Juuresolev pilt on tehnoloogiavaldkonnas omajagu tuntud: Microsoft armastab Linuxit. Linuxi kasutamine on Microsoftis kasvav trend ja nii on see olnud 2015. aastast saadik. Varem oli suhtumine aga hoopis teine. Microsofti endine tegevjuht Steve Ballmer on seda nimetanud koguni vähkkasvajaks, kuigi tema seisukoht ettevõtte sees toetust ei leidnud.

Nüüd on aga Microsofti Tallinna arenduskeskuses lausa omaette tiim, kelle ülesanne on luua ettevõttele turvalised ja nõuetele vastavad Linuxi-lahendused. Piltlikult öeldes on see nagu kuulivest, mis Microsofti tarbeks Linuxi põhjal ehitatud teenustele nende kaitsmiseks ümber tõmmatakse.

Tiimi juhib Kaspars Mickevics, kes soostus meile selle veidi üllatava armastusloo telgitaguseid selgitama.

Põhjuseks oli rahapuudus

„Mina olen alati Linuxit kasutanud, ka Microsoftiga töötades. Skype, kuhu ma kolmeteistkümne aasta eest tööle tulin, põhines Linuxil, sest meil polnud lihtsalt muu süsteemi jaoks raha,“ naerab Mickevics.

Kui Microsoft Skype’i ära ostis, arutati Linuxiga lõpetamist, kuid otsustati siiski jätkata. See oli oluline suunamuutus.

„Peamine on, et kasutaksime võimalikult asjakohaseid lahendusi ja vahel ongi see Linux,“ leiab Mickevics.

Nüüdseks on Linux Microsoftis täielikult aktsepteeritud. Näiteks Azure’i pilveteenuse puhul on see koguni väga oluline. Mickevicsi tiim, kes tegeleb just turvalisuse küsimustega, on tegelikult pioneerid, kes sillutavad teed tulevastele Linuxil põhinevatele teenustele.

Microsofti esimene suurem Linuxi-põhine teenus

„Linuxi-teemalistel konverentsidel oli alguses väga naljakas oma ettevõttena ära märkida Microsofti. Kõik vaatasid, et kas me teeme nalja või?“ jutustab Mickevics.

Microsofti üheks eripäraks on see, et ülemaailmse tehnoloogiahiiuna on temaga aja jooksul liidetud palju endiseid iduettevõtteid. Erinevalt paljudest teistest oli aga Skype, mis Microsoftiga 2011. aastal ühines, ilmselt esimene suurem toode, mis kasutas oma infrastruktuurilahenduses Linuxit, mille jaoks välja töötatud turvalahendusi ka Microsoft kasutama hakkas.

Skype töötati välja tavakasutajatele ja turvatemaatikas keskenduti seal peamiselt makselahendustele. Skype’i tehnoloogiatele on aga toodetud ka ärikasutajatele mõeldud lahendusi, nagu näiteks Microsoft Teams. Et need ka ettevõtetes ja riigiasutustes kasutatavad oleksid, peavad nad vastama väga spetsiifilistele turvastandarditele ja läbima sellekohased auditid.

Turvanõuded vaadati üle

„Kui Microsoft Skype’i ära ostis, siis hakati seal küsima, kuidas me Linuxis ühe või teise turvanõudmise puhul käitume. Meid sellised küsimused üllatasid,“ jutustab Mickevics. „Vaatasime üle, milles need erinevad turvalisust puudutavad nõudmised seisnesid, ja hakkasime nuputama, kuidas süsteemi ja kõnet sissetungijate eest kaitsta.“

Nii sündiski Linuxi turvalahenduste kogumik, mis osutus väga edukaks. „Kui üks oluline Microsofti juhtivtöötaja Tallinnas külas käis, avastas ta, et me olime siin välja töötanud terve Linuxi turvasüsteemi, mida tegelikult vajasid ka paljud teised Microsofti osakonnad mujal maailmas. Ja nii see meie projekt alguse saigi,“ ütleb Mickevics tagasi vaadates.

Oluline kogu digisektorile

Kuigi Linux on olnud saadaval juba aastakümneid, on selle kasutuselevõtt äri- ja riigiasutuste maailmas olnud suurte nõuete tõttu väga keeruline. Nüüd on Tallinnas selleks loodud kolm põhielementi, mis muudavad keskuse töö oluliseks mitte ainult Microsoftile, vaid tegelikult kogu digimaailmale.

Esiteks püütakse selle käigus minimeerida süsteemis olevat nõrkuste arvu. Teiseks pakub Mickevicsi tiim serverisse sisenemiseks kõigile nõuetele vastavat turvalist moodust. Kolmandaks on nüüd võimalik seadmes toimuvat monitoorida ja anomaaliaid otsida. Kui keegi sisse häkib, siis on see ka kohe näha.

Nagu arvata võib, on sellisel keerulisel protsessil oma väljakutsed.

Kõigepealt on vaja muuta Linuxi haldamine Microsofti arendajatele märkamatuks. „Arendajad ei taha pidevalt mõelda Linuxi turvalisusele, see peaks olema pidevalt turvaline ilma märkamatagi,“ mõtiskleb Mickevics.

Teiseks, peamised konteinertehnoloogiad on disainitud Linuxile, mis varasemast tehnoloogiast erinedes on väga kiiresti populaarsust kogunud. Konteinerid on väga kerged ja seda tuleb kogu turvavõrgu ülesehitust luues arvesse võtta. Microsoft Linuxile turvalahendusi pakkuv meeskond oli hiljuti sunnitud seetõttu oma toote pea nullist üles ehitama.

Lahendus eraldiseisvatele pilvedele

Aga ülesandeid on veel. Lisaks avalikule Azure’i pilvele on Microsoftil palju mitteavalikke pilvi, näiteks USA, Saksamaa ja isegi Hiina riigiasutustele, USA sõjaväele ja luureasutustele. Niisugused pilved on täiesti eraldiseisvad ja piiratud ligipääsuga.

Probleem tekib, kui eraldiasetsevasse pilve on vaja viia sisse mõni uus tööriist, näiteks Microsoft Teams, mis otseselt küll Linuxit ei vaja, kuid mis toetub Linuxi-põhistele toodetele.

Selleks palkab Microsoft inimesi, kes vastavad oma riigis kehtestatud nõudmistele, mida seal kohapeal ka kontrollida saab. Seejärel pakitakse teenused kokku sellisel viisil, nagu aastakümnete eest, kui programme müüdi kasutajatele CD-plaadil. Niiviisi on võimalik uusi arendusi kinnises võrgus testida.

Töö Linuxi südamega

Mickevicsi meeskond vastutab ka turvamonitooringu eest ja aitab avastada anomaaliaid. Serverites, kus käib palju liiklust, on monitooring olnud väga ressursimahukas.

„Me loome oma meeskonnaga praegu uut monitoorimisviisi. Kasutame eBPF-i tehnoloogiat, mis võimaldab Linuxi tuumas toimuvat jälgida ja märgata, kui mingi kahtlane tegevus algab, et see siis enne, kui midagi juhtub, ära blokeerida,“ märgib Mickevics.

„Me oleme nüüdseks väga avatud, arenev ja mitmekesine ettevõte,“ kinnitab Mickevics. „Muuseas, meil pööratakse väga palju tähelepanu sellele, et meie töötajad oleks võimalikult mitmekesise taustaga ja see on andnud toodete arendamisele rohkelt lisaväärtust. Ka Linuxi pildiletulek sellises mahus näitab, et erinevus on rikkus!“