نگاهي به محصولات جديد ابر آروان: يك تحول جدي در خدمات ابري

سوار ابرها، رويدادي فناورانه كه ابر آروان آن را هر سال برگزار مي‌كند، امسال شاهد معرفي محصولات مختلف و مهمي در حوزه خدمات ابري بود. چند روز پيش از آغاز اين رويداد، با تيم ابر آروان به گفتگو نشستيم تا بيشتر با ابعاد مختلف محصولات جديد آشنا شويم.

اسمارت روتينگ: افزايش سرعت اتصال

اولين محصولي كه ابر آروان در رويداد سوار ابرها معرفي كرد، «اسمارت روتينگ» بود. «فرهاد فاطمي»، هم‌بنيان‌گذار و ناخداي فني ابر آروان مي‌گويد در يك كلام هدف قابليت اسمارت روتينگ، افزايش سرعت اتصال به سرور اصلي است؛ هرچند اين قابليت در چند مرحله، براي ارائه زمان‌بندي شده است. او در همين رابطه مي‌گويد:

«بخش اول اين محصول نهايي شده تا اختلال‌هاي موجود در مسير را به سرعت شناسايي كنيم و براي حل آن، از اين راه‌حل استفاده كنيم. مرحله بعدي اين است كه اختلال به شكل اتوماتيك تشخيص داده شود و مرحله آخر، افزايش كارايي و انتخاب بهينه‌ترين مسير است.»

به گفته او اتوماتيك كردن تشخيص اختلال و عملكرد مناسب در كنار بخش سوم يعني انتخاب هميشگي بهينه‌ترين مسير، در سال ۹۹ محقق خواهد شد.

اما اين پروژه چرا انجام شد؟ ابر آروان يك سال پيش پروژه جديدي را تعريف مي‌كند تا بتواند يكي از مشكلاتي كه در بخش CDN دارد را رفع كند. CDN آروان براي دريافت محتوا، بايد آن را از سرور اصلي وب‌سايت دريافت كند. اما به دليل مشكلاتي كه در Gateway ايران وجود دارد، Edgeهاي داخل كشور نمي‌توانستند به شكلي مناسب به سرورهاي اصلي كه در خارج از كشور بودند متصل شوند، يا برعكس. فاطمي در همين رابطه مي‌گويد:

«ما يك راه‌كار را تعريف كرديم و بين Edgeها، يك شبكه Mesh تشكيل داديم و به جاي اينكه به Edge سرور، از همان Edge كه كاربر متصل شده وصل شويم، ترافيك را از شبكه جديد هدايت مي‌كنيم و از نقطه ديگري به سرور اصلي متصل مي‌شويم. اين كار باعث مي‌شود تا اگر يكي از Edgeهاي ما به درستي سرور اصلي را نبيند، از داخل اين شبكه بتواند به درستي متصل شود.»

از سوي ديگر «صابر مسگري»، كدسالار ابر آروان مي‌گويد كه راهكار «اسمارت روتينگ»، چند هدف را دنبال مي‌كند. هدف اول، كاهش اثرگذاري اختلال در دسترسي به سرورهاي اصلي بوده است و هدف دوم، ايجاد يك مسير سريع‌تر است: «ممكن است يكي از Edgeهاي ما، سرور اصلي را از اينترنت با تاخير بيشتري ببيند تا در شبكه داخلي خودمان. پس يك مسير را در شبكه داخلي انتخاب مي‌كند تا به سرور اصلي برسد و ديتا را از آن دريافت كند. اين مسير، بهينه‌تر از مسير اينترنت است.»

فاطمي اما توضيح مي‌دهد كه در آبان ماه و زمان قطع اينترنت، هنوز چند ديتاسنتر در ايران به اينترنت متصل بودند و در همان زمان، اين راه‌كار اجرايي شد: «سرورهايي كه خارج از كشور بودند و از داخل مشكل داشتند را به همان ديتاسنترها متصل كرديم تا مسير خروجي از آن طريق باشد. به اين شكل توانستيم مشكل را حل كنيم و از طرفي سرورهاي اصلي كه داخل كشور بودند هم از بيرون ديده نمي‌شدند، كه آن‌ها را هم از مسير ديگري به داخل كشور آورديم.»

نسل جديد محصولات امنيت ابري: يك تحول جدي در امنيت

بخش بزرگي از تلاش آروان در سال ۹۸، مربوط به توسعه نسل جديدي از محصولات حوزه امنيت ابري مي‌شود. فرهاد فاطمي توضيح مي‌دهد كه نسل جديد محصولات امنيت ابري، كارايي بسيار بيشتري نسبت به نسل قبلي دارد. او همچنين اعلام مي‌كند كه نسل جديد، با زبان برنامه‌نويسي Rust نوشته شده، در حالي كه نسل قبلي بر پايه‌ي Lua بوده است.

ابر آروان در حوزه امنيت چهار ماژول را ارائه مي‌دهد كه DDoS Protection، WAF، Firewall و Rate Limit هستند و حالا با زبان Rust بازنويسي شده‌اند و آنطور كه فاطمي مي‌گويد كارايي بسيار بيشتري پيدا كرده‌اند. او همچنين خبر مي‌دهد كه در هر يك از اين محصولات، امكانات جديدي هم اضافه شده است:

«براي مثال، WAF [ابزار جلوگيري از نفوذ در وب‌سايت‌ها] به شكل كلي متحول شده و حالا دقت بسيار بالايي دارد. حالا ما SignatureSetهاي ModSecurity را پشتيباني مي‌كنيم كه يك استاندارد جهاني است. بر اين اساس مي‌توانيم از SignatureSetهايي كه در بازار وجود دارد (از محصولات شركت‌هاي بزرگ امنيتي مثل Trustwave يا Comodo) استفاده كنيم. اين موارد حالا در پنل ما وجود دارند و كاربر مي‌تواند SignatureSet مربوط به هر يك از اين شركت‌ها را انتخاب كند و ديگر محدود به SignatureSetهاي آروان نيست؛ در حالي كه در WAF قبلي، كاربر محدود به SignatureSet ما بود.»

ابر آروان نام «زومبه» را براي WAF جديدش انتخاب كرده؛ ويژگي منحصربه‌فرد آن نيز اين است كه علاوه بر كارايي بالا، StateFul است. StateFul بودن به كلامي ساده، به اين معناست كه در حملات اينترنتي، درخواست‌هاي متعددي كه مي‌توانند نقش حمله اينترنتي را داشته باشند را به هم مرتبط مي‌كند و يك زنجيره را بين آن‌ها تشخيص مي‌دهد. اين در حالي است كه در حالت StateLess، توانايي ايجاد يك زنجيره بين درخواست‌هاي مكرري كه مي‌توانند نقش يك حمله اينترنتي را بازي كنند، وجود ندارد و با هر درخواست به شكلي جداگانه برخورد مي‌شود.

در واقع، WAFها معمولا يا StateLess هستند، كارايي بالايي دارند و مي‌توانند به درخواست‌هاي زيادي در لحظه پاسخ دهند، يا StateFul هستند و در كنار دقت بسيار بالا، مي‌توانند به درخواست‌هاي كمتري پاسخ دهند اما به همين دليل كارايي بالايي ندارند.

اين در حاليست كه زومبه، هم StateFul است و هم كارايي بالايي دارد. فاطمي در همين رابطه توضيح مي‌دهد:

«تصميم گرفته‌ بوديم از WAF متن‌باز استفاده كنيم و چندين مورد را بررسي كرديم. براي مثال ModSecurity كه معروف‌ترين WAF متن‌باز جهان است. كارايي اين WAF صرفاً ۷۰۰ درخواست در ثانيه بود. اين در حاليست كه ما خدمات CDN ارائه مي‌دهيم و درخواست‌هاي بسيار بالايي را در لحظه پاسخ مي‌دهيم. پروژه متن‌باز ديگري به نام «Lua-Resty-WAF» وجود داشت كه توانايي پاسخ دادن به ۱۵ هزار درخواست در ثانيه را داشت. اين پروژه را Fork و تغييرات مورد نياز خودمان را در آن اعمال كرديم. دقت آن به شدت افزايش پيدا كرد و با ۱۵ هزار درخواستي كه مي‌توانست در ثانيه پوشش دهد، پاسخگوي ما بود. اما ما در اين حالت هم همچنان StateLess بوديم. اما در WAF جديد كه زومبه نام گرفته، علاوه بر اينكه قابليت StateFul را داريم، مي‌توانيم به ۲۰ هزار درخواست در ثانيه پاسخ دهيم.»

فاطمي اعلام مي‌كند كه ابر آروان در كل شبكه‌اش اكنون ۱۰۰ هزار درخواست در ثانيه دارد: «اگرچه ما در كل شبكه چنين حجمي از درخواست را داريم، اما هر كدام از Edge Nodeهاي ما به تنهايي هم توانايي پاسخ‌گويي به اين حجم از درخواست را دارند. يعني اگر كل CDN ما خاموش باشد و صرفاً يك Node در شبكه داشته باشيم، قدرت پاسخگويي به تعداد درخواست‌ها را داريم.»

از سوي ديگر مزيت جديدي كه ابر آروان در خصوص نسل جديد محصولات امنيت ابري از آن ياد مي‌كند، يك‌پارچگي بين آن‌ها است. پيش از اين DDoS Protection، WAF، Firewall و Rate Limit به عنوان ۴ عضو خدمات امنيت ابري، به شكل منحصربه‌فرد كار مي‌كردند. اما اكنون سوال اينجاست كه يك‌پارچگي بين آن‌ها قرار است در چه مرحله‌اي مزيت خود را نشان دهد؟ فاطمي در پاسخ به همين سوال مي‌گويد:

«امروز و در نسل جديد، هنوز هم DDoS Protection، WAF، Firewall و Rate Limit به شكل مستقل فعال هستند، اما حالا ماژول ديگري روي همه اين موارد گذاشته‌ايم كه آناليز دقيقي از خروجي هر كدام از آن‌ها انجام مي‌دهد و براي هر يك از ماژول‌ها، كانفيگ مورد نياز را توليد مي‌كند.»

ناخداي فني ابر آروان مي‌گويد فرض كنيد يك حمله DDoS اتفاق افتاده و برخي IPها درخواست‌هاي زيادي مي‌دهند. اينجا بهتر است ماژول Firewall جلوي اين اتفاق را بگيرد. يك آناليز هم از خروجي لاگ‌هاي توليد شده توسط DDoS Protection گرفته مي‌شود، قوانين (Rule) براي Firewall ايجاد مي‌شود و قبل از اينكه درخواست‌ها به ماژول DDoS Protection برسند، در بخش Firewall جلوي آن‌ها گرفته مي‌شود. او مثال ديگري درباره WAF مي‌زند و مي‌گويد:

منبع:

https://digiato.com/article/2020/02/16/%d9%85%d8%ad%d8%b5%d9%88%d9%84%d8%a7%d8%aa-%d8%ac%d8%af%db%8c%d8%af-%d8%a7%d8%a8%d8%b1-%d8%a2%d8%b1%d9%88%d8%a7%d9%86/