الملخص

  • في 4 أكتوبر 2021، قام أمر صدر أثناء صيانة روتينية بفصل مراكز بيانات Facebook عن شبكتها الأساسية العالمية عن غير قصد. عطل في الأداة المخصصة لتدقيق ومنع الأوامر الخطيرة فشل في إيقافه. أدى فقدان الشبكة الأساسية بعد ذلك إلى سحب مواقع DNS الرسمية لـ Facebook لإعلانات BGP الخاصة بها، مما جعل Facebook وWhatsApp وInstagram والخدمات ذات الصلة غير قابلة للعثور عليها والوصول إليها من الإنترنت العام بشكل فعال.
  • كان DNS مضخمًا وعرضًا مرئيًا، وليس السبب البادئ. استمر تفويض المنطقة الأصلية في الإشارة إلى خوادم الأسماء الرسمية لـ Facebook، وظلت الخوادم نفسها قيد التشغيل، ولكن تم سحب المسارات اللازمة للوصول إليها. أدى قصر عمر ذاكرة التخزين المؤقت لـ DNS والمحاولات المتكررة العدوانية إلى تصدير الحمل إلى المحللين التكراريين والبنية التحتية لـ.com.
  • طال أمد التعافي لأن نفس الفشل عطل أيضًا الوصول عن بعد العادي والعديد من الأدوات الداخلية. كان لا بد من إرسال المهندسين إلى مراكز البيانات واجتياز ضوابط أمان مادية ونظامية صارمة عن قصد قبل استعادة الشبكة الأساسية. ساعدت تدريبات الفشل الإقليمية ومراكز البيانات الحالية في إعادة التشغيل الخاضعة للرقابة، لكن Facebook قال إنه لم يحاكِ أبدًا فقدان الشبكة الأساسية العالمية بأكملها.
  • لذلك تقع المساءلة بشكل أقل على الفرد الذي أصدر الأمر وأكثر على النظام الذي أعطى إجراء صيانة واحدًا نطاقًا عالميًا: الحاجز المعيب، وتبعيات التحكم المشتركة، وعدم اكتمال استقلالية التعافي، وعدم وجود سيناريو شبكة أساسية عالمية تم اختباره. يجب أن تطلب إشراف المجلس دليلاً على أن نصف قطر الانفجار محدود، وأن المدققين مستقلون، وأن DNS يظل قابلاً للوصول طوبولوجيًا، وأن الاستعادة يمكن أن تتم دون الشبكة الإنتاجية.

لم تنقطع المنصة فحسب؛ بل انسحبت شبكة عن الأنظار

في حوالي الساعة 15:39 بالتوقيت العالمي المنسق يوم الاثنين 4 أكتوبر 2021، انهارت حركة المرور إلى خدمات Facebook حول العالم. توقفت Facebook وWhatsApp وInstagram وMessenger وخدمات أخرى عن التحميل. بالنسبة للشخص الذي يفتح تطبيقًا، بدت النتيجة عادية: مؤشر تحميل، خطأ، رسالة لا يمكن إرسالها. على نطاق الإنترنت، كان الأمر غير معتاد. توقفت أجزاء من الشبكة التي تخبر بقية أين يمكن العثور على Facebook عن الإعلان عن مسار.

غالبًا ما يُلخص الحدث على أنه انقطاع DNS أو خطأ BGP. كلا الوصفين يلتقطان أجزاء مرئية من الفشل ويخفيان مشكلة الإدارة. قال الحساب الفني اللاحق لـ Facebook إن الحدث البادئ حدث أثناء صيانة روتينية للشبكة الأساسية. أمر يهدف إلى تقييم سعة الشبكة الأساسية العالمية المتاحة بدلاً من ذلك قطع جميع اتصالات الشبكة الأساسية. كان من المفترض أن تتم مراجعة الأمر تلقائيًا، لكن عطلًا في أداة التدقيق منع هذا الفحص الوقائي من إيقافه. ثم تسبب الانقطاع في إعلان مرافق DNS عن عدم صحتها وسحب إعلانات التوجيه. تم رصد هذه السحوبات خارجيًا في غضون دقائق.

هذه السلسلة مهمة لأن كل حلقة تمثل سؤال تحكم مختلف. لماذا يمكن لأمر تقييم إزالة الشبكة الأساسية بأكملها؟ لماذا فشل مدقق الأوامر في نفس المعاملة التي كان من المفترض أن يقيدها؟ لماذا أدى فقدان الاتصال بمركز البيانات الداخلي إلى اختفاء جميع مسارات DNS الرسمية العامة؟ لماذا شارك الوصول عن بعد العادي وأدوات الحوادث الداخلية البنية التحتية المتضررة؟ لماذا غطت التدريبات فقدان الخدمة ومركز البيانات والمنطقة ولكن ليس فقدان الشبكة الأساسية العالمية؟

أجاب Facebook على الأسئلة السببية الواسعة في منشورين هندسيين. لم ينشر الأمر، أو عطل أداة التدقيق، أو جدولًا زمنيًا داخليًا دقيقًا، أو قائمة كاملة بإجراءات المعالجة، أو التحقق المستقل من تلك الإجراءات. قدم مراقبو الشبكة الخارجيون رؤية قوية لتغيرات التوجيه وسلوك DNS وفقدان حركة المرور والتعافي التدريجي، لكنهم لم يتمكنوا من فحص موافقات التغيير الداخلية لـ Facebook أو رمز التحكم. لذلك يجب على تحليل المساءلة المسؤول أن يميز بين ما اعترف به Facebook، وما أظهرته القياسات عن بعد الخارجية بشكل مستقل، وما لا يزال غير معروف.

تغير اسم الشركة أيضًا بعد فترة وجيزة من الحادث. وقع الانقطاع بينما كانت الشركة المدرجة هي Facebook, Inc.؛ أعلنت الشركة عن اسم Meta في وقت لاحق من ذلك الشهر. تستخدم هذه المقالة Facebook عند وصف شبكة 4 أكتوبر والتصريحات المعاصرة، وMeta عند مناقشة الكيان الحالي أو الإيداعات اللاحقة.

ما يمكن أن تثبته الأدلة وما لا يمكنها إثباته

أقوى مصدر سببي هو الحساب الهندسي المفصل لـ Facebook الصادر في 5 أكتوبر. وهو تفسير من الطرف الأول بعد الحادث كتبه المسؤول التنفيذي المسؤول عن البنية التحتية. ويحدد بوضوح الصيانة الروتينية، وأمر تقييم السعة، وأداة التدقيق المعيبة، وانقطاع الشبكة الأساسية، والسحب التلقائي لإعلانات توجيه DNS، وفقدان الوصول العادي وخارج النطاق، والتعافي في الموقع، ودور التدريبات السابقة. هذه اعترافات كبيرة. الحساب ليس تحقيقًا مستقلاً، ومستوى تفصيله يتوقف قبل الأسئلة اللازمة لاختبار ما إذا كانت الضوابط اللاحقة فعالة.

تحديث الاستعادة الأقصر الصادر في 4 أكتوبر هو بيان الشركة المعاصر. يقول إن تغييرات التكوين على موجهات الشبكة الأساسية قطعت اتصال مركز البيانات، ويصف التأثير المتتالي، وينفي النشاط الضار كسبب جذري، ويقول إن الشركة لم تجد أي دليل على تعرض بيانات المستخدم للخطر نتيجة لذلك. "لا دليل" هو الاستنتاج المعلن للشركة بشأن هذا الحادث؛ لا ينبغي إعادة كتابته كدليل على أنه لم يكن هناك أي عواقب أمنية ممكنة أو كنتيجة لسلطة خارجية.

تؤكد القياسات عن بعد الخارجية عواقب الشبكة العامة. سجل تحليل Cloudflare المعاصر ذروة في تغييرات توجيه Facebook في حوالي الساعة 15:40 بالتوقيت العالمي، وسحوبات تؤثر على بادئات DNS، واستجابات SERVFAIL من المحللين العموميين، وزيادة كبيرة في حجم الاستعلام. يضع تحليل حركة المرور و BGP من Kentik انهيار حركة مرور الخدمة في حوالي الساعة 15:39 بالتوقيت العالمي ويظهر عودة بادئة DNS رئيسية في حوالي الساعة 21:00. يُظهر إعادة بناء RIPE NCC's BGPlay اختفاء المسارات إلى بادئة تحتوي على خادم أسماء رسمي لـ Facebook بحلول الساعة 15:53:47 واستقرارها بعد الارتفاعات أثناء العودة.

لاحظ تحليل انقطاع ThousandEyes أن أخطاء استقبال التطبيق بدأت قبل فشل DNS الكامل واستمرت بعد بدء DNS في العودة، مما يدعم تفسير Facebook بأن الشبكة الأساسية فشلت أولاً وتبعها DNS.

تستخدم المصادر نقاط نهاية مختلفة. وصف Facebook الانقطاع بأنه حوالي أو ما يقرب من ست ساعات. رأى Kentik عودة مسار رئيسي حوالي الساعة 21:00 بالتوقيت العالمي. رأى RIPE وCloudflare استعادة التوجيه وعودة DNS بعد ذلك. تتبع ThousandEyes بعض إشارات التطبيق المتأثرة حتى وقت لاحق. هذه ليست بالضرورة تناقضات. "تم الإعلان عن مسار"، "أجاب DNS الرسمي"، "تحميل الموقع العام"، و"جميع وظائف التطبيق كانت سليمة" هي معالم استعادة مختلفة. لا تجبر هذه المقالة على توقيت واحد خاطئ.

أدلة التأثير العام أقل اكتمالاً من أدلة الشبكة. لم ينشر Facebook عددًا مدققًا من الأشخاص أو الرسائل أو المعاملات أو الشركات المتأثرة. ذكرت نتائج الربع الثالث من عام 2021 أن 3.58 مليار شخص نشط شهريًا عبر مجموعة تطبيقاته اعتبارًا من 30 سبتمبر. يحدد هذا الرقم حجم الاعتماد، وليس عدد الأشخاص الذين حاولوا وفشلوا في استخدام الخدمة أثناء الانقطاع. التقديرات التي تضرب إيرادات الإعلانات ربع السنوية أو الناتج الاقتصادي العالمي بست ساعات هي سيناريوهات، وليست خسائر مقاسة، ولا تعامل هنا كتأثير مدقق.

التسلسل من الصيانة إلى الاستعادة

يدعم السجل العام تسلسلًا زمنيًا مضغوطًا. الأوقات أدناه بالتوقيت العالمي المنسق ويجب قراءتها كمعالم تم رصدها وليس سجل أحداث داخلي كامل.

الوقت أو التاريخالحدث وأهمية المساءلة
قبل 4 أكتوبرأجرى Facebook بانتظام صيانة يمكن أن تخرج أجزاء من شبكته الأساسية العالمية عن الخدمة. تم تصميم أنظمته لتدقيق الأوامر ومنع الإجراءات الخطيرة. كما أجرى تدريبات "العاصفة" لفقدان خدمة أو مركز بيانات أو منطقة، لكنه لم يحاكِ انقطاع الشبكة الأساسية العالمية بأكملها.
حوالي 15:39، 4 أكتوبرلاحظ Kentik انخفاضًا حادًا في حركة مرور خدمة Facebook وانفجارًا في نشاط التوجيه. هذا مؤشر خارجي قوي لبداية الحادث العام.
حوالي 15:40لاحظ Cloudflare ذروة في تحديثات BGP وعمليات السحب من Facebook. رأى ThousandEyes أن التطبيق أصبح غير قابل للوصول وظهرت أعطال DNS الرسمية.
الدقائق الأولىوفقًا لـ Facebook، قام أمر صيانة روتيني يهدف إلى تقييم سعة الشبكة الأساسية بإزالة جميع اتصالات الشبكة الأساسية عن غير قصد. لم توقفه أداة تدقيق الأوامر لأنها كانت تحتوي على عطل.
مباشرة بعد فقدان الشبكة الأساسيةلم تعد مواقع DNS التابعة لـ Facebook قادرة على الاتصال بمراكز البيانات. اعتبر منطق الصحة الخاص بها تلك الحالة غير آمنة وسحب إعلانات BGP لعناوين خدمة DNS الرسمية. لا يزال بإمكان المحللين العموميين الحصول على معلومات التفويض ولكن لم يتمكنوا من الوصول إلى سلطة Facebook مفيدة.
بحلول 15:53:47أظهر RIPE BGPlay اختفاء جميع المسارات في نقاط المراقبة المختارة لـ 129.134.30.0/24، الذي يحتوي على عنوان لـ a.ns.facebook.com. وصلت شاشات وبادئات مختلفة إلى هذه الحالة في أوقات مختلفة قليلاً.
أثناء الانقطاعكان الوصول العادي عن بعد إلى مركز البيانات وشبكة الوصول خارج النطاق لـ Facebook غير متاحين، بينما كسر فقدان DNS أدوات التحقيق الداخلية. تم إرسال المهندسين فعليًا إلى مراكز البيانات. أدى قصر TTLs DNS والمحاولات المتكررة من قبل المستخدمين والتطبيقات إلى زيادة الحمل على المحللين التكراريين والبنية التحتية لـ DNS الأصلية.
حوالي 21:00لاحظ Kentik عودة مسار DNS الرئيسي 129.134.30.0/23. سجل مراقبون آخرون استمرار تغييرات التوجيه واستعادة الخدمة بعد هذه النقطة.
حوالي 21:30 وما بعدهأبلغ ThousandEyes عن استعادة DNS إلى حد كبير لمعظم المستخدمين حوالي الساعة 21:30. ظل التعافي التدريجي للتطبيق حيث تحكم Facebook في عودة الحمل واستمرت بعض الشاشات في رؤية الضعف.
4-5 أكتوبرقال Facebook إن الأنظمة عادت، وعزا الحدث إلى تغيير تكوين خاطئ بدلاً من النشاط الضار، وذكر أنه ليس لديه دليل على اختراق ناتج عن الانقطاع.
5 أكتوبرنشر Facebook سلسلة السبب الكاملة وقال إنه سيعزز الاختبارات والتدريبات والمرونة، بما في ذلك البحث عن طرق لمحاكاة فشل الشبكة الأساسية العالمية.
فبراير 2022وصف نموذج 10-K لعام 2021 لـ Meta الحدث بأنه انقطاع دام حوالي ست ساعات ناتج عن مزيج من خطأ وعطل، وأدرجه في إفصاح مخاطر البنية التحتية للشركة.

يكشف الجدول الزمني عن عدم تناسق في التحكم. كان الانتقال المدمر سريعًا: أمر، حاجز فاشل، انقسام الشبكة الأساسية، تغييرات حالة الصحة، وسحوبات التوجيه. تطلب الانتقال التصالحي تشخيصًا بدون أدوات مألوفة، أو سفر أو إرسال فعلي، أو دخول آمن، أو الوصول إلى الأجهزة، أو استعادة الشبكة الأساسية على مراحل، والإدارة الحذرة لحركة المرور العائدة. تفترض هندسة المرونة الجيدة هذا عدم التناسق. إنها تعطي الإجراءات التدميرية شروطًا مسبقة أقوى وتحافظ على استقلالية الوصول في حالات الطوارئ لأن التراجع عن تغيير حالة عالمي دائمًا ما يكون أبطأ من إجرائه.

الأمر البادئ كان مشكلة سلطة

وصف Facebook الإجراء المحفز بأنه أمر صدر لتقييم توفر سعة الشبكة الأساسية العالمية أثناء الصيانة الروتينية. الصياغة كاشفة. يبدو التقييم رصديًا، لكن الأمر غير الحالة بقوة كافية لفصل كل مركز بيانات عن الشبكة الأساسية. لا يذكر الحساب العام ما إذا كان هذا الاتساع متأصلًا في الأمر، أو ناتجًا عن معلماته، أو بسبب تفاعل غير متوقع. إنه يثبت أن العملية كان لها تأثير عالمي.

لذا فإن سؤال المساءلة الأول ليس "من ارتكب الخطأ المطبعي؟" لم يصف Facebook الإجراء علنًا بأنه خطأ مطبعي، أو يذكر اسم مهندس، أو يكشف عن نتيجة تأديبية. إن إلقاء اللوم على مشغل غير مسمى من شأنه أن يملأ فجوة في الأدلة بقصة مألوفة. السؤال ذو الصلة هو لماذا يمكن لمسار صيانة واحد أن يعبر وينفذ حالة تدميرية عالمية بدون حاجز موثوق بشكل مستقل.

على نطاق واسع، أوامر الشبكة المميزة هي كود إنتاج. إنها تستحق نطاقًا مقيدًا، وتحققًا دلاليًا، ومحاكاة ضد طوبولوجيا حالية، ومراجعة الأقران تتناسب مع نصف قطر الانفجار، وتنفيذ تجريبي، وشروط إجهاض صريحة، ومسار تراجع تلقائي لا يعتمد على مستوى التحكم المتأثر. إذا كانت الأداة يمكنها الوصول إلى جميع المناطق، فإن "روتيني" يصف التكرار، وليس المخاطرة. يجب تقييم السلطة المرتبطة بالعملية من خلال أقصى تغيير للحالة يمكن أن تسببه.

قال Facebook إن أنظمته صُممت لتدقيق أوامر مثل هذه ومنع الأخطاء، لكن عطلًا في أداة التدقيق منعها من إيقاف الأمر. لم يكن هذا غياب تحكم. كان اعتمادًا على تحكم فشل محاذي للعمل الخطير. كان المدقق في مسار الموافقة، لكنه على ما يبدو لم ينتج نتيجة إغلاق عند الفشل عندما لم يتمكن من الحكم على الأمر بشكل صحيح. لا يشرح المنشور العام ما إذا كانت الأداة أعادت موافقة غير صحيحة، أو فشلت في تحليل الأمر، أو قيمت نموذجًا غير مكتمل، أو واجهت عيبًا آخر. أي تشخيص أكثر تحديدًا سيكون اختراعًا.

درس التحكم لا يزال ثابتًا. الحاجز القادر على تفويض تغييرات عالمية هو في حد ذاته بنية تحتية حرجة. يجب أن يكون مخصصًا للإصدار، ومختبرًا ضد الحالات الخطيرة المعروفة، ومراقبًا للتغطية وأخطاء القرار، ومنعًا من التدهور الصامت. يجب أن يكون الفحص الثاني مستقلاً بما يكفي بحيث لا يمكن لعيب واحد أن يتسبب في اتفاق كلا التحكمين. يمكن أن يأتي الاستقلال من نموذج طوبولوجيا منفصل، أو سياسة صارمة تحد من النسبة المئوية لسعة الشبكة الأساسية التي يمكن إزالتها في وقت واحد، أو محرك تنفيذ تدريجي، أو تفويض بشري لنطاق عالمي استثنائي. قد يبدو فحصان مدعومان بنفس المحلل ونموذج البيانات متكررين بينما يشتركان في نمط فشل واحد.

قبل أقل من خمسة أشهر من الحادث، كتب مهندسو Facebook أن BGP على نطاق مركز البيانات يتطلب تصميمًا مشتركًا وثيقًا مع الطوبولوجيا وبرنامج التبديل والتكوين وخط الأنابيب التشغيلي. أكد وصفهم لـ BGP واسع النطاق في مايو 2021 على أن حالات الفشل حتمية وأن سياسة التوجيه والمسارات الاحتياطية أساسية للتوفر العالي. لم تصف تلك الورقة نظام الصيانة لشهر أكتوبر، لذلك لا يمكنها إثبات التناقض. إنها تظهر أن الأدوات التشغيلية كانت مفهومة على أنها جزء من نظام التوجيه بدلاً من ملحق إداري.

وبالمثل، وصف الحساب السابق لهندسة الشبكة الأساسية السريعة لـ Facebook أربع مستويات مادية متوازية، وحاقنات توجيه BGP شديدة التكرار، ومعالجة موزعة للأعطال، وقدرة على التجربة والتراجع مع تقليل الاضطراب. كانت التكرارية المادية ومكونات المكونات ميزات تصميم حقيقية. يوضح 4 أكتوبر سبب عدم حماية المستويات المتكررة من إجراء تحكم يمكن أن يغيرها جميعًا معًا. يختفي تنوع مجال الأعطال عندما يمكن لمتحكم مشترك أو نطاق أمر تحديد كل مجال.

فعل DNS ما طلبت منه السياسة

تشجع عبارة "انقطاع DNS" صورة لبرنامج خادم أسماء معطل أو بيانات منطقة فاسدة. لم يبلغ Facebook عن أي منهما. احتلت خوادم الأسماء الرسمية الخاصة به عناوين IP معروفة في مرافق أصغر متصلة بالإنترنت الأوسع. تم الإعلان عن هذه العناوين عبر BGP. عندما فقدت مواقع DNS الاتصال بمراكز بيانات Facebook، سحب منطق الصحة لديها الإعلانات لأن عدم القدرة على الوصول إلى مراكز البيانات فُسر على أنه حالة شبكة غير صحية. ظلت الخوادم قيد التشغيل، لكن الإنترنت لم يكن لديه مسار قابل للاستخدام إليها.

لسياسة الصحة هذه غرض دفاعي. الخادم الرسمي الذي لا يمكنه الحصول على الحالة اللازمة لتقديم إجابات صحيحة أو التحقق من صحتها قد يكون أسوأ من الخادم الذي يتوقف عن جذب الاستعلامات. يمكن أن يمنع سحب التوجيه إرسال حركة المرور إلى مثيل معزول أو قديم. لم يكن الخطأ بالضرورة وجود فحوصات الصحة. كان أن حالة شبكة أساسية واحدة تسببت في وصول جميع المواقع الرسمية إلى نفس القرار وإزالة السلطة العامة بأكملها مرة واحدة.

هذا هو فشل الوضع الشائع الكلاسيكي: خوادم موزعة، عناوين متعددة، ومواقع كثيرة تعتمد جميعها على اقتراح صحة مشترك واحد. لا يخلق التنوع الجغرافي استقلالية تشغيلية إذا كان كل موقع يسأل نفس السؤال في المنبع ويستجيب بشكل مماثل. كان للتصميم العام العديد من الحالات المادية ولكن، في ظل هذه الحالة، مصير منطقي واحد.

تجعل الإرشادات القديمة لـ DNS هذا التمييز صريحًا. يقول RFC 2182 بشأن اختيار DNS الثانوي أن الموقع الجغرافي وتنوع الاتصال بالشبكة يمكن أن يزيدا من الموثوقية، ويوصي بخوادم رسمية ليست قريبة طوبولوجيًا. الكلمة المهمة هي طوبولوجيًا. الخوادم في مباني أو بلدان مختلفة يمكن أن تشترك في مستوى تحكم، أو سياسة توجيه، أو تبعية في المنبع، أو إشارة صحة. الفصل الطوبولوجي يتعلق بالمسارات المستقلة وسلوك الفشل، وليس مسافة الخريطة.

يناقش RFC 3258 حول توزيع خوادم الأسماء الرسمية شبكات DNS المشتركة أحادية الإرسال ويحذر من التعقيد التشغيلي الذي ينطوي عليه سحب مسار عند فشل مثيل خادم. يفضل نموذجه عمومًا إيقاف عملية DNS الفاشلة حتى يتمكن المحللون من تجربة خوادم على عناوين أخرى بدلاً من سحب المسار نفسه. كانت بنية Facebook خاصة بها وأكبر بكثير من النموذج العام في تلك الوثيقة المعلوماتية؛ RFC ليس دليلاً على أن Meta انتهكت قاعدة ملزمة. إنه دليل على أن مفاضلة سحب التوجيه كانت معترفًا بها في الممارسة التقنية العامة قبل عام 2021 بوقت طويل.

يؤدي البث الأحادي إلى تعقيد الصورة. يشرح RFC 4786 كيف يمكن الإعلان عن عنوان خدمة واحد من مواقع متعددة مستقلة ويلاحظ فوائده في التكرار ومزالق المراقبة والفشل. يمكن للعديد من الخوادم المادية خلف مجموعة صغيرة من عناوين الخدمة أن توفر سعة هائلة، لكن التعدد الظاهري لا يساعد إذا تم قمع كل إعلان بسياسة مشتركة. المقياس الصحيح للمرونة ليس عدد صناديق DNS. إنه عدد مسارات السلطة القابلة للبقاء بشكل مستقل تحت كل فشل معقول في مستوى التحكم.

البحث الذي تم تلخيصه بعد الحدث في RFC 9199، اعتبارات لمشغلي DNS الرسميين الكبار، يؤكد بالمثل على البث الأحادي وتحسين التوجيه وقياس منطقة الجذب واستراتيجيات الإجهاد وخيارات TTL. نُشر في مارس 2022، ويجب استخدامه كمعيار هندسي لاحق، وليس بأثر رجعي كشرط تجاهله Facebook. أهميته هي أن مرونة DNS متعددة الأبعاد: المثيلات، والتوجيه، والمراقبة، وسياسة ذاكرة التخزين المؤقت، والاستراتيجية التشغيلية يجب أن تعمل كنظام.

بقي التفويض، لكن الوصول العملي لم يبق

قوة تفويض DNS سهلة الفهم لأن السلطة والوصولية منفصلتان. استمرت المنطقة الأم. com في تفويض نطاقات Facebook إلى خوادم الأسماء الخاصة بـ Facebook. أبلغت Verisign، التي تشغل بنية تحتية لـ.com، أنها استمرت في إعادة التفويض الصحيح. يمكن للمحلل معرفة الخوادم الرسمية ومعرفة عناوينها. لم يتمكن من الحصول على إجابة منها لأن المسارات إلى تلك العناوين لم تعد تؤدي إلى سلطة تستجيب.

سجل تحليل سلوك المحلل لـ Verisign عدم وجود ردود مفيدة من سلطات Facebook ولاحظ أن TTLs DNS لـ Facebook تتراوح بين دقيقة واحدة وخمس دقائق تقريبًا. بمجرد انتهاء صلاحية الإجابات المخزنة مؤقتًا، كان على المحللين أن يسألوا مرة أخرى. اتبعوا تفويضًا صحيحًا نحو وجهات لا يمكن الوصول إليها، أو انتهت مهلة الاتصال، وعادوا عمومًا بـ SERVFAIL إلى المستخدمين. لم يكن هذا فقدان تسجيل نطاق أو حذف نطاق Facebook. كان التسلسل الهرمي للتسمية سليمًا بينما جعل المشغل المفوض سلطته غير قابلة للوصول.

لذلك يوضح الحادث شكلاً من أشكال سلطة التفويض الخاصة. إن التحكم في نطاق مهم عالميًا يتضمن القدرة على اختيار بنيته الرسمية، وعلاقات التوجيه، وأعمار ذاكرة التخزين المؤقت، ومعايير الصحة، والاقتران بالبنية التحتية الداخلية. يمكن لهذه الخيارات أن تجعل الخدمة رشيقة وفعالة. يمكنها أيضًا تركيز القدرة على سحب الوصولية. لم تستطع السجلات والمحللون التكراريون إصلاح سلطة Facebook نيابة عنه. لم تكن بحوزتهم بيانات المنطقة الحالية ولا يمكنها الإعلان عن عناوين خدمة Facebook بشكل شرعي.

السلطة الخارجية الثانوية ليست علاجًا عالميًا بسيطًا. سيحتاج الطرف الثالث إلى بيانات منطقة متزامنة وطريقة آمنة للإجابة على السجلات الديناميكية للغاية أثناء عزل الشبكة الأساسية لـ Facebook. يمكن أن تؤدي الإجابات القديمة إلى توجيه المستخدمين إلى حواف التطبيق التي لا تزال غير قادرة على الوصول إلى مراكز البيانات، مما يحول الفشل الواضح إلى فشل بطيء أو غير متناسق. كما أن تقسيم السلطة يخلق تكاليف أمنية وخصوصية وتنسيق التغيير وسطح الهجوم. الدرس ليس "الاستعانة بمصادر خارجية لـ DNS".

إنه اتخاذ قرار صريح ومختبر حول الحد الأدنى من الوظيفة الرسمية التي يجب أن تبقى على قيد الحياة عند عزل الشبكة الأساسية، وما هي الإجابات التي تظل آمنة، وكم يمكن أن تكون قديمة، ومتى تكون ضوابط التوجيه مستقلة.

أفضل دليل سيأتي من التدريبات. افصل الشبكة الأساسية العالمية في بيئة تمثيلية للإنتاج. لاحظ ما إذا كان مسار سلطة واحد على الأقل يظل متاحًا من شبكات خارجية متنوعة. تحقق مما إذا كان يمكنه إعادة استجابة صيانة محدودة أو سجلات خدمة آمنة دون استشارة النواة الفاشلة. اختبر IPv4 و IPv6 بشكل منفصل، لأن الأتمتة المشتركة يمكن أن تخفي فشلًا خاصًا بالبروتوكول. تأكد من أن استعادة المسارات لا تعتمد على نفس أسماء DNS. لا يحتاج المجلس إلى اختيار الطوبولوجيا، لكن يمكنه أن يطلب من الإدارة إظهار أن الطوبولوجيا قد تم اختبارها ضد الفشل الذي حدث بالفعل.

فشل خاص فرض عملاً على DNS العام

لم يبق الانقطاع داخل شبكة Facebook. عندما توقفت الأسماء الشائعة عن الحل، قام الأشخاص بتحديث الصفحات وإعادة فتح التطبيقات. أعاد البرنامج المحاولة. بحث المحللون التكراريون عن السلطات مرة أخرى. أبلغت Cloudflare عن زيادة بنحو 30 ضعفًا في الاستعلامات المرتبطة بالحدث الأولي، وفي تحليلها اللاحق لتأثيرات الإنترنت، قاست معدلات SERVFAIL لنطاقات Facebook و WhatsApp بنحو 60 ضعفًا الطبيعي؛ ارتفعت استجابات SERVFAIL لـ DNS المشفر بشكل أكثر حدة. قالت Cloudflare إن المحلل الخاص بها استمر في خدمة الغالبية العظمى من الطلبات بسرعة، لكنه شهد حملاً غير متوقع على الحافة والنظام.

لاحظت Verisign تأثيرًا أوضح عند الأصل. كان حجم الاستعلام العادي لـ.com و.net للنطاقات الثلاثة التي درستها حوالي 7,000 استعلام في الثانية. أثناء الانقطاع ارتفع إلى أكثر من 900,000 في الثانية، أي أكثر من 100 ضعف الطبيعي، على الرغم من أن تفويض الأصل لم يتغير. زادت بعض مصادر المحلل الرئيسية استعلاماتها إلى الأصل بآلاف المرات. كانت البنية التحتية الصحيحة تُسأل بشكل متكرر عن إعادة اكتشاف معلومات تمتلكها بالفعل لأن السلطات المفوضة ظلت غير قابلة للوصول.

أصبح هذا التأثير الخارجي لاحقًا دراسة حالة معيارية للإنترنت. يستشهد RFC 9520 حول التخزين المؤقت السلبي لفشل تحليل DNS، المنشور في 2023، بانقطاع Facebook عند شرح سبب وجوب على المحللين تخزين حالات الفشل مؤقتًا والحد من الاستعلامات المتكررة إلى السلطات الفاشلة وأسلافها. يعالج المعيار سلوك المحلل، وليس السبب الجذري لـ Facebook. يوضح إدراجه للحادث كيف يمكن أن يصبح فشل مستوى التحكم لمشغل واحد حملاً للبنية التحتية المشتركة لـ DNS ويحفز تغييرًا في القواعد التشغيلية الأوسع.

المسؤولية موزعة ولكنها غير مخففة. يجب على مطوري المحللين قمع عواصف إعادة المحاولة، وضم الاستعلامات المعلقة المتطابقة، والتراجع، وتخزين فشل الحل مؤقتًا. يجب على مطوري التطبيقات تجنب عمليات إعادة المحاولة غير المحدودة الضيقة. يجب على مشغلي DNS الرسميين الكبار تعيين TTLs وسياسات الصحة مع وضع سلوك الفشل في الاعتبار. ومع ذلك، لا يزال المشغل البادئ يمتلك الشرط الذي جعل جميع سلطاته غير قابلة للوصول. "تكيف الإنترنت" ليس دليلاً على أن التكلفة الخارجية كانت ضئيلة؛ إنه دليل على أن الطبقات الأخرى استوعبت جزءًا من الفشل.

هذا مهم للمساءلة لأن مقاييس الحوادث التقليدية تتوقف عند حدود المزود. يمكن لـ Meta قياس توفر التطبيق، وحالة الشبكة الأساسية، وتوصيل الإعلانات المفقودة. قد لا ترى بشكل مباشر وحدة المعالجة المركزية وعرض النطاق الترددي وزمن الوصول وطلب الدعم والارتباك البشري المفروض على مشغلي المحللين والمنصات الأخرى ومواقع الأخبار ومكاتب مساعدة المؤسسات. يجب أن يتضمن تقييم ما بعد الحادث الناضج هذه الآثار الجانبية. بالنسبة لمنصة بهذا الحجم، يشمل نصف قطر الانفجار الأنظمة التي تعيد المحاولة أو تتلقى طلبًا مزاحًا حتى عندما لا تكون عملاء بموجب عقد.

الوصول إلى التعافي شارك في الكارثة

يشرح أمر الصيانة بداية الانقطاع. بنية التعافي تفسر الكثير من مدته. قال Facebook إن المهندسين واجهوا عقبتين كبيرتين: الوصول العادي إلى مركز البيانات كان غير متاح لأن الشبكات كانت معطلة، وفقدان DNS كسر العديد من الأدوات الداخلية المستخدمة للتحقيق في الأعطال وإصلاحها. وقال أيضًا إن كل من الوصول الأساسي والخارج عن النطاق كان معطلًا، مما تطلب من المهندسين السفر إلى مراكز البيانات، وتفعيل إجراءات الوصول الآمن في الموقع، والعمل مباشرة على الأنظمة.

"خارج النطاق" ذو معنى فقط بالنسبة لنموذج الفشل. قد تستخدم شبكة الإدارة واجهات وأجهزة منفصلة ولكنها لا تزال تعتمد على الألياف المشتركة، والتوجيه، والهوية، و DNS، والطاقة، وخدمات التحكم، أو إجراءات الوصول المادي. لم يكشف Facebook عن التبعية التي هزمت الوصول خارج النطاق الخاص به. يثبت الحدث أنه لم ينجُ من حالة الشبكة الأساسية العالمية هذه. يجب أن يقوم مراجعة المساءلة بتعيين سلسلة التبعية الفعلية بدلاً من قبول التسمية كدليل على الاستقلال.

كان للاتصال الداخلي اقتران مماثل. ذكرت تقارير واشنطن بوست المعاصرة أن Workplace كان غير متاح لجزء كبير من يوم العمل ولم يتمكن بعض الموظفين من استخدام أدوات الطرف الثالث لأن آلية تسجيل الدخول للشركة لم تكن تعمل. يؤكد منشور Facebook نفسه النقطة الأوسع بأن الأدوات الداخلية كانت ضعيفة، على الرغم من أنه لا يسردها. خطط الاستجابة للحوادث التي تسرد Slack والمستندات والتذاكر ولوحات المعلومات وهوية الشركة كبدائل تكون هشة إذا كانت كل هذه الأدوات تعتمد على مسار إنتاج واحد لـ DNS أو المصادقة.

الجواب ليس إضعاف الأمان المادي أو النظامي. لاحظ Facebook صراحة أن التشديد ضد الوصول غير المصرح به أبطأ التعافي من فشل غير ضار واعتبر المفاضلة جديرة بالاهتمام. هذا موقف دفاعي. لا ينبغي أن يصبح الوصول في حالات الطوارئ تجاوزًا دائمًا يحول هندسة التوفر إلى ثغرة أمنية. مشكلة التصميم هي إنشاء مسار كسر زجاجي خاضع للرقابة: هوية قوية، وموافقون متعددون، وسجلات مقاومة للعبث، وأوامر ضيقة، وحدود زمنية، وحجز مادي، وتدريبات منتظمة، وبيانات اعتماد أو عناوين لا تعتمد على البيئة الفاشلة.

يقدم الإرسال المادي أيضًا وقتًا ومخاطر جغرافية. يجب أن يكون المهندسون المناسبون قادرين على الوصول إلى المرافق، والدخول، وتحديد المعدات الصحيحة، والتصرف بأمان. قد يجد حدث صيانة في منتصف الأسبوع أشخاصًا متاحين؛ قد لا تجد كارثة طبيعية أو انقطاع في النقل أو حالة طوارئ إقليمية. يحتاج كل موقع حاسم إلى قدرة محلية مدربة أو مسار بعيد مختبر مستقل عن النواة. يجب أن يقيس سجل التدريبات وقت الإرسال والوصول، وليس مجرد التأكيد على أنه يمكن إرسال شخص ما.

يحتاج الاتصال مع الجمهور إلى نفس الاستقلال. كانت المنتجات الرئيسية للشركة وبعض القنوات الداخلية غير متاحة، لذلك تم توزيع التحديثات من خلال منصات أخرى والموقع الهندسي. يجب أن تستخدم قناة الحالة المرنة DNS رسميًا مستقلاً، واستضافة، وهوية، وضوابط نشر. يجب أن تظل قابلة للوصول عندما تختفي مسارات الشركة الرئيسية وتسمح بالتحديثات الموثقة دون تسجيل دخول مؤسسي واحد. وإلا فإن المزود يفقد ليس فقط الخدمة ولكن القدرة على إخبار العملاء بما يحدث.

إعادة التشغيل كانت تغييرًا ثانيًا عالي المخاطر

بمجرد أن استعاد المهندسون اتصال الشبكة الأساسية، لا يزال Facebook غير قادر على تشغيل كل شيء بأمان مرة واحدة. انخفض استهلاك الطاقة في مراكز البيانات بعشرات الميجاوات. يمكن أن تؤدي العودة المفاجئة للطلب العالمي إلى إجهاد الأنظمة الكهربائية، وإرباك ذاكرة التخزين المؤقت، والتسبب في انهيار آخر. وبالتالي، تطلب التعافي تنسيقًا، وليس مجرد عكس الأمر الأصلي.

هنا ساعد الإعداد الموجود لـ Facebook. وصفت الشركة تدريبات "العاصفة" التي أجرت فيها إحدى الخدمات أو مركز بيانات أو منطقة دون اتصال لاختبار البنية التحتية والبرمجيات. أعطت التجربة من تلك التدريبات الفرق الثقة لزيادة الحمل بعناية واستعادة الخدمات دون انهيار آخر على مستوى النظام. هذا تحكم إيجابي مهم في السجل. نفس الحادث الذي كشف عن سيناريو لم يتم اختباره أظهر أيضًا قيمة اختبار حالات الفشل الشديدة الأصغر.

كانت الفجوة هي النطاق. قال Facebook إنه لم يقم مطلقًا بتدريب عاصفة يحاكي إخراج الشبكة الأساسية العالمية عن الخدمة وسيبحث عن طرق للقيام بذلك. اختبار كل كارثة يمكن تصورها أمر مستحيل، والاختبار المباشر الذي يخاطر عمدًا بالشبكة الأساسية العالمية سيكون غير مسؤول في حد ذاته. لكن إجراء الإنتاج الدقيق كان موجودًا وله نطاق عالمي. هذا جعل الانقطاع العالمي نمط فشل موثوقًا حتى لو بدا غير محتمل. يمكن للمحاكاة، والتوائم الرقمية، ونسخ مستوى التحكم المعزولة، ومحاكاة سياسة التوجيه، والتدريبات من الطاولة إلى المادية اختباره دون فصل مليارات المستخدمين عن قصد.

يجب أن تغطي أدلة التعافي أكثر من علامة خدمة تشغيل ثنائية. يجب أن تظهر الترتيب الذي تعود به المسارات، وDNS الرسمي، والهوية، والأدوات الداخلية، والحالة العامة، والأبواب الأمامية للتطبيق، وذاكرة التخزين المؤقت، وصفوف الرسائل، وأنظمة الإعلانات، والسعة الإقليمية. يجب أن تحدد عتبات الحمل الآمنة والقياسات عن بعد المستخدمة عندما تكون القياسات عن بعد العادية غير متاحة. يجب أن تأخذ في الاعتبار العملاء الذين يعيدون الاتصال جميعًا في وقت واحد وذاكرة التخزين المؤقت الباردة. خطة الاستعادة هي خطة تغيير ثانية تحت ضغط شديد؛ إنها بحاجة إلى حدود وسلطة محسوبة مسبقًا تمامًا مثل الصيانة البادئة.

الاعتماد كان اجتماعيًا وتجاريًا، وليس تقنيًا فقط

كانت مجموعة منتجات Meta تعمل بالفعل على نطاق يرتبط عادة بالبنية التحتية. لم يعني قياس 3.58 مليار شخص نشط شهريًا أن 3.58 مليار شخص كانوا غير متصلين في وقت واحد، لكنه يوضح سبب أهمية مصير تقني مشترك عبر Facebook وInstagram وMessenger وWhatsApp. أدى فشل في شبكة أساسية لشركة واحدة إلى إزالة قنوات متعددة اعتبرها العديد من الأشخاص خدمات منفصلة.

اختلف التأثير حسب السوق والمستخدم. في بعض البلدان، كان WhatsApp قناة افتراضية للتواصل العائلي، وطلبات الأعمال، ودعم العملاء، والإعلانات السياسية، والمكالمات منخفضة التكلفة. ذكرت واشنطن بوست اعتمادًا كبيرًا بشكل خاص في أجزاء من الشرق الأوسط وأشارت إلى حوالي 400 مليون مستخدم لـ WhatsApp في الهند في ذلك الوقت. هذه مؤشرات على الاعتماد، وليست دليلاً على أن كل اتصال فشل أو أن خدمة الاتصالات الخاضعة للتنظيم قد حلت محلها في كل مكان.

وثقت تقارير وكالة أسوشيتد برس التي نقلتها KPBS شركة صغيرة جاءت حركة مرور موقعها الإلكتروني بالكامل تقريبًا من Instagram ووصف مالكها الانقطاع بأنه إحباط مالي وتحذير بشأن التحكم في المنصة. كما أبلغت عن قلق من أن الأشخاص اليائسين لإعادة الاتصال يمكن أن يصبحوا أهدافًا للهندسة الاجتماعية. وجدت تقارير Time عن الشركات الصغيرة مؤسسين اعتمدوا على Instagram في معظم حركة المرور ومحادثات العملاء والإطلاقات والملاحظات الصوتية الداخلية. تثبت هذه الأمثلة آليات حقيقية للضرر دون السماح بإجمالي خسارة عالمي.

واجه المعلنون اعتمادًا منفصلاً. وصفت تقارير نيويورك تايمز التي أعادت نشرها The Indian Express شركات انخفضت مبيعاتها بشكل حاد أثناء الحدث ومشتري وسائط يديرون ميزانيات كبيرة بدون توجيه واضح. قال Facebook إن المعلنين لن يتم محاسبتهم على الإعلانات أثناء الانقطاع. هذا يمنع رسومًا مباشرة واحدة؛ لا يعيد الفرص الضائعة، أو الإطلاقات المتأخرة، أو المحادثات المفقودة، أو تكلفة الفرصة البديلة لحملة موقوتة ليوم معين.

رأت Cloudflare تحرك الطلب نحو Signal وTelegram وDiscord وSlack والشبكات الاجتماعية الأخرى ومواقع الأخبار. خفف الاستبدال بعض الآثار لكنه كان غير متساوٍ. يمكن للأعمال التجارية التي لديها قائمة بريد إلكتروني حالية وموقع ويب مستقل إعادة توجيه العملاء. البائع الذي يعيش جمهوره واكتشاف متجره ورسائله المباشرة والمصادقة داخل عائلة Meta كان لديه خيارات أقل. لا يوجد التركيز فقط عندما يكون لمزود واحد حصة في السوق، ولكن عندما تشترك عدة سير عمل تبدو متميزة في مستوى تحكم واحد.

هذا هو درس الاعتماد على الخدمة السحابية. لا يمكن للعملاء فحص أو تقييد أوامر الشبكة الأساسية للمزود. معظمهم ليس لديهم علاج توفر متفاوض عليه، أو إفصاح عن البنية، أو قناة استمرارية مخصصة. تحكمهم العملي هو تحديد وظائف الأعمال التي تختفي معًا والحفاظ على بدائل خارج مجال الفشل هذا. سجلات العملاء المستقلة، ونطاق مملوك، والبريد الإلكتروني أو رسائل SMS حيثما كان قانونيًا ومناسبًا، وكتالوجات محمولة، وقنوات دفع ودعم بديلة، ورسائل انقطاع ممارسة ليست رفضًا للمنصات الاجتماعية. إنها ضوابط استمرارية للاعتماد عليها.

يجب أن تكون المؤسسات الحكومية والطوارئ أكثر دقة. يمكن أن تكون وسائل التواصل الاجتماعي قناة معلومات عامة مفيدة، لكن لا ينبغي أن تكون المسار الرسمي الوحيد للإشعارات العاجلة. هيئة عامة تعامل صفحة Facebook أو مجموعة WhatsApp كقناتها الوحيدة القابلة للوصول ترث مخاطر DNS وهوية Meta والإشراف والجهاز والشبكة الأساسية دون التحكم في أي منها. تتطلب الاستمرارية مواقع إلكترونية يتم تشغيلها بشكل منفصل، أو مسارات هاتفية أو بث، أو قوائم اشتراك، وتسلسل هرمي واضح للمصادر الرسمية.

الأهمية المالية كانت أوسع من ست ساعات من الإعلانات

استخدم النموذج 10-K لعام 2021 لـ Meta لاحقًا الانقطاع كمثال ملموس في عامل خطر البنية التحتية. قال إن السمعة والقدرة على جذب المستخدمين والاحتفاظ بهم وخدمتهم تعتمد على المنتجات والبنية التحتية الموثوقة؛ وأن الانقطاعات قد تقلل الاستخدام وتعطل تقديم الإعلانات؛ وأن خطأ وعطلاً تسببا في انقطاع دام حوالي ست ساعات في أكتوبر. لم يبلغ الإيداع عن رقم خسارة منفصل مدقق للانقطاع.

هذه المعالجة معقولة. يمكن تقدير الإعلانات المباشرة المفقودة من الإيرادات، لكن المعدل المتوسط ليس بديلاً مضادًا للواقع. يختلف الطلب حسب الساعة والبلد والحملة ومدى تحول الإنفاق بعد الاستعادة. حدث انخفاض سعر سهم الشركة في ذلك اليوم أيضًا وسط انخفاض واسع في التكنولوجيا وتدقيق مكثف غير ذي صلة. لا يمكن تخصيصه بالكامل للانقطاع. حسابات صافي ثروة المؤسس هي لقطات للسوق، وليست خسارة تشغيلية.

التعرض المالي الأكثر ديمومة يكمن في الثقة وتنوع العملاء والاهتمام التنظيمي والمعالجة الهندسية واحتمال أن يستمر حدث لاحق لفترة أطول أو يتزامن مع أزمة أخرى. يمكن لشركة بحجم Meta استيعاب حدث مدته ست ساعات دون انتهاك بيانات تم الإبلاغ عنه. يمكن أن تنتج البنية التي كشف عنها الحدث نتيجة مختلفة ماديًا تحت توقيت معاكس. يجب أن تأخذ مراقبة المخاطر في الاعتبار توزيعات الشدة، وليس فقط التكلفة المسجلة للحالة الملحوظة.

بالنسبة للشركات التابعة، اختبار الأهمية المادية هو أيضًا وظيفي. ست ساعات خلال إطلاق منتج أو انتخابات أو حالة طوارئ أو فترة مبيعات ذروة قد تكون أكثر أهمية من يوم في وقت آخر. قد لا تمتلك المؤسسات الصغيرة النقد أو الموظفين أو بيانات العملاء لتحريك الطلب بسرعة. يمكن أن يخفي تقرير المزود الذي يعدل متوسط التوفر على مدى شهر تركيز الخسارة هذا. يجب أن يحدد تحليل استمرارية العملاء النوافذ الزمنية الحرجة والتعرض للقناة المشتركة قبل الانقطاع.

مساءلة المجلس تبدأ حيث تنتهي مقاييس الهندسة

لا ينبغي للمديرين الموافقة على أوامر الموجه أو اختيار TTLs DNS. دورهم هو ضمان أن الإدارة قد حددت مخاطر تشغيلية محتملة على مستوى المؤسسة، وخصّصت السلطة، ومولت ضوابط مستقلة، ومارست التعافي، وقدمت أدلة قوية بما يكفي لتحدي الملخصات المطمئنة. كان انقطاع أكتوبر كبيرًا بما يكفي ليتطلب هذا المستوى من الاهتمام لأن إجراءًا داخليًا واحدًا أزال المنتجات العالمية والقدرات الداخلية وطريق التعافي معًا.

قال بيان التوكيل الرسمي لعام 2022 لـ Meta إن مجلس الإدارة الكامل يتحمل المسؤولية الأساسية عن المخاطر الاستراتيجية والتشغيلية، بينما تشرف لجنة تدقيق ومراقبة المخاطر على التعرضات الرئيسية للمؤسسة والأمن السيبراني والخطوات التي تتخذها الإدارة لمراقبتها أو التخفيف من حدتها. وقال أيضًا إن إشراف المجلس يسترشد بتقارير من الإدارة والتدقيق الداخلي. هذه تخصيصات حوكمة وصفتها الشركة، وليست دليلاً على أن المجلس راجع هذا الانقطاع بطريقة معينة. لا ينشر التوكيل حزمة مجلس خاصة بالانقطاع أو محاضر أو سجل تحدٍ أو ضمان معالجة.

ستتجنب حزمة المجلس المفيدة إغراق المديرين في تعدادات التوجيه مع الحفاظ على ضوابط السببية. ستشمل:

  1. سلطة التغيير:عدد ونوع العمليات القادرة على التأثير العالمي؛ من يمكنه بدءها والموافقة عليها؛ الحدود الصارمة على النطاق؛ والأدلة من التغييرات المحظورة التي تمت محاولتها.
  2. ضمان الحاجز:تغطية أدوات التدقيق والسياسة؛ اختبارات الحالات الخطيرة؛ سلوك الفتح عند الفشل مقابل الإغلاق عند الفشل؛ استقلال المدققين؛ تاريخ العيوب؛ وملكية الحاجز نفسه.
  3. رسم الخرائط للوضع الشائع:أي المنتجات والمناطق ومواقع DNS وأنظمة الهوية وشبكات الإدارة وقنوات الحالة والأدوات الداخلية تشارك الشبكة الأساسية العالمية أو خدمات التحكم فيها.
  4. قابلية بقاء DNS:قياس الوصولية الخارجية لكل عنوان رسمي في ظل أقسام الشبكة الأساسية؛ سلوك TTL للأصل والفرع؛ سياسة الإجابة القديمة الآمنة؛ منطق سحب التوجيه؛ والتعافي من نقاط مراقبة IPv4 وIPv6.
  5. استقلالية التعافي:دليل على أن المستجيبين المحددين يمكنهم التواصل والمصادقة والوصول إلى المعدات ونشر الحالة وتنفيذ إجراءات استعادة ضيقة دون إنتاج DNS، أو هوية الشركة، أو الشبكة الأساسية الرئيسية.
  6. أدلة التدريبات:نتائج محاكاة فقدان الشبكة الأساسية العالمية ممثلة للإنتاج، بما في ذلك الافتراضات الفاشلة، ووقت الإرسال المادي، وترتيب الاستعادة، وحمل ذاكرة التخزين المؤقت الباردة، والإجراءات غير المحلولة مع التواريخ والمالكين.
  7. التأثير الخارجي:طلب الدعم، وفائض DNS التكراري، وتأثيرات استمرارية العملاء والمعلنين، وتسجيل الدخول التابع للطرف الثالث المتأثر أو الوظائف المضمنة، والاعتماديات الإقليمية المادية.
  8. ضمان الإغلاق:اختبار مستقل أن الإجراءات العلاجية غيرت أقصى نصف قطر انفجار، بدلاً من قائمة بالتحسينات المخطط لها أو إعلان أن الحادث قد روجع.

هذه ليست طلبات لانقطاع الصفر. الأنظمة الموزعة الكبيرة تفشل، وللضوابط تكاليف. المعيار هو ما إذا كانت السلطة التدميرية متناسبة، ومجالات الفشل حقيقية، والتعافي مستقل، ويمكن للقادة إثبات أن نقاط الضعف المعروفة قد أغلقت. يجب أن يكون المجلس قادرًا على الإجابة على فرضية مضادة بسيطة: إذا تمت محاولة نفس الأمر غير الآمن اليوم بينما كانت أداة تدقيق الأوامر بها عيب غير معروف، فما الآلية المنفصلة التي ستمنع الخسارة العالمية؟

المساءلة ليست نفس العقاب

لا يحدد السجل العام إجراءً إنفاذيًا أو حكمًا قضائيًا أو نتيجة تنظيمية تخصص مسؤولية قانونية عن انقطاع 4 أكتوبر. لا يحدد تعويضات تعاقدية مستحقة لجميع المستخدمين أو الشركات المتأثرة. لا يذكر اسم المشغل، أو يثبت إهمال فرد، أو يظهر أن بيانات المستخدم قد تم اختراقها. حدث الانقطاع المعاصر خلال فترة تدقيق مكثف على قضايا Facebook الأخرى، لكن القرب الزمني لا يجعل تلك الخلافات سبب فشل الشبكة.

يمكن أن تكون المساءلة محددة. اعترف Facebook بأن أمرًا داخليًا تسبب في الانقطاع، وأن عطلًا هزم التدقيق الوقائي، وأن سحب DNS زاد الحدث سوءًا، وأن الوصول العادي وخارج النطاق فشل، وأن الأدوات الداخلية كانت ضعيفة، وأن فقدان الشبكة الأساسية العالمية لم يتم ممارسته. تدعم هذه الاعترافات أسئلة حول تصميم النظام وأدلة الإدارة دون الحاجة إلى حكم قانوني.

يمكن أن تكون معاقبة الشخص الأقرب إلى الأمر غير منتجة إذا شجعت على الإخفاء وتركت النظام الممكن سليمًا. الاستجابة العادلة تميز بين الخطأ البشري العادي، والسلوك المتهور، والعملية المعيبة، والقبول التنفيذي للمخاطر المعروفة. تسأل عما إذا كان المشغل قد اتبع الإجراء المتاح؛ وما إذا كان الإجراء قد كشف عن سلطة عالمية غير آمنة؛ وما إذا كانت الاختبارات السابقة قد غطت الأمر والمدقق؛ وما إذا كان القادة يعرفون أن التعافي يشترك في تبعيات؛ وما إذا كان مالكو المعالجة قد حصلوا على الموارد والمواعيد النهائية.

بالمقابل، لا يعني "بدون لوم" إدارة خالية من العواقب. مراجعات التعلم تكون ذات مصداقية فقط عندما يتم امتلاك الإجراءات واختبارها وإغلاقها. إذا بقي التحكم العالمي مفتوحًا عند الفشل، أو استمرت التدريبات في استبعاد السيناريو الملحوظ، أو بقيت شبكة خارج النطاق ضمن النطاق مع الكارثة، فإن كبار القادة مسؤولون عن قبول تلك المخاطر المتبقية. الثقافة تحمي الإبلاغ الصريح؛ الحوكمة تقرر ما إذا كانت الأدلة الناتجة تتطلب تغييرًا.

ما يمكن أن يظهره العلاج الجيد

قال Facebook إنه سيعزز الاختبارات والتدريبات والمرونة بشكل عام. لا يوفر المنشور الهندسي العام معلومات كافية للتحقق من الاكتمال. يعترف الإيداع السنوي لـ Meta بالمخاطر، لكن لغة عوامل الخطر ليست اختبار تحكم. لذلك يجب أن يظل الثقة في المعالجة مقيدًا بالأدلة المتاحة.

حزمة معالجة مقنعة ستظهر النتائج. أمر بنصف قطر انفجار عالمي محاكى يُرفض بحد نطاق صارم حتى عندما تكون أداة التدقيق الدلالي معطلة عمدًا. يبدأ تغيير الصيانة بمستوى أو منطقة معزولة ويتوقف تلقائيًا عندما ينحرف الوصول. تبقى قناة تراجع نظيفة متاحة من بيئة منفصلة العنوان والمصادقة. يستمر DNS الرسمي في تقديم استجابات آمنة من خلال سياسة توجيه مستقلة عند تقسيم الشبكة الأساسية، أو توثق الشركة لماذا يكون الفشل المحدود المتعمد أكثر أمانًا وتظهر أن حمل الأصل والمحلل يظل قابلاً للإدارة.

ستظهر الحزمة نفسها البشر يكملون التعافي تحت قيود واقعية. يتلقى المستجيبون تنبيهات ويتواصلون على قناة خارجية. يسترجعون الإجراءات وبيانات الاعتماد غير المتصلة تحت سيطرة مزدوجة. يدخل الموظفون المحليون المرافق ضمن هدف زمني مقاس. يحددون الأجهزة بدون DNS مؤسسي ويستعيدون مسار إدارة ضيق قبل حركة مرور التطبيق. يتم توقيع تحديثات الحالة العامة ونشرها من بنية تحتية مستضافة بشكل منفصل. يحقن التمرين أشخاصًا مفقودين ووثائق قديمة وقياس عن بعد جزئي بدلاً من افتراض الظروف المثالية.

الضمان المستقل مهم لأن التحكم الوقائي الفاشل كان في حد ذاته برنامجًا. يمكن للفريق الذي يمتلك مدققًا اختباره بعمق ولا يزال يشارك افتراضاته. يجب أن يختبر التدقيق الداخلي أو مجموعة موثوقية منفصلة أو مراجع خارجي مؤهل حظر النطاق العالمي، وقابلية تتبع الأدلة، وواقعية التمرين، والإجراءات المتأخرة. لا تحتاج النتيجة إلى كشف الطوبولوجيا الحساسة علنًا. يجب أن يرى المديرون نطاق الاختبار والاستثناءات والحالات الفاشلة واستجابات الإدارة وحالة إعادة الاختبار.

يجب أن تقيس المقاييس التعرض بدلاً من النشاط. "آلاف التغييرات التي تم التحقق منها" لا يقول الكثير عن الحالة الخطيرة الواحدة. تشمل المقاييس الأفضل الحد الأقصى لنسبة سعة الشبكة الأساسية العالمية القابلة للإزالة في معاملة واحدة؛ حصة مسارات DNS الرسمية مع تبعية تحكم مستقلة؛ جزء أدوات الحوادث الحرجة القابلة للاستخدام بدون DNS مؤسسي وSSO؛ الوقت اللازم لإنشاء وصول الطوارئ؛ الوقت اللازم لنشر تحديث حالة خارجي؛ وعمر النتائج غير المحلولة من التدريبات الشديدة.

الاختبار النهائي هو ما إذا كان التكرار ينجو من السياسة. مراكز البيانات المتعددة والألياف والموجهات ومثيلات DNS والمستويات المادية ذات قيمة. إنها ليست مجالات فشل منفصلة إذا كان أمر واحد أو حالة صحة أو خدمة هوية أو متحكم توجيه يمكنها إزالتها معًا. يجب أن يذكر كل ادعاء تكرار في تقرير المخاطر مستوى التحكم الذي يمكن أن يجعل جميع النسخ تتصرف بالمثل.

الإشارة الدائمة

4 أكتوبر 2021 لم تكن قصة عن بروتوكول قديم فشل بشكل غير متوقع. نشر BGP عمليات السحب التي تلقاها. استمر تفويض DNS في تحديد السلطات المعينة. حاول المحللون التكراريون الحصول على إجابات، وتحت الطلب الثقيل، ظل جزء كبير من الإنترنت المحيط متاحًا. جعلت البروتوكولات الانقطاع مرئيًا؛ جعله اقتران Facebook عالميًا.

الإشارة الأعمق هي تركيز القوة التشغيلية. شركة واحدة تدير قنوات اتصال وهويات وإعلانات وأعمال متعددة على شبكة أساسية عالمية مشتركة. داخل تلك الشركة، يمكن لمسار صيانة تغيير الشبكة الأساسية على نطاق عالمي. أداة تدقيق معيبة لم توقفه. ثم ترجم منطق صحة DNS القسم الداخلي إلى اختفاء عام. شاركت أدوات التعافي ومسارات الوصول تبعيات كافية لتكون ضعيفة بسبب نفس الحدث.

هذه السلسلة هي موضوع أفضل للمساءلة من عبارة "خطأ في التكوين". أخطاء التكوين حتمية. السلطة العالمية بدون حدود مختبرة بشكل مستقل هي اختيار. مواقع DNS بمصير صحة منطقي واحد هي اختيار. مسار خارج النطاق لا ينجو من فشل مستوى التحكم الرئيسي هو افتراض غير مثبت. تدريبات تتوقف عند الخسارة الإقليمية تترك فئة معروفة من الإجراءات العالمية دون اختبار.

اعترف إيداع Meta اللاحق بأن مزيجًا من خطأ وعطل تسبب في الانقطاع. المستوى التالي من المساءلة هو دليل على أن المزيج لم يعد قادرًا على إنتاج نفس الوصول. بالنسبة للمديرين والمنظمين والعملاء والمهندسين، يعني ذلك السؤال ليس عما إذا كانت الشركة أضافت فحصًا آخر، ولكن ما إذا كان مسار منفصل يبقى الآن عندما يختفي المسار الرئيسي.