Ранее в материале «Curator – и пусть DDoS подождет» мы уже рассказывали о российской ИБ-платформе Curator и решениях, созданных на её основе. Сегодня нам хотелось бы поподробнее остановиться на одном из них — сети доставки контента (Content Delivery Network, CDN). Почему именно на ней? Все мы знаем, что скорость загрузки контента и его доступность стали едва ли не важнейшими показателями качества практически любого сервиса. Пользователь, увидевший серые квадраты вместо картинок или столкнувшийся с задержкой видеотрансляции, скорее всего, закроет вкладку и больше не вернётся, уйдя к конкурентам. Именно поэтому сети доставки контента превратились из приятного дополнения в обязательный элемент инфраструктуры любого крупного цифрового сервиса. Российская ИБ-компания Curator развивает собственное CDN-решение, которое выделяется на российском рынке не только производительностью, но и тем, что изначально проектировалось как часть защищённой экосистемы. Разберёмся, как это работает и почему такая архитектура важна для бизнеса.
Зачем бизнесу нужна сеть доставки контента
Идея CDN на первый взгляд проста: вместо того чтобы все пользователи скачивали тяжёлый контент — картинки, видео, статические файлы — напрямую с серверов компании, эти данные размещаются как можно ближе к самим пользователям в географически распределённых локациях и кешируются там. Но за этой простотой скрывается целый набор преимуществ.
Плотность распределения запросов к CDN по миру (по IP/Geo пользователей)
Во-первых, снимается нагрузка с серверов заказчика. Собственная инфраструктура поставщика контента может сосредоточиться на действительно важных задачах — бизнес-логике, обработке транзакций, динамических элементах. Всё, что касается быстрой раздачи картинок, видео и живых трансляций, берёт на себя мощная геораспределённая сеть, ёмкость которой во много раз выше, чем у типичной инфраструктуры заказчика.
Во-вторых, CDN не только хранит контент, но и проводит над ним целый ряд оптимизаций: конвертирует и сжимает изображения, адаптирует форматы под разные браузеры и устройства, трансформирует медиафайлы. Сеть умеет общаться с клиентским приложением — будь то нативное мобильное приложение или фронтенд сайта — для того, чтобы максимально улучшить пользовательский опыт. Картинки загружаются быстрее, одновременно, в нужных форматах.
В-третьих, геораспределённость и дублирование контента в разных точках обеспечивают высокую отказоустойчивость — то качество, которое инфраструктура самого создателя контента далеко не всегда может гарантировать. Curator подкрепляет это конкретными гарантиями в рамках SLA.
Главное архитектурное отличие: двухуровневая защита
Если функционально большинство CDN-провайдеров делают примерно одно и то же, то ключевое отличие Curator CDN — в архитектуре. Это не просто один слой геораспределённых серверов, а два соединённых между собой слоя. Вокруг основной платформы Curator, которая занимается защитными процедурами — фильтрацией DDoS-трафика, отсеиванием ботов, обеспечением отказоустойчивости в самых сложных условиях, — «выращена» сеть доставки контента как внешний слой.
Схема работы Curator CDN
Что это означает на практике? Когда трафик попадает на кеширующие серверы CDN в одном из российских городов, контент отдаётся пользователю прямо оттуда, если он есть в кеше. Если же контента в кеше нет и нужно обратиться к серверу-источнику заказчика (origin), запрос обязательно проходит через фильтрующую платформу Curator. Так обеспечиваются сразу две степени защиты сервера-источника. У других поставщиков подобные возможности обычно предлагаются в виде отдельных продуктов, а у Curator это неотъемлемое архитектурное свойство сети.
Настройка кеширования
Почему это критически важно? Дело в том, что существует целый пласт атак на отказ в обслуживании (DDoS), которые не бьют напрямую в сервер, а используют CDN как средство доставки и амплификации атаки. Когда крупные заказчики активно закрывают свои очевидные точки входа защитными решениями, злоумышленники начинают искать альтернативные пути доставки вредоносного трафика — и CDN становится одной из таких мишеней. Curator защищает сервер-источник как от атак с использованием CDN-инфраструктуры, так и от атак, в которых злоумышленник пытается представиться CDN-сетью для отправки вредоносного трафика.
Эволюция ботов и подход к их обработке
С повсеместным проникновением ИИ в нашу жизнь характер бот-трафика тоже существенно изменился. Если раньше боты интересовались в основном логинами, паролями, операциями с корзиной в ретейл-ресурсах — то есть API и динамикой, — то сейчас активно собирается и медиаконтент: картинки, фотографии в соцсетях, видео на разных площадках. Многие ресурсы внедряют антибот-защиту и для этих типов контента, и порой пользователь с нестандартным браузером сталкивается с подозрениями и дополнительными проверками.
Подход Curator основан на одном главном критерии: есть ли риск того, что трафик навредит заказчику. Если такого риска нет — нет аномального объёма трафика, нет опасных запросов — блокировка крайне маловероятна. При этом CDN-сеть Curator, помимо соединения с фильтрующей платформой, имеет собственные алгоритмы защиты, что позволяет применять несколько эшелонов анализа трафика и защитных правил для каждого конкретного заказчика.
Производительность: объективные метрики лидерства
Компания Curator участвует в проекте по измерению доступности российских облачных сетей вместе с компанией «Детектор-404», публичные данные доступны на ресурсе cdnmon.net. Согласно этим данным, сеть Curator на протяжении долгого времени имеет самое быстрое время отклика и самую высокую скорость загрузки контента среди крупнейших российских CDN-провайдеров. Для большинства типов медиа эти метрики критически важны — особенно для видео, стримингов и живых трансляций. Достигается это за счёт оптимизации программного обеспечения, стратегического расположения серверов и их количества.
Лидеры по скорости скачивания по версии CDNMon
География: путь, который другие проходили десять лет
Curator сегодня — поставщик с самым большим покрытием по городам и регионам в России. Сеть охватывает каждый город-миллионник РФ, а также менее населённые, но стратегически важные регионы — Дальний Восток, Восточную Сибирь, Северный Кавказ. В сумме это порядка 27 локаций в России, причём в ряде городов есть несколько площадок одновременно: Калининград, Мурманск, Симферополь, Москва, Воронеж, Ростов-на-Дону, Краснодар, Нижний Новгород, Казань, Волгоград, Самара, Махачкала, Пермь, Уфа, Екатеринбург, Челябинск, Тюмень, Омск, Новосибирск, Красноярск, Иркутск, Якутск, Хабаровск, Владивосток.
Точки присутствия Curator CDN
Что особенно интересно — путь, который другие сети проходили семь, восемь или даже десять лет, Curator преодолел менее чем за два года. Сейчас задача географической экспансии внутри России в основном решена, и команда переключается на наращивание пропускной способности и размера дискового кеша в крупных миллионниках. Это нужно, чтобы крупные заказчики могли отдавать больше контента, не теряя лидирующих показателей по скорости загрузки.
Помимо России, у Curator есть кластер локаций в городах СНГ. Точки присутствия имеются в Минске, Ереване, Ташкенте, Бишкеке, Алматы. Через эти точки кешируется в том числе трафик российских ресурсов, обслуживающих русскоязычную аудиторию за пределами РФ. Архитектура сети поддерживает локализацию трафика и минимизацию трансграничных переходов, что особенно актуально на фоне обсуждений регулирования трансграничного трафика.
Удобный личный кабинет и гибкая модель доступа
Эффективная CDN должна не только быстро доставлять контент, но и давать заказчику удобные инструменты управления и отчётности. Curator подходит к этому с разных сторон, предлагая несколько способов взаимодействия с системой.
Детализированная сводка в личном кабинете
Прежде всего, конечно, это веб-интерфейс — традиционный личный кабинет, в котором можно настраивать услуги и получать отчёты. Сейчас он проходит масштабный редизайн, целью которого является улучшение визуальной составляющей при сохранении функциональности. Исторически Curator, будучи инженерной компанией, ставил функциональность в приоритет над внешним видом, но сейчас активно движется к более современной эстетике.
Важно напомнить, что CDN-продукт является частью единой платформы Curator. Все продукты компании — DDoS-защита, антибот-защита, межсетевой экран веб-приложений, CDN — доступны из одного интерфейса с возможностью лёгкого переключения. Это удобно для администраторов, которые работают с несколькими сервисами одновременно. Реализована гибкая ролевая модель: одни сотрудники имеют доступ только к финансовой и административной информации, другие — к техническим графикам и настройкам, третьи — только к системе заявок в техническую поддержку. Такие же гибкие разграничения работают и для общения со службой поддержки.
Настройка Origins
API как лаборатория и инструмент автоматизации
Большинство крупных заказчиков работают с системой Curator не через дашборд, а через программный интерфейс. Разработчики из Curator любят шутить на тему того, что многие клиенты заходят в личный кабинет только для смены реквизитов и выгрузки счетов, а вся остальная коммуникация происходит через API-вызовы.
API Curator — родительская архитектура для всей платформы. Для CDN разработан целый продуктовый раздел с методами управления кешированием, доставкой контента и дополнительными операциями. Доступ к этим методам настраивается через токены с детализацией вплоть до конкретного метода. Это позволяет, например, инженеру по анализу статистики иметь доступ только к методам выгрузки статистики, но не к управлению.
API использует популярную сейчас схему JSON-RPC, что упрощает интеграцию со сторонними решениями — SIEM-системами, DLP, DevOps-инструментами. Представим типичный сценарий. Крупный маркетплейс выкатывает новый продуктовый раздел. Через API мгновенно выгружаются на CDN тысячи картинок и видео, настраивается предзагрузка (прогрев кеша), задаются параметры сжатия и конвертации изображений. Всё это происходит синхронно с релизом на стороне заказчика, и приложение пользователя сразу видит новый ассортимент в каталоге без дополнительных потерь в производительности.
Просмотр сертификатов
Интересно, что в линейке Curator CDN API — относительно молодой раздел: он появился осенью 2024 года. Тем не менее клиенты сразу начали активно его использовать, и теперь обновления выходят каждые пару недель.
Инфраструктура как код через Terraform Provider
Подход «Инфраструктура как код» (IaaC) сегодня уже не футуристика, а зрелая практика, обросшая процессами в крупных компаниях. Ряд клиентов прямо ставили Curator условие: «Сделаете Terraform-конфигурацию для нашего CDN-хозяйства — будем работать, нет — даже не будем общаться». В 2024 году у Curator появился собственный Terraform-провайдер с разделом настроек CDN, естественным образом соединённый с API. Всё, что доступно через программный интерфейс, теперь можно конфигурировать посредством Terraform.
Здесь же кроется любопытная особенность процесса разработки в Curator. API играет роль лаборатории — все новые идеи и хотелки сначала реализуются именно в нём, продумывается, как это будет выглядеть в Terraform-конфиге, и только после успешной проверки на реальных сценариях функциональность переносится в веб-интерфейс. Выходит, что веб-интерфейс получает только проверенные и устоявшиеся возможности.
Прозрачность через real-time логирование
Это одна из самых нестандартных функций Curator CDN, и она серьёзно отличает компанию от конкурентов. Большинство провайдеров доставки контента в том или ином виде предоставляют возможности по просмотру логов: кто-то рисует логи запросов прямо в дашборде, кто-то даёт выгрузить архив за прошедшие сутки. Curator делает иначе.
Продукт интеграции логирования заточен под корпоративных заказчиков с собственной инфраструктурой обработки системной информации — SIEM, Security Operations Center (SOC). Для крупного заказчика типичная нагрузка на CDN — это несколько сотен миллионов валидных пользовательских запросов в сутки, а иногда и миллиарды. Делать по такому объёму осмысленную аналитику через дашборд просто невозможно.
Curator использует инструмент Vector, который агрегирует журналы со всех CDN-серверов (напомним, это десятки машин, 27 локаций только в России) и по защищённому соединению в реальном времени транслирует поток в инфраструктуру заказчика. Клиент дальше строит свою аналитику, задаёт аргументированные вопросы по качеству услуги, проводит расследования инцидентов. Это и есть та самая прозрачность, на которую Curator делает ставку. В перспективе в личном кабинете появится возможность смотреть небольшие фрагменты журналов прямо в интерфейсе — для отладки в реальном времени, что будет особенно удобно для небольших заказчиков.
Масштабирование: от быстрого захода в регионы к шилдированию
Способность быстро и эффективно масштабироваться — одно из ключевых преимуществ Curator CDN. Именно растущие потребности клиентов во многом и обусловили те темпы роста сети, которые компания продемонстрировала за последние два года.
На раннем этапе масштабирование означало возможность за дни или недели поставить в новом месте узел раздачи контента, скоммутировать его с основной сетью, обеспечить необходимый уровень доступности и безопасности и начать обрабатывать трафик. В некоторые города Curator приходил вслед за клиентами — и не пожалел: это улучшило качество связи для пользователей региона, разгрузило другие высоконагруженные серверы, улучшило балансировку.
Сейчас, когда географическая экспансия в России в основном завершена, задача масштабирования видоизменилась. Curator выстроил многоуровневую систему кеширования по схеме шилдирования. Есть мощные shield-серверы, которые служат региональными «складами контента» — они общаются напрямую с источником заказчика, хранят огромные объёмы дискового кеша. И есть edge-серверы (граничные), расположенные ближе к конечным пользователям, на «последней миле». Такая схема позволяет быстро масштабировать ёмкость под крупного заказчика: если есть запас производительности на shield-серверах, нагрузка на пограничные узлы растёт не так быстро, и иногда достаточно нарастить мощности только в городах-миллионниках, которые служат промежуточной перекладной точкой.
Эпоха оптимизации: больше нельзя «закидывать железом»
Время, когда любую проблему производительности можно было решить покупкой ещё сотни серверов, прошло. Это уже зачастую экономически нецелесообразно, технически сложно из-за дефицита комплектующих, а иногда и просто невозможно — в нужном городе может не быть свободных стоек в дата-центрах, и расширение там не произойдёт, пока не построят новый ЦОД через несколько лет.
При этом нагрузка от пользователей растёт постоянно: мы потребляем больше контента и в лучшем качестве. Если раньше пределом мечтаний было разрешение картинки FullHD, то сегодня никого не удивишь 4К. Решать эту задачу можно только глубокой оптимизацией — выбором соответствующего софта, сокращением накладных расходов, применением нестандартных инженерных решений. Curator закладывал высокую производительность на имеющемся оборудовании в архитектуру сети с самого начала, и именно это позволяет сети оставаться в лидерах. Модернизация серверов — это неизбежный процесс, но он сам по себе не является ключевым фактором без соответствующей инженерной базы. Тот, кто умеет выжать максимум из того, что уже есть, выиграет.
Защита от атак: «сэндвич» из двух эшелонов
Выше мы уже писали о CDN-сетях как желанной мишени для атак. Расскажем подробнее, как защищена Curator CDN. Злоумышленники, атакующие CDN, обычно преследуют одну из двух целей. Первая — заставить пользователей жертвы получить плохой опыт: сайт открывается, но картинки не грузятся, сплошные серые квадраты, видео тормозит. Формально сервис работает, а пользоваться им нельзя — не на что смотреть, нечего покупать, нечего комментировать. Вторая цель — «атака на кошелёк»: заставить заказчика заплатить CDN-провайдеру в два, три, пять, десять раз больше обычного тарифа из-за искусственно нагнанного объёма трафика. В мире известны случаи, когда автоматизированный биллинг радостно выставлял счёт на десятки тысяч долларов вместо обычных пары тысяч.
Политики для URL-запросов
Curator проектировал свою архитектуру с учётом этих угроз. На пограничных узлах CDN работают те же программные компоненты, что и в анти-DDoS-системе Curator на основной платформе. Они анализируют трафик в реальном времени, отслеживают всплески сомнительных запросов, подозрительное поведение пользователей. Это первый эшелон: первичные угрозы отсекаются прямо на CDN. Если же злоумышленник попытается обойти CDN и обратиться напрямую к серверу-источнику, его встретит второй эшелон — антифрод-сеть Curator, мимо которой попасть на origin практически невозможно. Получается «сэндвич»: трафик анализируется на нескольких уровнях, и более хитрый злоумышленник, пытаясь обойти первый эшелон, неизбежно упирается во второй.
Прозрачная тарификация без скрытых сюрпризов
Подход Curator к ценообразованию сильно отличается от подхода многих конкурентов своей прозрачностью. Заказчик оплачивает исключительно объём трафика, отдаваемого в сторону конечных пользователей с CDN-серверов. Не тарифицируется трафик в сторону сервера-источника, не взимается плата за канальную ёмкость или полосу, не прячутся в тариф дополнительные лимиты по количеству запросов или операций с изображениями.
Это означает, что ситуация, когда у клиента оказалось больше трафика, чем он ожидал, и он попал на незапланированные статьи расходов, исключена. Вся функциональность CDN — работа со всеми интерфейсами, использование API, Terraform, real-time-логирование — входит в базовую тарификацию. Вне зависимости от размера клиента эти возможности сразу доступны. Такая идеология заложена в саму платформу Curator и распространяется на все её продукты.
Внедрения: от букмекеров до банков и маркетплейсов
Один из первых проектов Curator CDN — сотрудничество с крупнейшим российским букмекерским сервисом, специализирующимся на ставках на спортивные матчи. Во время чемпионата по футболу 2024 года Curator обеспечивал доставку петабайтов трафика конечному пользователю в самых разных российских регионах и городах. Именно в этом проекте впервые был внедрён ряд технологических новшеств, которые сейчас используются повсеместно — в частности, сверхбыстрый кеш в оперативной памяти серверов для прямых видеотрансляций. Хранение потоков прямо в RAM и раздача с минимальной задержкой в единицы миллисекунд позволяют зрителям видеть события практически в реальном времени, без обидных дополнительных секунд задержки. Из этого кейса выросло множество инженерных решений, которые легли в основу быстрого масштабирования и системы управления.
Сегодня среди клиентов Curator — лидеры индустрии в финансах и банкинге, солидные банковские группы, крупные российские ритейл-сервисы, один из известнейших маркетплейсов. Активно растут запросы от образовательных сервисов и онлайн-кинотеатров, причём некоторые из них развиваются настолько быстро, что приобретают федеральное значение буквально в течение нескольких кварталов. Для всех этих категорий клиентов низкая задержка и высокая производительность критически важны: пользователь, столкнувшийся с тормозами при просмотре фильма, скорее всего, уйдёт к конкуренту.
Аппаратная унификация и хранение контента
И последнее, о чем бы хотелось поговорить – это подходы к хранению и защите медиаконтента, которые используются в Curator CDN. В 2024 году, на этапе старта продукта, у Curator был большой разброс по спецификациям серверов. Затем компания целенаправленно провела работу по унификации: исследовала, какая конфигурация оптимальна с точки зрения архитектуры кеша и аппаратного обеспечения, и выбрала единый подход. Сейчас edge-серверы унифицированы по спецификации, а shield-серверы имеют отдельную, более мощную конфигурацию — но и между ними соблюдается общая стратегия. Унификация существенно упрощает администрирование, обновление, патч-менеджмент в вопросах безопасности и, что особенно важно, быстрое масштабирование: с «зоопарком» железа быстро расти просто невозможно.
Основной медиаконтент, который раздаёт CDN — картинки, видео, статика, — по своей природе публичен. Это данные, которыми заказчик хочет поделиться с как можно большей аудиторией. Шифруются на серверах только данные, требующие этого по законодательству — учётные данные, сертификаты. К ним нет доступа даже у сотрудников Curator. Для специфических медиаресурсов — стримингов, онлайн-кинотеатров — поддерживаются механизмы защиты контента от неправомерного скачивания и «лизинга», когда кто-то «угоняет» видеопоток и стримит его на другой площадке. Применяются шифрованные токены (например, Secure Token), персонализированные URL с ограничением по времени работы, ссылки, которые нельзя открыть из другого места. Для отдельных категорий клиентов, особенно онлайн-кинотеатров, Curator делает полноценные кастомные разработки и плагины.
Заключение
Сеть доставки контента Curator CDN нельзя оценивать в отрыве от той экосистемы, частью которой она является. И в этом, пожалуй, главный вывод, к которому подводит знакомство с решением. На рынке достаточно провайдеров, способных раздавать байты быстро. Достаточно и тех, кто умеет защищать инфраструктуру от атак. А вот тех, кто изначально проектировал и то и другое как единый организм, — единицы. Curator относится именно к этой категории, и именно архитектурная цельность, а не сумма отдельных функций делает продукт по-настоящему интересным.
В целом же роль CDN в современной цифровой экономике давно вышла за рамки чисто технического сервиса. От скорости загрузки сегодня зависит не только пользовательский комфорт, но и выручка, удержание аудитории, репутация бренда, способность выдерживать пиковые события — от распродаж и премьер до спортивных трансляций федерального масштаба. В этом смысле сеть доставки контента превратилась в инфраструктуру, сопоставимую по значимости с электричеством или связью: пока всё работает, её не замечают, но любой сбой моментально становится коммерческой и репутационной катастрофой. И именно поэтому требования к таким решениям сегодня — не «быстро и дёшево», а «быстро, безопасно, предсказуемо и в любой точке страны».
