Запрет шифрования EHC в Cloudflare и блокировка Cloudflare в России: мигрируем на российский аналог
Разбираемся, как мигрировать с Cloudflare после решения Роскомнадзора
В ноябре подведомственный Роскомнадзору Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) постановил, что популярный зарубежный провайдер Cloudflare применяет технологии, которые нарушают российское законодательство — и поэтому РКН рекомендовал пользователям Cloudflare рассмотреть варианты замены провайдера на другие решения.
Что такое TLS EHC
В рекомендации ЦМУ ССОП речь идет о технологии шифрования TLS EHC, которую провайдер в октябре включил по умолчанию на своих серверах. ECH (Encrypted Client Hello) — это расширение протокола TLS, обеспечивающего установление зашифрованного соединения. ECH шифрует часть рукопожатия и маскирует указание имени сервера (SNI), которое используется для согласования сеанса TLS. Эта технология способна обходить технические средства противодействия угрозам (ТСПУ), установленные в сетях операторов связи, что нарушает законодательство РФ.
Что будет, если Cloudlare заблокируют?
Cloudflare — популярное решение, которое используют многие компании в России. CDN-провайдер предоставляет бесплатный тариф, возможности которого доступны бизнесу любого размера. По различным данным, на конец 2024 года от 8% до 11% российских веб-сайтов всё еще используют Cloudflare, несмотря на риски отмены, проблемы с оплатой, ограничения техподдержки и положения 250 Указа Президента РФ, который вступает в силу с 1 января 2025 года.
Если IP-адреса Cloudflare будут заблокированы, это может привести к серьезным рискам для владельцев веб-сайтов, использующих услуги провайдера:
➡️ Потеря доступности сайта
Если риск блокировки реализуется, а альтернативное решение не будет найдено, веб-ресурсы, использующие Cloudflare, станут недоступны. А недоступность сайта или приложения — это недополученная прибыль и репутационные издержки.
➡️ Дополнительная трата денег и ресурсов
«Авральный» переезд на альтернативное решение из-за блокировки Cloudflare означает внеплановые работы и привлечение большего количества специалистов и консультантов для поиска решения и оперативной миграции. Поэтому стоит выбирать альтернативное решение и мигрировать на него в плановом режиме.
➡️ Регуляторные риски
Хотя, по данным ряда экспертов, абсолютное большинство средних и крупных компаний уже мигрировали на альтернативные решения, некоторые известные игроки остались на Cloudflare. Однако, если компания входит в список системообразующих компаний, с 1 января 2025 года согласно положениям Указа № 250 Президента РФ начинает действовать запрет на использование сервисов информационной безопасности разработки недружественных стран. Неисполнение повлечет административную ответственность для должностных лиц — и этот риск реален, даже если Cloudflare не будет заблокирован и продолжит функционировать в России.
NGENIX — российский аналог Cloudflare
NGENIX — это российская альтернатива Cloudflare. Наша облачная платформа — самая крупная среди российских аналогов: это более 6,5 Тбит/с емкости и более 50 узлов во всех федеральных округах РФ и нескольких странах СНГ. Подключившись к платформе, пользователь может использовать в режиме единого окна около двух десятков интегрированных облачных сервисов для защиты, ускорения и обеспечения доступности, в том числе:
➡️ Защита от DDoS
Веб-ресурс всегда защищен от атак на уровнях L3/L4 модели OSI, а при подключении дополнительного сервиса — на уровне приложений (L7).
➡️ Защита от ботов
Специальный сервис позволяет детектировать нежелательный бот-трафик, включая трафик скальперов, парсеров, скрапперов и других. Защититься от простых ботов можно даже на самых младших тарифах.
➡️ Облачный WAF
Для защиты от взлома и эксплуатации уязвимостей на платформе доступно ПО от ведущих российских вендоров, соответствующих требованиям ФСТЭК.
➡️ СDN
NGENIX располагает крупнейшей сетью CDN в стране.
➡️ DNS-сервис
NGENIX предоставляет распределенный и отказоустойчивый DNS-сервис, защищенный от DDoS-атак любой мощности.
➡️ SSL-сертификаты
На платформе доступна поддержка собственных сертификатов RSA, ECDSA, ГОСТ 34.10, а также возможность автоматического выпуска и обновления сертификата Let’s Encrypt.
Как мигрировать c Cloudflare на российское решение?
Здесь доступен удобный гайд по сервисам Cloudflare, которые можно легко заменить, подключившись к платформе NGENIX: https://static.ngenix.net/2024/12/NGENIX-vs-Cloudflare.pdf