Смена лицензии Terraform на BSL в 2023 году сделала OpenTofu разумным выбором для команд, которым важна стабильность инструмента.
HashiCorp перевела Terraform с открытой MPL 2.0 на закрытую Business Source License, ограничивающую коммерческое использование, и сообщество создало форк последней открытой версии - OpenTofu, который теперь развивается под эгидой Linux Foundation на лицензии MPL 2.0.
Для инфраструктуры, которую нужно держать под полным контролем, открытый инструмент без лицензионных рисков ценен сам по себе.
OpenTofu - прямая замена Terraform: тот же HCL, те же провайдеры, тот же формат state.
Миграция обычно механическая: заменить исполняемый файл, выполнить tofu init -upgrade и tofu plan. Если plan не показывает изменений - готово.
При этом OpenTofu добавил то, чего нет в открытой версии Terraform: шифрование state на стороне клиента, ранний разбор переменных, флаг -exclude.
Описанная в коде инфраструктура на российском облаке разворачивается одинаково в каждой среде, а ревью изменений идёт через обычный pull request.
Рассчитать конфигурацию под IaC.
HashiCorp перевела Terraform с открытой MPL 2.0 на закрытую Business Source License, ограничивающую коммерческое использование, и сообщество создало форк последней открытой версии - OpenTofu, который теперь развивается под эгидой Linux Foundation на лицензии MPL 2.0.
Для инфраструктуры, которую нужно держать под полным контролем, открытый инструмент без лицензионных рисков ценен сам по себе.
OpenTofu - прямая замена Terraform: тот же HCL, те же провайдеры, тот же формат state.
Миграция обычно механическая: заменить исполняемый файл, выполнить tofu init -upgrade и tofu plan. Если plan не показывает изменений - готово.
При этом OpenTofu добавил то, чего нет в открытой версии Terraform: шифрование state на стороне клиента, ранний разбор переменных, флаг -exclude.
Описанная в коде инфраструктура на российском облаке разворачивается одинаково в каждой среде, а ревью изменений идёт через обычный pull request.
Рассчитать конфигурацию под IaC.
Приказ ФСТЭК №117 действует с 1 марта 2026 года и меняет саму логику защиты государственных систем: вместо разовой аттестации внедряется непрерывное управление информационной безопасностью.
Он заменил приказ №17 и распространяется теперь не только на ГИС, но и на любые информационные системы госорганов, ГУП и госучреждений.
Прежний подход «определил класс, взял меры из таблицы, аттестовал и забыл» сменился на постоянный процесс с оценкой эффективности и регулярной отчётностью.
Практический путь начинается с инвентаризации, а дальше выстраивается процесс:
Аттестаты, выданные до 1 марта 2026, остаются действительными, поэтому переаттестация с нуля не нужна: задача в переходе к постоянному сопровождению.
Разместить систему в аттестованном сегменте облака.
Он заменил приказ №17 и распространяется теперь не только на ГИС, но и на любые информационные системы госорганов, ГУП и госучреждений.
Прежний подход «определил класс, взял меры из таблицы, аттестовал и забыл» сменился на постоянный процесс с оценкой эффективности и регулярной отчётностью.
Практический путь начинается с инвентаризации, а дальше выстраивается процесс:
1️⃣ Cоставить полный перечень информационных систем под защитой: все ГИС, иные ИС для госфункций, компоненты инфраструктуры
2️⃣ Построить модель угроз и подобрать меры под конкретную систему по риск-ориентированному принципу, а не типовым списком
3️⃣ Выстроить процесс оценки эффективности и отчётности - ядро новых требований.
Аттестаты, выданные до 1 марта 2026, остаются действительными, поэтому переаттестация с нуля не нужна: задача в переходе к постоянному сопровождению.
Разместить систему в аттестованном сегменте облака.
👌1
Резервная копия есть почти у всех, а вот восстановление из неё проверяют единицы - и узнают о проблеме в момент аварии.
Правило 3-2-1 остаётся базовым: три копии данных, на двух разных типах носителей, одна вне основной площадки.
В 2026 году к нему добавляется четвёртая копия - неизменяемая, которую не сотрёт ни администратор, ни вирус-шифровальщик.
Так отвечают на то, что шифровальщики поражают весь домен меньше чем за четыре часа.
Копия в той же стойке или здании не считается размещённой вне площадки: один инцидент уничтожит обе.
Дальше всё определяют две метрики:
Чем ниже обе цифры, тем дороже инфраструктура под них.
И главное: копия, восстановление из которой ни разу не тестировали, надёжной не считается.
Регулярный тест восстановления проверяет не только данные, но и всю процедуру.
Рассчитать схему резервного копирования под вашу нагрузку.
Правило 3-2-1 остаётся базовым: три копии данных, на двух разных типах носителей, одна вне основной площадки.
В 2026 году к нему добавляется четвёртая копия - неизменяемая, которую не сотрёт ни администратор, ни вирус-шифровальщик.
Так отвечают на то, что шифровальщики поражают весь домен меньше чем за четыре часа.
Копия в той же стойке или здании не считается размещённой вне площадки: один инцидент уничтожит обе.
Дальше всё определяют две метрики:
▪️ RTO задаёт, сколько времени бизнес терпит простой;
▪️ RPO задаёт, какой объём данных допустимо потерять (RPO в один час означает копию минимум раз в час).
Чем ниже обе цифры, тем дороже инфраструктура под них.
И главное: копия, восстановление из которой ни разу не тестировали, надёжной не считается.
Регулярный тест восстановления проверяет не только данные, но и всю процедуру.
Рассчитать схему резервного копирования под вашу нагрузку.
Service mesh решает реальные задачи - mTLS между сервисами, управление трафиком, наблюдаемость, - но нужен не каждому кластеру.
Несколько лет классический sidecar-подход (Envoy в каждый pod) добавлял столько накладных расходов и операционной сложности, что многие команды от него отказывались: по данным CNCF, доля sidecar-меша в 2024 году снизилась. Каждый pod требовал прокси, а обновление меша означало перезапуск приложений.
Ситуацию изменил ambient mode: с конца 2024 года Istio умеет работать без sidecar.
Трафик разделён на два уровня:
Это убрало главный барьер - overhead на каждый pod.
Service mesh оправдан, когда у вас десятки и сотни сервисов, нужен mTLS по умолчанию, канареечные выкатки и единая наблюдаемость.
Для пары сервисов это избыточно: проще обойтись API gateway и сетевыми правилами.
Развернуть кластер Kubernetes под такую архитектуру.
Несколько лет классический sidecar-подход (Envoy в каждый pod) добавлял столько накладных расходов и операционной сложности, что многие команды от него отказывались: по данным CNCF, доля sidecar-меша в 2024 году снизилась. Каждый pod требовал прокси, а обновление меша означало перезапуск приложений.
Ситуацию изменил ambient mode: с конца 2024 года Istio умеет работать без sidecar.
Трафик разделён на два уровня:
L4 (mTLS, телеметрия) закрывает общий ztunnel на узле, а L7-прокси разворачивается только там, где нужна маршрутизация HTTP.
Это убрало главный барьер - overhead на каждый pod.
Service mesh оправдан, когда у вас десятки и сотни сервисов, нужен mTLS по умолчанию, канареечные выкатки и единая наблюдаемость.
Для пары сервисов это избыточно: проще обойтись API gateway и сетевыми правилами.
Развернуть кластер Kubernetes под такую архитектуру.
Управляемая база данных снимает с команды рутину администрирования, но ответственность за схему и запросы остаётся на вас. Это разделение важно увидеть до миграции.
В модели DBaaS провайдер берёт на себя установку и обновление СУБД, патчи, резервное копирование, мониторинг и отказоустойчивость с автоматическим переключением на резерв.
Команде больше не нужен отдельный администратор для рутинных операций - она фокусируется на схеме данных, запросах и интеграции с приложением.
Но универсального решения здесь нет: удобство управляемой БД оборачивается потерей части контроля над настройкой.
Тонко настроить ядро СУБД под специфическую нагрузку, как на собственном сервере, в управляемой БД не получится.
Поэтому DBaaS оправдан, когда нужна предсказуемая работа без выделенной команды баз данных.
Если же требуется полный контроль над настройкой, используются нестандартные СУБД или действуют жёсткие требования к инфраструктуре - выбирают самостоятельное администрирование.
Рассчитать конфигурацию управляемой БД.
В модели DBaaS провайдер берёт на себя установку и обновление СУБД, патчи, резервное копирование, мониторинг и отказоустойчивость с автоматическим переключением на резерв.
Команде больше не нужен отдельный администратор для рутинных операций - она фокусируется на схеме данных, запросах и интеграции с приложением.
Но универсального решения здесь нет: удобство управляемой БД оборачивается потерей части контроля над настройкой.
Тонко настроить ядро СУБД под специфическую нагрузку, как на собственном сервере, в управляемой БД не получится.
Поэтому DBaaS оправдан, когда нужна предсказуемая работа без выделенной команды баз данных.
Если же требуется полный контроль над настройкой, используются нестандартные СУБД или действуют жёсткие требования к инфраструктуре - выбирают самостоятельное администрирование.
Рассчитать конфигурацию управляемой БД.
DDoS - это не одна угроза, а два разных класса атак, и защищаться от них нужно по-разному.
▪️ Объёмные атаки уровней L3/L4 (UDP- и SYN-флуды) насыщают канал и таблицы соединений: их цель - забить полосу и исчерпать ресурсы сетевого оборудования до того, как трафик дойдёт до приложения.
▪️ Прикладные атаки уровня L7 (HTTP-флуд, Slowloris) работают тоньше: это валидные с виду запросы, которые маскируются под обычных пользователей и медленно истощают само приложение.
Отсюда и разница в защите.
▪️ L3/L4 фильтруются на подходе - через скраббинг и StormWall, которые отсекают паразитный трафик до инфраструктуры.
▪️ L7 распознаёт WAF, анализируя содержимое HTTP-запросов уже на уровне приложения.
Современные атаки всё чаще мультивекторные: бьют по нескольким уровням сразу, поэтому защита только одного уровня оставляет брешь.
Настроить многоуровневую защиту от DDoS-атак: уровней L3/L4 и уровня L7
▪️ Объёмные атаки уровней L3/L4 (UDP- и SYN-флуды) насыщают канал и таблицы соединений: их цель - забить полосу и исчерпать ресурсы сетевого оборудования до того, как трафик дойдёт до приложения.
▪️ Прикладные атаки уровня L7 (HTTP-флуд, Slowloris) работают тоньше: это валидные с виду запросы, которые маскируются под обычных пользователей и медленно истощают само приложение.
Отсюда и разница в защите.
▪️ L3/L4 фильтруются на подходе - через скраббинг и StormWall, которые отсекают паразитный трафик до инфраструктуры.
▪️ L7 распознаёт WAF, анализируя содержимое HTTP-запросов уже на уровне приложения.
Современные атаки всё чаще мультивекторные: бьют по нескольким уровням сразу, поэтому защита только одного уровня оставляет брешь.
Настроить многоуровневую защиту от DDoS-атак: уровней L3/L4 и уровня L7