Скачать
Назад в блог
Приватность··10 мин чтения

Политика отсутствия логов в VPN: что это значит на практике

Язык: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Политика VPN без логов — это обязательство провайдера не хранить записи о действиях пользователей. Эта формулировка стала общепринятой в маркетинге VPN-сервисов, однако её реальное содержание у разных провайдеров существенно различается. В этой статье объясняется, что охватывает достоверная политика без логов, как она реализуется на уровне инфраструктуры и как оценить, подкреплено ли заявление независимыми свидетельствами.

Что обещает политика отсутствия логов

Политика без логов — это заявление о том, какие типы пользовательских данных провайдер записывает и хранит. Сильные политики явно затрагивают журналы подключений, журналы активности и идентифицирующие метаданные, а также описывают технические меры, обеспечивающие соблюдение политики.

Формулировка имеет значение, потому что «без логов» иногда трактуется расширительно как «без логов, которые мы считаем чувствительными», тогда как другие данные — потреблённый трафик, количество подключений, нагрузка на сервер — по-прежнему хранятся в операционных целях. Чёткая политика разграничивает эти две категории и объясняет основания для каждого решения.

Типы логов

Логи в контексте VPN обычно делятся на три категории.

Журналы активности

Журналы активности фиксируют, к каким сайтам, приложениям или адресатам обращался пользователь в ходе сессии. Это наиболее чувствительная категория. Провайдер, хранящий журналы активности, способен восстановить историю посещений пользователя. Политика без логов, которая явно не отказывается от журналов активности, не является полноценным обязательством по защите конфиденциальности.

Журналы подключений

Журналы подключений фиксируют время подключения, продолжительность сессии, IP-адрес, с которого пользователь подключился, и сервер, к которому было установлено соединение. Хотя эта категория менее чувствительна, чем журналы активности, журналы подключений можно использовать для сопоставления VPN-сессий с активностью, наблюдаемой в других местах в интернете.

Агрегированные и операционные логи

Агрегированные логи фиксируют такие метрики, как суммарный трафик на сервер, количество одновременных сессий и количество ошибок. Они, как правило, необходимы для планирования мощностей и противодействия злоупотреблениям. Разумная политика без логов разграничивает агрегированные операционные метрики и персонализированные журналы.

Как это реализуется

Достоверная политика без логов обеспечивается проектированием инфраструктуры, а не только корпоративными правилами. Обычно применяются несколько подходов.

  • Серверы только в оперативной памяти. VPN-серверы работают исключительно из RAM, без подключённых постоянных накопителей. При перезагрузке сервера все данные в памяти уничтожаются. Такая конфигурация иногда называется RAM-only или diskless.
  • Туннели без сохранения состояния. Современные протоколы, такие как WireGuard, поддерживают минимальное состояние на сервере. Сервер знает, какие участники авторизованы, но не отслеживает историю сессий. OpenVPN с аутентификацией по имени пользователя, напротив, хранит дополнительное состояние.
  • Отключённые системные логи. Серверы настроены так, что стандартные системные журналы не записывают информацию по отдельным подключениям. Подробное логирование, как правило, включается лишь ненадолго в процессе отладки.
  • Отсутствие базы данных аккаунтов. Сервисы, не требующие создания учётных записей, в принципе не могут связать подключения с конкретными людьми. Snap VPN придерживается этого подхода: подписки оформляются через Apple, и сервис не ведёт базу данных пользователей.

Независимые аудиты

Независимый аудит — наиболее весомое доступное свидетельство того, что политика без логов реализована именно так, как заявлено. Типичный аудит предполагает, что сторонняя компания по безопасности в течение нескольких недель проверяет конфигурации серверов, исходный код и операционные процедуры провайдера.

Ценность аудита определяется его охватом. Полноценный аудит уточняет, какие серверы, компоненты и временные периоды были проверены, и публикует результаты — как положительные, так и отрицательные — в виде отчёта, доступного для полного ознакомления. Аудиты, по результатам которых выпускается лишь маркетинговое резюме, значительно менее показательны.

Важно также понимать, что аудит не может установить. Аудит фиксирует состояние на определённый момент времени. Он не гарантирует, что провайдер продолжит работать по тем же принципам после завершения проверки. Повторные аудиты с регулярной периодичностью обеспечивают более надёжную долгосрочную уверенность.

Юридические запросы

Политика без логов влияет на ответы при юридических запросах. Если провайдер получает судебное постановление о предоставлении пользовательских данных, он может раскрыть лишь то, что у него есть. Если журналы активности и подключений не хранятся, провайдеру нечего сообщить о конкретных действиях пользователя, кроме записи о подписке.

Ряд провайдеров публикует «отчёты о прозрачности», описывающие полученные юридические запросы и данные ответы. Отчёт о прозрачности, в котором перечислены полученные запросы и зафиксировано отсутствие существенных данных для передачи, соответствует действующей политике без логов.

Юрисдикция также имеет значение. Правовой режим, в котором работает провайдер, определяет типы запросов, которые он обязан исполнять, и то, может ли он быть вынужден начать вести логи в будущем.

Как проверить заявление

Несколько признаков указывают на то, заслуживает ли заявление об отсутствии логов доверия.

  • Конкретность политики. В политике явно перечислены категории логов, которые не сохраняются, а не используются расплывчатые формулировки.
  • История аудитов. Провайдер заказывал независимые аудиты, полные отчёты находятся в открытом доступе, а аудиты охватывают наиболее важные компоненты — серверы и системы аутентификации.
  • Архитектура инфраструктуры. Инфраструктура описана в технических деталях, включая использование серверов только в оперативной памяти, аутентификации без учётных записей и протоколов без сохранения состояния.
  • Отчёты о прозрачности. Провайдер регулярно публикует отчёты с описанием полученных юридических запросов и данных ответов.

Распространённые ловушки

Ряд признаков указывает на то, что заявление об отсутствии логов может быть менее надёжным, чем кажется.

Размытые формулировки. Политики, обещающие не хранить «никакую персонально идентифицируемую информацию» без указания того, какие именно категории данных исключены, могут быть совместимы с хранением значительного объёма метаданных о подключениях.

Сервисы, требующие учётной записи. Сервис, запрашивающий адрес электронной почты для регистрации, неизбежно хранит некоторую информацию, даже если утверждает, что не ведёт журналы активности. Сервисы без учётных записей находятся в более выгодном структурном положении.

Только самодекларация. Заявление об отсутствии логов, которое не было проверено независимой стороной, основывается исключительно на словах самого провайдера.

Snap VPN устроен так, чтобы заявление об отсутствии логов было технически обоснованным: нет учётных записей пользователей, серверы работают только в оперативной памяти, используется протокол WireGuard, который несёт минимальное состояние сессии. Для более широкого контекста смотрите наше введение в VPN и сравнение WireGuard и OpenVPN.

The Snap VPN Team
Editorial