もはやアメリカのクラウドに政府や社会を移すのは危険だ!
引用元:https://news.ycombinator.com/item?id=43150085
この記事の著者であるBert Hubertは普通の活動家やLinuxハッカーとは違って、政府のITコンサルタント経験もあり、技術と政府の両方を理解している貴重な存在。彼の影響でオランダやEUの政府がアメリカのクラウドから移行するきっかけになればいいなと思ってる。
活動家たちの声を無視する政府を責める気はないが、脅威は15年前から明白だったと思う。最近のアメリカの政権交代で行動に移る準備ができたのかもだが、懸念材料も多い。特に経済的な影響があれば政府が求められる対応をするか疑問だ。
最近のアメリカの影響がヨーロッパの政治思想に大きな影響を与えたと思う。具体的な変化は時間がかかるだろうが、今こそヨーロッパがアメリカの技術依存を断ち切るチャンスだと感じる。
EUのクラウドベンダーで次の条件を満たすところはあるの?
コンピュートやストレージ、DB、ユーザ管理、SDN、構成管理、秘密管理、CDN、DNS、ドメインと証明書登録、メール/SMS、メッセージブローカ、ストリーミングブローカ。
基本的なセキュリティ対策とオープンスタンダードを使っていれば、ユーロクラウドへの移行は簡単だったはず。心配する必要はないと思うけど、そうでないなら多くの人が責任を問われるべき。
どうしてアメリカの技術を捨てるコストが15年前に比べて100-1000倍も上がってると思うの?以前はアメリカの製品がヨーロッパのビジネスには欠かせなかったし、サーバーやデスクトップでも使われてたから。
移行先はどこ?ScalewayやUpCloudといったEUのクラウドプロバイダーは比較できる?従来のアプリを移すのは難しいと思うし、ユニオンが支援しなければ無理だろうな。
ITの世界から言わせてもらえば、最初からクラウド特有のものを使わないべき。移行時のコストを考えれば、標準的な方法でできるかを常に考えるべき。Azure Functionsのようなものも、インフラを管理するなら標準的なツールにする必要がある。
VMやDockerコンテナにこだわっても、ネットワーキングは簡単じゃない。AzureやAWSのネットワークは考え方が全然違うし、特にセキュリティ面は大変。
複雑なネットワークインフラが必要ならシンプルなプロキシやネットワーク分割で対処できることも多い。他にどんな特別な機能を考えてるの?AWSで使ってたけど、今は自分でホスティングしてる。
どこに移すって?自国のデータセンターを作って、クラウド環境を構築するのは難しくないし、オープンソースのクラウドも割合簡単。80%のソフトはOSSで揃ってて、残りはプロプライエタリやカスタム。すでに複数のプロバイダーがOpenStackを使った“公共クラウド”を提供してるのに、みんな有名なプロバイダーを使うのは何でだろうね?
OpenStackを運営してる者として、いくつか指摘しておくね。Telco以外でOpenStackはほぼ終わってるし、みんな次のステップを考えてる。プロダクト間の互換性が悪くて、カスタマーエクスペリエンスが最悪なんだ。DOやHetznerの方が優れてるで。
実際にOpenStackの顧客として使ってみた感じ、機能はDOやHetznerよりも充実してる。APIもオープンだし、単にIaaSが必要なら必要ないけど。OpenStackの維持は大変だけど、運営してくれるならお金払う価値はあるね。
OpenStackの顧客としての経験はあまり快適じゃないね。いつもトラブル続きで、サポートチケットが山ほど溜まってる。
サポートチケットの山とムスカやアメリカの王による信頼の管理、どちらがマシかな?多くの開発者はチケットの問題に向き合う方が楽だと思うかもしれない。
>OpenStackは互換性が悪く、ドキュメントも不足している。客の体験は最悪なんだ。別のソリューションの犠牲者になったんだね。OpenStackはつまらなくはないけど、ドキュメントがしっかりしてて、REST APIやRPCでつながる部品の集合なんだ。多くの企業がまだOpenStack使ってるし、移行も比較的楽しめるよ。
違う、全くそうじゃない。複雑さの問題じゃなくて、OpenStackの開発者によるバグや問題の多さが問題なんだ。例えば、CinderのAPIでエラーが出ることも多いから、開発のプロセスが甘いんだよ。
面白い、情報をありがとう!OpenStackプロバイダーのリンク、持ってる経験を教えてくれない?
Rackspaceは典型的なプロバイダーで、本当に最低だった。実際に見たのは内部のOpenStackだったけど、プロバイダーは独自に構築することが多かったね。
Scalewayはこの手の用途にはかなり良い代替品だと思う。サーバーレス機能やオブジェクトストレージなど、管理されたサービスが揃ってるからね。
Scalewayは残念ながら信頼性がかなり悪くて、ここ数年大きな障害が年に数回あったんだ。新しいCTOが改善に力を入れているらしいから期待はしてるけど、便利だからこそなんとか頑張ってほしい。 OpenFaaSやKnativeが選択肢になるよ。特にKnativeはKubernetesに直接触れずにアプリを扱えるから便利。でも、主要なクラウドプロバイダーから離れるためには投資が必要だから、その点は気をつけてね。 チームが必要になるけど、ここでは人材は問題ないよ。ただ、時間とお金がかなりかかるから注意が必要。kubernetesやOpenFaaSだけじゃなくて、ストレージやデータベースも考えないといけないから、全体的にかなりの作業になると思う。 OpenStackはKVMやネットワーク、オーケストレーションができるし、ストレージはcephが一般的だよ。DBの管理は少し手間がかかるけど、必要な機能はほぼカバーできると思うよ。オープンソースだしね。 AWSのEBSボリュームは、io2以外のモデルは年間故障率が0.2%なんだ。1000個使ってたら、統計では2個は失われる計算だね。io2は0.001%だけど、完全にゼロではない。 Googleが地元のオペレーションパートナーにソフトウェアスタックを提供するプランを進めてるみたい。でも、コードの検証ができないから、やっぱりリスクはあるよね。 記事にあったけど、>「EU内の特別なサーバーで安心できる」と思うのは幻想なんだ。問題はバックドアじゃなくて、アメリカ政府がGoogleに指示を出せば、従わざるを得ないってこと。 その国の司法管轄内で運営されているならそうだね。国外のシステムには同じ政策は及ばないから、セキュアなソリューションが提供されることがあるよ。 それはちょっと無邪気だと思う。もしアメリカ政府がGoogleに国際サイトを全部シャットダウンしろと言ったら、サーバーがどこにあろうと関係ないと思うしね。今の政府に依存するのもリスクがあるよ。 その国の政府がローカル企業にアメリカの親会社と分離させることもある。地域のサーバーは大抵ローカル子会社が持っているから、複雑な問題だよね。 そんなことないよ。この手のクラウドサービスはGoogleやアメリカに帰らないのが特徴なんだから。サポートはパートナー次第だけど、急にサービス停止されることはないよ。 Googleがそれを停止できないなら、なんで彼らに金を払うの?お金がかかるなら、そのルートを今やればいいじゃん。結局、顧客が将来の時間を支配できるようにするためにこのセットアップがあるはずなのに、ただ無駄じゃない? フランスにはGoogleとThalesのパートナーシップであるサイトがあって、Thalesが90%を持ち、データセンターを管理してるんだ。数ヶ月後に稼働予定で、AWSから移行する予定だよ。 クラウド特有のアプリ(Azure functionsなど)はどうするの?作らない方がいい。その会社に縛られるのは危険だし、移行コストは実際には見積もられているより低いよ。 気持ちはわかるけど、オランダ人としてはアメリカのクラウドにデータが移行されることよりも、政府が自分たちでIT関連のことをする方が心配っていうね。失敗したプロジェクトのリストを見てもそのスキルがないのが分かる。 それは失敗ばかり聞いているからでしょ。 言いたいのは、本当に誠実じゃない平行構築をやめるべきってこと。ヨーロッパは消費者テック業界を育てたいだけ。Google Analyticsなんかは模倣するのが難しいし、アメリカの技術企業には規制が通用してない。結局は高いタリフを課して市場を変えたいだけ。 あなたの言うことは本当だけど、競争力を持つためには安くていいサービスが必要なのに、価格を上げるのは健全なエコシステムの対策とは言えない。EU市民はプライバシーを大事にしているけど、アメリカの裁判所での不利を心配する声も聞くから、データ共有協定も意味があると思う。 それってObama政権やBiden政権に影響力があるってこと? 秘密をクラウドに移すことなんて、最初から安全じゃなかったよね。アメリカ政府が自分たちの秘密をクラウドに移してるのを未だに信じられない。ハードウェアを持ってる人から秘密は守れないっての。 アメリカは独自の物理的なクラウドを運用していて、大きなクラウド企業が設計してる。公的なクラウドではデータセンターが政府の審査を受けてて、地域ごとに許可が異なるんだ。アメリカのクラウド利用は他国より進んでいて、技術的な要件が足かせになってるところもある。 この意見は重要だね。私の近くにはGoogleの巨大なクラウド倉庫があって、米政府用のサーバーがあるよ。Googleの契約による電力供給や物理的なセキュリティを利用できるし、サーバーの安全性も保たれてる。 他の国がクラウドに慎重なのは、主要なクラウドプロバイダーがアメリカの会社だから。NSAはアメリカ企業を情報セキュリティの武器として利用してきた長い歴史があるからね。 イスラエルについてはCheck Pointのファイアウォールとか、Express VPNを持っている会社を挙げるかな。 物理的な隔離は、ここでの懸念にはあんまり関係ないんじゃない?ヨーロッパの主な心配は、ランダムな人がサーバーからハードディスクを抜くことじゃないから。 技術の問題じゃなくて、米国のCloud Actが多くの進展を妨げてるんだ。ここにいる信頼できる技術者は、米国のクラウドプロバイダーを信用してないよ。 ドイツのクラウドも同じで、Azure StackをDeutsche Telekomの子会社が運営してるはずだよ。 アメリカ政府は自分たち専用のGOVクラウドデータセンターを持ってる。AzureやAWSが運営してるけど、使用に制限があるから、あまり公にはされてない。 主要なクラウドベンダー(Azure、AWS、GCP、Oracle)は、GovCloud地域に加えて、エアギャップ地域も持ってるよ。 AmazonやMicrosoftって、政府のデータに対して興味を持ってるんじゃないかって話だよね、普通は関わっちゃいけないのに。 政府はAmazonやMicrosoftに対して色んな圧力をかける力を持ってるけど、EUの政府はそんなの持ってないってことだ。 役所で扱う人が前にAmazonやMicrosoftにいたり、また戻ったりするって考えたら、政府に圧力なんてないようなもんだよ。政府は逆にこれらの企業を他と比べるための道具だし。 米国政府の圧力:20万ドルの罰金、控訴可能。 米国政府の圧力:FISAの秘密裁判、刑務所行き。 この施設のHSMに触れたら、消えたような気分になれるよ。 今の政府とじゃ無理だね。 ”あんたの持ってる独占、なかなかいいね。Commerce省に調査されちゃうと厄介だよ。” そうだね、私も賛成。データの重要性を考えると、一般市民が「データが静止している状態」の原則を理解してないのが不思議。 じゃあ、アメリカはTikTokを禁止する権利を持ってるの? いや、それは行き過ぎだよ。国民がデータを勝手に渡したいならそれは彼らの権利だし、せいぜい米国政府はその危険性を教育するべき。まあ、政府関係者はデータ損失防止策を講じるべきだと思うけど。公衆の健康の問題なら禁止しても良いが、Metaの影響力があるから無理だろうね。データ管理の問題でTikTokを制限するのは行き過ぎだよ。TikTokのユーザーがInstagramよりもTikTokを選ぶのは彼らの自由だ。 米国政府の秘密は常に契約業者によって保持されている。典型的な政府の秘密はLockheed Martinが設計した飛行機の計画みたいなものでしょ。 Elon Muskが全データにアクセスするなんて、怖いよ。彼の選挙に対するプロパガンダ装置を考えると恐ろしい。 保守派に向けたプロパガンダがあった時、そんなに恐れてた?今はあまり過激じゃなくて、他の意見も受け入れられるようになった。 セキュリティは単純に“安全”と“危険”の二元論じゃないよ。 世界中がSnowdenやWikileaks Vault 7でNSAやCIAの大規模なスパイの証拠を知ってる。政府の秘密を米国のクラウドに移すなんて、12年以上前から狂ってる。 https://www.usenix.org/system/files/1401_08-12_mickens.pdf まあ、魔法のアミュレットでも手に入れたらいいんじゃない? いいね、アップロードする前に全部暗号化して、鍵はクライアント側に置いておこう。親が言ってる通りじゃない?安全/安全でないの二元論は誰にも役立たないよ。 暗号化されたデータの計算が、すぐに解決できたなんて知らなかったよ。 もしかして限界を知ってるの?知らない人のために、その技術についてはここを見てね: https://en.m.wikipedia.org/wiki/Homomorphic_encryption 政府の秘密については、どこまで隠すべきかっていうのは難しい問題だよね。一部は隠す必要があると思うけど、過剰な秘密主義は危険だと思うんだ。確かに機密情報は守るべきだけど、隠さなくてもいいことまで隠すのは良くないよ。 FOIAのおかげで、アメリカ政府はかなり透明性がある民主主義なんだよね。これが他の国でも模倣されるようになったくらいに。 政府用のクラウドの仕組みをちゃんと理解してないんじゃないかな。GovCloudは敏感なデータや制御された非機密情報を管理するために使われているらしいよ。アメリカ政府が機密情報を企業のクラウドに入れるとは思えない。でも機密でない情報は多々あるから、その辺は必要なんじゃないかな。 機密情報用のクラウド環境もちゃんとあるから、見てみた方がいいよ。アメリカには特化したクラウドサービスがあって、そこでは変なことは起きにくい。 ハードウェアを持っている人には秘密は守れないけど、物理的に国内に置かれてて、クラウド業者の従業員が見張られている場合はどうなの?それは主権クラウドと呼ばれて、すべてのクラウド業者がやってることなんだよ。 でも、アメリカの法律はそこにも及ぶんじゃないかな、アメリカの会社が所有していたら。 SSDを持っている人からあなたの秘密を守ることはできるじゃん、それが暗号化の目的なんだから。 元の発言をただのデータ保存に縮小してる気がするけど、ハードウェアとはデータの保管だけじゃないってことだからね。もし暗号化されてないデータがAWSを通ってしまったら、それはアクセスできることになってしまう。 「政府が秘密をクラウドに移すことは安全じゃない」って言ってるけど、これはデータ移動に関することじゃないの? それは全く完璧なものではないね。 これは新しいことじゃなくて、Microsoftがフランス政府と合意を結んでBleuっていう主権クラウドを作ったんだよ。これはOrangeとCapgeminiがAzureとMicrosoft 365の技術を使って運営するんだ。ドイツ政府も似たようなことをして、SAPとArvato Systemsが運営するDelos Cloudを始めたんだ。もっとコメントを表示(1)
もっとコメントを表示(2)
もっとコメントを表示(3)
