живем в мире капитализма, и столько мощное развитие событий как разовый отказ в обслуживании всех устройств, под управлением той или иной версии ОС нанесет мощный удар по репутации вендоров. Страны Южной Америки, Азии и Африки, с интересом изучат опыт РФ и спроецируют ситуацию на себя. Рынок США и Европы огромен для производителей оборудования и ПО, но весь остальной мир больше, а отчитываться руководителям корпораций необходимо не только перед Белым домом, но и перед инвесторами.
Мы 10 лет на уровне правительства говорили про импортозамещение в РФ и хочется спросить, какое там ПО использует Росатом для расчета ЗП сотрудников или управления персоналом, в чем там Аэрофлот ведет свой учет, какие средства виртуализации использует Газпром для хранения почты сотрудников, на чем в отделениях МВД печатают рапорты и каков стандарт подачи презентаций в большинстве государственных ВУЗов…
Комментарии
Пару лет назад видел, когда делали проект перевода с MS SQL на Постгрю, чтобы попасть в реестр отечественного ПО и получить плюшки в виде налоговых вычетов.
да, такие попытки в тренде, но успешность таких попыток всегда разная. Иногда сложность задачи смены БД под приложением сопоставима с перенеписанием самого приложения. при чем это верно как для приложений закрытого кода, так и собственных разработок. А если речь идет про системы 24х7х365, то подобные эксперименты - годы внедрений и затраты как бюджет небольшого города.
Про серьезные конторы. Росатом от проблем с буржуйским софтом не шибко пострадает. Там люди предусмотрительные работают, всегда под санкциями. Вот железо для автоматики поискать придется. Но и на это есть опыт ещё советский. Нокиа финская расцвела в советские времена на перепродаже буржуйский санкционной электроники в СССР.
Ну здравствуй человек из прошлого... работал в конторе с порядка 1500 юзеров, сейчас в конторе порядка 100+ юзеров постгри был в прошлой (и я его инициировал ставить) и будет в текущей - как ни странно но тут даже не от меня инициатива. Про ЕРП в РФ говорить и не упоминать 1С, которая по кол-ву реализованных проектов кроет SAP как бык овцу (в 4 раза), но по финансам пока отстает (на порядка 25%). Спросите любого вебщика что такое линукс, докер и т.п. - будете удивлены да и вообще вагон в вашем тексте неточностей.
насмешили, блин... внедрения в штуках сравнивают. да еще новые, внедрения. По вашему компании РФ из ТОП 100 до 21ого года без ЕРП систем сидели? Поинтересуйтесь в скольких крупных компаниях 1С где то кроме складского и бухучета. А уж модули управления ремонтами, планирование производства, или МСФО в 1С прямо эталон коробочного решения. Да даже зарплата и кадры в 1С этот те еще слезы для внедренцев.
3000 инсталяций на компаниях в 100 человек не равно даже одному внедрению на компании в 50 000 человек. К сожалению, крупняк не просто так в пользу САП и МСу отдавал предпочтение. что не умаляет конечно заслуги 1С и их мощный рывок за последние 10 лет.
Из коробки? Вы сами лично с сапом долго работали? Тем более с расчетом зп на сапе, раз вы про него вспомнили... Спросите у внедренцев к которым вы апеллирует насчёт наличия в саповском расчете зп электронных больничных и трудовых книжек, регламентированной отчётности и т.п.
Вас не устраивает статистика в закрытых проектах? А вот оракл не брезговал сравнивать себя и остальных производителей СУБД по количеству проданных инсталяций... Не нравится - приведите свою статистику, а не набрасывайте одни лишь тезисы.
У меня тут такой вопрос, а не продемонстрировали ли мы партнёрам, что в эту игру можно играть вдвоём?
Вроде, проходила инфа о том, что была засвечена полная доступность и контроль какой-то важной сетки у америкосов...
ЗЫ, по поводу таймеров-закладок это как то маловероятно - во внутреннем контуре могут жить сервера, на которые обновления оракля накатываются ну совсем не часто. Уже бы вылезло.
Про циску не понимаю, не скажу...
Автор, похоже, один из немногих из камрадов, понимающих суть проблемы.
Для домашнего использования, конечно , можно использовать левую лицензию.
Но для корпораций (например, транспортные компании, авиа и жд перевозчики, крупные банки, страховые компании и т.д.) - не все так просто.
В день у подобных компаний проходит несколько сот миллионов транзакций (в зависимости от масштабности компании). Вести их учет невозможен не в Excel, ни в 1С, ни в MsSql - софт физически или не может обработать такие объемы, или время обработки не позволяет работать в нормальном режиме (я не говорю уже про бумажные журналы, как тут кто-то предлагал, по аналогии с 70-80 годами). Поэтому в таких корпорациях используются базы данных, позволяющие обрабатывать такое количество транзакций. Количество таких СУБД можно пересчитать по пальцам одной руки.
Далее. Даже если обойти лицензионные соглашения - то работоспособность какое-то время сохранится. Но, те, кто в теме - понимают, что главное в лицензии - это техническая поддержка компанией-разработчиком. И вот ее лишение - это и есть основная проблема.
Далее: многие офисные работники считают, что IT - это их офисный компьютер.
И не понимают того, что за их компьютером стоят - маршрутизаторы, коммутаторы, серверы, СУБД, системы виртуализации, программное обеспечение систем резервного копирования , системы хранения - от дисковых до ленточных накопителей. Все транзакции нужно передавать между удаленными территориями. Это все работает на импортном железе и управляется импортным программным обеспечением.
Кроме того, еще есть софт для анализа данных и прогнозирования, (например для прогнозирования погоды или еще чего). Отечественные разработки есть, надеюсь, они сейчас стартанут. Но они достаточно нетривиальные, переход на них потребует определенное количество времени, при условии, что сам софт может работать с большими данными.
Далее - сейчас очень популярны и вовсю используются облачные технологии. Наших аналогов нет, насколько мне известно.
Поэтому - с точки зрения масштабных и системно значимых компаний страны со значительной долей IT составляющей в работе придется действительно тяжело.
ДЛя малого и среднего бизнеса с одним сервером 1С и несколькими терминалами - действительно, ничего страшного не произойдет.
Надежда на то, что в случае масштабной блокировки у нашего ВПР хватит мудрости прикрутить краники с газом, нефтью или чем-нибудь весьма значимым для запада.
П.С. - шапкозакидательство комментаторов принимается только в том случае, если вы представляете архитектурные IT-решения компаний с огромным количеством данных.
Это как его...
Навскидку, миллионные транзакции у сотового биллинга и банков Сбер, Альфа, ВТБ.
Шпкозакидательство может выглядеть как фиксированная "большая" плата за безлим для каждого и временный возврат к налу.
Ну, ещё налоговая за год - не критично.
Т.е., с большим гиморром можно дотянуть до появления своих решений.
Конечно, в случае, если не окирпичат аппаратные средства.
В ВТБ стек технологий уже импортозамещенный, не переживайте.
Таких компаний мало. Это облегчает решения в стиле "надо стащить суперкомпьютер"
А если серьёзно то будет множество решений для разный компаний и ситуаций. Ну в 80-е железная дорога перевозила много пассажиров. И покупали мы как-то билеты. Вариантов множество.
Оракл уже втихую убрал кнопку на возможность создание тикетов в поддержку. И те у кого на руках такие программно-аппаратные комплексы как экзадата и экзалоджики в задумчивости, что именно им в среднесрочной перспективе делать с этими шкафами с цветным металлом.
Миллионы транзакций и базы в десятки Тб не только в банках, у мобильных операторов и в крупном ретейле в наличии. Много не очевидных мест где число транзакций велико, а необходимость расчетов по операциям ограничена по времени.
Насмешили. Знаете зачем нужна техподдержка?
1.для галочки в аудита
2.Чтобы когда не знаешь уже что делать сказать "я поднял кейс в саппорт вендора" с умным видом и все отстанут.
3.поржать над индусами из техподдержки
Случаев реальной помощи не упомню.
Я поэтому и написал в конце - что шапкозакидательство принимается только от тех, кто понимает, что есть компании, которые работают на сложнейшей архитектуре с огромным количеством данных.
Если у вас на поддержке находится более сотни IT решений на самом различном софте - mssql, oracle, postgree, db2, windows server , linux, exadata, клиентский зоопарк тоже хорош - несколько версий винды и макос, андроид, которое установлено на различное железо,
и в целом от работоспособности систем зависит состояние страны в определенных видах деятельности - вы не сможете обойтись без техподдержки. самому или своим подразделением разобраться в течении 1 часа после сбоя практически не возможно. А дольше затягивать нельзя, иначе простой чреват сильными последствиями.
То, что лично вы не сталкивались с необходимостью техподдержки - это просто замечательно. Но и говорит о том., что от ваших систем не зависит ничего серьезного для общества. Это не упрек, не подумайте. Это просто данность - вам повезло работать с не сильно необходимой для кого-то, кроме собственно вашей компании, инфраструктурой.
Это дорогой товарищ не шапкозакидательство, а много прочитанных книжек.
Порядка 2000 серверов линукс, около 100 САП систем на них, кластера HP SG, PCS, K8s, оракл, хана пара сотен, ну и всякие майки с постгрес ДБ, вмварь кластеров около сотни тоже и прочая.
Расскажите мне таки про сложные системы. И как невозможно жить без техподдержки.
Кстати, последний мой кейс в РедХат это я этим ушлепкам долго объяснял, что в Ажур Клауд поддерживает шареные диски SCSI-3 и соответственно можно использовать fence_scsi в pcs кластерах. Через 2 месяца они поверили и проверили, но до сей поры обещают внести в список поддерживаемых конфигураций.
Можно одним предложением это песец, или выкрутимся?
Думаю - выкрутимся, но будет тяжело.
А если будет очень тяжело - то прикрутим краник, и тогда посмотрим, кто быстрее выкрутится )
Выкрутимся
А автор так и отмолчится?
Не знаю. Но весь ИТ сектор как в части админства так и в части иб работает над задачей и стелит солому, где это хоть как то применимо.
Да я знаю, сынишка ноет, но за нас, и пашет от зари до зари, хотел сравнить мнения. Дерзайте, удачи.
15-20 дней ??? Поржал. Поганой метлой таких работников гнать. "Зеркала" на что, спрошу вас ? Ах нет или нет плановой замены дисков ? Так кто-ж вам злобный Буратино ?
Там где работают, а не "работают" - шнелль-шнелль и чтоб через 3-4 дня все тикало как часики.
Насчет Cisco скажу прямо - вы ДЕБИЛЫ ! 10 лет назад прозвенели первые звоночки. Умные не пожадничали и перешли на решения Huawei. А дебилы сейчас пожинают плоды собственной жадности. "Не айс, но работает ? Зачем тогда менять ?"
Думаю вы преувеличиваете проблему.
А что у хуавэя есть в портфеле уровня NGFW?
Предположу что вы даже близко не понимаете что такое инфраструктура на 10к+ пользователей, как она строиться и что используется. А также не внимательно читали и обдумали начальные условия поставленной задачи. 3-4 дня на инфраструктуру... когда число серверов 100+ ну-ну...
Также предположу что вы никогда не выполняли работы аварийных сценариев запуска своей инфраструктуры в песочнице, на отдельно стоящем оборудовании выделенного контура имея в рука набор флешек и хранилище с данными РК, с выдачей результата под ключ. Документация по таким работам занимает полтысячи листов убористого текста, без картинок.
Когда у вас машинный зал из стоек в несколько рядов и все это оборудование одномоментно было погашено/убито/зашифровано вендором, то даже физический запуск оборудования с первичной настройкой уйдут далеко не часы.
Допустим вендор положил вам мидрэндж СХД террабайт на 25. За сколько времени вы купите рассово правильный и развернете все из бакапа?
Не стоит драматизировать . во первых зеркало должно быть уже в наличии. Во вторых 25тер немного, это 10 стандартных 3Tb sas дисков воткнутых в обычный сервер. Или даже о ужас можно собрать их в полку и воткнуть в обычный комп.
дубль
Я не драматизирую, мне просто интересен факт, восстанавливал ли Хитрый Лис хоть раз какой-нибудь сторадж и какого размера. Сколько у него это заняло времени. Какой производительности у него бакап. Даже замена диска на 3Тб и последующий возврат на рабочий режим под нагрузкой может занять несколько дней.
Рэйд есть по умолчанию в любом сторадже, но речь ведь о том, что вам удаленно поломали серьезную брендовую железку. Если вы про зеркала в виде датацентров, то таких компаний не так много. Далеко не весь средний бизнес может это позволить, а малый зачастую и датацентр не может позволить. Вы видимо о таком коленочном датацентре ведете речь.
Слушайте, давайте про колхоз не будем рассказывать, ваше наколеночное решение ляжет в любой компании средней руки моментально. Если это не так, то вас описанные в статье проблемы просто не касаются, так как у вас совсем нет брендового производительного оборудования. А ведь это только речь про СХД, дальше вас по цепочке могут ждать проблемы с СЭН-ом, серверами, подключенными к СЭН, различными уровнями виртуализации и только потом вас коснутся проблемы с операционками. Если у вас просто сендэлон сервера, то да, ваше коленочное решение вполне может жить.
Серверное и прочее ПО - это беда, но не катастрофа.
Simatic и прочие SCADA - вот где боль.
стукснет - это была проба пера.
Не специалист, но есть ощущение что с реалтайм системами мы отстали лет на 10 и будет ой как не просто
СКАДы и промконтроллеров у нас никогда и не было. Как то так сложилось.
Вы в статье не упомянули, что циска с 4 марта закрыла смарт-аккаунты всем! российским компаниям, и закрыла все офисы отправив всех сотрудников на 3 месяца в, своего рода, оплачиваемый отпуск. Сначала объявили, что совсем закрывают всё и сворачивают, потом сказали, что временно прекращают.
Для тех, кто не в теме, все новые решения циско работают на подписочной модели, где стоимость железа - это малая часть, а лицензии открывают определенный функционал, и лицензии эти не бессрочные. При этом железка постоянно лезет на сервер циски, либо на прокси-сателлит, который всё равно лезет на циску. И если ответа он не получает, то начинает тикать таймер 90 дней, после чего ваше оборудование превращается в тыкву. Например, перестает поддерживать скорость на канале, перестает уметь в шифрование.
А учитывая количество всяких SDN решений, типа ACI, которые вообще без смарт-аккаунта не могут, через 90 дней мы можем увидеть, как некоторые, например, банки, просто отрубятся к чертям.
Ой, ну не нагнетайте так:)
UC
По Smart лицензированию CUCM, Expressway, CMS\CMM:
Мне вообще пока кажется что это угрозы в песочнице, типа ща как врежу, а я тебе врежу:)
Тем более вот сами пишете:
За телефонию не скажу. Но ACI через 90 дней, если смарт аккаунт не вернут, превратится в тыкву. Насколько знаю я, он продолжет работать с текущим конфигом без возможности изменений на сети. То же касается и любых SDN решений от циски (ACI, SD-WAN, SD-ACCESS). Такая же ситуация и с Remote Access VPN, ибо новый Cisco AnyConnect работает так же, и требует обновляемых лицензий. А это, если по простому - пользовательский удаленный доступ.
OpenVPN, pfSence. Linux, FreeBSD - все что вам нравится кароче.
Чекпоинт вроде не уходит, на нем массово банки сидят.
Т.е. дожидаются пункта 3, накатывают патч и публикуют уязвимость нулевого дня, которую этот патч закрывает. Вроде как они и не при чем, но циски мы вынуждены либо гасить, либо прикрывать другим железом.
Я еще подумать не успел, а мой магистральный провайдер еще в четверг маршрутизацию на тулз.циско закрыл:)
И правильно сделал
Ну мой домашний провайдер до сих пор не закрыл, видимо у него кроме линукса ничего нет:)
Не специалист в этом. Но вчера видел в интернете решение как программным путём отучить киску так глупо себя вести
P.s. Ну в крайнем случае поменяют киску на что-нибудь другое и не будут с ней больше работать. Никогда. И не только в России - о безопасности многие озаботятся.
Это не те вопросы, которые меняют политические решения.
Лицензии не ломаются. По крайней мере, не везде и не всегда. И за 90 дней вы даже если сегодня упадете в ножки хуавею, он вам решение за 90 дней не поставит и не развернет. Почему? Потому что ещё до спецоперации заазы на железки любых вендоров были с ожиданием 6 месяцев. Потому что дефицит чипов.
И ничего нельзя сделать за 90 дней?
90 + 90:)
А что вы сделаете. Если у вас ЦОДы на ACI развернуты. Вам за 90 дней даже оборудование никто не поставит.
ACI - всего лишь управлялка, причем как правило виртуальный сервер.
Навскидку думаю можно играть временем виртуалки, предварительно закрыв ей доступ к серверам времени.
Ну или все ручками крутить, а не только порно в интернете смотреть:)
Причем тут сервера времени, когда у него внутренний таймер обратного отсчета тикает. Он уже запущен, и не получив ответа от сервера лицензирования он превращается в кучу хлама через 90 дней. Ну, пусть через 90+90.
Все зависит от того насколько глубоко Циско занималось защитой этого продукта.
Что мешает мне развернуть виртуалку из бакапа до часа Х?
Я не спорю, это всего лишь мои предположения, сам я обхожусь без этих продуктов, поэтому проверить не могу:)
ACI это SDN сеть, а не управлялка. Это "новое слово" в сетевом мире, когда всё живёт и управляется через отдельные серваки, да, но смысл в том, что это не управлялка, а весь дизайн целиком, имеющий модные VXLAN под капотом.
Ниче страшного, думаю сядут за мануалы, вспомнят питон, джаву. Будут управлять скриптами.
Ибо нефиг цискарю мышкой командовать:)
Страницы