Tämä sivu kuvaa arkkitehtuurin resilienssipostuuria. Useita mekanismeja on vielä aktiivisessa kehityksessä; suunnittelu on lukittu ja uhat ovat todellisia. Jos haluatte toteutuksen tilan kohdittain, ottakaa yhteyttä – jaamme nykyisen edistymisen NDA:n alaisena.
Infrastruktuuri
Suunniteltu toimimaan, kun jokin ei toimi.
Jokainen Clavitorin infrastruktuurin osa suunniteltiin kysymällä samaa kysymystä jokaiselta riippuvuudelta, jokaiselta toimittajalta, jokaiselta kerrokselta: mitä tapahtuu, kun tämä epäonnistuu? Kävimme tämän kysymyksen läpi koko pinossa ja suunnittelimme arkkitehtuurin niin, että vastaus on aina sama: holvi palvelee edelleen.
Tämä sivu listaa, mitä mietimme. Erityiset mekanismit – miten ratkaisemme jokaisen niistä – pysyvät yksityisinä; kehittyneet asiakkaat voivat saada yksityiskohdat NDA:n alaisena. Uhkalistan julkaiseminen on rehellisyyttä suunnittelusta. Puolustusten julkaiseminen on ilmainen kaavio vastustajille.
Mitä suunnittelimme
Hyperskaalautuvat pilvikatkokset
Suuret pilvipalveluntarjoajat kaatuvat. Ei usein, mutta näkyvästi, ja kun ne kaatuvat, ne vievät suuria osia internetistä mukanaan. Suunnittelimme olettaen, että mikä tahansa yksittäinen hyperskaalaaja kokee lopulta globaalisti huonon päivän. Clavitor jatkaa tunnistetietojen palvelemista, kun se tapahtuu.
Alueelliset katastrofit ja kineettiset tapahtumat
Alueellinen tapahtuma – droonihyökkäys datakeskukseen, merenalaisen kaapelin katkeaminen, luonnonkatastrofi, alueellinen sota – voi sammuttaa kokonaisen pilvialueen. 1. maaliskuuta 2026 molemmat AWS:n Lähi-idän alueet pimenivät samassa tapauksessa. Otamme sen opetuksena, emme hypoteettisena. Arkkitehtuuri kohtelee alueellista tapahtumaa rutiininomaisena vikatilana, jota asiakkaat eivät huomaa.
DNS-palveluntarjoajien katkokset
Jos DNS:nne isännöivä yritys kaatuu, palvelunne pimenee, vaikka kaikki muut pinonne osat olisivatkin terveitä. Tämä pätee Cloudflaren, Route 53:n ja kaikkien suurten DNS-palveluntarjoajien kohdalla. Harkitsimme, mitä tapahtuu, kun DNS-palveluntarjoajamme kokee huonon päivän.
Varmennusviranomaisten katkokset
Jos varmennusviranomainen ei ole tavoitettavissa, kun varmennettasi tarvitsee uusiutua, TLS-yhteytesi pimenee. Jos varmennusviranomainen vaarantuu, kaikki sen myöntämät varmenteet mitätöityvät. Harkitsimme, mitä TLS:lle tapahtuu, kun varmennusviranomaisen infrastruktuuri käyttäytyy väärin.
Verkkotunnusrekisterin ongelmat
Jos rekisterinpitäjäsi keskeyttää tilisi tai vaarantuu, verkkotunnuksesi katoaa tai ohjataan uudelleen riippumatta siitä, missä DNS:ää isännöidään. Harkitsimme, mitä tapahtuu, jos rekisterinpitäjämme epäonnistuu.
TLD-operaattorien ongelmat
Organisaatio, joka ylläpitää ylätason verkkotunnusta (.com, .ai, .io), on itsessään yksittäinen vikapiste. Pienempiä TLD:itä ylläpitävät pienemmät organisaatiot, joilla on vähemmän toiminnallista syvyyttä. Harkitsimme, mitä tapahtuu, jos TLD-operaattori kokee huonon viikon.
Sähköpostipalveluntarjoajien katkokset
Jos sähköpostipalveluntarjoajanne on alhaalla, tilin palautuskoodit eivät saavu, rekisteröinnin vahvistukset eivät saavu, asiakaspalvelun saapuneet-kansio on pimeä. Harkitsimme, mitä todennukselle ja palautukselle tapahtuu, kun sähköpostipalveluntarjoajamme ei ole tavoitettavissa – ja mikä on keskeistä, mitä tapahtuu muulle tuotteelle sähköpostin ollessa alhaalla.
SMS / puhelinnumeroriippuvuus
Monet palvelut turvautuvat SMS-viesteihin todennusta varten, kun sähköposti on alhaalla. Harkitsimme tätä ja päätimme olla tekemättä niin. Puhelinnumeron pyytäminen lisää henkilötietojen luokkaa, jota emme halua kerätä, altistaa asiakkaat SIM-swap-hyökkäyksille ja lisää yhden toimittajariippuvuuden. Valitsimme paremman polun.
Toiminnallisen ohjaustason katkokset
Työkalut, joita käytämme oman infrastruktuurimme hallintaan, voivat itse kaatua: orkestrointimatriisi, koordinointikerros, käyttöönotto-putki. Jokainen on toimittajasuhde, joka voi epäonnistua. Harkitsimme kunkin seurauksia ja vähensimme asteittain riippuvuuttamme toimittajien ylläpitämistä ohjaustasoista.
Ohjelmistovirheet
Yksittäinen todennäköisin syy yhtenäiselle katkokselle on virhe omassa ohjelmistossamme, joka on otettu käyttöön kaikkialla samanaikaisesti. Maantieteellinen jakautuminen ei auta, kun jokainen käynnissä oleva kopio kaatuu samalla tavalla. Harkitsimme tätä ja suunnittelimme käyttöönotokäytäntömme – kanarian julkaisut, nopeat palautukset, hätäpysäytykset – sen mukaisesti.
Tilikohtaiset toimittajatoimet
Tilin keskeytys, laskutusriidat, sääntelypidätykset ja käyttöehtojen valvonta voivat poistaa minkä tahansa yksittäisen toimittajasuhteen yhdellä iskulla. Harkitsimme kaikkien kriittisten toimittajasuhteiden yksipuolisen päättymisen seurauksia ja suunnittelimme yksittäistä toimittajalukkoa vastaan jokaisella tasolla.
Korreloituneet viat
Jotkin tapahtumat sammuttavat useita asioita samanaikaisesti – suuri kaapelikatkos, joka vaikuttaa useisiin reitteihin, koordinoitu hyökkäys palveluiden välillä, luonnonkatastrofi, joka iskee sekä ensisijaiseen että sen oletettuun varajärjestelmään. Harkitsimme erityisesti korreloituneita vikatiloja: "varajärjestelmän" epäonnistuminen juuri silloin, kun ensisijainen on myös alhaalla. Arkkitehtuuri on suunniteltu niin, että yksikään yksittäinen tapahtuma ei sammuta sekä ensisijaista että sen vikasietoisuutta.
Katastrofaaliset henkilötietoriippuvuudet
Holvin asiakkaiden ei pitäisi joutua valitsemaan turvallisuuden ja omien tietojensa palautettavuuden välillä. Harkitsimme jokaista paikkaa, jossa käyttäjän holvi riippuu jostain muusta, jonka hän voi menettää: puhelinnumero, sähköpostitili, yksittäinen laite, yksittäinen salasana. Jokainen niistä joko eliminoitiin tai suunniteltiin kiertämään se.
Toiminnallisen tiimin tavoitettavuus
Holviyrityksen on oltava oman tiiminsä tavoitettavissa tapahtuman aikana. Harkitsimme, mitä tapahtuu reagointikyvyllemme, kun omien operaattoreidemme ympärillä oleva internet heikkenee.
Kryptografinen horisontti
Kryptografia ei ole staattista. Harkitsimme jokaisen käyttämämme kryptografisen primitiivin pitkän aikavälin migraatiopolkua, mukaan lukien kvanttitietokoneiden jälkeisen ajan.
Mitä emme väitä suojaavamme
Olemme selkeitä infrastruktuurisuunnittelun saavutettavissa olevien rajojen suhteen.
Tuhoaisi globaalin internetin päiviksi. Mikään infrastruktuuri ei auta; asiakkaat eivät pääse mihinkään joka tapauksessa.
Tapahtumalaji, jota vastaan mikään kaupallinen infrastruktuuri ei voi puolustautua yksipuolisesti.
Olemme rehellisiä näistä – ja suunnittelemme kaiken muun resilientiksi olettaen, että ne eivät tapahdu.
Arkkitehtuurin yksityiskohdat NDA:n alaisena.
Yllä oleva luettelo on mitä harkitsimme. Yksityiskohdat siitä, miten kukin puolustus on suunniteltu – erityinen topologia, toimittajavalinnat, käyttöönotto-menettelyt, kryptografiset protokollat – jaetaan yritysasiakkaille NDA:n alaisena, heidän tietoturvatiimiensä kanssa, heidän hankintaprosessissaan.