Исследование проводили мы ("Инфосистемы Джет") совместно с hh.ru. Разрешите с вами не согласиться, - в нашей компании у всех сотрудников после прохождения испытательного срока есть возможность оформить ДМС.
Перед нами не стояло задачи полностью отладить работу установленного продукта. Только базовая инсталляция. Скорее всего вы правы, и подобные проблемы уже решены вендором или сообществом инженеров.
Так как технологии запатентованы Intel, то MontageTech просто не имеет права называть их так же, поэтому называет их "Аналогами своей разработки", без указания конкретики
Продавец дает гарантию работоспособности процессора. Работоспособность конкретно в вашей системе нужно проверять. Однако тот же xFusion уже включил процессоры Jintide в свой конфигуратор и готов отгружать их даже вне Китая в составе своих серверов, то есть как готовое решение.
Под "аналогами своей разработки" подразумевается не только создание полностью своего продукта с нуля, а также доработка или переделка уже готового изделия. Как говорится: "Зачем изобретать велосипед?"
Обычно не опробованные железки сразу в прод не запускают. Есть среда для тестирования, как приложений, разработанных внутри компании, так и сторонних приложений. Окупится или нет можно проверить пока что только на практике.
Нам тоже интересно. Хотелось бы побывать на производстве и посмотреть, как устроен процесс, составить свое мнение, показать и рассказать об этом. А вам?
Спасибо за комментарий. Ваша критика справедлива. Но все же стоит учитывать, для чего мы делаем такой кластер. Наш пример – всего лишь начальный этап настройки. Для каждого случая нужно определять свои параметры, про которые можно прочитать на оф сайте Patroni.
Текущая конфигурация довольно надёжна, но для критически важных данных мы конечно рекомендуем ужесточить параметры репликации и failover.
А что насчет ошибок? хотя бы по сравнению с последующим комплексным аудитом? (не говоря уж про упущенные возможности из-за неверно принятых решений)
Тут важно понимать, что со стороны компании, проводящей Due Diligence, основная ошибка заключается в неспособности выявить критические стоп-факторы, способные существенно повлиять на инвестиционное решение.
Большинство выявленных рисков сами по себе редко являются такими стоп-факторами; они только дают общее представление о целевом бизнесе. Фокус направлен на выявление проблем, требующих значительных финансовых и временных затрат для устранения, что может сделать инвестицию невыгодной по сравнению с альтернативными вариантами на рынке.
Например, грубое несоблюдение GDPR или отсутствие ключевых компетенций в области ИТ могут стать такими факторами, особенно если на рынке есть аналогичные бизнесы с лучшей подготовкой в этих аспектах.
На инвесторах тоже в данном случае лежит ответственность прояснять у целевого бизнеса любые недопонимания или неточности, которые могли возникнуть из-за ограниченного времени проверки.
Стоит также отметить, что и целевой бизнес или его представители иногда имеют возможность оспорить основные заключения, сделанные в ходе оценки. Тем не менее, нельзя отрицать, что неудачные инвестиции, конечно же, имеют место быть в мире, и именно поэтому инвестиционные фонды, как правило, работают только с теми консалтинговыми фирмами, которым они доверяют и которые в целом приносят им больше дохода, чем убытков.
Безусловно смело, но Due Diligence — это лишь инструмент экспресс-оценки, разработанный для решения конкретных задач инвесторов, он не заменит комплексный аудит. Это своего рода "триаж" в сфере кибербезопасности.
Действительно, отсутствие зафиксированных инцидентов не всегда является положительным индикатором. В контексте быстрой оценки при Due Diligence мы фокусируемся на выявленных и задокументированных инцидентах как на потенциальных индикаторах рисков.
Однако вы абсолютно правы — отсутствие инцидентов может указывать на неэффективность процессов их обнаружения. Это тоже важный фактор, который учитывается при более глубоком анализе. В рамках ограниченного времени Due Diligence стремятся выявить наиболее критичные риски, но, безусловно, важно рекомендовать дальнейшую тщательную оценку всех аспектов информационной безопасности, включая зрелость процессов обнаружения и реагирования на инциденты.
Вы, наверное, говорите про USB-токены FIDO U2F, которые горстями продают на AliExpress? Они позволяют входить на веб-сайты с использованием протокола Webauthn. Его много кто сейчас поддерживает. Но с этими токенами существует две проблемы. Если потеряете, то кто угодно сможет воспользоваться сохраненным в памяти ключом, поскольку верификации пользователя в большинстве случаев не предусмотрено. Второй момент — если девайс навернется, то придется покупать новый и генерить новую ключевую пару, а до этого понадобится как-то подтвердить подлинность. Хотя вряд ли вы столкнетесь со второй проблемой.
Чтобы не связываться с носимыми устройствами, придумали технологию Passkey, которая позволяет хранить и синхронизировать ключи между несколькими вашими устройствами (в основном — внутри одной экосистемы). То есть можно входить на один и тот же ресурс хоть с ноутбука, хоть с телефона.
Ключ не хранится в памяти устройства, а восстанавливается каждый раз при прикладывании карты и ввода пин-кода. Так что бэкапить вполне безопасно.
Что касается юзабилити, то действительно возможно сделать USB-донгл, которому телефон по Bluetooth будет отправлять пароль. Придется поколдовать с профилями, но это реализуемо. Ключ для расшифровки паролей может быть единым и храниться в условном Android Keystore. Будет ли это безопаснее? Это вопрос.
Спасибо за вопрос. На смену AIK пришёл ADK, который упомянут в самом начале статьи. Но цель нашей статьи - раскрыть возможности dism, а не ADK. Вам не обязательно использовать их для пересборки установочного образа. Вы можете использовать многое из перечисленного и на уже установленной системе.
Начнем с того, что ПО собирает статистику не отказов, а рабочих параметров в реальном времени и складывает это в базу. На основании этой базы и строится прогноз. Пример: у вас за 1 месяц напряжение было в диапазоне 200-240В, и вот система записывала эти данные, они были вразнобой, поскольку электроснабжение от города - такое себе по качеству. И тут вдруг, у вас стабильно начинает идти напряжение 250В. С одной стороны, для системы мониторинга это еще не критическое значение, порог настроен на, допустим, 260В (перенапряжение) - то есть аварии или предупреждения еще может не быть. А вот система, проанализировав предыдущие показатели, скажет - эй, ребят, у вас тут что-то не то с напряжением, может пострадать то, то и то. Второй вариант. У вас работают кондиционеры. Срок службы вентиляторов - около 40 тысяч часов наработки. Да, цифра условная, но тем не менее. И у вас таких кондиционеров штук 50, например. Вентиляторы работают, все окей. Но система записывает все меха-часы работы и предупредит - вот у этого вентилятора ресурс почти выработан. Это не значит, что вы должны его заменить - проведите осмотр, обслуживание. Если с ним все ОК, он прекрасно может работать дальше. Но опять же - представим ситуацию, что вы его осмотрели, все было прекрасно, а через 2 дня, система пишет - на вентиляторе упал расход. И вроде бы не критично, и вроде вентилятор не остановился - но звоночек уже тревожный. Понимаю, вы можете возразить, что все это решается запасными частями, это ваше право. Если вы внимательно перечитаете статью, то увидите, что мы никак не продвигаем данные решения и не говорим "вот, это то, без чего вы жить не сможете". Мы лишь говорим, о том, что такие решения есть. Мы с ними ознакомились, нашли те или иные плюсы и минусы и рассказываем о них. Так же в статье мы писали, что мы не проводили натурные испытания на реальном ЦОД, только анализ данных с тестовых стендов. И, например, если поставить в систему "старую" свинцовую батарею, то тут же будет уведомление о том, что в таком-то стринге упало напряжение - проверьте, что-то вы не то сделали. Моточасы вентиляторов, компрессоров, отслеживание высокого и низкого давления в холодильном контуре и их корреляция с параметрами наружного воздуха (отслеживание опасности остановки кондиционирования по высокому давлению) и так далее.
Мониторинг показывает значения в моменте и имеет уставки по пороговым значениям. Вышли за условный "предел" - это "авария". В случае же предиктивного анализа идёт проверка статистической базы и сравнение параметров в группе - на сколько показания выбиваются из общей "картины" и к чему это может привести. Это разовое отклонение или закономерное.
Склад и резерв - это прекрасно. Но не все хранят на складе. Есть запасные части, которые могут иметь определённый срок поставки. И вот тут как раз играет преимущество работы на упреждение - позаботиться о наличии запасных частей до наступления непосредственно аварии.
Исследование проводили мы ("Инфосистемы Джет") совместно с hh.ru. Разрешите с вами не согласиться, - в нашей компании у всех сотрудников после прохождения испытательного срока есть возможность оформить ДМС.
Вы оказались правы, спасибо за внимательность!
Перед нами не стояло задачи полностью отладить работу установленного продукта. Только базовая инсталляция. Скорее всего вы правы, и подобные проблемы уже решены вендором или сообществом инженеров.
Так как технологии запатентованы Intel, то MontageTech просто не имеет права называть их так же, поэтому называет их "Аналогами своей разработки", без указания конкретики
Продавец дает гарантию работоспособности процессора. Работоспособность конкретно в вашей системе нужно проверять. Однако тот же xFusion уже включил процессоры Jintide в свой конфигуратор и готов отгружать их даже вне Китая в составе своих серверов, то есть как готовое решение.
Под "аналогами своей разработки" подразумевается не только создание полностью своего продукта с нуля, а также доработка или переделка уже готового изделия. Как говорится: "Зачем изобретать велосипед?"
Обычно не опробованные железки сразу в прод не запускают. Есть среда для тестирования, как приложений, разработанных внутри компании, так и сторонних приложений. Окупится или нет можно проверить пока что только на практике.
Нам тоже интересно. Хотелось бы побывать на производстве и посмотреть, как устроен процесс, составить свое мнение, показать и рассказать об этом. А вам?
Если есть идеи, как это можно проверить, то мы готовы это попробовать воплотить)
О подобных прецедентах нам не известно
Добрый день!
Спасибо за комментарий. Ваша критика справедлива. Но все же стоит учитывать, для чего мы делаем такой кластер. Наш пример – всего лишь начальный этап настройки. Для каждого случая нужно определять свои параметры, про которые можно прочитать на оф сайте Patroni.
Текущая конфигурация довольно надёжна, но для критически важных данных мы конечно рекомендуем ужесточить параметры репликации и failover.
Здравствуйте!
Спасибо за вопрос :) Orion soft делает правки в oVirt и отдает их в комьюнити. Некоторые из них уже точно были приняты.
Тут важно понимать, что со стороны компании, проводящей Due Diligence, основная ошибка заключается в неспособности выявить критические стоп-факторы, способные существенно повлиять на инвестиционное решение.
Большинство выявленных рисков сами по себе редко являются такими стоп-факторами; они только дают общее представление о целевом бизнесе. Фокус направлен на выявление проблем, требующих значительных финансовых и временных затрат для устранения, что может сделать инвестицию невыгодной по сравнению с альтернативными вариантами на рынке.
Например, грубое несоблюдение GDPR или отсутствие ключевых компетенций в области ИТ могут стать такими факторами, особенно если на рынке есть аналогичные бизнесы с лучшей подготовкой в этих аспектах.
На инвесторах тоже в данном случае лежит ответственность прояснять у целевого бизнеса любые недопонимания или неточности, которые могли возникнуть из-за ограниченного времени проверки.
Стоит также отметить, что и целевой бизнес или его представители иногда имеют возможность оспорить основные заключения, сделанные в ходе оценки. Тем не менее, нельзя отрицать, что неудачные инвестиции, конечно же, имеют место быть в мире, и именно поэтому инвестиционные фонды, как правило, работают только с теми консалтинговыми фирмами, которым они доверяют и которые в целом приносят им больше дохода, чем убытков.
Безусловно смело, но Due Diligence — это лишь инструмент экспресс-оценки, разработанный для решения конкретных задач инвесторов, он не заменит комплексный аудит. Это своего рода "триаж" в сфере кибербезопасности.
Действительно, отсутствие зафиксированных инцидентов не всегда является положительным индикатором. В контексте быстрой оценки при Due Diligence мы фокусируемся на выявленных и задокументированных инцидентах как на потенциальных индикаторах рисков.
Однако вы абсолютно правы — отсутствие инцидентов может указывать на неэффективность процессов их обнаружения. Это тоже важный фактор, который учитывается при более глубоком анализе. В рамках ограниченного времени Due Diligence стремятся выявить наиболее критичные риски, но, безусловно, важно рекомендовать дальнейшую тщательную оценку всех аспектов информационной безопасности, включая зрелость процессов обнаружения и реагирования на инциденты.
Вы, наверное, говорите про USB-токены FIDO U2F, которые горстями продают на AliExpress? Они позволяют входить на веб-сайты с использованием протокола Webauthn. Его много кто сейчас поддерживает. Но с этими токенами существует две проблемы. Если потеряете, то кто угодно сможет воспользоваться сохраненным в памяти ключом, поскольку верификации пользователя в большинстве случаев не предусмотрено. Второй момент — если девайс навернется, то придется покупать новый и генерить новую ключевую пару, а до этого понадобится как-то подтвердить подлинность. Хотя вряд ли вы столкнетесь со второй проблемой.
Чтобы не связываться с носимыми устройствами, придумали технологию Passkey, которая позволяет хранить и синхронизировать ключи между несколькими вашими устройствами (в основном — внутри одной экосистемы). То есть можно входить на один и тот же ресурс хоть с ноутбука, хоть с телефона.
Ключ не хранится в памяти устройства, а восстанавливается каждый раз при прикладывании карты и ввода пин-кода. Так что бэкапить вполне безопасно.
Что касается юзабилити, то действительно возможно сделать USB-донгл, которому телефон по Bluetooth будет отправлять пароль. Придется поколдовать с профилями, но это реализуемо. Ключ для расшифровки паролей может быть единым и храниться в условном Android Keystore. Будет ли это безопаснее? Это вопрос.
Спасибо за вопрос. На смену AIK пришёл ADK, который упомянут в самом начале статьи. Но цель нашей статьи - раскрыть возможности dism, а не ADK. Вам не обязательно использовать их для пересборки установочного образа. Вы можете использовать многое из перечисленного и на уже установленной системе.
Начнем с того, что ПО собирает статистику не отказов, а рабочих параметров в реальном времени и складывает это в базу. На основании этой базы и строится прогноз. Пример: у вас за 1 месяц напряжение было в диапазоне 200-240В, и вот система записывала эти данные, они были вразнобой, поскольку электроснабжение от города - такое себе по качеству. И тут вдруг, у вас стабильно начинает идти напряжение 250В. С одной стороны, для системы мониторинга это еще не критическое значение, порог настроен на, допустим, 260В (перенапряжение) - то есть аварии или предупреждения еще может не быть. А вот система, проанализировав предыдущие показатели, скажет - эй, ребят, у вас тут что-то не то с напряжением, может пострадать то, то и то.
Второй вариант. У вас работают кондиционеры. Срок службы вентиляторов - около 40 тысяч часов наработки. Да, цифра условная, но тем не менее. И у вас таких кондиционеров штук 50, например. Вентиляторы работают, все окей. Но система записывает все меха-часы работы и предупредит - вот у этого вентилятора ресурс почти выработан. Это не значит, что вы должны его заменить - проведите осмотр, обслуживание. Если с ним все ОК, он прекрасно может работать дальше. Но опять же - представим ситуацию, что вы его осмотрели, все было прекрасно, а через 2 дня, система пишет - на вентиляторе упал расход. И вроде бы не критично, и вроде вентилятор не остановился - но звоночек уже тревожный.
Понимаю, вы можете возразить, что все это решается запасными частями, это ваше право. Если вы внимательно перечитаете статью, то увидите, что мы никак не продвигаем данные решения и не говорим "вот, это то, без чего вы жить не сможете". Мы лишь говорим, о том, что такие решения есть. Мы с ними ознакомились, нашли те или иные плюсы и минусы и рассказываем о них.
Так же в статье мы писали, что мы не проводили натурные испытания на реальном ЦОД, только анализ данных с тестовых стендов. И, например, если поставить в систему "старую" свинцовую батарею, то тут же будет уведомление о том, что в таком-то стринге упало напряжение - проверьте, что-то вы не то сделали. Моточасы вентиляторов, компрессоров, отслеживание высокого и низкого давления в холодильном контуре и их корреляция с параметрами наружного воздуха (отслеживание опасности остановки кондиционирования по высокому давлению) и так далее.
Мониторинг показывает значения в моменте и имеет уставки по пороговым значениям. Вышли за условный "предел" - это "авария". В случае же предиктивного анализа идёт проверка статистической базы и сравнение параметров в группе - на сколько показания выбиваются из общей "картины" и к чему это может привести. Это разовое отклонение или закономерное.
Склад и резерв - это прекрасно. Но не все хранят на складе. Есть запасные части, которые могут иметь определённый срок поставки. И вот тут как раз играет преимущество работы на упреждение - позаботиться о наличии запасных частей до наступления непосредственно аварии.