Истинные причины импортозамещения: отечественные решения и ИБ
Российские ИТ-разработки повышают общую кибербезопасность конкретных решений, компаний и даже экономики в целом, считает исполнительный директор Консорциума РосСХД Олег Изумрудов. В чем их преимущество перед западными решениями, он объясняет в экспертном материале для GlobalCIO|DigitalExperts.
Системная уязвимость
Инфраструктурные уязвимости входят в список угроз информационной безопасности. Выступая в качестве базового уровня любого цифрового сервиса, оборудование стало одним из первых направлений, на которое государство обратило внимание в перспективе импортозамещения.
Для этого существовали очевидные предпосылки: в 2017 году были обнаружены критические аппаратные уязвимости Spectre (CVE-2017-5753 и CVE-2017-5715), Meltdown (CVE-2017-5754), а в 2018-2019 и ещё 5 критических уязвимостей Microarchitectural Data Sampling (MDS) во всех процессорах Intel архитектуры CISC, произведённых с 2006 года.
Так же подвержены уязвимости и процессоры AMD, IBM (POWER) и процессоры ARM.
Эти аппаратные уязвимости заставили совершенно иначе воспринимать угрозы, связанные с самой архитектурой базовых компонентов компьютерного оборудования. Тогда выяснилось, что особенности устройства процессоров позволяли извлекать из кеш-памяти пароли и другие чувствительные данные: они оказались не защищены специальными средствами в качестве промежуточной информации и полностью доступны.
Всего семь строчек на JavaScript — и удаленный контроль над машиной мог получить любой желающий. Это был шок. Демонстрация подобных уязвимостей зарубежного оборудования в самых «высоких» кабинетах ответственным госчиновникам и стала одной из причин принятия решения об импортозамещении в системообразующих отраслях экономики, а также в системе госуправления.
Если кто-то думает, что предлог надуманный и «наши перебдели», то вот немного свежих новостей: специалисты по безопасности из Школы инженерии и прикладных наук Университета Вирджинии сообщили, что существует возможность извлекать инструкции из так называемого кеша микроопераций (micro-op cache).
Такой кеш есть как в процессорах Intel, так и в процессорах AMD — в нём сохраняются простейшие инструкции по ветке предсказания ветвлений. Исследователи выявили механизмы, которые позволяют извлечь эти данные, а с их помощью получить конфиденциальную информацию. Уровень micro-op cache намного ниже уровня уязвимостей типа Spectre. И, значит, защита от одного не работает против эксплуатации другого.
Словом, эта музыка будет вечной — или, как минимум, постоянной. А подлинные корни импортозамещения нужно искать в подобного рода ситуациях, а не в политике и санкциях.
Как быть и что делать
На практике многие российские ИТ-решения обеспечивают более высокий уровень безопасности по сравнению с иностранными разработками. Многим это утверждение покажется чересчур смелым в силу инерции мышления.
Однако сам факт производства оборудования в нашей стране гарантирует его защиту хотя бы от аппаратных закладок. Контроль за каждым шагом производства всех компонентов сам по себе даёт ощутимое преимущество перед любым импортным решением.
Таким образом, в случае отечественных решений «мы знаем, как это сделано»: то есть мы на 100% уверены в том, что находится «под капотом» — как оно работает и как чинится, если вдруг случатся проблемы. В случае иностранных решений мы сталкиваемся с неизвестностью: не знаем, какие риски они несут, как их устранить.
Кроме того, при использовании зарубежных аппаратных решений организация становится зависимой как от иностранной корпорации, которая выступает в роли производителя, так и от зарубежного государства в целом.
Сторона поставщика может начать диктовать свою политику в любой момент: например, прекратить обновления программного обеспечения из-за внутренних кризисов или политических требований правительства страны.
Между тем, для ряда задач неприемлемо допускать саму вероятность, что критическая информационная инфраструктура и работа ключевых государственных организаций может зависеть от политики зарубежных правительств.
Архитектурный баттл: CISC vs. VLIW
Впрочем, эффективный ответ на подобного рода вызовы существует. И находится он на уровне самой архитектуры процессоров, лежащих в основе почти всех ИТ-систем и компонентов.
Всё дело в архитектурном решении процессоров типа СISC, характерном для наиболее распространенных западных продуктов. Оно представляет собой тип архитектуры с полным набором команд, где выполнение любой из команд системы процессора реализуется аппаратно, то есть внутри самого процессора.
Идея заложена в названии архитектуры — Complex Instruction Set Computing или «полный набор команд». Подход позволяет использовать сложные команды для сокращения размеров и времени разработки и выполнения программы.
Исторически CISC-архитектура является одной из первых и была разработана компанией IBM. Для 70-х годов это был оптимальный вариант по всем параметрам.
Однако расширение производительности такой архитектуры возможно только через добавление новых аппаратных блоков к основному ядру. Многие производители тех лет по сути «приматывали изолентой» блоки в зависимости от поставленной задачи, не задумываясь о закладываемых рисках с точки зрения информационной безопасности.
Это срабатывало: скорость и производительность всех устраивали, пока ничего не ломалось, не «падало» и не «утекало». Собственно, так всё и продолжалось до обнаружения тех самых критических аппаратных уязвимостей Spectre, Meldown, Fallout, RIDL, ZombieLoad.
Выявление таких критических уязвимостей (а может и закладок) поставило вопрос об альтернативе — к счастью, она уже была разработана и активно использовалась по всему миру, включая Россию. Речь идёт об исторически более новом подходе к архитектуре процессоров — VLIW или «Very Long Instruction Word», то есть «очень длинная машинная команда».
Это архитектура процессоров с несколькими вычислительными устройствами, которая характеризуется способностью одной инструкции процессора содержать в себе несколько операций для параллельного выполнения.
Как устроен VLIW
В новом подходе фактически реализуется микропрограммное управление, где машинный код представляет собой микрокод для непосредственного управления аппаратной частью.
И это настоящий квантовый скачок в плане информационной безопасности по сравнению с CISC, потому что все расширения производительности процессоров можно выполнять с помощью компилятора, на уровне кода — никакой замены аппаратного обеспечения, как в случае с CISC, не потребуется.
Компилятор в VLIW-решениях занимает существенную часть разработки процессора. ПО, на котором работает это аппаратное обеспечение, уделяется огромная, критически важная роль.
Синхронизация аппаратной и программной части в рамках единой связки позволяет добиваться повышения производительности процессора до 2-2,5 раз при обновлении до более совершенной версии программного обеспечения.
Более того, например, патч для исправления возможной ошибки не приводит к замедлению производительности — скорее наоборот, пропатченное ядро операционной системы для VLIW-процессора, скорее всего, будет работать даже быстрее.
Наконец, ещё один бонус: в такой архитектуре из-за отсутствия больших сложных узлов достигаются значительно более выигрышные показатели энергопотребления.
Исторически VLIW является более поздним вариантом архитектуры, чем CISC, что во многом послужило причиной ее использования в отечественной микроэлектронике.
Так, современные микропроцессоры «Эльбрус 8С», «Эльбрус 8СВ», «Эльбрус 2С3» и «Эльбрус 16С» — это VLIW-процессоры, что означает более высокий «встроенный» уровень кибербезопасности отечественных решений.
Да, VLIW задает более высокий уровень сложности при выполнении ряда типичных задач из-за параллелизма, большего количества этапов. Требования к программистам повышаются, что на фоне вечного дефицита ИТ-кадров может представлять проблему.
Но баланс факторов в сегодняшней ситуации должен трактоваться в пользу безопасности.
СХД и видео
Говоря о практическом применении разных архитектур процессоров, можно рассмотреть такую область, как системы видеонаблюдения. Сравнительные испытания нескольких решений в этой области, включая российские СХД на базе VLIW-процессоров, показали следующие результаты.
Решения в одном ценовом диапазоне принципиальных отличий по производительности процессоров, поставленных в качестве «мозга» СХД, не выявили. То есть СХД на Intel и на «Эльбрусе» практически по всем параметрам показали примерно одинаковые результаты.
Но было одно исключение: в тестировании на последовательную запись данных «Эльбрус» пришёл первым с отрывом в 10 раз — именно за счёт архитектурных особенностей и высокого параллелизма. Последовательная запись предполагает запись непрерывного потока информации, то есть идеально соответствует задачам видеонаблюдения, где нужно работать с непрерывным потоком видеоданных.
Более того, после улучшения аппаратной части российского решения, а именно установки нового компилятора и оптимизации под твердотельные накопители данных, была получена производительность в 1,5 млн IOPS.
Не скроем, оптимизировать работу СХД под особенности «Эльбруса» получается затратно с точки зрения ресурсов, но абсолютно выполнимо и экономически оправданно.
Почему? Потому что на другой чаше весов — выход новых CISC-процессоров западных вендоров каждые 6-8 месяцев для роста производительности, что в некоторых случаях предполагает замену всего устройства вместо простого обновления ПО.
Все помнят, как обновление драйверов для видеокарты может драматически увеличить производительность ПК? Здесь работает тот же принцип.
Языком экономики
При VLIW-подходе чтобы оставаться адекватным по уровню производительности ИТ, предприятию не нужно часто производить замену железа — достаточно просто нажать кнопку «обновить» и провести итоговую настройку.
Эффект легко умножить на размер среднего ЦОДа или ту же систему видеонаблюдения на крупном объекте — например, в аэропорту.
ТСО системы в долгосрочной перспективе при сценарии обновления компилятора (соответственно системного и прикладного ПО) оказывается гораздо более привлекательным даже при условии более высоких затрат на начальном этапе.
Ещё один важнейший момент: CISC-архитектура не рассчитана на постоянную высокую нагрузку, и её колебания приводят к знакомым всем эффектам «зависания» машин — отсюда использование инструментов мониторинга нагрузки ИТ-инфраструктуры в ЦОДах.
Всё это вызывает повышенную нагрузку на системы охлаждения оборудования в CISC-парадигме. VLIW — в этом отношении совсем другое дело: много меньшее энергопотребление и высокая энергоэффективность.
Сумма выводов
Возьмём такой объект, как cитуационный центр или центр мониторинга целого региона страны.
Без качественной ИТ-инфраструктуры работу подобной организации трудно представить: лучшие системы видеонаблюдения, хранения данных, аналитики и централизованного управления с множеством подсистем могут управляться только на высокопроизводительной ИТ-платформе.
А теперь представим, что хакеры взламывают её и блокируют работу, требуя выкуп. Сделать это не так сложно, так как дефект лежит на уровне ИТ-архитектуры.
Ни приёма сообщений об инцидентах и реагирования на них, ни координации с экстренными службами — региональные власти, по сути, остаются слепыми, глухими и немыми с точки зрения контроля над текущей ситуацией. Стоит ли привычка к распространённым импортным ИТ-решениям подобных рисков даже теоретически?
По большому счёту переоценка ценностей в этом направлении уже началась: это, в частности, доказывает центр обеспечения безопасности населения Ростовской области, который одним из первых сделал выбор в пользу построения ИТ-инфраструктуры полностью на основе отечественных решений.