За последнее время тема санкций и наших встречных шагов в сфере ИТ, как мне кажется, либо не освещается вовсе, либо освещается достаточно некорректно. Много читаю и про то как «у брата жены на работе программист сказал, что у нас все под контролем, и мы винду сейчас как сломаем и заживем». Такие мнения стоит умножать на ноль, поскольку программист разбирается в ИТ-инфраструктуре как сталевар в балете. ИТ отрасль многогранна и специалисты в одной ее части сильно далеки от понимания чего-либо за рамками своей основной компетенции.
Оставим за скобками проблемы станков и специфического оборудования, тема слишком многогранна, узкоспециализирована и требует индивидуального подхода. Также за скобки отправим проблему поставки серверного и пользовательского ИТ оборудования, комплектующих, переферии и сетевых железок. Запрет на их ввоз в РФ будет компенсирован пропорциональным ростом их поставок в Казахстан, Таджикистан, Узбекистан и т.п. Раньше ввозили телефоны как цветмед через казахстан, чтобы уйти от налогов, сейчас будут возить также и сервера. Проблемы будут с гарантией на такие железки, но поставщики еще не забыли, что такое содержать свои собственные сервисные центры и за 3-5% к цене покроют гарантией не хуже вендоров. Крупный бизнес, привыкший к сервисным контрактам на оборудование, решит проблему замены вышедших из строя комплектующих в «один бизнес день» путем классической избыточности в инфраструктуре и горизонтального масштабирования решений в железе. Все это чуть сложней и дороже, но не является проблемой.
Основное внимание стоит обратить на программно-аппаратные решения в инфраструктуре корпоративного сегмента на 99% зависящем от импортных и санкционных решений. Ни для кого не секрет, что информационные технологии являются элементом по сути любого бизнеса. От ИП сдающих данные по сети в налоговую, до росатома считающего зарплату в SAP. Посмотрим из чего состоит инфраструктура компаний в разных сегментах.
Компании уровня менее 100 пользователей в расчет не берем, там системным администратором зачастую является сын маминой подруги главного бухгалтера и использованные решения разноплановые, экзотичные и любительские. Все что касается гос.тайны и военки не затрагиваем, смотрим на массовый корпоративный сегмент, в тем числе с гос.участием, и полубюджетные компании.
В компаниях от 100 до 500 пользователей на 99% правит бал Microsoft. В крапления серверных и пользовательских решений из технологического стека Unix крайне редки, по причине дороговизны специалистов с одновременным скилом в MS и Unix. В компаниях отдел ИТ – 4-5 человек, из которых один начальник и один 1Сник, и двое на суппорт пользователей, т.е. системный администратор по сути один, и не шибко высокооплачиваем. В компаниях имеются 3-5 железных серверов, 10-20 виртуальных машин и весь технологический стек MS. Windows 7-10-11(7ка в бюджетном секторе еще сильна), server 2012-2016-2019 MS SQL, MS Exchange, MS Hyper-V. Активное сетевое оборудование L2- Cisco/HP, L3 – Cisco, L4 – Cisco/CheckPoint. Есть незначительные вкрапления Huawei, но их доля вне телекома менее 10%.
В компания 500-3000 пользователей уже в наличии департаменты ИТ на 20+ специалистов в том числе админы Unix стека, набор профильных специалистов побогаче, за счет чего технологические стеки шире. Виртуализация уже как правило VMWare+Veam. Пользовательские ОС Windows 10-11, server 2016-19, БД на MS SQL/Oracle, почта все также MS Exchange, телефония Asterisk, появляются ERP решения - MS DAX, решения SAP. В компаниях +-20 железных и 100-150 виртуальных серверов. Уже используется свободное ПО Unix-base, например, на почтовых шлюзах, некоторое количество серверов может быть под KVM виртуализацией или Xen серверами. Сетевая активка все также Cisco/Checkpoint, с вкраплениями Huawai/Fortigate. Местами применяется российское каналообразующее оборудования по ГОСТу, типо – Застава, VipNET… но только в части выполнения ФЗ о ПерсДанных или образования стыков с гоской. Часть серверов размещено в ЦОДах, часть мощностей в аренде, в основном на территории РФ.
В компаниях 3000+ по сути все тоже, что и в более мелких, только побогаче, решения новей, подписки на западное ПО «корпоративнее», но основное ядро бекофиса все также на связке Windows 10+Server16+Exchange,Oracle, все серверное на VMWare и под защитой Cisco ASA или Chechpoint, иногда применяются облачные решения, в основном с локацией в РФ.
Итак, основные данные и бизнес-процессы, корпоративного сегмента РФ завязаны на серверное ПО вендоров Microsoft, VMware, Cisco, и используемые им ОС - Windows, VSphere, Cisco iOS, 23-24 февраля, все эти ОС находились в рабочем состоянии, получали обновления, вендоров и большая часть из них до сих пор активирует свои лицензии и подписки у вендоров. Код этих операционных систем закрыть и никогда никакими нашими службами не был изучен. То что ФСБ – верифицирует все билды и обновления активного сетевого оборудования Cisco или VMware или MS – миф. Поскольку задача по поиску бекдоров и разных недокументированных возможностей в ПО размером гигабайты по сложности сопоставима с разработкой собственного ПО сходного функционала. Считать наших «стратегических партнеров» идиотами я не могу и предположить, что в ядрах этих ОС нет специальных закладок, на особый случай нельзя. Следовательно, все данных хранимые всем корпоративным сектором РФ, на текущий момент, могут быть уничтожены, даже в случае, если компании физически отсоединят свои локальные сети от глобальной сети, это не помешает уже запущенному таймеру сработать в день Д и час Ч, чтобы самоуничтожиться вместо с данными. Обращаю особое внимание, что вся наиболее популярная в РФ, да и в мире связка MS,VMware,Cisco находиться в USA. Сможет ли «4ый автопарк» в день Д и час Ч+1 выйти на маршрут если все ПК в РФ превратятся в кирпичи и маршрутные листы не на чем распечатать, а как в X5 ретейл на складах будут искать коробки без Oracle баз данных и складского ПО, вопрос открытый.
Для восстановления работоспособности компании из 500 человек силами собственного штата ИТ-шников, до уровня автоматизации сопоставимого с имеющемся до дня Д, по моим оценкам необходимо от 15 до 20 дней, при 14 часовой 7ми дневке, при это первые 5 дней работа компании будет в принципе парализована, а большая часть данных компании будет утрачена… поскольку ПО резервного копирование и оборудование хранения, в 99% случаях принадлежит нашим «стратегическим партнерам». Проиграйте в голове сценарий единовременной ситуации на всех двадцати миллионах рабочих станций в РФ можем ли мы при этом сказать, что это равно объявлению войны? Не уверен… раньше многим казалось, что арест счетов = война.
Стоит также понимать, что разнообразие продуктов ПО западного производства в РФ на рабочих местах пользователей – огромно. Связки CentOS+PostFix и RHEL+Libre офис существуют, но закрывают лишь базовые потребности. Также в РФ отсутствует как класс сетевое оборудование на собственных ОС… т.е. в данном случае вся сетевая маршрутизация, только через хардкор – iptables+ufw. Однако предположить, что в ядрах юниксовых сборок отсутствуют закладки, я не могу, как не могу и предположить решение всего спектра задач силами ОС на базе Астролинукса.
К счастью, мы живем в мире капитализма, и столько мощное развитие событий как разовый отказ в обслуживании всех устройств, под управлением той или иной версии ОС нанесет мощный удар по репутации вендоров. Страны Южной Америки, Азии и Африки, с интересом изучат опыт РФ и спроецируют ситуацию на себя. Рынок США и Европы огромен для производителей оборудования и ПО, но весь остальной мир больше, а отчитываться руководителям корпораций необходимо не только перед Белым домом, но и перед инвесторами.
Мы 10 лет на уровне правительства говорили про импортозамещение в РФ и хочется спросить, какое там ПО использует Росатом для расчета ЗП сотрудников или управления персоналом, в чем там Аэрофлот ведет свой учет, какие средства виртуализации использует Газпром для хранения почты сотрудников, на чем в отделениях МВД печатают рапорты и каков стандарт подачи презентаций в большинстве государственных ВУЗов…
Комментарии
Ну вот не только мне это в голову пришло (если это сработало с ISE, почему не сработает с ACI):
https://sysadmins.ru/post14576208.html#14576208
Как грязный хак - айс можно активировать в триал, и откатывать на снапшот каждые три месяца, по крайней мере на 2.4 так работало в лабе. Итого 2 айса без HA, скрипт в кроне который делает бекап, откатывает их по-очереди на снапшот, накатывает бекап.
Ну или долго дрочить и автоматизировать freeradius, или заносить за альтернативы и молиться:
https://www.gartner.com/reviews/market/network-access-control/vendor/cisco/product/cisco-ise/alternatives
да, к счастью лобовой сценарий с закрытием доступов с оборудования к вендору и наоборот, был отработан заранее и не только по циско, и по тем вендорам которые пока не объявляли своих решений. Информация на самом деле была известна даже несколько раньше.
серьезно урезан весь трансграничный трафик. сетевики закрывают входящие/исходящие на основе геолокации, в зависимости от параноидальности сотрудников ИБ. Информация какие диапазоны адресов считать российскими, а какие нет имеется.
для решения вопрос работоспособности того или иного функционала, по разным вендорам есть от 30 до 90 дней.
Самое главное - САП подвинули. Короли попила выжирали все бюджеты и это при стоимостях проектов временами на порядок (минимум в три раза) дороже конкурентов. Я про корпоративные информационные системы.
Хорошо бы они всерьез, а то думаю жадность победит:)
Годный срач. Ахтунг - пахнет трольчатиной! Автор, нет ли в обсуждении упырей? Сим повелеваю - внести запись в реестр самых обсуждаемых за день.
Да, я думаю вовремя бабахнули, все эти подписочные решения. Я вообще не понимаю необходимость постоянных обновлений, сразу нормально сделать нельзя ... или не нужно?
Ну мы же в динамическом мире живём, человек тоже не сразу взрослым рождается и ПО подчиняется тем же законам физики
По-этому его и в армию не берут, и жениться не дают до определенного возраста
Ну это ватерфолл называется, мало кто готов, да и конечный результат при нашем быстро меняющемся мире скорее всего будет уже не актуален, поэтому щас все в аджайл пытаются, а там принципы другие и как результат ПО живёт по законам Дарвина, чем быстрее приспособится (обновление и поддержка как раз таки) тем больше шансов, что останется на рынке.
Если бы ещё топ менеджмент не развешивал уши на то, что "облако это де так круто, так гибко и управляемо, а главное можно посокращать своих дорогостоящих спецов на месте и оставить одного облачника, который будет всё рулить, а ещё лучше отдать а аутсорс амазону/ажуру/циске/подставьте_имя_вендора"
Облака разные бывают. Корпоративные частные облака это действительно круто и удобно, при размещении оборудования на территории РФ.
А другие облака в принципе были законодательно запрещены уже давно, в виду того что любые данные где есть ФИО+ еще чтото по сути подпадали под персональные данные и регулировались закон о запрете трансграничной передачи перс данных. Т.е. хранения почты, субд, файлов и т.п. за границей в принципе было не возможно.
Хотя опыт говорит что, как инфраструктуру не строй, а на значительных объемах обслуживающий ее персонал по колличеству и зарплатному фонду никак не уменьшить, только должности и компетенции будут отличатся в зависимости от принятых решений.
Спорно, у меня Чекпоинт без поддержки, поэтому ССЛь кладет на раз два:(
Поэтому приходится периодически прописывать правила ко всяким честным знакам, серверам сертификации и прочей муете ...
Волосы дыбом встают, когда вижу американские и европейские подсети!!!
Вот, мне в транснефти жалились, что сидела раньше на станции бухгалтерка, и если че кончается выдавала водителю деньги он ехал в магазин и привозил чек. Сейчас даже любую канцелярию только по заявке, через конкурс, за полгода, в итоге - там штаты срезали, зато в Москве и губерниях разбухли. А зарплаты-то разные.
Ага, даже рад:)
Ценность облачников сейчас обнулится, а наземники опять подорожают.
А то ишь че выдумали Эксчендж, офис и вообще все, все, все в облаках держать:)
И все-таки зачем нужны постоянные обновления, раньше обновляли только драйвера, нам что полупродукт впаривают?
Ну да.
В погоне за сокращением издержек - экономят на тестировании и аутсорсят. В основном в печально известную своим "качеством" кода Индию (или просто набирают родственников CEO - привет MS с Гуглем).
Поэтому новый продукт - хорошо если бета-версия, а не альфа. Обычно год-два приводят в более-менее работоспособное состояние.
Закладки работают в обе стороны.
Анализом кода на этот предмет тоже много кто занимается (по другим причинам), так что восстановить работоспособность можно.
Windows после утечек вполне уже эмулируют, посмотрите, например, на Steam Deck - а там игры, их гонять на эмуляторе одна из наиболее сложных задач. 1С и БД гораздо проще.
Cisco и так уже давно не торт, я вообще не понимаю, на каком сегменте они сейчас живут. Видимо как раз у корпоратов, по привычке. На магистральном есть решения получше, на SOHO - вообще opensource.
Так что мне думается, использование закладок в целом будет выстрелом в ногу, не приводящему к серьезным последствиям. Исключение - программно-аппаратные промышленные комплексы, вот там будет весело. Но делать их на пропиетарке - ССЗБ надо быть, вендор не предоставляет исходники - ищем другого.
Отдельно привет "продвинутым" любителям облаков. Для них вообще очень плохие новости - и не только из-за политики. Amazon, например, теряет устойчивость уже сам по себе, и процесс ускоряется.
Глупо делать закладки только для того, чтобы никогда ими не воспользоваться.
Если посчитают, что нанесённый ущерб превысит репутационные потери, закладки будут приведены в действие, а потери инвесторов скомпенсированы печатным станком.
А всему миру объяснят диверсию сбоем программы и мир охотно в это поверит.
В разы серьёзнее внедрение закладок в ПО действующих машин, к примеру, самолётов.
В этом случае, падающие с неба лайнеры превратятся в сильнейшее психологическое оружие.
Разумеется, всё это исключительно мои фантазии и таких закладок не существует просто потому, что такая подлость в голове не укладывается.
Причем тут репутационные потери? Да и печатный станок уже довел мир до ручки.
Серьезное отключение инфраструктуры - это уже не просто Казус Белли, это уже террористический акт, ответ на который прописан в военной доктрине РФ и доведен до партнеров много лет назад. Ответ может быть вплоть до обмена ЯО!
Страницы