VK (ИТ-инфраструктура)
Статья посвящена вопросам развития ИТ-инфраструктуры группы компаний VK. Основная статья о VK - по ссылке.
2024
VK запаслась оборудованием на миллиарды рублей и создаёт новые дата-центры
Капитальные затраты VK в 2023 году составили 32,4 млрд рублей. Компания формирует резервы сетевого и серверного оборудования, инвестирует в строительство собственных дата-центров с целью масштабирования, повышения надежности и отказоустойчивости инфраструктуры, а также во внедрение передовых технологий и продуктовое развитие, говорится в годовом отчёте VK за 2023 год.
В 2023 году были разработаны концепции новых дата-центров VK в Москве, Санкт-Петербурге и Ленинградской области, указано там же. Но в VK предпочли пока не раскрывать детали: «Проекты по строительству новых дата-центров находятся на разных стадиях разработки, объявим дополнительно о вводе в эксплуатацию», — заявили TAdviser в компании.
Обслуживанием ИТ-инфраструктуры продуктов VK и развитием сети ЦОД VK занимается её дочерняя компания «М100». В интересах последней в конце марте 2024 года проводился квалификационный отбор на право включения в реестр потенциальных участников в закупках на осуществление функций генпроектировщика для выполнение проектно-изыскательских работ в области строительства ЦОД[1]. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
Из опубликованного техзадания следует, что VK задумала проектирование четырёх ЦОД в различных регионах РФ с полной мощностью от 5 до 20 МВт. В документе уточняется, что речь идёт о проектировании только новых зданий и сооружений на земельном участке, без реконструкции.
По состоянию на конец 2023 года в VK функционировали два дата-центра — в Москве и в Ленинградской области. В отчётном периоде компания продолжила строительство ещё одного дата-центра, в Домодедове. В начале июня Главгосстройнадзор Московской области сообщал о завершении работ по его возведению. В здании площадью порядка 5,4 тыс. кв. м размещены зоны разгрузки и распаковки оборудования, машинные залы, помещения узлов связи, источников питания и аккумуляторов.
С 2021 по 2023 год потребление электроэнергии дата-центрами VK выросло с 53 млн кВт⋅ ч до 59,7 млн кВт⋅ ч. Это связано с их модернизацией и изменением системы расчета, объясняют в компании. Также на рост показателя влияет повышенная загрузка дата-центров, связанная с увеличением аудитории сервисов VK и ростом потребления контента пользователями.
VK направляет усилия на уменьшение удельного потребления электроэнергии путем наиболее эффективного использования ИТ-оборудования, современных систем холодоснабжения, подачи и распределения электропитания, а также схем резервирования, позволяющих минимизировать количество потерь при передаче электроэнергии. В 2023 году компания установила повышенный температурный режим работы для ИТ-оборудования, что позволяет тратить меньше энергии на охлаждение воздуха. При этом теплоизбыток серверных используется для отопления складских помещений.
Выплата 240 миллионов рублей исследователям безопасности
VK обработала свыше 18 тысяч отчетов от багхантеров и выплатила более 236 миллионов рублей за 10 лет существования программы по поиску уязвимостей Bug Bounty. Об этом компания сообщила 16 апреля 2024 года.
VK — одна из первых компаний в России, которая начала платить внешним исследователям безопасности за найденные уязвимости. VK запустила собственную программу Bug Bounty на платформе HackerOne в апреле 2014 года. Первым проектом стала Почта Mail.Ru, позже добавились социальные сети ВКонтакте и ОК. За все время сотрудничества с HackerOne VK получила более 16 тысяч отчетов, что позволило значительно усилить защиту продуктов компании. Общий размер выплат превысил 185 миллионов рублей, а максимальное вознаграждение за критическую уязвимость достигло 1,5 миллионов рублей.
В 2022 году VK разместила программу Bug Bounty на платформах Standoff365 и BI.Zone Bug Bounty, в начале 2023 года – на BugBounty.ru, таким образом став компанией, представленной на всех отечественных платформах. За время работы с российскими партнерами компания обработала свыше 2,5 тысяч отчетов и выплатила внешним исследователям безопасности более 52 миллионов рублей. В 2023 году суммарное вознаграждение превысило 39 миллионов рублей, что в три раза больше, чем в 2022 году, а размер максимальной единовременной выплаты составил 2,4 миллиона рублей.
VK с 2014 года развивает сообщество багхантеров, которое помогает нам дополнительно тестировать безопасность наших продуктов. В 2024 году мы переосмыслили общепринятый в индустрии подход к выплатам: мы отказываемся от фиксированных максимальных сумм и внедряем механизм Bounty Pass, при котором применяется прогрессивная шкала вознаграждений с учетом персональных достижений багхантера. По случаю 10-летия VK Bug Bounty бюджет программы в 2024 году превысит 200 миллионов рублей, – отметил вице-президент, директор по информационной безопасности VK Антон Карпов. |
2023
Строительство собственных ЦОДов в Москве и Санкт-Петербурге за десятки миллиардов
VK занялась строительством собственных ЦОДов в Москве и Петербурге и потратит на них десятки миллиардов. Об этом стало известно в середине мая 2023 года.
По сообщению «Ведомостей», интернет-холдинг, помимо ЦОДа «Пахра» в подмосковном городе Домодедово, запуск которого намечен на конец 2023 года, VK собирается построить еще два собственных центра в Московском регионе. Также компания планирует инвестировать в облачную инфраструктуру и в Санкт-Петербурге. К середине мая 2023 года VK завершает процедуру покупки земельных участков для строительства. Вводить новые ЦОДы в эксплуатацию компания начнет в 2025 году.
В VK рассказали изданию, что к середине мая 2023 года компания использует арендные мощности сторонних провайдеров и мощности двух собственных дата-центров в Санкт-Петербурге и Москве на 1200 стоек в общей сумме.
VK может вложить до 40 млрд рублей в строительство центров в течение нескольких лет, предположил менеджер по продуктам Linxdatacenter Станислав Братчиков. Эта сумма складывается не только из стоимости приобретения серверов, но и земли, электроснабжения и замены оборудования в процессе эксплуатации. Опрошенные газетой эксперты говорят, что аренда одной стойки обходится VK в 85–100 тыс. рублей в год. Компания арендует порядка 3 тыс. стоек и тратит на них 3-3,6 млрд рублей ежегодно, утверждают они.
Источники «Ведомостей» рассказали, что руководство VK с помощью строительства собственных ЦОДов хочет сократить затраты на аренду и переложить их в капитальные затраты на строительство собственных мощностей. При этом VK, скорее всего, останется на рынке коммерческих дата-центров как крупный клиент-арендатор, считают эксперты.[2]
VK назначила нового директора по информационным технологиям
Как выяснил TAdviser, в марте 2023 года Роман Третьяков был назначен на должность директора по информационным технологиям VK. В его зону ответственности входит руководство департаментом информационных технологий VK: развитие и сопровождение бэк-офисных систем и внутренних сервисов компании. Подробнее здесь.
Размещение программы по поиску уязвимостей на платформе BugBounty.ru
24 января 2023 года компания VK сообщила о размещении своей программы по поиску уязвимостей (bug bounty) на платформе BugBounty.ru. В программу VK на январь 2023 года входят 27 проектов: ВКонтакте, Одноклассники, Почта Mail.Ru, RuStore и другие сервисы, которыми пользуются миллионы россиян. За каждую выявленную уязвимость исследователи безопасности могут получить от компании вознаграждения от трех тысяч рублей до 1,8 миллиона рублей в зависимости от уровня критичности угрозы.
Продуктами VK пользуются миллионы человек, поэтому наша обязанность и важнейший приоритет — обеспечить максимально высокий уровень защищенности сервисов и пользовательских данных. Подключение нашей bug bounty-программы ко всем трем отечественным платформам по поиску уязвимостей позволяет нам привлечь максимальное количество исследователей безопасности к тестированию защищённости проектов. В 2022 году VK приняла более 750 отчетов, общий объем выплат превысил 13 миллионов рублей, — отметил вице-президент, директор по информационной безопасности VK Алексей Волков. |
Мы рады, что такой игрок российского ИТ-рынка появился на нашей площадке. Она имеет обширное комьюнити багхантеров, отвечает всем актуальным требованиям bug bounty-платформ и активно наращивает свою функциональность. Мы уверены, что наша платформа станет дополнительным инструментом безопасности при создании продуктов и развития инфраструктуры VK, — сказал Лука Сафонов, основатель Bugbounty.ru. |
2022
Выплата белым хакерам более 37 миллионов рублей
За 2022 год, в котором программа багбаунти VK начала реализовываться на отечественной платформе, компания суммарно заплатила белым хакерам более 37 млн рублей. При этом стратегическая цель ИТ-компании – обеспечить полноценную интеграцию багхантеров в архитектуру информационной безопасности из-за эффективных результатов подобных программ.
VK – одна из первых российских компаний, которая начала интегрировать работу белых хакеров в инфраструктуру информационной безопасности, изначально предоставив большое количество продуктов собственной экосистемы. После ухода западных вендоров с российского рынка (в том числе HackerOne) компания перешла на отечественные аналоги платформ размещения систем, прежде всего, на The Standoff 365 Bug Bounty, разработанной Positive Technologies. По состоянию на декабрь 2023 года на платформе представлено 34 программы компании, в том числе Почта, социальные сети «ВКонтакте» и «Одноклассники», а также Облако, поделились с TAdviser 5 декабря 2023 года в пресс-службе депутата ГосДумы РФ Антона Немкина.
Драйвером развития "багбаунти" стали продукты Mail.ru. Так, были обнаружены уязвимости в сфере безопасности, а также нарушения общей бизнес-логики. При этом до 70% ошибок было обнаружено в клиентской части. Самое дорогое обнаружение уязвимости обошлось компании в 3 213 000 рублей.
"Багбаунти" – действенный инструмент обеспечения информационной безопасности, считает член комитета Государственной Думы по информационной политике, информационным технологиям и связи Антон Немкин.
«В условиях роста кибератак на бизнес и государство вопрос информационной безопасности стоит особенно остро. Нужно понимать, что одно из преимуществ злоумышленника в том, что он действует вне правил и часто проявляет гибкость, мыслит нестандартно. При этом политика по информационной безопасности многих компаний часто, напротив, выступает монолитной и иногда неповоротливой системой, которая не может проявить ту самую гибкость в попытках обнаружения угроз и своевременного реагирования на них. Поэтому работу «белых» хакеров стоит рассматривать как дополнительный инструмент оценки своей собственной защиты, который зачастую показывает эффективные результаты», – убежден парламентарий. |
Между тем, в России продолжается активная работа по легализации деятельности «белых» хакеров. По словам депутата, недавно был подготовлен пакет законопроектов, направленных на легализацию работы белых хакеров. В частности, предлагается внесение поправок в Уголовный кодекс (УК) РФ, в Гражданский кодекс РФ, а также в федеральный закон «Об информации, информационных технологиях и о защите информации».
«Несмотря на то, что работа «белых» хакеров приносит очевидную пользу, сами хакеры продолжают находиться в уязвимом правовом положении, что недопустимо. При этом такой позиции придерживается и Минцифры, которое запустило второй поток программы багбаунти», – добавил Антон Немкин. |
Увеличение бюджета на кибербезопасность в 2,5 раза
28 декабря 2022 года стало известно о решении VK увеличить бюджет на информационную безопасность в 2,5 раза. Речь идет о расходах в 2023 году, рассказал ТАСС вице-президент и директор по информационной безопасности холдинг Алексей Волков.
По его словам, во второй половине 2022 года в компании VK начали работать более 100 специалистов, которые пришли «из подразделений ИБ организаций различных отраслей экономики».
Мы планируем набирать сотрудников и в 2023 году, но конкретные планы раскрывать пока не будем, — сказал Волков. |
Он подчеркнул, что в 2022 году VK усилила направление, которое обеспечивает так называемую практическую безопасность — защиту инфраструктуры и приложений, а также создала департамент защиты клиентов и обновила программу VK Protect, направленную на защиту пользователей. В компании начали трансформировать свой операционный центр безопасности (или Security Operation Center), чтобы как можно раньше выявлять попытки атак и уменьшать время реагирования на инциденту.
ИБ-директор VK также раскрыл, что в текущем году компания отразила все кибератаки на свои сервисы, их объём был сопоставим с кибератаками на другие компании в России.
Подросло и количество кибератак на наши сервисы. В целом, мы пережили их так же, как и другие компании — сталкивались с сопоставимым объёмом DDoS-атак, точечных кибератак, попытками несанкционированного доступа в наши системы. Все атаки были отражены, — сказал Волков. |
При этом наибольшее число кибератак пережили социальные сети «ВКонтакте» и «Одноклассники».
На этих площадках больше всего пользователей, объёма контента, люди проводят здесь много времени, — пояснил Волков. — Пик кибератак мы зафиксировали в первые месяцы года, затем динамика прироста снизилась, — подытожил Волков.[3] |
Размещение программы по поиску уязвимостей на платформе BI.Zone Bug Bounty
VK разместила свою программу по поиску уязвимостей (bug bounty) на платформе BI.ZONE Bug Bounty. Об этом компания BI.Zone сообщила 21 ноября 2022 года. Подробнее здесь.
Получение 300 отчетов об уязвимостях от внешних экспертов
18 октября 2022 года компания VK сообщила о получении 300 отчетов об уязвимостях от внешних экспертов за три месяца работы программы по поиску уязвимостей (bug bounty) на платформе Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies. Более половины сообщений эксперты VK признали существенными, выявленные на их основе уязвимости были устранены. Подробнее здесь.
Присоединение к платформе по поиску уязвимостей The Standoff 365 от Positive Technologies
8 августа 2022 года VK сообщила об участии в платформе The Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies. ИТ-компания разместила на платформе программу по поиску уязвимостей (bug bounty), которая с помощью внешних экспертов помогает находить недостатки в системе безопасности и устранять их до обнаружения злоумышленниками. Подробнее здесь.
2021: Выплата премии исследователю в размере $40 000
Mail.ru Group выплатила очередную премию исследователю в размере 40 000 долларов. Об этом стало известно 8 июля 2021 года. Подробнее здесь.
2019: Mail.ru Group провела апгрейд серверов и сократила число дата-центров в России
В 2019 году Mail.ru Group сократила число использующихся дата-центров в России с 11 до 9, а за рубежом, наоборот, увеличила - с 2 до 3 ЦОДов, следует из годового отчета компании, опубликованного в апреле 2020 года. Российские дата-центры компании располагаются в Москве и Санкт-Петербурге, зарубежные – в Амстердаме (Нидерланды) и Сан-Хосе (США).
Изменение общего количества дата-центров -- нормальная практика. Мы арендуем часть мощностей, по мере роста продуктов из маленьких дата-центров «переезжаем» в более крупные. Это обычная оптимизация, - объяснили TAdviser в Mail.ru Group. |
В 2019 году выросло общее число серверов в дата-центрах компании. Так, в российских дата-центрах насчитывалось 58,5 тыс. серверов, в зарубежных – 1,55 тыс., указано в годовом отчете. В 2018 году их было 56,3 тыс. и 1,4 тыс. соответственно.
При этом и производительность используемых серверов увеличилась, утверждают в Mail.ru Group. В отчете говорится, что было проведено много апгрейдов аппаратного обеспечения, что позволило добиться сбалансированной конфигурации на базе новейших процессоров и избежать крупного увеличения единиц вычислительной техники.
Замена старых серверов на новые позволила повысить среднюю эффективность одного сервера. При этом, так как проекты расширяются и нагрузка на них увеличивается, общее количество серверов все равно выросло. В 2019 году потребность в расширении мощностей увеличивалась пропорционально развитию и масштабу продуктов, - объяснили TAdviser в Mail.ru Group. |
Общая стоимость серверов и компьютеров, которыми владеет Mail.ru Group, с декабря 2018 по декабрь 2019 года выросла на 21%, до 5,084 млрд рублей, следует из годового отчета компании. Речь идет о чистой балансовой стоимости за вычетом аккумулированных амортизационных отчислений. А стоимость серверов и компьютеров, включающая амортизационные отчисления, в 2019 году составила около 16,5 млрд рублей, увеличившись на 25%.
По данным Mail.ru Group, в 2019 году пиковый объем сетевого трафика увеличился и достиг 6,9 терабит/сек, а общий объем исходящих данных достиг 10,856 петабайт. В 2017 году аналогичные значения составляли 5,24 терабит/сек и 10,249 петабайт соответственно.
В Mail.ru Group предполагают, что в 2020 году им понадобятся дополнительные мощности, так как аудитория подавляющего большинства проектов и вовлечение пользователей растут, отметили в компании.
2018: Стоимость ИТ-инфраструктуры Mail.ru Group выросла в 3,3 раза за 5 лет
Общая стоимость серверов и компьютеров, которыми владеет Mail.ru Group, с декабря 2013 по декабрь 2018 года выросла в 3,3 раза, до 4,195 млрд рублей, следует из годового отчета компании.
Речь идет о чистой балансовой стоимости за вычетом аккумулированных амортизационных отчислений. Стоимость серверов и компьютеров, включающая амортизационные отчисления, в 2018 году составила 13,146 млрд рублей, что примерно в 4,4 раза выше аналогичного показателя 2013 года.
Всего Mail.ru Group использует 11 дата-центров. Часть из них принадлежит ей, а часть арендуется. Два дата-центра компании расположены в Нидерландах и США для обслуживания клиентов в Европе и Северной Америке.
По данным отчета, в 2018 году в дата-центрах Mail.ru Group в общей было порядка 57,7 тыс. серверов, 1,4 тыс. из которых - в зарубежных дата-центрах. По сравнению с 2017-м годом общее число серверов, которые использует компания, снизилось: тогда их было более 67 тыс.
В 2018 году Mail.ru Group оптимизировала серверную инфраструктуру, в результате чего количество используемых ею серверов сократилось на 15%, говорится в годовом отчете компании. При этом компания заменила старые вычислительные системы на новые более высокой плотности, что позволило увеличить общую совокупную мощность серверов и сократить операционные расходы, утверждает Mail.ru Group.
По данным Mail.ru Group, в 2018 году пиковый объем сетевого трафика увеличился и достиг 5,86 терабит/сек, а общий объем исходящих данных достиг 10,856 петабайт. В 2017 году аналогичные значения составляли 5,24 терабит/сек и 10,249 петабайт соответственно.
На серверы и инфраструктуру социальных сетей в 2018 году пришлась основная часть инвестиций в основные средства. В общей сложности объем таких инвестиций вырос на 70,9%. В Mail.ru Group объясняют их рост необходимостью соответствовать последним изменениям российского законодательства. Общий объем капитальных затрат Mail.ru Group в 2018 году вырос на 51,7%, до 6,648 млрд рублей.
В числе новых услуг, предоставляемых на базе вычислительной инфраструктуры Mail.ru Group с 2018 года, - PaaS сервис для анализа Big Data, ряд SaaS сервисов, облачные вычисления на базе GPU Nvidia.
Для сравнения - совокупная стоимость ИТ-инфраструктуры «Яндекса» в 2018 году составляла 49,57 млрд рублей, увеличившись на 45%. В эту сумму входит стоимость серверов и сетевой инфраструктуры за вычетом аккумулированных амортизационных отчислений. Подробнее здесь.