دراین خصوص نمایندگان شرکت های داتین و ابراروان به توضیح کوتاهی در خصوص رویداد،رویکرد آن و محصولات خود در رویداد می پردازند.
فرهاد فاطمی؛ همبنیانگذار و ناخدای فنی ابرآروان در خصوص برگزاری سومین دوره از رویداد این شرکت میگوید: این سومین سال متوالی است که رویداد برگزار میشود؛ در دو سال گذشته رویکرد برگزاری رویداد معرفی محصولات شرکت در هر سال بوده و این رویداد را تبدیل به رویدادی فناورانه در حوزهی ابری کشور کرده است. کسانیکه در رویداد حضور دارند علاقهمندان به فناوریهای ابری هستند و تمایل دارند با این فناوری بیشتر آشنا شوند و ببینند کشور در حوزهی ابری چه پیشرفتهایی داشته است. ابرآروان یکی از معدود شرکتهای است که فعالیت گستردهای در حوزهی ابری در کشور انجام میدهد؛ از این رو علاقهمندان این حوزه میتوانند آخرین تکنولوژیهای موجود در کشور را در این رویداد دنبال کنند.
چالشهای فناورانه یکسال گذشته؛ رویکرد سوار ابرهای امسال
فاطمی میگوید: امسال قرار است چالشهای فناورانه یکسال گذشتهی ابرآروان را مرور کرده و نگاهی نیز به آینده داشته باشیم. در رویداد امسال محصولات جدید شرکت که در لبهی فناوری در حال حرکت هستند را معرفی کرده و ضرورت وجود محصولات را تشریح میکنیم.بحث انتقال تجربه موضوعی است که به صورت فراگیر در رویداد امسال به آن توجه شده است. هم چنین بخش جذابی برای همکاریهای مشترک ما با سایر شرکتها در سال آینده و درقالب "پلتفرم سکوی ابری" تعریف شده است تا باقی شرکتها بتوانند با ما مشارکت کنند. بخش ویژهای هم در رویداد امسال وجود دارد که برای خدمات امنیتی بانکها و با همکاری شرکت داتین در قالب CDN بانکی ارایه کردهایم.
معرفی محصولات در 8 حوزه ابری
فاطمی در تشریح محورهای سومین رویداد ابرآروان میگوید: امسال محصولات در 8 حوزهی ابری، DNSابری، CDN ابری، رایانش ابری، فضای ذخیرهسازی ابری، پلتفرم ویدیو، پخش زنده و تبلیغات ویدیو همچنین امسال پلتفرم ابری یا platform as a service که محصول جدید ابرآروان است را معرفی و شیوهی کارکرد آن را تشریح میکنیم.
CDN بهعنوان محصول قدیمی ابرآروان در رویداد معرفی میشود؛ با این تفاوت که در CDN و DNS ویژگیهای جدید و جذابی لحاظ کردیم که به تشریح به آنها خواهیم پرداخت. این قابلیتها ویژگیهایی هستند که در تعداد محدودی از محصولات در دنیا لحاظ شدهاند و لحاظ همزمان این ویژگیها در دنیا تنها در دو CDN وجود دارد. البته ویژگیهای ریز بسیاری در این دو محصول پیادهسازی شده است که شاید نتوانیم به همهی آنها در رویداد اشاره کنیم.
همبنیانگذار ابرآروان ادامه میدهد: در بحث امنیت ابری و حفاظت DDOS از راهکارهای جدید خود و شبکهی گستردهای که برای مقابله با حملات DDOS (حملاتی که هفتهی گذشته شاهد حجم عظیمی از آن در خصوص وبسایتهای بزرگ کشور بودهایم) صحبت میکنیم و از مکانیسمها و روشهای جدیدی که تجربهی کاربری و بهرهوری سیستم را چندین برابر کردهاند خواهیم گفت.
در حوزهی ویدیو در بحث LIVE STREAMING بیشتر متمرکز میشویم. برای بسیاری از رویدادهای بزرگ این سرویس را ارایه کردیم. در این بخش چالشی را مطرح میکنیم و آن بحث ویدیوهایی است که نیازمند کمترین تاخیرند و به اصطلاح ULTRA LOW LATENCY هستند.
وی میافزاید: در بخش بعدی از چالش خود در بحث زیرساخت ابری صحبت میکنیم. این سرویس یکسال است که ارایه شده و مشتریان بسیار بزرگی روی آن سرویسدهی میشوند. در این خصوص به بررسی چالشهای آن میپردازیم. از نحوهی پیادهسازی جدیدترین تکنولوژیها در سرویس زیرساخت ابری ابرآروان صحبت میکنیم و میزان ارتقای سرویس با لحاظ تکنولوژیهای جدید را تشریح خواهیم کرد. شبکهی اختصاصی طراحی شده در IaaS و سکوی ابری را نیز بهعنوان محصول جدید ابرآروان از محورهای دیگر رویداد هستند که به آنها خواهیم پرداخت.
به گفته فاطمی در رویداد امسال 13 سخنران وجود دارد که برخی از سخنرانان از شرکتهای همکار ابرآروان مانند داتین و اسنپ کیو خواهند بود. همچنین در بخش سکوی ابری نیز مهمانانی حضور خواهند داشت.
مرتضی سرلک مدیرامور امنیت شرکت داتین نیز از محصول این شرکت در رویداد می گوید : در سوار ابرها اهمیت و لزوم استفاده از CDN بانکی، تفاوت آن با CDN عادی و عواقب عدم حضورسیستم تشریح میشود.
کنترل موفق یک حملهی گسترده منشاء تولید محصول
سرلک در خصوص علت ایجاد محصول توسط شرکت میگوید: در حدود دو سال پیش تهدیدی در خصوص بانک پاسارگاد ایجاد شد و بانک در حدود 30دقیقه با اختلال مواجه شد و اختلال نیز از نوع DDOS بود. پس از آن از منبع نا مشخصی نامهای مبنی بر درخواست بیت کوین دریافت کردیم. مهلت یک هفتهای برای ارائه رمز ارزها داده شده بود که در صورت عدم پرداخت حملهی گستردهتری را وعده داده بودند.
طی مذاکراتی با شرکت ابراروان و ظرف 48ساعت کلیه زیرساخت اینترنتی بانک را از طریق شرکت داتین به زیر ساختهای ابراروان منتقل کردیم. بعد ازیک هفته حمله دوم صورت گرفت که آن را کنترل نمودیم. لازم به ذکر است حملهای که با بانک پاسارگاد انجام شده بود چند برابر ظرفیت کل کشور بود.
بعد از آن پروژه سریعاً آغاز شد و زیر ساختهای لازم را در داتین پیاده کردیم و نقاط فراوانی در داخل و خارج از کشور سرور قراردادیم. تکولوژی از ابراروان به داتین منتقل شد؛ نیروهای متخصص لازم جذب شده و با تیمهای بانکی و برنامه نویسی مرتبط شدند تا بتوانند محصول را با سایر محصولاتی که به بانک در بستر اینترنت ارائه میشود و در معرض خطر حملات DDOS وحملات لایه هفت است منطبق سازند.
اعتماد کامل برای سرویس گیرنده در محصول لحاظ شده است
سرلک عقیده دارد: در بحث نگه داری وپیاده سازی، CDN ابراروان را تغییر دادیم در سطوح پایین زیر ساختی ازرمزنگاری های متفاوت استفاده کردیم. در حقیقت با توجه به بالا بودن حساسیت در بخش بانکی مواردی که نیاز به رمزنگاری در حالت عادی ندارند را کد گذاری کردیم. این رمزنگاری در لایههای مختلف هزینه بر بود. با پیش بینی بدترین شرایط تغییرات را اعمال کردیم. برای مثال بررسی کردیم در صورتی که سرور ما را در امریکا با حکم FBI از محلی که HOST شده برداشته شود چه اطلاعاتی قابل استخراج خواهد بود؟
با این بررسی و در حال حاضر با اقداماتی که صورت گرفته این اطمینان را حاصل کردیم که اطلاعات محرمانهای در دسترس نخواهد بود و اگر کوچکترین اختلالی در سرور ایجاد شد اطلاعات کدگذاری شده قفل شده و بخشی از آن نیز از بین میرود.در حقیقت آزمونهای مختلف صورت گرفته واطمینان حاصل شده که بدون درخواست ما امکان استخراج اطلاعات وجود نخواهد داشت. تلاش کردیم اعتماد کامل را برای گیرنده سرویس فراهم کنیم. در نتیجه اعتماد را منوط به انسان نکردیم و با پایینترین سطح خطا در سیستم پیاده سازی نمودیم.
وی میافزاید: در بحث نگه داری، این سیستم توسط تیمی متخصص در کشور نگه داری میشود. مقررات سختگیرانه ای برای نگه داری سرویس در نظر گرفته شده است.برای مثال فضا و کلاینت هایی که برای مدیریت سرویس استفاده می شود مخصوص بوده و به وسیله دوربین های نظارتی کنترل می شود . از طرفی ترافیک کلاینت های فوق نیز به صورت جداگانه و توسط تیم های امنیتی رصد می گردد
بیش از 90درصد حملاتی که به سمت بانکها میآید از نوع کاهش سرویس است نه نفوذ
با توجه به اینکه با هفت بانک و موسسه کشوردر حال فعالیت هستیم اهمیت این موضوع در بحث امنیتی بسیار بالاست.بیش از 90 درصد حملاتی که به سمت بانکها می اید حملات پایین آوردن سرویس است و نفوذ نیست. در اکثرموارد نیز حملات از نوع DDOS است .زمانی این حملات فقط از خارج از کشور صورت میگرفت و بانکها با حذف مشتریانی خارجی، سرویس خود را ایزوله میکردند. اما بر اساس گزارشات اخیر30 درصد حملات از داخل کشور به صورت انتشار بدافزارهایی بر روی گجت های مشتریان صورت گرفته است.از طرفی با تغییر ترند حملات نیاز به پیاده سازی CDN بیشترمی شود. در حملات لایه 7 حملات بر روی اپلیکیشن ها صورت میگیرد و متنوع خواهدبود. ما به وسیله firewall web application (waf) ان را مدیریت میکنیم این WAF به طور مرتب آپدیت شده و signature ها به روز رسانی میشود تا بتوانیم حملات متنوعی را شناسایی کنیم.
از طرفی سیستم امنیتی فوق برای شناسایی ترافیک های بانکی و مالی و همچنین همسوسازی با قوانین بالادست مانند شاپرک Customize و شخصی سازی شده است
پایین آمدن سرویس بانکی میتواند به کاهش اعتماد عمومی نسبت به صنعت منجر شود
باید توجه داشت که با پایین آمدن سرویس بانک تمامی ارائه دهندگان سرویس به بانک و تمامی سرویسهایی که بر بستر اینترنت پیاده میشوند نیز پایین می ایند. از طرفی این حملات به طورت کاملاً برنامه ریزی شده در خارج از ساعت کاری بانکها و در زمانی که کاربران فعال بانکی فقط از سرویسهای مبتنی بر اینترنت استفاده میکنند صورت میگیرد. با توجه به شرایط فعلی صنعت بانکی، عدم ارائه سرویس از سوی بانکها میتواند به کاهش اعتماد عمومی بینجامد چرا که توجیه مشکل فنی سخت خواهد بود. بنابراین CDN میتواند سقف امنیتی مناسبی در برابر حملات باشد.
هیچ دادهای از بانک خارج نمیشود
یکی از اشتباهات بانکها در خصوص این سرویس این است که احساس میکنند دادهها به سرورهای ما منتقل میشود. اما دادههای بانک در داخل سرور نیست و در خود بانک است و ما تنها مدیریت ترافیک کاربر را انجام میدهیم. ترافیک به نزدیکترین سرورهای ما منتقل میشود و در صورت گذشت از فیلترهای امنیتی مابه سمت سرورهای اصلی بانک منتقل میشود. بنابراین دیتا از ایران و حتی از بانک خارج نمیشود
سرلک در پایان میگوید: برای پیاده سازی سرویس مشکلات متعددی رامدیریت کردیم. تلاش کردیم تا بتوانیم ترافیکهای بالا در خارج از کشور را مدیریت کرده وبه داخل نیاوریم.
مشکلات تحریمی نیز از مشکلاتی بود که با ان مواجهه شدیم و اقدامات بسیار زیادی انجام دادیم تا در خصوص ارتباط با ارائه دهندگان سرویسهای خارجی، بحث پرداختها، استفاده از IP های خارج از کشور دچار مشکل نشویم. که با موفقیت سرویس را در دو بانک کشورهم پیاده کردهایم.