سوار ابرها، رويدادي فناورانه كه ابر آروان آن را هر سال برگزار ميكند، امسال شاهد معرفي محصولات مختلف و مهمي در حوزه خدمات ابري بود. چند روز پيش از آغاز اين رويداد، با تيم ابر آروان به گفتگو نشستيم تا بيشتر با ابعاد مختلف محصولات جديد آشنا شويم.
اسمارت روتينگ: افزايش سرعت اتصال
اولين محصولي كه ابر آروان در رويداد سوار ابرها معرفي كرد، «اسمارت روتينگ» بود. «فرهاد فاطمي»، همبنيانگذار و ناخداي فني ابر آروان ميگويد در يك كلام هدف قابليت اسمارت روتينگ، افزايش سرعت اتصال به سرور اصلي است؛ هرچند اين قابليت در چند مرحله، براي ارائه زمانبندي شده است. او در همين رابطه ميگويد:
«بخش اول اين محصول نهايي شده تا اختلالهاي موجود در مسير را به سرعت شناسايي كنيم و براي حل آن، از اين راهحل استفاده كنيم. مرحله بعدي اين است كه اختلال به شكل اتوماتيك تشخيص داده شود و مرحله آخر، افزايش كارايي و انتخاب بهينهترين مسير است.»
به گفته او اتوماتيك كردن تشخيص اختلال و عملكرد مناسب در كنار بخش سوم يعني انتخاب هميشگي بهينهترين مسير، در سال ۹۹ محقق خواهد شد.
اما اين پروژه چرا انجام شد؟ ابر آروان يك سال پيش پروژه جديدي را تعريف ميكند تا بتواند يكي از مشكلاتي كه در بخش CDN دارد را رفع كند. CDN آروان براي دريافت محتوا، بايد آن را از سرور اصلي وبسايت دريافت كند. اما به دليل مشكلاتي كه در Gateway ايران وجود دارد، Edgeهاي داخل كشور نميتوانستند به شكلي مناسب به سرورهاي اصلي كه در خارج از كشور بودند متصل شوند، يا برعكس. فاطمي در همين رابطه ميگويد:
«ما يك راهكار را تعريف كرديم و بين Edgeها، يك شبكه Mesh تشكيل داديم و به جاي اينكه به Edge سرور، از همان Edge كه كاربر متصل شده وصل شويم، ترافيك را از شبكه جديد هدايت ميكنيم و از نقطه ديگري به سرور اصلي متصل ميشويم. اين كار باعث ميشود تا اگر يكي از Edgeهاي ما به درستي سرور اصلي را نبيند، از داخل اين شبكه بتواند به درستي متصل شود.»
از سوي ديگر «صابر مسگري»، كدسالار ابر آروان ميگويد كه راهكار «اسمارت روتينگ»، چند هدف را دنبال ميكند. هدف اول، كاهش اثرگذاري اختلال در دسترسي به سرورهاي اصلي بوده است و هدف دوم، ايجاد يك مسير سريعتر است: «ممكن است يكي از Edgeهاي ما، سرور اصلي را از اينترنت با تاخير بيشتري ببيند تا در شبكه داخلي خودمان. پس يك مسير را در شبكه داخلي انتخاب ميكند تا به سرور اصلي برسد و ديتا را از آن دريافت كند. اين مسير، بهينهتر از مسير اينترنت است.»
فاطمي اما توضيح ميدهد كه در آبان ماه و زمان قطع اينترنت، هنوز چند ديتاسنتر در ايران به اينترنت متصل بودند و در همان زمان، اين راهكار اجرايي شد: «سرورهايي كه خارج از كشور بودند و از داخل مشكل داشتند را به همان ديتاسنترها متصل كرديم تا مسير خروجي از آن طريق باشد. به اين شكل توانستيم مشكل را حل كنيم و از طرفي سرورهاي اصلي كه داخل كشور بودند هم از بيرون ديده نميشدند، كه آنها را هم از مسير ديگري به داخل كشور آورديم.»
نسل جديد محصولات امنيت ابري: يك تحول جدي در امنيت
بخش بزرگي از تلاش آروان در سال ۹۸، مربوط به توسعه نسل جديدي از محصولات حوزه امنيت ابري ميشود. فرهاد فاطمي توضيح ميدهد كه نسل جديد محصولات امنيت ابري، كارايي بسيار بيشتري نسبت به نسل قبلي دارد. او همچنين اعلام ميكند كه نسل جديد، با زبان برنامهنويسي Rust نوشته شده، در حالي كه نسل قبلي بر پايهي Lua بوده است.
ابر آروان در حوزه امنيت چهار ماژول را ارائه ميدهد كه DDoS Protection، WAF، Firewall و Rate Limit هستند و حالا با زبان Rust بازنويسي شدهاند و آنطور كه فاطمي ميگويد كارايي بسيار بيشتري پيدا كردهاند. او همچنين خبر ميدهد كه در هر يك از اين محصولات، امكانات جديدي هم اضافه شده است:
«براي مثال، WAF [ابزار جلوگيري از نفوذ در وبسايتها] به شكل كلي متحول شده و حالا دقت بسيار بالايي دارد. حالا ما SignatureSetهاي ModSecurity را پشتيباني ميكنيم كه يك استاندارد جهاني است. بر اين اساس ميتوانيم از SignatureSetهايي كه در بازار وجود دارد (از محصولات شركتهاي بزرگ امنيتي مثل Trustwave يا Comodo) استفاده كنيم. اين موارد حالا در پنل ما وجود دارند و كاربر ميتواند SignatureSet مربوط به هر يك از اين شركتها را انتخاب كند و ديگر محدود به SignatureSetهاي آروان نيست؛ در حالي كه در WAF قبلي، كاربر محدود به SignatureSet ما بود.»
ابر آروان نام «زومبه» را براي WAF جديدش انتخاب كرده؛ ويژگي منحصربهفرد آن نيز اين است كه علاوه بر كارايي بالا، StateFul است. StateFul بودن به كلامي ساده، به اين معناست كه در حملات اينترنتي، درخواستهاي متعددي كه ميتوانند نقش حمله اينترنتي را داشته باشند را به هم مرتبط ميكند و يك زنجيره را بين آنها تشخيص ميدهد. اين در حالي است كه در حالت StateLess، توانايي ايجاد يك زنجيره بين درخواستهاي مكرري كه ميتوانند نقش يك حمله اينترنتي را بازي كنند، وجود ندارد و با هر درخواست به شكلي جداگانه برخورد ميشود.
در واقع، WAFها معمولا يا StateLess هستند، كارايي بالايي دارند و ميتوانند به درخواستهاي زيادي در لحظه پاسخ دهند، يا StateFul هستند و در كنار دقت بسيار بالا، ميتوانند به درخواستهاي كمتري پاسخ دهند اما به همين دليل كارايي بالايي ندارند.
اين در حاليست كه زومبه، هم StateFul است و هم كارايي بالايي دارد. فاطمي در همين رابطه توضيح ميدهد:
«تصميم گرفته بوديم از WAF متنباز استفاده كنيم و چندين مورد را بررسي كرديم. براي مثال ModSecurity كه معروفترين WAF متنباز جهان است. كارايي اين WAF صرفاً ۷۰۰ درخواست در ثانيه بود. اين در حاليست كه ما خدمات CDN ارائه ميدهيم و درخواستهاي بسيار بالايي را در لحظه پاسخ ميدهيم. پروژه متنباز ديگري به نام «Lua-Resty-WAF» وجود داشت كه توانايي پاسخ دادن به ۱۵ هزار درخواست در ثانيه را داشت. اين پروژه را Fork و تغييرات مورد نياز خودمان را در آن اعمال كرديم. دقت آن به شدت افزايش پيدا كرد و با ۱۵ هزار درخواستي كه ميتوانست در ثانيه پوشش دهد، پاسخگوي ما بود. اما ما در اين حالت هم همچنان StateLess بوديم. اما در WAF جديد كه زومبه نام گرفته، علاوه بر اينكه قابليت StateFul را داريم، ميتوانيم به ۲۰ هزار درخواست در ثانيه پاسخ دهيم.»
فاطمي اعلام ميكند كه ابر آروان در كل شبكهاش اكنون ۱۰۰ هزار درخواست در ثانيه دارد: «اگرچه ما در كل شبكه چنين حجمي از درخواست را داريم، اما هر كدام از Edge Nodeهاي ما به تنهايي هم توانايي پاسخگويي به اين حجم از درخواست را دارند. يعني اگر كل CDN ما خاموش باشد و صرفاً يك Node در شبكه داشته باشيم، قدرت پاسخگويي به تعداد درخواستها را داريم.»
از سوي ديگر مزيت جديدي كه ابر آروان در خصوص نسل جديد محصولات امنيت ابري از آن ياد ميكند، يكپارچگي بين آنها است. پيش از اين DDoS Protection، WAF، Firewall و Rate Limit به عنوان ۴ عضو خدمات امنيت ابري، به شكل منحصربهفرد كار ميكردند. اما اكنون سوال اينجاست كه يكپارچگي بين آنها قرار است در چه مرحلهاي مزيت خود را نشان دهد؟ فاطمي در پاسخ به همين سوال ميگويد:
«امروز و در نسل جديد، هنوز هم DDoS Protection، WAF، Firewall و Rate Limit به شكل مستقل فعال هستند، اما حالا ماژول ديگري روي همه اين موارد گذاشتهايم كه آناليز دقيقي از خروجي هر كدام از آنها انجام ميدهد و براي هر يك از ماژولها، كانفيگ مورد نياز را توليد ميكند.»
ناخداي فني ابر آروان ميگويد فرض كنيد يك حمله DDoS اتفاق افتاده و برخي IPها درخواستهاي زيادي ميدهند. اينجا بهتر است ماژول Firewall جلوي اين اتفاق را بگيرد. يك آناليز هم از خروجي لاگهاي توليد شده توسط DDoS Protection گرفته ميشود، قوانين (Rule) براي Firewall ايجاد ميشود و قبل از اينكه درخواستها به ماژول DDoS Protection برسند، در بخش Firewall جلوي آنها گرفته ميشود. او مثال ديگري درباره WAF ميزند و ميگويد:
منبع:
https://digiato.com/article/2020/02/16/%d9%85%d8%ad%d8%b5%d9%88%d9%84%d8%a7%d8%aa-%d8%ac%d8%af%db%8c%d8%af-%d8%a7%d8%a8%d8%b1-%d8%a2%d8%b1%d9%88%d8%a7%d9%86/