استفاده از خدمات CDN بانکی ابر آروان بدون ارائه کلید خصوصی

عصر بانک؛ابر آروان در ششمین همایش سیاست‌های پولی و چالش‌های بانکداری و تولید، محصول CDN بانکی خود را به همراه قابلیت جدید آن به نام اوپن سسمی (OpenSesame) معرفی کرد، با استفاده از این قابلیت جدید CDN ابر آروان، از این پس عرضه‌کنندگان خدمات آنلاین مالی، سازمان‌های بزرگ و بانک‌ها، با در نظر گرفتن الزامات شاپرک و شبکه‌ی بانکی ایران، بدون در اختیار گذاشتن کلید خصوصی‌شان می‌توانند از خدمات CDN و DDoS Protection  آروان استفاده کنند و امن‌تر و سریع‌تر از گذشته به کاربران‌شان سرویس‌دهی کنند. به همین بهانه با صابر مسگری، کد سالار و مسئول تیم CDN  ابر آروان به گفت‌وگو نشستیم.

مسگری با اشاره به گستره‌ی مشتریان ابر آروان که شامل بیش از 15هزار وب‌سایت پربازدید ایرانی است و این‌که روزانه ترافیک هیچ ایرانی نیست که از زیرساخت‌های ابری آروان عبور نکند، از اهمیت و مزایای استفاده از CDNها به‌ویژه برای کسب‌وکارهای آنلاین مالی گفت و این‌که چگونه مشتریانی که سامانه‌های حساس مالی دارند، می‌توانند به‌کمک محصول اوپن سسمی با در اختیار داشتن کلید خصوصی نزد خودشان، از این خدمات برای امن‌تر و سریع‌تر شدن وب‌سایت‌شان استفاده کنند.

CDN چگونه به کسب و کارها کمک میکند؟

ابر آروان با بیش از 30 پاپ‌سایتی که در نقاط مختلف ایران و جهان دارد، با ذخیره‌سازی موقت محتوی سایت‌ها، این محتوا را در سریع‌ترین زمان به کاربران مختلف ارایه کند و از این طریق سرعت بارگزاری سایت به میزان درخور توجهی افزایش می‌یابد. هم‌چنین این ذخیره‌سازی موقت محتوا سایت سبب می‌شود درخواست‌های ارسالی به‌سمت سرورهای اصلی وب‌سایت کاهش یابد و در نتیجه نیاز به سخت‌افزار برای مدیریت درخواست‌ها کاهش می‌یابد و با سخت‌افزار کم‌تر، کسب‌وکارها می‌توانند تعداد مشتریان بیش‌تری را مدیریت کنند.

از مزایای دیگر استفاده از CDN جلوگیری از حملات منع سرویس توزیع‌شده یا همان DDoS Protection است. از آن‌جایی که هنگام استفاده از CDN تمامی درخواست‌ها ابتدا در سرورهای آروان دریافت می‌شوند، ما در آروان قادریم به‌کمک روش‌های پیشرفته‌ای درخواست‌های مخرب را مسدود کرده و از رسیدن این درخواست‌ها به سرورهای اصلی وب‌سایت جلوگیری کنیم. از این طریق می‌توان حملات مخرب DDoS که سبب از دسترس خارج شدن وب‌سایت‌ها می‌شود را مسدود کرد. آروان قادر است حملات DDoS را در لایه‌های 3، 4 و لایه 7 شبکه خنثا سازد.

چگونه ابر آروان جزو دو عرضه‌کننده‌ی بزرگ CDN در جهان قرار گرفته است؟

ابر آروان همواره خود را از لحاظ تنوع قابلیت‌ها و خدماتی که ارائه می‌دهد، هم‌چنین از لحاظ کیفیت با شرکت‌های بزرگ فعال در دنیا مقایسه می‌کند. از لحاظ لیست قابلیت‌های قابل ارائه در CDN، برخی از این قابلیت‌ها از جمله OpenSesame که همان استفاده از CDN بدون در اختیار گذاشتن کلید خصوصی است، منحصر به یکی از شرکت‌های بزرگ خدمات ‌دهنده‌ی CDN در دنیاست که ما در ابر آروان به‌دلیل وجود نیازمندی و تقاضای داخل کشور دست به توسعه و عرضه‌ی این قابلیت‎ها زدیم تا بتوانیم پاسخ کامل‌تری به مشتریان‌مان به‌ویژه مشتریان بانکی و عرضه‌کنندگان خدمات آنلاین مالی بدهیم. از این رو ابر آروان در کنار یکی از ارایه‌دهندگان بزرگ CDN دنیا، جزو تنها شرکت‌هایی است که این خدمات را ارایه می‌دهد. در ایران نیز تنها ابر آروان است که چنین خدماتی به مشتریان خود می‌دهد.

CDN بانکی ابر آروان چه کمکی به کسب‌وکارهای آنلاین مالی می‌کند؟

صرفه‌جویی در هزینه‌های تامین و نگهداری زیرساخت، افزایش سرعت بارگزاری وب‌سایت و پاسخ‌گویی سریع‌تر به کاربران، در کنار جلوگیری از حملات منع سرویس توزیع‌شده یا DDoS Protection از مهم‌ترین مزایای استفاده از شبکه‌ی توزیع محتوا یا CDN است.

برای نمونه آروان گستردگی درخور توجهی در پاپ‌سایت‌های داخل کشور و نقاط مهم جهان دارد که با ذخیره‌ی فایل‌های مختلف وب‌سایت‌ها روی این سرورها، دیتا از نزدیک‌ترین سرور در اختیار کاربران وب‌سایت قرار می‌گیرد، در نتیجه بار ترافیکی وب‌سایت کم و سرعت پاسخ‌دهی به کاربران افزایش می‌یابد.

با توجه به اهمیت بحث امنیت سایبری برای کسب‌وکارهای مالی، CDN چگونه این امنیت را تامین می‌کند؟

در مورد کسب‌وکارهای مالی و بانکی امنیت از اهمیت ویژه‌ای برخوردار است. شاید حتا بتوان گفت دلیل اصلی علاقه این کسب‌وکارها به CDN به‌دلیل بهره‌مندی از  خدمات امنیتی آن است. به‌دلیل ویژگی‌های خاص کسب‌وکارهای اینترنتی و الزامات شبکه شاپرک، هم‌چنین الزامات امنیتی بانک مرکزی، ابر آروان نسخه‌ی ویژه‌سازی شده CDN خود برای کسب‌وکارهای بانکی را با نام CDN بانکی ارایه می‌دهد.

در هر کسب‌وکاری قوانین امنیتی متفاوت است و در CDN نیز این قوانین قابل سفارشی‌سازی برای کاربردهای خاص مالی و بانکی هستند. در واقع مجموعه CDN بانکی شامل OpenSesame، سرورها و WAF شخصی‌سازی شده است و ابر آروان با همکاری داتین، این محصول را در اختیار بانک‌ها و ارائه‌دهندگان خدمات مالی قرار می‌دهد.

CDN بانکی سبب جلوگیری از حملات منع سرویس توزیع‌شده یاDDoS Protection می‌شود. در واقع جنس حملات امروزی به این شکل است که هکر در هر گوشه از دنیا مجموعه‌ای از کامپیوترها یا دستگاه‌های متصل به اینترنت مانند موبایل و دوربین نظارتی و روتر اینترنت و… را در اختیار دارد که آلوده به بدافزار شده‌اند و از آن‌ها برای ارسال درخواست‌های کاذب به‌سمت سایت استفاده می‌کند و سبب می‌شود که سایت برای مدت زمانی دچار اختلال در سرویس‌دهی شود که CDN‌ با توزیع این درخواست‌ها در پاپ‌سایت‌های خود، جلوی هجوم این حجم از درخواست به‌سمت وب‌سایت را می‌گیرد.

در حالت متداول استفاده از خدمات CDN نیاز است که وب‌سایت یا سازمان خدمات گیرنده، کلید خصوصی خود را در اختیار خدمات دهنده CDN قرار دهد. اما خدمات دهنده‌گان پولی، مالی و بانک‌ها به‌دلیل حساسیت داده‌های رد و بدل شده میان سرورهای اصلی و مشتریان، نباید کلید خصوصی رمزنگاری خود را در اختیار افراد یا شرکت‌های خدمات دهنده قرار دهند. این موضوع سبب محدود شدن امکان بهره‌مندی این کسب‌وکارها از خدمات CDN شده است.

وضعیت حملات سایبری به‌ویژه حملات DDoS به بانک‌ها و موسساتی که خدمات مالی آنلاین عرضه می‌کنند در این سال‌ها چه‌طور بوده است؟

اصلی‌ترین حملاتی که امروزه نه تنها علیه شبکه‌ی مالی و بانکی بلکه علیه تمامی وب‌سایت‌ها در دنیا انجام می‌شود، حملات DDoS است. ما در ابر آروان بزرگ‌ترین حمله‌ی سایبری کشور از این نوع را در سال 96 از بانک پاسارگاد و سال گذشته از بانک سامان دفع کردیم. تنها حمله‌ی DDoS به بانک پاسارگاد به بزرگی56Gb/s  و معادل 750 برابر ظرفیت معمول شبکه‌های بانکی کشور بود.

در نتیجه‌ی این مقابله، خدمات آنلاین بانک پاسارگاد در زمان وقوع حمله، بدون هیچ‌گونه اختلالی عرضه شد.

در حال حاضر ابر آروان، خدمات CDN  بانکی را که مقابله با حملات DDoS نیز در آن قرار دارد به 4 بانک کشور ارائه می‌دهد. با محصول اوپن سسمی ما پتانسیل این را داریم که امنیت کامل تمامی بانک‌های کشور را در مقابل این دست حملات تامین کنیم.

ابر آروان چگونه با حملات DDoS‌ مقابله می‌کند؟

ابر آروان حملات خارج از ایران را مستقیم به‌کمک سرورهایی که خارج از ایران دارد برطرف می‌کند. دفع حملات DDoS توسط ابر آروان با سرعت 3 ترابیت بر ثانیه انجام می‌شود که به میزان کل ظرفیت ترافیکی کشور است، یعنی اگر به میزان کل ظرفیت ترافیکی کشور حمله DDoS انجام شود، سرورهای ما در خارج از ایران قادر به دفع این حملات هستند. به‌علاوه در داخل ایران نیز تعداد زیادی سرور در پاپ‌سایت‌های مختلف داریم که قابلیت دفع حملات را دارند و قرار است 10 پاپ سایت دیگر نیز به‌منظور گسترش بازار در خاورمیانه و کشورهای اطراف ایران توسعه دهیم که این ظرفیت علاوه‌بر این‌که به ما اجازه می‌دهد به‌شکل محلی به آن بازارها خدمات ارائه دهیم، کمک می‌کند تا خدمات داخل ایران را نیز با ظرفیت بالاتری ارایه کنیم.

ابر آروان در معرفی اوپن سسمی و استفاده‌ی مشتریان از CDN، از دو واژه‌ی کلید خصوصی و کلید عمومی نام برد. کارکرد هر کدام از این کلیدها چیست؟

وقتی شما به یک سایت وصل می‌شوید که آدرس آن با HTTPS شروع می‌شود به این معناست که آن وب‌سایت از یک روش رمزنگاری به نام TLS یا Transport Layer Security  برای حفظ امنیت کاربران خود بهره می‌برد. این روش رمزنگاری تضمین‌کننده‌ی امنیت ارتباط شما با یک سایت است. در واقع در سرور اصلی به‌کمک مفهومی به نام رمزنگاری غیرمتقارن به‌کمک دو فایل کلید عمومی و کلید خصوصی این فرآیند انجام می‌شود. زمانی‌که مشتری درخواست اتصال به سایت می‌دهد، وب‌سایت کلید عمومی را  به مشتری ارائه می‌دهد و مشتری یک عبارت را با کلید عمومی، رمزنگاری می‌کند و برای وب‌سایت ارسال می‌کند.

اطلاعاتی که با کلید عمومی رمزنگاری می‌شود فقط و فقط با کلید خصوصی باز می‌شود (مثل قفلی که همه می‌توانند ببندند، ولی فقط صاحب کلید می‌تواند آن را باز کند) و به همین دلیل کلید خصوصی باید همواره در اختیار صاحب وب‌سایت باقی بماند. چون اگر کلید خصوصی افشا شود هر کسی می‌تواند اطلاعات میان وب‌سایت و مشتری را رمزگشایی کند.

حالت متداول استفاده از خدمات CDN این است که مشتری‌ها به ابر آروان در جایگاه خدمات ‌دهنده اعتماد دارند و با توجه به این‌که گواهی‌نامه‌های امنیتی معتبر را هم از مراجع ذی‌ربط در کشور دریافت کرده‌ایم، مشتریان کلید خصوصی‌شان را در اختیار ما قرار می‌دهند، اما خدمات مالی و بانکی به لایه‌های بالاتری از امنیت و اعتماد نیاز دارد و بانک مرکزی هم الزامی را قرار داده که بانک‌ها نباید تحت هیچ شرایطی کلید خصوصی‌شان را درار اختیار دیگران قرار دهند.

در واقع یک مشکل در این‌جا به وجود می‌آید به این شکل که بانک و خدمات دهندگان مالی علاقه دارد از خدمات CDN و امنیت ابری استفاده کند ولی اجازه ندارد اطلاعات حساس مانند کلید خصوصی خود را در اختیار ما قرار دهد چون بانک مرکزی محدودیت‌هایی برای ارائه‌دهندگان خدمات مالی و بانکی و طرف‌های سومی که بانک‌ها می‌توانند با آن‌ها همکاری کنند، اعمال کرده است.

در این فرآیند اوپن سسمی چه نیازهایی را برطرف می‌کند؟

در پاسخ به محدودیت‌های بانک مرکزی ابر آروان محصول OpenSesame  را ارائه داد که با استفاده از آن هر خدمات ‌دهنده‌ی آنلاین بانکی یا مالی یا هر مشتری که کلید خصوصی به هر دلیلی برایش اهمیت زیادی دارد می‌تواند از تمام خدمات DDoS Protection و CDN با همان کیفیت رمزنگاری و امنیتی استفاده کند بدون اینکه نیاز باشد کلید خصوصی خود را در اختیار آروان قرار دهد.

برای بهره‌مندی از این مزایا آیا نیازی به تامین سخت‌افزار و نرم‌افزار خاصی هست؟

به‌طور کلی برای استفاده از خدمات ابر آروان، سخت‌افزار یا نرم‌افزار خاصی نیاز نیست. به‌دلیل این‌که استفاده از CDN به‌شکل ذاتی حجم ترافیک ارسالی به سرورهای اصلی را کاهش می‌دهد، حجم سرورهای مورد نیاز هم کم‌تر از تعداد عادی می‌شود ولی در مورد خدمات OpenSesame که به‌شکل اختصاصی به بانک‌ها و ارایه‌دهندگان خدمات مالی ارائه می‌شود، نیاز به یک سرور است (می‌تواند حتا سرورهای اصلی وب‌سایت یا اپلیکیشن هم باشد). نرم‌افزاری به همراه سورس کد آن در اختیار سرویس‌گیرنده قرار می‌گیرد تا روی این سرور نصب کرده و کلید خصوصی را هم در کنار آن قرار دهد. سورس این نرم‌افزار هم برای بررسی بیش‌تر و اطمینان از صحت عملکرد آن در اختیارشان قرار می‌گیرد. در انتها نیاز مشخصات سروری که نرم‌افزار ابر آروان روی آن نصب شده است مانند آدرس اینترنتی و پورت آن را در پنل ابر آروان وارد شود. پس از این مرحله خدمات گیرنده قادر است از تمام قابلیت‌های CDN و DDoS Protection  استفاده کند و کلید خصوصی نیز هم‌چنان در اختیار خودش باقی می‌ماند.