ضرورت توجه به محصولات حوزه ابری در کشور/امنیت ابری اعتماد عمومی را به همراه دارد

دراین خصوص نمایندگان شرکت های داتین و ابراروان به توضیح کوتاهی در خصوص رویداد،رویکرد آن و محصولات خود در رویداد می پردازند.

فرهاد فاطمی؛ هم‌بنیان‌گذار و ناخدای فنی ابرآروان در خصوص برگزاری سومین دوره از رویداد این شرکت می‌گوید: این سومین سال متوالی است که رویداد برگزار می‌شود؛ در دو سال گذشته رویکرد برگزاری رویداد معرفی محصولات شرکت در هر سال بوده و این رویداد را تبدیل به رویدادی فناورانه در حوزه‌ی ابری کشور کرده است. کسانی‌که در رویداد حضور دارند علاقه‌مندان به فناوری‌های ابری هستند و تمایل دارند با این فناوری بیش‌تر آشنا شوند و ببینند کشور در حوزه‌ی ابری چه پیشرفت‌هایی داشته است. ابرآروان یکی از معدود شرکت‌های است که فعالیت گسترده‌ای در حوزه‌یابری در کشور انجام می‌دهد؛ از این رو علاقه‌مندان این حوزه  می‌توانند آخرین تکنولوژی‌های موجود در کشور را در این رویداد دنبال کنند.

چالش‌های فناورانه یک‌سال گذشته؛ رویکرد سوار ابرهای امسال

فاطمی می‌گوید: امسال قرار است چالش‌های فناورانه یک‌سال گذشته‌یابرآروان را مرور کرده و نگاهی نیز به آینده داشته باشیم. در رویداد امسال محصولات جدید شرکت که در لبه‌ی فناوری در حال حرکت هستند را معرفی کرده و ضرورت وجود محصولات را تشریح می‌کنیم.بحث انتقال تجربه موضوعی است که به صورت فراگیر در رویداد امسال به آن توجه شده است.هم چنین بخش جذابی برای همکاری‌های مشترک ما با سایر شرکت‌ها در سال آینده و درقالب "پلتفرم سکوی ابری" تعریف شده است تا باقی شرکت‌ها بتوانند با ما مشارکت کنند. بخش ویژه‌ای هم در رویداد امسال وجود دارد که برای خدمات امنیتی بانک‌ها و با همکاری شرکت داتین در قالب CDN بانکی ارایه کرده‌ایم.

معرفی محصولات در 8 حوزه ابری 

فاطمی در تشریح محورهای سومین رویداد ابرآروان می‌گوید: امسال محصولات در 8 حوزه‌ی ابری، DNSابری، CDN ابری، رایانش ابری، فضای ذخیره‌سازی ابری، پلتفرم ویدیو، پخش زنده و تبلیغات ویدیو هم‌چنین امسال پلتفرم ابری یا  platform as a service که محصول جدید ابرآروان است را معرفی و شیوه‌ی کارکرد آن را تشریح می‌کنیم. 

CDN به‌عنوان محصول قدیمی ابرآروان در رویداد معرفی می‌شود؛ با این تفاوت که در CDN و DNS ویژگی‌های جدید و جذابی لحاظ کردیم که به تشریح به آن‌ها خواهیم پرداخت. این قابلیت‌ها ویژگی‌هایی هستند که در تعداد محدودی از محصولات در دنیا لحاظ شده‌اند  و لحاظ هم‌زمان این ویژگی‌ها در دنیا تنها در دو CDN وجود دارد. البته ویژگی‌های ریز بسیاری در این دو محصول پیاده‌سازی شده است که شاید نتوانیم به همه‌ی آن‌ها در رویداد اشاره کنیم.

هم‌بنیان‌گذار ابرآروان ادامه می‌دهد: در بحث امنیت ابری و حفاظت DDOSاز راهکارهای جدید خود و شبکه‌ی گسترده‌ای که برای مقابله با حملات DDOS  (حملاتی که هفته‌ی گذشته شاهد حجم عظیمی از آن در خصوص وب‌سایت‌های بزرگ کشور بوده‌ایم) صحبت می‌کنیم و از مکانیسم‌ها و روش‌های جدیدی که تجربه‌ی کاربری و بهره‌وری سیستم را چندین برابر کرده‌اند خواهیم گفت. 

در حوزه‌ی ویدیو در بحث LIVE STREAMING بیش‌تر متمرکز می‌شویم. برای  بسیاری از رویدادهای بزرگ این سرویس را ارایه کردیم. در این بخش چالشی را مطرح می‌کنیم و آن بحث ویدیوهایی است که نیازمند کم‌ترین تاخیرند و به اصطلاح ULTRA LOW LATENCY هستند. 

وی می‌افزاید: در بخش بعدی از چالش خود در بحث زیرساخت ابری صحبت می‌کنیم. این سرویس یک‌سال است که ارایه شده و مشتریان بسیار بزرگی روی آن سرویس‌دهی می‌شوند. در این خصوص به بررسی چالش‌های آن می‌پردازیم. از نحوه‌ی پیاده‌سازی جدیدترین تکنولوژی‌ها در سرویس زیرساخت ابری ابرآروان صحبت می‌کنیم و میزان ارتقای سرویس با لحاظ تکنولوژی‌های جدید را تشریح خواهیم کرد. شبکه‌ی اختصاصی طراحی شده در IaaS و سکوی ابری را نیز به‌عنوان محصول جدید ابرآروان از محورهای دیگر رویداد هستند که به آن‌ها خواهیم پرداخت.

به گفته فاطمی در رویداد امسال 13 سخنران وجود دارد که برخی از سخنرانان از شرکت‌های همکار ابرآروان مانند داتین و اسنپ کیو خواهند بود. هم‌چنین در بخش سکوی ابری نیز مهمانانی حضور خواهند داشت.

مرتضی سرلک مدیرامور امنیت شرکت  داتین نیز از محصول این شرکت در رویداد می گوید : در سوار ابرها  اهمیت و لزوم استفاده از CDN بانکی،تفاوت آن با CDN  عادی و عواقب عدم حضورسیستم تشریح می‌شود.

کنترل موفق یک حمله‌ی گسترده منشاء تولید محصول

سرلک در خصوص علت ایجاد محصول توسط شرکت می‌گوید: در حدود دوسال پیش تهدیدی در خصوص بانک پاسارگاد ایجاد شد و بانک در حدود30دقیقه با اختلال مواجه شد و اختلال نیز از نوع DDOS بود. پس از آن ازمنبع نا مشخصی نامه‌ای مبنی بر درخواست بیت کوین دریافت کردیم. مهلتیک هفته‌ای برای ارائه رمز ارزها داده شده بود که در صورت عدم پرداختحمله‌ی گسترده‌تری را وعده داده بودند.

طی مذاکراتی با شرکت ابراروان و ظرف 48ساعت کلیه زیرساخت اینترنتیبانک را از طریق شرکت داتین به زیر ساخت‌های ابراروان منتقل کردیم. بعدازیک هفته حمله دوم صورت گرفت که آن را کنترل نمودیم. لازم به ذکر استحمله‌ای که با بانک پاسارگاد انجام شده بود چند برابر  ظرفیت کل کشور بود.

بعد از آن پروژه سریعاً آغاز شد و زیر ساخت‌های لازم را در داتین پیادهکردیم و نقاط فراوانی در داخل و خارج از کشور سرور قراردادیم.  تکولوژیاز ابراروان به داتین منتقل شد؛ نیروهای متخصص لازم جذب شده و باتیم‌های بانکی و برنامه نویسی مرتبط شدند تا بتوانند محصول را با سایرمحصولاتی که به بانک در بستر اینترنت ارائه می‌شود و در معرض خطرحملات DDOS وحملات لایه هفت است منطبق  سازند.

اعتماد کامل برای سرویس گیرنده در محصول لحاظ شده است

سرلک عقیده دارد: در بحث نگه داری وپیاده سازی،  CDN ابراروان را تغییردادیم در سطوح پایین زیر ساختی ازرمزنگاری های متفاوت استفاده کردیم. در حقیقت با توجه به بالا بودن حساسیت در بخش بانکی مواردی که نیاز بهرمزنگاری در حالت عادی ندارند را کد گذاری  کردیم. این رمزنگاری درلایه‌های مختلف هزینه بر بود. با پیش بینی بدترین شرایط تغییرات را اعمالکردیم. برای مثال بررسی کردیم در صورتی  که سرور ما را در امریکا با حکمFBI از محلی که HOST شده برداشته شود چه اطلاعاتی قابل استخراجخواهد بود؟

با این بررسی و در حال حاضر با اقداماتی که صورت گرفته این اطمینان راحاصل کردیم که اطلاعات محرمانه‌ای در دسترس نخواهد بود و اگرکوچکترین اختلالی در سرور ایجاد شد اطلاعات کدگذاری شده قفل شده وبخشی از آن نیز از بین می‌رود.در حقیقت آزمون‌های مختلف صورت گرفتهواطمینان حاصل شده که بدون درخواست ما امکان استخراج اطلاعات وجودنخواهد داشت. تلاش کردیم اعتماد کامل را برای گیرنده سرویس فراهم کنیم. در نتیجه اعتماد را منوط به انسان نکردیم و با پایین‌ترین سطح خطا درسیستم پیاده سازی نمودیم.

وی می‌افزاید: در بحث نگه داری، این سیستم توسط تیمی متخصص درکشور نگه داری می‌شود. مقررات سختگیرانه ای برای نگه داری سرویس درنظر گرفته شده است.برای مثال فضا و کلاینت هایی که برای مدیریتسرویس استفاده می شود مخصوص بوده و به وسیله دوربین های نظارتیکنترل می شود . از طرفی ترافیک کلاینت های فوق نیز به صورت جداگانه وتوسط تیم های امنیتی رصد می گردد

بیش از 90درصد حملاتی که به سمت بانک‌ها می‌آید از نوع کاهشسرویس است نه نفوذ

با توجه به اینکه با هفت بانک و موسسه کشوردر حال فعالیت هستیم اهمیتاین موضوع در بحث امنیتی بسیار بالاست.بیش از 90 درصد حملاتی که بهسمت بانک‌ها می اید حملات پایین آوردن سرویس است و نفوذ نیست. دراکثرموارد نیز حملات از نوع DDOS است .زمانی این حملات فقط از خارجاز کشور صورت می‌گرفت و بانک‌ها با حذف مشتریانی خارجی، سرویسخود را ایزوله می‌کردند. اما بر اساس گزارشات اخیر30 درصد حملات ازداخل کشور به صورت انتشار بدافزار‌هایی  بر روی گجت های مشتریانصورت گرفته است.از طرفی با تغییر ترند حملات نیاز به پیاده سازی CDN بیشترمی شود. در حملات لایه 7 حملات بر روی اپلیکیشن ها صورت می‌گیردو متنوع خواهدبود. ما به وسیله  firewall  web application (waf) ان رامدیریت می‌کنیم این  WAF  به طور مرتب آپدیت شده و signature ها به روزرسانی می‌شود تا بتوانیم حملات متنوعی را شناسایی کنیم.

از طرفی سیستم امنیتی فوق برای شناسایی ترافیک های بانکی و مالی وهمچنین همسوسازی با قوانین بالادست مانند شاپرک Customize وشخصی سازی شده است

پایین آمدن سرویس بانکی می‌تواند به کاهش اعتماد عمومینسبت به صنعت منجر شود 

باید توجه داشت که با پایین آمدن سرویس بانک تمامی ارائه دهندگانسرویس به بانک  و تمامی سرویس‌هایی که بر بستر اینترنت پیاده می‌شوندنیز پایین می ایند. از طرفی این حملات به طورت کاملاً برنامه ریزی شده درخارج از ساعت کاری بانک‌ها و در زمانی که کاربران فعال بانکی فقط ازسرویس‌های مبتنی بر اینترنت استفاده می‌کنند صورت می‌گیرد. با توجه بهشرایط فعلی صنعت بانکی، عدم ارائه سرویس از سوی بانک‌ها می‌تواند بهکاهش اعتماد عمومی بینجامد چرا که توجیه مشکل فنی سخت خواهد بود. بنابراین CDN می‌تواند سقف امنیتی مناسبی در برابر حملات باشد.

هیچ داده‌ای از بانک خارج نمی‌شود

یکی از اشتباهات بانک‌ها در خصوص این سرویس این است که احساسمی‌کنند داده‌ها به سرورهای ما منتقل می‌شود. اما داده‌های بانک در داخلسرور نیست و در خود بانک است و ما تنها مدیریت ترافیک کاربر را انجاممی‌دهیم. ترافیک به نزدیکترین  سرورهای ما منتقل می‌شود و در صورتگذشت از فیلترهای امنیتی مابه سمت سرورهای اصلی بانک  منتقل می‌شود. بنابراین دیتا از ایران و حتی از بانک خارج نمی‌شود

سرلک در پایان می‌گوید: برای پیاده سازی سرویس مشکلات متعددیرامدیریت کردیم. تلاش کردیم تا بتوانیم ترافیک‌های بالا در خارج از کشور رامدیریت کرده وبه داخل نیاوریم.

مشکلات تحریمی نیز از مشکلاتی  بود که با ان مواجهه شدیم و اقداماتبسیار زیادی انجام دادیم تا در خصوص ارتباط با ارائه دهندگانسرویس‌های خارجی، بحث پرداخت‌ها، استفاده از IP های خارج از کشوردچار مشکل نشویم. که با موفقیت سرویس را در دو بانک کشورهم پیادهکرده‌ایم.