9 5 правил ведения безопасного it бизнеса в россии

1. Держите серверы за границей

Почему так? Далеко за примерами ходить не надо, а случай не единичный.

Представьте, что у вас, например, сервис электронных магазинов. Или хостинг. И тут под предлогом «поиска улик» у вас выключают и опечатывают все серверы. Вы теряете клиентов и попадаете на убытки. В лучшем случае вы просто вне бизнеса, в худшем — еще и с долгами.

Да даже если ваш скромный интернет-магазин никому не нужен, где гарантия, что когда будут трахать вашего хостера, не вырубят ваш сервер, даже бекапы не дав сделать. Да, и делайте бекапы регулярно. Любое серьезное изменение — бекап на локальную машину или сервер в датацентре, не связанном с тем, где хостится ваш сайт. А то обычно оказывается, что и бекапы все были на той же машине.

2. Регистрируйте домены за границей

Если ваш бизнес понравится, или если вы не понравитесь — в России не нужно даже решения суда, чтобы ваш домен заблокировали. Пример — недавняя позорная история с torrents.ru

Так что для любого серьезного проекта, если у вас, конечно, нет крыши, регистрируйте домены вне зоны RU и обязательно у известного регистратора, для которого письма из отечественных «органов» не будут иметь силы превыше закона. Кроме того, актуальность домена в международной зоне вы поймете, дочитав до конца эту заметку.

Доменное имя — это актив. Это ваши инвестиции. Это рубли, доллары и евро, вложенные в рекламу, оптимизацию. Это время, силы, нервы и идеи, вложенные в пиар и маркетинг, в работу с сообществами и т.п. Если в России закон не может защитить ваши вложения — пусть их защищает закон другого государства.

Если уж ваш домен мыкается на зоне RU, хотя бы выбирайте такого надзирателя регистратора, который не запятнал свое имя и не покрыл себя вечным позором. Лично я с «Ру-Центром» не свяжусь.

3. Регистрируйте компанию за границей

Законодательства развитых стран содержат нормы, серьезно затрудняющие рейдерские захваты. Берите пример с патриотичного «Яндекса»: хоть там и есть «золотая акция Сбербанка», но главная компания называется Yandex N.V., зарегистрирована в Голландии, ей и принадлежит 100% российского ООО «Яндекс».

Кроме того, можно делать такую штуку: например, технология принадлежит материнской компании, а дочерняя ее лишь лицензирует. Во-первых, это защищает главный интеллектуальный актив.

Во-вторых, дочерняя компания сможет оплачивать материнской компании эту лицензию, таким образом, совершенно легально выводя деньги из зоны высокого риска (чиновничьей олигархии) в зону, где работают законы и суды.

4. Держите деньги за границей и не держите яйца в одной корзине

Знаете ли вы, что ваши счета могут быть заблокированы? Ну или проблемы могут быть не у вас, а у вашего банка. И плевать, что вам надо платить зарплаты, оплачивать аренду, трафик, рекламу. Даже если потом все рассосется — репутация подмочена, клиенты ушли, партнеры ушли.

Как легально держать деньги за границей? Смотрите пункт третий.

Если вам не надо держать постоянно деньги на расчетном счету — выводите их легально и быстро. Тем более что на расчетных счетах средства не застрахованы, и если проблемы у банка, то проблемы и у вас. Имейте пару расчетных счетов в банках, не связанных между собой через аффилированных лиц.

5. Не держите, говорю, яйца в одной корзине!

Даже в цивилизованных странах есть придурки и тупые чиновники. Вот, в Австралии, к примеру, запрещают сниматься в порнухе женщинам с небольшой грудью. Мол, педофилы на них медитируют, а потом идут и растлевают младенцев насквозь. Ну кем надо быть, чтобы такие законы принимать?

А это значит, что даже за границей может найтись придурок, который заблокирует ваш сервер. Или датацентр. А это значит, что сервер не должен быть один, если у вас от него зависит что-либо серьезное. Критичные вещи нужно дублировать на серверы, находящиеся не только в другом датацентре, но и в другой юрисдикции.

6. Держите базы данных за границей

Это актуально для любого российского бизнеса. Если в ваш офис вломятся люди в масках по наводке конкурентов, они изымут серверы и компьютеры. Делается это, как и арест расчетных счетов, не с тем, чтобы «найти доказательства», хотя я не понимаю, что может помешать записать туда «эксперту» терабайт жесточайшего детского некрозоопорно с массовыми расчленениями, осквернением всех мировых религий, разжиганием розни сразу ко всем расам, национальностям и социальным группам, а также экстремистскими пособиями.

Ну или софта на 146-ю статью, часть посадочную. От этого лично я спасения не вижу (чуть ниже мой внутренний параноик кинет идею, но я сомневаюсь в его компетентности).

Делается это для того, чтобы парализовать работу, заставить компанию буквально истекать кровью и вынудить директора или собственника согласиться на условия захватчиков. Поэтому держите свои базы, бухгалтерию и т.п. на заграничных серверах и связывайтесь по шифрованному туннелю. VPN практически бесплатен, а восстановить работу офиса можно практически мгновенно посредством тонкого клиента.

Ну и базы останутся в целости, а не попадут к родственникам типа в маске. Если большие файлы нужны тут — можно держать их на локальном сервере, в зашифрованном виде, в другом помещении. Но обязательно делать бекапы за границу.

7. Документируйте все, что касается вашего обеспечения

И этот совет касается не только IT. В фирме должен быть приказ об установлении определенного комплекта ПО на машины. Должен быть приказ о запрете устанавливать или записывать что-либо еще, включая ПО и медиа. Под ним должны подписаться все сотрудники. Равно как и под актом, в котором вы передаете им автоматизированное рабочее место в определенном состоянии.

Внутренний параноик подсказывает мне вариант с аппаратным шифрованием винтов, Trusted Platform Module, сбросом состояния винтов, сетевой загрузкой и т.п., а также ежедневным составлением и подписанием актов осмотра оборудования и установленного ПО.

8. Разделяйте активы и риски

Например, у вас поисковая система. Технологией, доменом, патентами, правами и т.п. пусть владеет одна компания, серверы пусть будут на другой, а риски, например, связанные с тем же ПО, арендой, возможностью рейдерского захвата, кадровыми вопросами пусть несет третья.

9. Еще можно отдаться добровольно

Или крышу найти. Ну там «золотые акции» выпустить, проспонсировать что-нибудь, толкать правильные речи за нужную партию. Хотя… шакалам всегда хочется больше.

10. Уезжайте за границу

В самом деле, сервер стоит держать за границей, а себя любимого? Все просто: это как игра, где надо набить очков, чтобы перейти на следующий уровень. Надо выучить язык, получить востребованную профессию, накопить денег или сделать такой проект, который будет кормить вас в любой стране.

Надо выйти на уровень, в котором в игре появляются доступные и честные суды. На уровень, в котором уже не преследуют монстры в масках и с автоматами. Там появляются другие монстры: юридические гоблины, патентные тролли, опытные конкуренты 80-го левела. Но они действуют по четким правилам, а эти правила действуют для всех одинаково.

А не так, что у «Как меня пытаются посадить», а это многого стоит.

Так что для любого серьезного проекта, если у вас, конечно, нет крыши, регистрируйте домены вне зоны RU и обязательно у известного регистратора, для которого письма из отечественных «органов» не будут иметь силы превыше закона. Кроме того, актуальность домена в международной зоне вы поймете, дочитав до конца эту заметку.
Доменное имя — это актив. Это ваши инвестиции. Это рубли, доллары и евро, вложенные в рекламу, оптимизацию. Это время, силы, нервы и идеи, вложенные в пиар и маркетинг, в работу с сообществами и т.п. Если в России закон не может защитить ваши вложения — пусть их защищает закон другого государства.
Если уж ваш домен мыкается на зоне RU, хотя бы выбирайте такого

надзирателя

регистратора, который не запятнал свое имя и не покрыл себя вечным позором. Лично я с «Ру-Центром» не свяжусь.

3. Регистрируйте компанию за границей

Законодательства развитых стран содержат нормы, серьезно затрудняющие рейдерские захваты. Берите пример с патриотичного «Яндекса»: хоть там и есть «золотая акция Сбербанка», но главная компания называется Yandex N.V., зарегистрирована в Голландии, ей и принадлежит 100% российского ООО «Яндекс».
Кроме того, можно делать такую штуку: например, технология принадлежит материнской компании, а дочерняя ее лишь лицензирует. Во-первых, это защищает главный интеллектуальный актив.
Во-вторых, дочерняя компания сможет оплачивать материнской компании эту лицензию, таким образом, совершенно легально выводя деньги из зоны высокого риска (чиновничьей олигархии) в зону, где работают законы и суды.

4. Держите деньги за границей и не держите яйца в одной корзине

Знаете ли вы, что ваши счета могут быть заблокированы? Ну или проблемы могут быть не у вас, а у вашего банка. И плевать, что вам надо платить зарплаты, оплачивать аренду, трафик, рекламу. Даже если потом все рассосется — репутация подмочена, клиенты ушли, партнеры ушли.
Как легально держать деньги за границей? Смотрите пункт третий.
Если вам не надо держать постоянно деньги на расчетном счету — выводите их легально и быстро. Тем более что на расчетных счетах средства не застрахованы, и если проблемы у банка, то проблемы и у вас. Имейте пару расчетных счетов в банках, не связанных между собой через аффилированных лиц.

5. Не держите, говорю, яйца в одной корзине!

Даже в цивилизованных странах есть придурки и тупые чиновники. Вот, в Австралии, к примеру, запрещают сниматься в порнухе женщинам с небольшой грудью. Мол, педофилы на них медитируют, а потом идут и растлевают младенцев насквозь. Ну кем надо быть, чтобы такие законы принимать?
А это значит, что даже за границей может найтись придурок, который заблокирует ваш сервер. Или датацентр. А это значит, что сервер не должен быть один, если у вас от него зависит что-либо серьезное. Критичные вещи нужно дублировать на сервера, находящиеся не только в другом датацентре, но и в другой юрисдикции.

6. Держите базы данных за границей

Это актуально для любого российского бизнеса. Если в ваш офис вломятся люди в масках по наводке конкурентов, они изымут сервера и компьютеры. Делается это, как и арест расчетных счетов, не с тем, чтобы «найти доказательства», хотя я не понимаю, что может помешать записать туда «эксперту» терабайт жесточайшего детского некрозоопорно с массовыми расчленениями, осквернением всех мировых религий, разжиганием розни сразу ко всем расам, национальностям и социальным группам, а также экстремистскими пособиями.
Ну или софта на 146-ю статью, часть посадочную. От этого лично я спасения не вижу (чуть ниже мой внутренний параноик кинет идею, но я сомневаюсь в его компетентности).
Делается это для того, чтобы парализовать работу, заставить компанию буквально истекать кровью и вынудить директора или собственника согласиться на условия захватчиков. Поэтому держите свои базы, бухгалтерию и т.п. на заграничных серверах и связывайтесь по шифрованному туннелю. VPN практически бесплатен, а восстановить работу офиса можно практически мгновенно посредством тонкого клиента.
Ну и базы останутся в целости, а не попадут к родственникам типа в маске. Если большие файлы нужны тут — можно держать их на локальном сервере, в зашифрованном виде, в другом помещении. Но обязательно делать бекапы за границу.

7. Документируйте все, что касается вашего обеспечения

И этот совет касается не только IT. В фирме должен быть приказ об установлении определенного комплекта ПО на машины. Должен быть приказ о запрете устанавливать или записывать что-либо еще, включая ПО и медиа. Под ним должны подписаться все сотрудники. Равно как и под актом, в котором вы передаете им автоматизированное рабочее место в определенном состоянии.
Внутренний параноик подсказывает мне вариант с аппаратным шифрованием винтов, Trusted Platform Module, сбросом состояния винтов, сетевой загрузкой и т.п., а также ежедневным составлением и подписанием актов осмотра оборудования и установленного ПО.

8. Разделяйте активы и риски

Например, у вас поисковая система. Технологией, доменом, патентами, правами и т.п. пусть владеет одна компания, сервера пусть будут на другой, а риски, например, связанные с тем же ПО, арендой, возможностью рейдерского захвата, кадровыми вопросами пусть несет третья.

9. Еще можно отдаться добровольно

Или крышу найти. Ну там «золотые акции» выпустить, проспонсировать что-нибудь, толкать правильные речи за нужную партию. Хотя… шакалам всегда хочется больше.

10. Уезжайте за границу

В самом деле, сервер стоит держать за границей, а себя любимого? Все просто: это как игра, где надо набить очков, чтобы перейти на следующий уровень. Надо выучить язык, получить востребованную профессию, накопить денег или сделать такой проект, который будет кормить вас в любой стране.
Надо выйти на уровень, в котором в игре появляются доступные и честные суды. На уровень, в котором уже не преследуют монстры в масках и с автоматами. Там появляются другие монстры: юридические гоблины, патентные тролли, опытные конкуренты

80-го

левела. Но они действуют по четким правилам, а эти правила действуют для всех одинаково.
А не так, что у шакалов (оборотни — слишком громкое слово для падальщиков) в погонах оказывается over 9000 иммунитет к свету, общественному мнению и СМИ, +100500 к иммунитету против закона, способность наложить отворотное заклятие на камеры видеонаблюдения, аннилигировать показания свидетелей или кастануть на вас заклинание «СИЗО смерти».
Кроме того на этом уровне также появляется возможность сохранить свои деньги и вещи, а построенные дома не снесут урукхаи.
Будут доступны дешевые кредиты (-200 к процентной ставке), будет работать DHL (-200 к идиотизму перманентно), не будут блокировать ваши электронные кошельки (-200 к совку во всей локации).
Не будет Петриков и Грызловых. Не будет того, что описано вот в этом блоге: «Как меня пытаются посадить», а это многого стоит.

Профилактическое замечание для альтернативно одаренных: это не реклама такая, нажмите на картинку!

1. Держите серверы за границей

Почему так? Далеко за примерами ходить не надо, а случай не единичный.

Да даже если ваш скромный интернет-магазин никому не нужен, где гарантия, что когда будут трахать вашего хостера, не вырубят ваш сервер, даже бекапы не дав сделать. Да, и делайте бекапы регулярно. Любое серьезное изменение — бекап на локальную машину или сервер в датацентре, не связанном с тем, где хостится ваш сайт. А то обычно оказывается, что и бекапы все были на той же машине.

2. Регистрируйте домены за границей

Если ваш бизнес понравится, или если вы не понравитесь — в России не нужно даже решения суда, чтобы ваш домен заблокировали. Пример — недавняя позорная история с torrents.ru

Так что для любого серьезного проекта, если у вас, конечно, нет крыши, регистрируйте домены вне зоны RU и обязательно у известного регистратора, для которого письма из отечественных «органов» не будут иметь силы превыше закона. Кроме того, актуальность домена в международной зоне вы поймете, дочитав до конца эту заметку.

Доменное имя — это актив. Это ваши инвестиции. Это рубли, доллары и евро, вложенные в рекламу, оптимизацию. Это время, силы, нервы и идеи, вложенные в пиар и маркетинг, в работу с сообществами и т.п. Если в России закон не может защитить ваши вложения — пусть их защищает закон другого государства.

Если уж ваш домен мыкается на зоне RU, хотя бы выбирайте такого надзирателя регистратора, который не запятнал свое имя и не покрыл себя вечным позором. Лично я с «Ру-Центром» не свяжусь.

3. Регистрируйте компанию за границей

Законодательства развитых стран содержат нормы, серьезно затрудняющие рейдерские захваты. Берите пример с патриотичного «Яндекса»: хоть там и есть «золотая акция Сбербанка», но главная компания называется Yandex N.V., зарегистрирована в Голландии, ей и принадлежит 100% российского ООО «Яндекс».

Кроме того, можно делать такую штуку: например, технология принадлежит материнской компании, а дочерняя ее лишь лицензирует. Во-первых, это защищает главный интеллектуальный актив.

Во-вторых, дочерняя компания сможет оплачивать материнской компании эту лицензию, таким образом, совершенно легально выводя деньги из зоны высокого риска (чиновничьей олигархии) в зону, где работают законы и суды.

4. Держите деньги за границей и не держите яйца в одной корзине

Знаете ли вы, что ваши счета могут быть заблокированы? Ну или проблемы могут быть не у вас, а у вашего банка. И плевать, что вам надо платить зарплаты, оплачивать аренду, трафик, рекламу. Даже если потом все рассосется — репутация подмочена, клиенты ушли, партнеры ушли.

Как легально держать деньги за границей? Смотрите пункт третий.

Если вам не надо держать постоянно деньги на расчетном счету — выводите их легально и быстро. Тем более что на расчетных счетах средства не застрахованы, и если проблемы у банка, то проблемы и у вас. Имейте пару расчетных счетов в банках, не связанных между собой через аффилированных лиц.

5. Не держите, говорю, яйца в одной корзине!

Даже в цивилизованных странах есть придурки и тупые чиновники. Вот, в Австралии, к примеру, запрещают сниматься в порнухе женщинам с небольшой грудью. Мол, педофилы на них медитируют, а потом идут и растлевают младенцев насквозь. Ну кем надо быть, чтобы такие законы принимать?

А это значит, что даже за границей может найтись придурок, который заблокирует ваш сервер. Или датацентр. А это значит, что сервер не должен быть один, если у вас от него зависит что-либо серьезное. Критичные вещи нужно дублировать на серверы, находящиеся не только в другом датацентре, но и в другой юрисдикции.

6. Держите базы данных за границей

Это актуально для любого российского бизнеса. Если в ваш офис вломятся люди в масках по наводке конкурентов, они изымут серверы и компьютеры. Делается это, как и арест расчетных счетов, не с тем, чтобы «найти доказательства», хотя я не понимаю, что может помешать записать туда «эксперту» терабайт жесточайшего детского некрозоопорно с массовыми расчленениями, осквернением всех мировых религий, разжиганием розни сразу ко всем расам, национальностям и социальным группам, а также экстремистскими пособиями.

Ну или софта на 146-ю статью, часть посадочную. От этого лично я спасения не вижу (чуть ниже мой внутренний параноик кинет идею, но я сомневаюсь в его компетентности).

Делается это для того, чтобы парализовать работу, заставить компанию буквально истекать кровью и вынудить директора или собственника согласиться на условия захватчиков. Поэтому держите свои базы, бухгалтерию и т.п. на заграничных серверах и связывайтесь по шифрованному туннелю. VPN практически бесплатен, а восстановить работу офиса можно практически мгновенно посредством тонкого клиента.

Ну и базы останутся в целости, а не попадут к родственникам типа в маске. Если большие файлы нужны тут — можно держать их на локальном сервере, в зашифрованном виде, в другом помещении. Но обязательно делать бекапы за границу.

7. Документируйте все, что касается вашего обеспечения

И этот совет касается не только IT. В фирме должен быть приказ об установлении определенного комплекта ПО на машины. Должен быть приказ о запрете устанавливать или записывать что-либо еще, включая ПО и медиа. Под ним должны подписаться все сотрудники. Равно как и под актом, в котором вы передаете им автоматизированное рабочее место в определенном состоянии.

Внутренний параноик подсказывает мне вариант с аппаратным шифрованием винтов, Trusted Platform Module, сбросом состояния винтов, сетевой загрузкой и т.п., а также ежедневным составлением и подписанием актов осмотра оборудования и установленного ПО.

8. Разделяйте активы и риски

Например, у вас поисковая система. Технологией, доменом, патентами, правами и т.п. пусть владеет одна компания, серверы пусть будут на другой, а риски, например, связанные с тем же ПО, арендой, возможностью рейдерского захвата, кадровыми вопросами пусть несет третья.

9. Еще можно отдаться добровольно

Или крышу найти. Ну там «золотые акции» выпустить, проспонсировать что-нибудь, толкать правильные речи за нужную партию. Хотя… шакалам всегда хочется больше.

10. Уезжайте за границу

В самом деле, сервер стоит держать за границей, а себя любимого? Все просто: это как игра, где надо набить очков, чтобы перейти на следующий уровень. Надо выучить язык, получить востребованную профессию, накопить денег или сделать такой проект, который будет кормить вас в любой стране.

Надо выйти на уровень, в котором в игре появляются доступные и честные суды. На уровень, в котором уже не преследуют монстры в масках и с автоматами. Там появляются другие монстры: юридические гоблины, патентные тролли, опытные конкуренты 80-го левела. Но они действуют по четким правилам, а эти правила действуют для всех одинаково.

А не так, что у шакалов (оборотни — слишком громкое слово для падальщиков) в погонах оказывается over 9000 иммунитет к свету, общественному мнению и СМИ, +100500 к иммунитету против закона, способность наложить отворотное заклятие на камеры видеонаблюдения, аннилигировать показания свидетелей или кастануть на вас заклинание «СИЗО смерти».

Кроме того на этом уровне также появляется возможность сохранить свои деньги и вещи, а построенные дома не снесут урукхаи.

Будут доступны дешевые кредиты (-200 к процентной ставке), будет работать DHL (-200 к идиотизму перманентно), не будут блокировать ваши электронные кошельки (-200 к совку во всей локации).

Не будет Петриков и Грызловых. Не будет того, что описано вот в этом блоге: «Как меня пытаются посадить», а это многого стоит.

http://blog.micromarketing.ru/advice/9-point-5-rules-fot-it-business-in-russia

Как я внедрял первое правило ведения бизнеса в России

«1. Держите сервера за границей»
(с) 9,5 правил ведения безопасного бизнеса в России

Вводная часть.

Мы — маленькая компания из 10 сотрудников, половина из которых периодически работает удаленно.
Что мы имели изначально: сервер с Windows и терминальным доступом, который стоял в офисе. У всех пользователей были ноутбуки. Никакой особо конфиденциальной информации у нас нет, за исключением важной для бизнеса информации.
В один прекрасный момент меня окончательно «добила» паранойя и было принято решение вынести сервер за пределы офиса.

1) Мы арендовали два сервера: один в Германии, второй — в Нидерландах.
Конфигурации одинаковые: Intel Xeon Quad Core E3-1230 3.20 GHz / 8GB / 2x 1TB.
Обязательными условиями были: IP-KVM 24×7, гарантия ответа техподдержки до 4 часов круглосуточно, гарантия замены сервера на следующий рабочий день (NBD) и безлимитный трафик.
Дополнительные требования к ПО: Windows 2008 standard, Windows 2008 enterprise, терминальные лицензии и MS Office (Word, Excel, PowerPoint)
Эти пожелания и определили достаточно нескромный бюджет: 756 евро/мес.

Хостеров оставим неназванными. Могу только сказать, что из-за желания платить через Webmoney (т.е. не кредитными картами), пришлось обратиться к реселлерам.

2) Настройка обоих серверов на начальном этапе была полностью идентичной. После получения доступа к серверам, весь первый день был потрачен на апдейт ОС. После был установлен Hyper-V.
Сразу же была создана виртуалка на CentOS, которая и стала роутером: именно у неё был «белый» IP. Все остальные машины (в том числе хост-система) работали на «серых» адресах.
Для проведения этого фокуса с IP, нам пригодился постоянно подключенный IP-KVM. В данном случае — встроенный IPMI и iLo на каждом из серверов.
На роутере был поднят Open VPN-сервер, «снаружи» был доступен только он. Все остальные порты были закрыты.
Также на роутере поднят NAT и proxy-сервер.

3) На первом сервере на всю доступную память была создана виртуалка с Windows 2008 Standard, которая стала нашим новым офисным сервером.
7 ГБ для одновременной работы 10 человек в терминале – более чем комфортные условия. Интернет пользователям офисного сервера доступен только через прокси.
Работает Dr.Web, лицензии на который нам достались по подписке от сети, к которой подключен наш офис.
Стандартный набор офисного софта: MS Office, Acrobat Reader, PDF Creator, WinRAR, InfranView, KeePass, Chrome, Firefox.
Чтобы пользователи не путались, всем в автозагрузку был вложен файл Bginfo, который меняет цвет рабочего стола и пишет на нем, что это за сервер.

4) На втором сервере все немного интересней.
На хост-сервере стоит Windows 2008 Enterprise, которая позволяет бесплатно установить до 4-х виртуалок с Windows 2008 Standard.
Таким образом, это, по сути, сервер для бухгалтера: тут работают четыре виртуалки — CRM/биллинг, 1C8 (на нее переходим), 1C7 (с ней работаем), клиент-банк.
Все четыре сервера отделены друг от друга: они находятся в разных виртуальных сетях Hyper-V, которые не могут видеть друг друга.
Так сделано для того, чтобы в ситуации, когда какая-то из машин подхватит какую-то заразу, заражение не распространилось дальше неё.
С этих же машин отправляем отчеты в налоговую через MeDOC и “Податкову звiтнiсть”. Налоговая видит, что отчеты приходят из IP нашего офиса а не из Европы, так как трафик с «бухгалтерских» серверов маршрутизируется через VPN-туннель в офис.
Так же, как и на офисной виртуалке, на серверах с 1С, интернет доступен через прокси, работают Dr.Web’ы и стандартный софт.
В 1С 7ой ключ работает через Usb-over-network, с 1С 8 используем программный ключ.
На сервере клиент-банка интернет отключен: доступ есть только к серверам банков. Банк также видит наш офисный IP а не реальный IP сервера.

5) Все эти серверы доступны через удаленный рабочий стол (RDP) после авторизации на Open VPN-сервере (любом из двух).
И еще один плод моей паранойи: при подключении к Open VPN-серверу невозможно увидеть ни один сервер в своей сети.
По RDP на серверы можно зайти только через нестандартный порт, который «прокидывается» (DNAT) на RDP-порт соответствующей виртуалки.

6) В офисе у нас стоит Wi-Fi роутер D Link DIR-320. Мы перепрошили его, после чего настроили на нем OpenVPN-клиент.
В DIR-320 включен USB-принтер, на который через туннель могут печатать все виртуалки.
Сотрудники из офиса могут работать, ничего не меняя на своих ноутбуках.
Сотрудникам, которые хотят поработать удаленно, выдали ключи Open VPN и следующие инструкции: как настроить туннель на MacOS/Windows, как зайти на удаленный рабочий стол, как печатать на офисный принтер, как печатать на домашний принтер и тому подобное.

7) Самое важное — бекап.
Так как на хост-системах ничего кроме Hyper-V нет, их не бекапим.
В пятницу днем всем сотрудникам приходит рассылка (напоминание о событии от Google Calendar) с просьбой не забыть закрыть все приложения и сохранить все документы.
В ночь с пятницы на субботу Power Shell–скрипт выключает все виртуалки, копирует их VHD-образы в отдельную папку, а откуда копирует на дублирующий сервер через VPN-туннель + на мой сервер в Украине.
Но это только половина дела.
Каждый день на всех виртуалках запускается скрипт, который архивирует изменившиеся за сутки данные; а каждую неделю – архивирует все данные пользователей (действительно все – от документов до 1С-баз).
Архивация происходит по мотивам этой инструкции: habrahabr.ru/blogs/personal/82185, но архивы мы делаем запароленными, многотомными и с добавлением информации для восстановления. Архивы складываются в премиум-аккаунты DropBox и Google Drive и через эти сервисы попадают на оба сервера (+ директору на ноутбук).

Что имеем в итоге:
— По запросу я могу восстановить любой документ за любой день.
— Все архивы под паролем из сотни случайных символов. Даже если DropBox кому-то опять покажет все свои файлы, мой архив вскрыть будет крайне непросто.
— При каком-либо форс-мажоре с одним из ДЦ, я, чуть меньше чем за час, смогу запустить копию сервера недельной давности на другом сервере в другой стране + накатить изменения из архивов.

Все описанное работает у нас уже почти год. Особых нареканий нет, разве что апдейт ПО на четырех серверах занимает вчетверо больше времени :).
Данные из бекапных архивов пару раз восстанавливал по требованию – работает как часы.
Для теста имитировал несколько раз отключение ДЦ: поднимал все серверы из бекапа на одном из серверов. Все работает, разве что для 1С8 с программным ключом важно сделать полностью аналогичную конфигурацию на новом сервере.
У бухгалтера однажды “слетел” ноутбук, – работу восстановили за пол часа, просто выдав новый и настроив ярлыки для подключения к серверам.
Дата-центры были недоступны несколько раз на пол-часа из-за апгрейда маршрутизаторов, но в рабочее время подобного ни разу не было.
Также однажды была атака на ДЦ в Нидерландах: все «лагало» около часа в рабочее время.
Теоретически можно было бы еще наворотить шифрованные ФС и разнести серверы по разным континентам, но в нашем случае я не вижу в этом никакого смысла.

Надеюсь, эта информация была интересной. Буду рад если она кому-то пригодится.
Если решите повторить такую конфигурацию, не стесняйтесь спрашивать: я с удовольствием помогу советом и раскрою какие-либо неочевидные подробности.

1. Держите сервера за границей

Почему так? Далеко за примерами ходить не надо, а случай не единичный.

Представьте, что у вас, например, сервис электронных магазинов. Или хостинг. И тут под предлогом «поиска улик» у вас выключают и опечатывают все сервера. Вы теряете клиентов и попадаете на убытки. В лучшем случае вы просто вне бизнеса, в худшем — еще и с долгами.

Да даже если ваш скромный интернет-магазин никому не нужен, где гарантия, что когда будут трахать вашего хостера, не вырубят ваш сервер, даже бекапы не дав сделать. Да, и делайте бекапы регулярно. Любое серьезное изменение — бекап на локальную машину или сервер в датацентре, не связанном с тем, где хостится ваш сайт. А то обычно оказывается, что и бекапы все были на той же машине.

2. Регистрируйте домены за границей

Если ваш бизнес понравится, или если вы не понравитесь — в России не нужно даже решения суда, чтобы ваш домен заблокировали. Пример — недавняя позорная история с torrents.ru

Так что для любого серьезного проекта, если у вас, конечно, нет крыши, регистрируйте домены вне зоны RU и обязательно у известного регистратора, для которого письма из отечественных «органов» не будут иметь силы превыше закона. Кроме того, актуальность домена в международной зоне вы поймете, дочитав до конца эту заметку.

Доменное имя — это актив. Это ваши инвестиции. Это рубли, доллары и евро, вложенные в рекламу, оптимизацию. Это время, силы, нервы и идеи, вложенные в пиар и маркетинг, в работу с сообществами и т.п. Если в России закон не может защитить ваши вложения — пусть их защищает закон другого государства.

Если уж ваш домен мыкается на зоне RU, хотя бы выбирайте такого надзирателя регистратора, который не запятнал свое имя и не покрыл себя вечным позором. Лично я с «Ру-Центром» не свяжусь.

3. Регистрируйте компанию за границей

Законодательства развитых стран содержат нормы, серьезно затрудняющие рейдерские захваты. Берите пример с патриотичного «Яндекса»: хоть там и есть «золотая акция Сбербанка», но главная компания называется Yandex N.V., зарегистрирована в Голландии, ей и принадлежит 100% российского ООО «Яндекс».

Кроме того, можно делать такую штуку: например, технология принадлежит материнской компании, а дочерняя ее лишь лицензирует. Во-первых, это защищает главный интеллектуальный актив.

Во-вторых, дочерняя компания сможет оплачивать материнской компании эту лицензию, таким образом, совершенно легально выводя деньги из зоны высокого риска (чиновничьей олигархии) в зону, где работают законы и суды.

4. Держите деньги за границей и не держите яйца в одной корзине

Знаете ли вы, что ваши счета могут быть заблокированы? Ну или проблемы могут быть не у вас, а у вашего банка. И плевать, что вам надо платить зарплаты, оплачивать аренду, трафик, рекламу. Даже если потом все рассосется — репутация подмочена, клиенты ушли, партнеры ушли.

Как легально держать деньги за границей? Смотрите пункт третий.

Если вам не надо держать постоянно деньги на расчетном счету — выводите их легально и быстро. Тем более что на расчетных счетах средства не застрахованы, и если проблемы у банка, то проблемы и у вас. Имейте пару расчетных счетов в банках, не связанных между собой через аффилированных лиц.

Даже в цивилизованных странах есть придурки и тупые чиновники. Вот, в Австралии, к примеру, запрещают сниматься в порнухе женщинам с небольшой грудью. Мол, педофилы на них медитируют, а потом идут и растлевают младенцев насквозь. Ну кем надо быть, чтобы такие законы принимать?

А это значит, что даже за границей может найтись придурок, который заблокирует ваш сервер. Или датацентр. А это значит, что сервер не должен быть один, если у вас от него зависит что-либо серьезное. Критичные вещи нужно дублировать на сервера, находящиеся не только в другом датацентре, но и в другой юрисдикции.

6. Держите базы данных за границей

Это актуально для любого российского бизнеса. Если в ваш офис вломятся люди в масках по наводке конкурентов, они изымут сервера и компьютеры. Делается это, как и арест расчетных счетов, не с тем, чтобы «найти доказательства», хотя я не понимаю, что может помешать записать туда «эксперту» терабайт жесточайшего детского некрозоопорно с массовыми расчленениями, осквернением всех мировых религий, разжиганием розни сразу ко всем расам, национальностям и социальным группам, а также экстремистскими пособиями.

Ну или софта на 146-ю статью, часть посадочную. От этого лично я спасения не вижу (чуть ниже мой внутренний параноик кинет идею, но я сомневаюсь в его компетентности).

Делается это для того, чтобы парализовать работу, заставить компанию буквально истекать кровью и вынудить директора или собственника согласиться на условия захватчиков. Поэтому держите свои базы, бухгалтерию и т.п. на заграничных серверах и связывайтесь по шифрованному туннелю. VPN практически бесплатен, а восстановить работу офиса можно практически мгновенно посредством тонкого клиента.

Ну и базы останутся в целости, а не попадут к родственникам типа в маске. Если большие файлы нужны тут — можно держать их на локальном сервере, в зашифрованном виде, в другом помещении. Но обязательно делать бекапы за границу.

7. Документируйте все, что касается вашего обеспечения

И этот совет касается не только IT. В фирме должен быть приказ об установлении определенного комплекта ПО на машины. Должен быть приказ о запрете устанавливать или записывать что-либо еще, включая ПО и медиа. Под ним должны подписаться все сотрудники. Равно как и под актом, в котором вы передаете им автоматизированное рабочее место в определенном состоянии.

Внутренний параноик подсказывает мне вариант с аппаратным шифрованием винтов, Trusted Platform Module, сбросом состояния винтов, сетевой загрузкой и т.п., а также ежедневным составлением и подписанием актов осмотра оборудования и установленного ПО.

8. Разделяйте активы и риски

Например, у вас поисковая система. Технологией, доменом, патентами, правами и т.п. пусть владеет одна компания, сервера пусть будут на другой, а риски, например, связанные с тем же ПО, арендой, возможностью рейдерского захвата, кадровыми вопросами пусть несет третья.

9. Еще можно отдаться добровольно

Или крышу найти. Ну там «золотые акции» выпустить, проспонсировать что-нибудь, толкать правильные речи за нужную партию. Хотя… шакалам всегда хочется больше.

10. Уезжайте за границу

В самом деле, сервер стоит держать за границей, а себя любимого? Все просто: это как игра, где надо набить очков, чтобы перейти на следующий уровень. Надо выучить язык, получить востребованную профессию, накопить денег или сделать такой проект, который будет кормить вас в любой стране.

Надо выйти на уровень, в котором в игре появляются доступные и честные суды. На уровень, в котором уже не преследуют монстры в масках и с автоматами. Там появляются другие монстры: юридические гоблины, патентные тролли, опытные конкуренты 80-го левела. Но они действуют по четким правилам, а эти правила действуют для всех одинаково.

А не так, что у шакалов (оборотни — слишком громкое слово для падальщиков) в погонах оказывается over 9000 иммунитет к свету, общественному мнению и СМИ, +100500 к иммунитету против закона, способность наложить отворотное заклятие на камеры видеонаблюдения, аннилигировать показания свидетелей или кастануть на вас заклинание «СИЗО смерти».

Кроме того на этом уровне также появляется возможность сохранить свои деньги и вещи, а построенные дома не снесут урукхаи.

Будут доступны дешевые кредиты (-200 к процентной ставке), будет работать DHL (-200 к идиотизму перманентно), не будут блокировать ваши электронные кошельки (-200 к совку во всей локации).

Не будет Петриков и Грызловых. Не будет того, что описано вот в этом блоге: «Как меня пытаются посадить», а это многого стоит.