Обновить
32K+
194,99
Рейтинг
23 305
Подписчики
Сначала показывать

Хватит прятать ключи под ковром: переносим их в облачный сервис управления ключами (KMS)

Уровень сложностиСредний
Время на прочтение9 мин
Охват и читатели10K

Любое современное приложение работает с конфиденциальной информацией. Персональные данные пользователей, финансовые данные, внутренние документы компаний — все это хранится, передается и обрабатывается в облачной инфраструктуре. И чем больше критически важных данных оказывается в облаке, тем острее встает вопрос их защиты.

Привет, Хабр! Меня зовут Никита Трунов, я — разработчик команды инфраструктурных сервисов K2 Cloud. Сегодня расскажу вам о нашем новом облачном сервисе управления ключами KMS и как он помогает с шифрованием данных в облаке. В этом материале мы разберемся, какие данные приходится защищать, какие существуют модели доверия к облачному провайдеру и как устроена архитектура современного сервиса управления ключами.

Читать далее

ADC как код: наш опыт автоматизации F5 с помощью GitOps

Уровень сложностиСредний
Время на прочтение15 мин
Охват и читатели8.4K

Автоматизация балансировщиков давно выглядит логичным следующим шагом для инфраструктурных команд. Но на практике ADC по-прежнему остаются зоной ручных изменений, согласований через тикеты и осторожных ночных окон. Поэтому мы решили не ждать идеального кейса, а самостоятельно спроектировать и протестировать возможности автоматизации ADC в лабораторном контуре. 

Наша задача была достаточно прагматичной: понять, можно ли сократить время доставки конфигураций до минут, сохранив при этом контроль изменений, аудит и предсказуемость откатов. Пилот показал: подход работает. Но отсутствие полноценного dry-run и каскадные зависимости внутренних объектов вендора заставили нас попотеть. Под катом — разбор архитектурного подхода, а не инструкция «как перевести всё на GitOps за выходные». 

Читать далее

X-Real-IP, X-Forwarded-For и белый список WAF: разбор опасного мисконфига

Время на прочтение9 мин
Охват и читатели7.8K

Привет, Хабр. Меня зовут Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность, занимаюсь WAF и цепочками обратных прокси. В одном из недавних проектов мы с коллегами натолкнулись на странную реакцию WAF: подставляешь в запрос X-Real-IP, а WAF принимает его как реальный адрес клиента, хотя не должен так делать.

Мы потянули за эту ниточку и размотали два кейса мисконфигурации. Обе проблемы нередкие и случаются, когда команды, настраивающие разные прокси, не договорились между собой. В обоих случаях злоумышленник, не входящий в белый список, может заставить WAF думать, что он в него входит и реализовать любые атаки.

Эта статья для тех, кто только вникает в тему обратных прокси и WAF: студентов, начинающих инженеров. Под катом я подробно разберу мисконфиг, чтобы вы точно не повторяли наших ошибок. Вас ждет три обратных прокси на стенде, два сценария обхода WAF, три обязательных правила для внутреннего ИБ-стандарта, плюс один анекдот.

Читать далее

Российские ADC в 2026: чем уже можно заменить F5, а где миграция все еще рискованна

Уровень сложностиПростой
Время на прочтение8 мин
Охват и читатели10K

Балансировщики нагрузки в России за последние несколько лет превратились из «серой коробочки где‑то в инфраструктуре» в фундаментальный элемент отказоустойчивости инфраструктуры. И если на старте импортозамещения все просто искали чем быстро заменить ушедших F5 и Citrix, то сегодня фокус сместился на производительность, безопасность и то, насколько решение вписывается в существующие практики DevOps/NetOps.

Отечественные вендоры времени зря не теряли. С момента нашего последнего тест-драйва российские ADC сделали большой рывок и по функционалу, и по качеству. При этом знакомые F5 по-прежнему попадают в страну через параллельный импорт и держатся в проде потому, что «оно уже работает, а переделывать всё страшно и дорого».

Под катом разбираем реальную картину рынка балансировщиков на сегодняшний день. Насколько отечественные ADC приблизились к западному энтерпрайзу, в каких сценариях параллельный импорт еще имеет смысл, а где проще один раз мигрировать и забыть. 

Читать далее

CVE, Shell и побег из контейнера: испытываем возможности PT Cloud Application Firewall

Время на прочтение10 мин
Охват и читатели9.2K

Привет, Хабр! Меня зовут Иван Чеботарев, инженер направления защиты приложений в К2 Кибербезопасность. В статье рассмотрю, как PT Cloud Application Firewall (ucWAF) реагирует на побег из контейнера после RCE с использованием новой CVE-2025-55182. Это уязвимость в Next.js, открывающая Remote Code Execution через механизм Server Actions. Я собрал тестовый стенд с уязвимым Next.js-и проверил: классический веб-шелл, Reverse Shell и побег из контейнера. Next.js — один из самых популярных фреймворков для фронтенда, а Server Actions включены по умолчанию начиная с 14-й версии. Если вы деплоите Next.js в контейнерах, эта статья покажет, как выглядит полная цепочка от RCE до выхода на хост, и на каком этапе WAF может ее остановить.

Читать далее

Как мы автоматизировали завод, где штрих‑коды играют в прятки

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели14K

Привет, Хабр! Это Сергей Банников, эксперт К2тех по цифровому производству. Знаете эту классическую фразу от бизнеса: «Там простенькая задача, нужно сделать пару элементарных интеграций»? Обычно именно после этих слов начинается самый суровый инженерный хардкор.

Хочу поделиться одной такой историей, как элементарная маркировка паллет превратилась в технологический квест с блуждающими COM-портами под Astra Linux, переписыванием экранной клавиатуры с нуля и пробросом туннелей сквозь матрешку из виртуальных машин. 

Читать далее

Импортозамещение ВКС: миссия выполнена?

Уровень сложностиПростой
Время на прочтение6 мин
Охват и читатели13K

Экстренная ситуация на рынке ВКС в 2022–2023 годах ставила только один вопрос «Куда бежать с Cisco, Polycom и MS Teams?». Но первая волна импортозамещения прошла. Ситуация стала куда спокойнее – и сложнее одновременно. На первый план вышли другие вопросы: зрелость продуктов, удобство эксплуатации, масштабирование, безопасность и интеграция в корпоративную ИТ-архитектуру. А компании, внедрившие российские решения сейчас их меняют – на другие российские.  

Самое время обновить наш первый гайд по выбору ВКС и посмотреть как сегодня выглядит рынок.

В новой статье честно разобрали, на чем сейчас реально строить корпоративную коммуникацию и что делать с западными «зомби-инсталляциями». С цифрами, рекомендациями и сравнительными таблицами по вендорам. 

Читать далее

Надежный фейс-контроль: как прикрутить MFA к веб-сервису через Nginx и OAuth2 Proxy

Время на прочтение14 мин
Охват и читатели13K

Подключить MFA к современному веб-приложению обычно несложно: достаточно подключить SAML или OIDC на стороне самого приложения и включить второй фактор на Identity Provider. Проблемы начинаются там, где сервис не умеет ни в SAML, ни в OIDC, а переписывать его рискованно, дорого или попросту некому.

Во многих корпоративных сетях до сих пор живут монолитные legacy-системы, которые лучше не трогать, и кастомные сервисы, давно оставшиеся без активного развития.
На такой случай придумана концепция предаутентификации. Она позволяет вынести всю сложную логику проверки прав, работу с токенами и криптографией на внешний контур. По сути, перед приложением устанавливается барьер, который отсекает нелегитимные запросы еще до того, как они дойдут до бэкенда.

В этой статье системный инженер Артур Газеев и я, Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность разбираем, как вынести MFA на периметр для legacy-системы, которую нельзя быстро переписать. Покажем архитектуру решения, объясним, почему выбрали связку Nginx + OAuth2 Proxy + Indeed AM, и разберем, на каких настройках поднимали и отлаживали эту схему.

Читать далее

Тест Гилева — сферический конь в вакууме, или как мы выбирали инфраструктуру для 1С

Время на прочтение11 мин
Охват и читатели7.6K

Привет, Хабр! Меня зовут Анжелика Захарова, я руководитель практик 1С и кибербезопасности K2 Cloud. Мы занимаемся инфраструктурными проектами, и значительная часть подразумевает подбор и развертывание серверных платформ под 1С.

В конце 2025 года к нам пришел заказчик из среднего бизнеса, который мигрировал с SAP на 1С, но не знал, что выбрать: облако или выделенный сервер, Intel или AMD, и, главное, сколько это будет стоить в эксплуатации. Мы взяли две платформы — Intel Xeon Gold 6548Y и AMD EPYC 9274F — и прогнали тест Гилева. Intel показал 60 баллов, AMD — 58. Казалось бы все, можно брать Intel и начинать развертывание…

А потом мы запустили закрытие месяца на реальной базе 1С:ERP. И AMD, который по Гилеву не сильно, но проиграл, оказался на треть быстрее.

В этой статье расскажу, почему синтетический бенчмарк и прикладной сценарий дали противоположные результаты, что мы поняли про выбор между облаком и выделенным узлом, и какие выводы из этого можно сделать, если вы стоите перед похожим выбором прямо сейчас.

К нам обратился заказчик, который планировал миграцию с SAP на 1С. Задача была двойной: выбрать, где будет жить его 1С (в облаке или на выделенном сервере), и при этом не переплатить за инфраструктуру.

Для тех, кто работал с ПО для управления бизнес-процессами, укажу на важный нюанс. В SAP есть встроенный инструмент сайзинга: по параметрам бизнеса (количество пользователей, объем транзакций, характер операции), который позволяет рассчитать, сколько именно железа нужно еще до старта проекта.

Читать далее

Есть ли жизнь после Cisco ISE? Распаковка и тест-драйв российского NAC от Eltex в сетевой лаборатории

Уровень сложностиСредний
Время на прочтение9 мин
Охват и читатели16K

NAC-системы долгое время ассоциировались с “монстрами” вроде Cisco ISE или Aruba ClearPass. Но что, если собрать российский NAC из модулей «Медведь», «Лиса» и «Заяц», поставить их на страже сети и попробовать закрыть те же сценарии?

Привет, Хабр! С решениями NAC наша команда работает больше 19 лет. Последние годы особенно интересны: российский сегмент NAC заметно вырос, новые продукты появляются регулярно, а интерес со стороны заказчиков подталкивает нас на постоянный анализ рынка. 

Эта статья — часть цикла о NAC-решениях, которые мы разбираем в нашей сетевой лаборатории. На этот раз в фокусе Eltex NAICE — новичок в области контроля доступа, но далеко не новичок в мире сетей.  Разберёмся, как он устроен, какие задачи реально закрывает и насколько уверенно чувствует себя на фоне более привычных NAC-систем. 

Читать далее

Пресейл глазами инженера: как превратить ТЗ в работающий кластер

Время на прочтение10 мин
Охват и читатели7K

Привет, Хабр! На связи Владислав Пермяков, ведущий пресейл-инженер К2 Кибербезопасность.

Давайте честно: в картине мира среднестатистического инженера любой человек с приставкой Sale скорее вызывает легкое раздражение, чем симпатию. Не потому, что «сейлы плохие», а потому, что красивая коммерческая идея слишком часто не выдерживает столкновения с реальностью. Вот, например, приходит радостный сейл, кладет на стол подписанный контракт со словами: «Мы продали им весь наш портфель!» Ты открываешь спецификацию, смотришь на инфраструктуру заказчика и понимаешь, что такие костыли не взлетят. Устаревший парк серверов, каналы связи не потянут трафик, а совместимость с легаси-софтом никто не проверял. Но сейл уже оформляет новую сделку, а тебе нужно заставить работать решение, которое технически не подходит под задачи клиента.

Качество внедрения и жизнь инженеров во многом зависят от того, о чем договорились на этапе продажи. В какой-то момент я захотел взять это под контроль, и внезапно оказался на «темной стороне» — стал пресейл-инженером и собрал целый отдел таких же отступников.

Читать далее

Мы прожили с Copilot год, и вот что из этого вышло

Уровень сложностиПростой
Время на прочтение9 мин
Охват и читатели20K

Я год экспериментировал с on-premise Copilot — прямо над нашими разработчиками, — чтобы проверить: а правда ли эта штука разгоняет разработку на десятки процентов? Делюсь реальными метриками скорости и точности, разбираю, как оно работает на примере нашей инсталляции, и показываю результаты. По пути расскажу про все подводные камни: где ИИ стал турбоускорителем, а где подставил подножку и превратился в скрытую ловушку.

Читать далее

Второе дыхание технологий: как мы помогли школе-интернату

Уровень сложностиПростой
Время на прочтение2 мин
Охват и читатели6.7K

Привет, Хабр! На связи Владимир Симонян, эксперт по развитию мультимедиа-решений К2Тех.

Этой историей хочется поделиться не ради кейса – а ради примера того, как личная инициатива может перерасти в нечто большее. Историей о том, как мультимедиа-технология, сменив прописку со столичного шоу-рума на класс в интернате, обрела вторую, куда более важную жизнь.

Тут не будет сложных графиков, технических заданий и спецификаций. Лишь короткий рассказ о том, как несколько человек из компании К2Тех объединились, чтобы сделать доброе дело для детей, в нашем случае из школы-интерната в Ленинградской области.

Читать далее

Что «убило» BlackBerry

Время на прочтение11 мин
Охват и читатели7.8K

Иногда разговоры о технологиях начинаются не с выхода новых девайсов или очередного релиза, а с фразы: «А помнишь BlackBerry?». Сегодня эту компанию знают не все, но в начале 2000-х она была стандартом, а не мемом. Смартфон BlackBerry ценили за предсказуемость, надежность и контроль. Почта доходила всегда,а связь работала даже при слабом сигнале.

Привет, Хабр! Меня зовут Владимир Сергеев. Я эксперт практики UC и ПО для совместной работы К2Тех. Мы не станем повторять сюжет недавно вышедшего фильма и постфактум разбирать стратегические ошибки руководства компании. Давайте на примере BlackBerry оценим пределы хорошо спроектированной системы и разберемся, какие технологические ошибки и инженерные компромиссы останавливают развитие компании и приводят к проигрышу в конкурентной гонке.

Читать далее

Ближайшие события

Разбираем хаос в Linux‑логах: journald, rsyslog и файлы

Уровень сложностиСложный
Время на прочтение14 мин
Охват и читатели14K

«Где мои логи — в /var/log/messages, /var/log/syslog или только в journalctl?» — этот вопрос рано или поздно задает себе каждый инженер, который вынужден переключаться между разными дистрибутивами: Ubuntu, CentOS, Alpine, корпоративные Unix системы. 

Типичный сценарий: вы заходите на сервер, ищете /var/log/messages, а его или нет, или он есть, но journalctl показывает гораздо больше событий, чем файл. 

Иногда сервер внезапно начинает сильно использовать CPU, и в итоге причиной оказывается агрессивное логирование. 

Если к этому добавить разнородный парк, где рядом с Ubuntu живут динозавры на AIX и Solaris, путаница приобретает глобальный характер. 

Сейчас мы живем в эпоху «двоевластия»: systemd‑journald уже стал стандартом де‑факто, но rsyslog все еще присутствует во многих дистрибутивах по инерции или ради совместимости. Эта статья для инженеров, которые хотят понимать, кто именно пишет логи в Linux, почему они дублируются, где теряются CPU и I/O, и как настроить логирование так, чтобы диск не превращался в помойку. 

Мы пройдем путь от бинарных логов AIX до journald, а в конце разберемся, как практически использовать journalctl с популярными инфраструктурными службами. 

Читать далее

Nginx за барной стойкой: три кейса, когда прокси спасает ситуацию

Время на прочтение7 мин
Охват и читатели8.1K

Привет, Хабр! На связи Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность. Мы занимаемся всеми направлениями кибербезопасности, в частности защитой веб-приложений. За годы работы я насмотрелся на всякое: конфиг валиден, reload прошел, мониторинг зеленый, а на контрольном прогоне прилетает 502 на проде, auth_request сыпет пятисотками при живом бэкенде, или браузер закэшировал ошибку и упорно показывает 403 спустя часы после фикса. Причем не всегда это можно быстро исправить на уровне приложения.

Когда все приложения вокруг ведут себя не так и хотят странного, приходится придумывать нестандартные решения. К счастью, Nginx может в этом помочь.

Я собрал три таких кейса из своей практики, разобрал симптомы и диагнозы, показал рабочие конфиги. А чтобы читалось легче, завернул все в сквозную метафору. Итак, давайте смешаем коктейль.

Читать далее

Что учесть при эксплуатации ALD Pro: подводные камни, лайфхаки и неочевидные особенности

Уровень сложностиСредний
Время на прочтение25 мин
Охват и читатели8.4K

Привет, Хабр! На связи Александр Усов, системный инженер в K2Tex. В своей предыдущей статье я уже делал подробный обзор фич ALD Pro и их особенностей, с которыми регулярно сталкиваюсь. Сегодня хочу поделиться тем, чему мы учим администраторов заказчиков: как реально эксплуатировать эту систему, а не просто развернуть и оставить на холостом ходу. Разберу, как устроены «расширенные атрибуты» и почему следует избегать одинаковых названий отделов в оргструктуре, какую функциональность ALD Pro унаследовал от FreeIPA, а в чем превзошел, и каким образом эффективнее организовать журналирование событий.

Читать далее

Enterprise‑мониторинг на Zabbix: пороги, зависимости, антиспам и кастомные скрипты

Уровень сложностиСредний
Время на прочтение11 мин
Охват и читатели8.2K

Привет, Хабр! Эту статью пишет авторский коллектив Центра экспертизы по комплексному сервису К2Тех: я, Пётр Михнюк, руководитель группы инженеров по поддержке системного ПО, и мои коллеги Александр Овчинников, старший инженер по поддержке вычислительного оборудования, и Алексей Яковлев, руководитель практики ИТ‑мониторинга. У нас на поддержке около 550 клиентов из сегмента enterprise, многие с географически распределенной инфраструктурой, и практически все они так или иначе опираются на Zabbix или его наследников.​

По нашему опыту, главная угроза для эффективного мониторинга — иллюзия контроля. Часто бывает так, что система развернута, графики рисуются, алерты шлются, но команда тонет в сотнях уведомлений и не успевает ловить действительно важные события: вместо одного «критического инцидента» получаются десятки разрозненных тикетов. При этом проблемы с лавиной оповещений, тарированием порогов и общей логикой мониторинга почти не зависят от того, используете ли вы «голый» Zabbix или его форки вроде «Пульс», Glaber или UDV ITM. Учитывая, что в большинстве случаев «наследием» наших клиентов является именно Zabbix, мы будем опираться на конкретные примеры из работы с ним. Под катом — не теория, а наши подходы и примеры: как перестать тонуть в алертах и превратить Zabbix в инструмент, которому можно доверять.

Читать далее

Четыре Kubernetes-платформы в реальных сценариях эксплуатации: за скобками документации

Уровень сложностиСредний
Время на прочтение16 мин
Охват и читатели8.3K

В больших инфраструктурах Kubernetes не живёт сам по себе: вокруг него выстраивается экосистема со своими дефолтами, ограничениями и точками отказа. В нее входят CNI, ingress-контроллеры, системы мониторинга, бэкапов, политики безопасности, GitOps и десятки других компонентов.

Поэтому у вас всегда есть выбор. Взять ванильный Kubernetes и вручную прикрутить к нему нужные инструменты или использовать готовое решение от вендора. Формально и там, и там в основе лежит одно и то же кубовое API, но на практике различия начинаются уже на этапе установки.

Инженеры практики контейнеризации, виртуализации и частного облака К2Тех изучили особенности эксплуатации четырех российских платформ: «Штурвал», Nova Container Platform, «Боцман», Deckhouse Kubernetes Platform. Результаты сравнения разложили по полочкам в таблицах – их вы найдете в статье.

Читать далее

С нуля без шаблонов: как мы создали техподдержку не по канонам ITIL

Время на прочтение13 мин
Охват и читатели6.7K

Мы отказались от формального деления команды на L1, L2 и L3. Разрешили инженерам брать задачи независимо от грейда. Не паникуем, если SLA горит красным. И знаете что? Это работает.

У нас в К2Тех есть собственный Центр экспертизы по комплексному сервису, который объединяет все направления техподдержки. От инженерных систем до инфраструктуры и ПО. Ну и конечно же, поддержку ИБ. Меня зовут Олег Лунгу, я руководитель группы инженеров технической поддержки К2 Кибербезопасность (входит в К2Тех). Сегодня расскажу, как вырастил команду с нуля до 30+ спецов, эффективно решающих задачи, которые мучают клиентов месяцами.

Читать далее
1
23 ...

Информация

Сайт
k2.tech
Дата регистрации
Численность
1 001–5 000 человек
Местоположение
Россия