نگاهی به محصولات جدید ابر آروان: یک تحول جدی در خدمات ابری

سوار ابرها، رویدادی فناورانه که ابر آروان آن را هر سال برگزار می‌کند، امسال شاهد معرفی محصولات مختلف و مهمی در حوزه خدمات ابری بود. چند روز پیش از آغاز این رویداد، با تیم ابر آروان به گفتگو نشستیم تا بیشتر با ابعاد مختلف محصولات جدید آشنا شویم.

اسمارت روتینگ: افزایش سرعت اتصال

اولین محصولی که ابر آروان در رویداد سوار ابرها معرفی کرد، «اسمارت روتینگ» بود. «فرهاد فاطمی»، هم‌بنیان‌گذار و ناخدای فنی ابر آروان می‌گوید در یک کلام هدف قابلیت اسمارت روتینگ، افزایش سرعت اتصال به سرور اصلی است؛ هرچند این قابلیت در چند مرحله، برای ارائه زمان‌بندی شده است. او در همین رابطه می‌گوید:

«بخش اول این محصول نهایی شده تا اختلال‌های موجود در مسیر را به سرعت شناسایی کنیم و برای حل آن، از این راه‌حل استفاده کنیم. مرحله بعدی این است که اختلال به شکل اتوماتیک تشخیص داده شود و مرحله آخر، افزایش کارایی و انتخاب بهینه‌ترین مسیر است.»

به گفته او اتوماتیک کردن تشخیص اختلال و عملکرد مناسب در کنار بخش سوم یعنی انتخاب همیشگی بهینه‌ترین مسیر، در سال ۹۹ محقق خواهد شد.

اما این پروژه چرا انجام شد؟ ابر آروان یک سال پیش پروژه جدیدی را تعریف می‌کند تا بتواند یکی از مشکلاتی که در بخش CDN دارد را رفع کند. CDN آروان برای دریافت محتوا، باید آن را از سرور اصلی وب‌سایت دریافت کند. اما به دلیل مشکلاتی که در Gateway ایران وجود دارد، Edgeهای داخل کشور نمی‌توانستند به شکلی مناسب به سرورهای اصلی که در خارج از کشور بودند متصل شوند، یا برعکس. فاطمی در همین رابطه می‌گوید:

«ما یک راه‌کار را تعریف کردیم و بین Edgeها، یک شبکه Mesh تشکیل دادیم و به جای اینکه به Edge سرور، از همان Edge که کاربر متصل شده وصل شویم، ترافیک را از شبکه جدید هدایت می‌کنیم و از نقطه دیگری به سرور اصلی متصل می‌شویم. این کار باعث می‌شود تا اگر یکی از Edgeهای ما به درستی سرور اصلی را نبیند، از داخل این شبکه بتواند به درستی متصل شود.»

از سوی دیگر «صابر مسگری»، کدسالار ابر آروان می‌گوید که راهکار «اسمارت روتینگ»، چند هدف را دنبال می‌کند. هدف اول، کاهش اثرگذاری اختلال در دسترسی به سرورهای اصلی بوده است و هدف دوم، ایجاد یک مسیر سریع‌تر است: «ممکن است یکی از Edgeهای ما، سرور اصلی را از اینترنت با تاخیر بیشتری ببیند تا در شبکه داخلی خودمان. پس یک مسیر را در شبکه داخلی انتخاب می‌کند تا به سرور اصلی برسد و دیتا را از آن دریافت کند. این مسیر، بهینه‌تر از مسیر اینترنت است.»

فاطمی اما توضیح می‌دهد که در آبان ماه و زمان قطع اینترنت، هنوز چند دیتاسنتر در ایران به اینترنت متصل بودند و در همان زمان، این راه‌کار اجرایی شد: «سرورهایی که خارج از کشور بودند و از داخل مشکل داشتند را به همان دیتاسنترها متصل کردیم تا مسیر خروجی از آن طریق باشد. به این شکل توانستیم مشکل را حل کنیم و از طرفی سرورهای اصلی که داخل کشور بودند هم از بیرون دیده نمی‌شدند، که آن‌ها را هم از مسیر دیگری به داخل کشور آوردیم.»

نسل جدید محصولات امنیت ابری: یک تحول جدی در امنیت

بخش بزرگی از تلاش آروان در سال ۹۸، مربوط به توسعه نسل جدیدی از محصولات حوزه امنیت ابری می‌شود. فرهاد فاطمی توضیح می‌دهد که نسل جدید محصولات امنیت ابری، کارایی بسیار بیشتری نسبت به نسل قبلی دارد. او همچنین اعلام می‌کند که نسل جدید، با زبان برنامه‌نویسی Rust نوشته شده، در حالی که نسل قبلی بر پایه‌ی Lua بوده است.

ابر آروان در حوزه امنیت چهار ماژول را ارائه می‌دهد که DDoS Protection، WAF، Firewall و Rate Limit هستند و حالا با زبان Rust بازنویسی شده‌اند و آنطور که فاطمی می‌گوید کارایی بسیار بیشتری پیدا کرده‌اند. او همچنین خبر می‌دهد که در هر یک از این محصولات، امکانات جدیدی هم اضافه شده است:

«برای مثال، WAF [ابزار جلوگیری از نفوذ در وب‌سایت‌ها] به شکل کلی متحول شده و حالا دقت بسیار بالایی دارد. حالا ما SignatureSetهای ModSecurity را پشتیبانی می‌کنیم که یک استاندارد جهانی است. بر این اساس می‌توانیم از SignatureSetهایی که در بازار وجود دارد (از محصولات شرکت‌های بزرگ امنیتی مثل Trustwave یا Comodo) استفاده کنیم. این موارد حالا در پنل ما وجود دارند و کاربر می‌تواند SignatureSet مربوط به هر یک از این شرکت‌ها را انتخاب کند و دیگر محدود به SignatureSetهای آروان نیست؛ در حالی که در WAF قبلی، کاربر محدود به SignatureSet ما بود.»

ابر آروان نام «زومبه» را برای WAF جدیدش انتخاب کرده؛ ویژگی منحصربه‌فرد آن نیز این است که علاوه بر کارایی بالا، StateFul است. StateFul بودن به کلامی ساده، به این معناست که در حملات اینترنتی، درخواست‌های متعددی که می‌توانند نقش حمله اینترنتی را داشته باشند را به هم مرتبط می‌کند و یک زنجیره را بین آن‌ها تشخیص می‌دهد. این در حالی است که در حالت StateLess، توانایی ایجاد یک زنجیره بین درخواست‌های مکرری که می‌توانند نقش یک حمله اینترنتی را بازی کنند، وجود ندارد و با هر درخواست به شکلی جداگانه برخورد می‌شود.

در واقع، WAFها معمولا یا StateLess هستند، کارایی بالایی دارند و می‌توانند به درخواست‌های زیادی در لحظه پاسخ دهند، یا StateFul هستند و در کنار دقت بسیار بالا، می‌توانند به درخواست‌های کمتری پاسخ دهند اما به همین دلیل کارایی بالایی ندارند.

این در حالیست که زومبه، هم StateFul است و هم کارایی بالایی دارد. فاطمی در همین رابطه توضیح می‌دهد:

«تصمیم گرفته‌ بودیم از WAF متن‌باز استفاده کنیم و چندین مورد را بررسی کردیم. برای مثال ModSecurity که معروف‌ترین WAF متن‌باز جهان است. کارایی این WAF صرفاً ۷۰۰ درخواست در ثانیه بود. این در حالیست که ما خدمات CDN ارائه می‌دهیم و درخواست‌های بسیار بالایی را در لحظه پاسخ می‌دهیم. پروژه متن‌باز دیگری به نام «Lua-Resty-WAF» وجود داشت که توانایی پاسخ دادن به ۱۵ هزار درخواست در ثانیه را داشت. این پروژه را Fork و تغییرات مورد نیاز خودمان را در آن اعمال کردیم. دقت آن به شدت افزایش پیدا کرد و با ۱۵ هزار درخواستی که می‌توانست در ثانیه پوشش دهد، پاسخگوی ما بود. اما ما در این حالت هم همچنان StateLess بودیم. اما در WAF جدید که زومبه نام گرفته، علاوه بر اینکه قابلیت StateFul را داریم، می‌توانیم به ۲۰ هزار درخواست در ثانیه پاسخ دهیم.»

فاطمی اعلام می‌کند که ابر آروان در کل شبکه‌اش اکنون ۱۰۰ هزار درخواست در ثانیه دارد: «اگرچه ما در کل شبکه چنین حجمی از درخواست را داریم، اما هر کدام از Edge Nodeهای ما به تنهایی هم توانایی پاسخ‌گویی به این حجم از درخواست را دارند. یعنی اگر کل CDN ما خاموش باشد و صرفاً یک Node در شبکه داشته باشیم، قدرت پاسخگویی به تعداد درخواست‌ها را داریم.»

از سوی دیگر مزیت جدیدی که ابر آروان در خصوص نسل جدید محصولات امنیت ابری از آن یاد می‌کند، یک‌پارچگی بین آن‌ها است. پیش از این DDoS Protection، WAF، Firewall و Rate Limit به عنوان ۴ عضو خدمات امنیت ابری، به شکل منحصربه‌فرد کار می‌کردند. اما اکنون سوال اینجاست که یک‌پارچگی بین آن‌ها قرار است در چه مرحله‌ای مزیت خود را نشان دهد؟ فاطمی در پاسخ به همین سوال می‌گوید:

«امروز و در نسل جدید، هنوز هم DDoS Protection، WAF، Firewall و Rate Limit به شکل مستقل فعال هستند، اما حالا ماژول دیگری روی همه این موارد گذاشته‌ایم که آنالیز دقیقی از خروجی هر کدام از آن‌ها انجام می‌دهد و برای هر یک از ماژول‌ها، کانفیگ مورد نیاز را تولید می‌کند.»

ناخدای فنی ابر آروان می‌گوید فرض کنید یک حمله DDoS اتفاق افتاده و برخی IPها درخواست‌های زیادی می‌دهند. اینجا بهتر است ماژول Firewall جلوی این اتفاق را بگیرد. یک آنالیز هم از خروجی لاگ‌های تولید شده توسط DDoS Protection گرفته می‌شود، قوانین (Rule) برای Firewall ایجاد می‌شود و قبل از اینکه درخواست‌ها به ماژول DDoS Protection برسند، در بخش Firewall جلوی آن‌ها گرفته می‌شود. او مثال دیگری درباره WAF می‌زند و می‌گوید:

«تصور کنید در WAF، درخواست‌های زیادی از یک IP فرستاده می‌شود و حمله تشخیص داده می‌شود. اینجا برای مثال در ماژول Rate Limit، سطح درخواست‌هایی که آن IP قادر به ارسال است، محدود می‌شود.»

اما اساسا زیرساخت ارتباطات بین محصولات امنیت چه زمان به دست مشتریان می‌رسد؟ ناخدای فنی آروان در پاسخ می‌گوید که Firewall و DDoS Protection نهایی شده‌اند و زیر بار هستند. اما از سوی دیگر Rate Limit و زومبه (WAF) به ترتیب در فصل اول سال ۹۹ عرضه می‌شوند.

فاطمی همچنین در پاسخ به این سوال که عرضه ۴ ماژول جدید امنیتی و یک ارتباط یک‌پارچه بین آن‌ها چقدر امنیت کسب‌وکارهای اینترنتی را در ایران افزایش می‌دهد، می‌گوید:

«تصور ما این است که این اقدامات یک تحول به شدت بزرگ در زمینه امنیت خدمات ابری است. شرکت‌ها و سازمان‌های ایرانی، مدت‌ها بود که در حال استفاده از Firewall یا WAFهای سنتی بودند؛ در حالی که در جهان مدت‌هاست که مهاجرت آغاز شده و از خدمات امنیت ابری استفاده می‌شود. ما هم البته تا امروز مانور زیادی روی ویژگی WAF نداده بودیم، اما حاضریم روی WAF جدید قسم بخوریم.»

معرفی PaaS ابر آروان

«PaaS»، «پلتفرم به عنوان خدمت» یا «پلتفرم ابری» از آن مواردی است که ابر آروان یک سال پیش و در رویداد سوار ابرهای ۹۷ وعده‌اش را داده بود. وقتی با این سوال شروع می‌کنم که چرا آماده‌سازی PaaS انقدر طولانی شد و به سوار ابرهای ۹۸ کشید، «وحید اشرفیان»، استواردار ابر آروان در پاسخ می‌گوید وقتی برندها بزرگ‌تر می‌شوند، انتظارات هم از آن‌ها بیشتر می‌شود:

از راست: مرتضی خزامی‌پور، وحید اشرفیان و محمد موسوی.

«ما محصولات جدیدمان را با وسواس بیشتری عرضه می‌کنیم. PaaS در سوار ابرهای ۹۷، با دیدی که در آن زمان داشتیم، کاملاً آماده‌ی عرضه بود. اما با تجربه‌ای که در CDN و IaaS داشتیم، وسواس ما بیشتر شد تا PaaS با اطمینان بیشتری عرضه شود. امروز، PaaS ما یک سرویس کاملاً پایدار است. در واقع حالا قرار نیست PaaS به شکل آزمایشی ارائه شود. اگرچه عرضه اولیه، بتا خواهد بود، اما در همه‌ی لایه‌ها پایدار و دارای Disaster Recovery Plan است.»

PaaS ابر آروان در واقع یک «Container as a Service» است که در آن کاربر می‌تواند کد خود را به شکل Container یا خام، در سریع‌ترین زمان ممکن دیپلوی کند. اشرفیان درباره قابلیت‌های PaaS ابر آروان اینطور توضیح می‌دهد:

«برای مثال من یک کد PHP دارم. وارد دایرکتوری آن می‌شوم و با استفاده از CLI ابر آروان، با یک دستور ساده سرور خودم را لانچ می‌کنم. یک URL در خروجی به دست می‌آورم که آن را در مرورگر وارد می‌کنم و در این مرحله، اپلیکیشن من کاملاً بالاست.»

مورد دیگری که در پلتفرم ابری وجود دارد، «مقیاس‌پذیری» (Scalability) است. در واقع با استفاده از پلتفرم ابری آروان و ساختن ساده‌ی هر سرویسی، در زمان مورد نیاز و پس از توسعه‌ی کسب‌وکار، قابلیت افزایش مقایس زیرساخت به سادگی فراهم است.

از سوی دیگر شعاری که ابر آروان برای PaaS انتخاب کرده، «کم‌ترین فاصله از ایده تا محصول» است اما این شعار چقدر به واقعیت نزدیک است؟ اشرفیان در همین رابطه می‌گوید: «تاکید اصلی ما بر سرعت دیپولی است. به جای اینکه کاربران بخواهند سرور بگیرند، روی آن اپلیکیشن خود را بالا بیاورند، و این فرآیند طولانی را طی کنند، ما همه این بخش‌ها را به شکل اتوماتیک انجام می‌دهیم. مزیت بعدی PaaS ما هم کم کردن بار System Administration است. دیگر کاربر ما نیاز دسترسی گرفتن به سرور نخواهد داشت؛ چراکه بحث سرور تماماً سمت ماست و بحث کد سمت کاربر باقی می‌ماند.»

معرفی Object Storage

«Object Storage» در بین سرویس‌های پایه‌ای ابری قرار می‌گیرد اما ابر آروان در چند سال اخیر ارائه آن را به تاخیر انداخته بود. مدیران آروان می‌گویند تاخیر باز هم به دلیل حساسیت‌ها جهت ارائه یک سرویس باکیفیت بوده است.

اما اساساً Object Storage چیست؟ «احمدرضا ملاپور»، شوالیه فناوری ابر آروان، توضیح می‌دهد که فضای ذخیره سازی ابری به دو شکل ارائه می‌شود: «سرویس‌هایی که به دست کاربر نهایی می‌رسد، مانند دراپ‌باکس، وان‌درایو، گوگل درایو یا آی‌کلاود، سرویس‌هایی هستند که همه ما با آن‌ها آشنا هستیم و مخاطب اصلی این آن‌ها، کاربرانی هستند که فایل‌های خود را در فضای ابری ذخیره‌سازی می‌کنند. اما همین سرویس‌ها، به Object Storage نیاز دارند.»

در واقع همین سرویس‌ها، نیاز دارند از یک سرویس Object Storage در پس زمینه استفاده کنند؛ مانند AWS یا Google Cloud. این سرویس‌ها API و SDK ارائه می‌دهند تا سرویس‌هایی که در اختیار کاربران نهایی قرار بگیرند، بتوانند به درستی کار کنند.

Object Storage در واقع فایل‌ها را در چند نسخه در فضای ابری نگه‌داری می‌کند، امنیت آن‌ها را حفظ می‌کند و بر اساس CDN به شکلی سریع‌تر محتوا را تحویل می‌دهد. اما در نهایت مزیت اصلی این است که فایل را در فضای ابری نگه‌داری می‌کند؛ این فایل می‌تواند یک تصویر شخصی باشد یا تصویری که در سایتی بارگذاری شده تا برای بازدیدکنندگان به نمایش درآید. ابر آروان با ارائه این سرویس، زنجیره خدمات خود را کامل‌تر کرده است.

ایجاد بازارچه ابری (مارکت پلیس) و تحول ابر آروان

اما یکی از مهم‌ترین مسائلی که ابر آروان آن را در سوار ابرها مطرح کرد، باز کردن درهای کسب‌وکار و ایجاد یک مارکت پلیس است. چراکه از یک سو، توسعه‌دهندگانی وجود دارد که به دنبال توسعه‌ی محصولات ابری هستند و از طرف دیگر ابر آروان، مشتریانی دارد که مشغول بهره‌گیری از خدمات ابری هستند. هدف این است که این دو گروه به هم متصل شوند. «کوروش تفرشی»، شبکه‌پیشه‌ی آروان در همین رابطه می‌گوید:

«در مارکت پلیس، هر ارائه دهنده‌ی سرویس ابری که در ایران حضور دارد می‌تواند به ابر آروان متصل شود، از امکانات پایه‌ی ابر آروان استفاده کند و محصولش را در مارکت پلیس ابر آروان ارائه کند. تمام مشتریان ابر آروان هم می‌توانند از محصولاتی که دیگران در مارکت پلیس ارائه کرده‌اند، استفاده کنند.»

یکی از ویژگی‌های مهم که در بازارچه ابری آروان وجود خواهد داشت، CDN Apps است که اضافه کردن آن‌ها نیاز به هیچ تغییری در کد ندارد. تفرشی می‌گوید: «هر کس می‌تواند یک اپلیکیشن توسعه دهد و به مارکت پلیس ابر آروان اضافه کند. وب‌سایت‌هایی که از CDN آروان استفاده می‌کنند با یک کلیک می‌توانند آن را اضافه کنند؛ بدون اینکه نیاز به تغییر کد داشته باشند.»

اما شروط اضافه شدن به این مارکت پلیس چه هستند؟ شبکه‌پیشه‌ی آروان توضیح می‌دهد که برنامه‌ی پذیرش در مارکت پلیس دارای چند سطح است: «اپلیکیشن‌ها سطح بندی می‌شوند، امتیاز می‌گیرند و نهایتاً «Verify» می‌شوند. ممکن است یک اپلیکیشن بدون هیچ پیش‌شرطی فقط در مارکت پلیس قرار بگیرد و ما هم توصیه‌ای به کاربر در رابطه با آن نمی‌کنیم یا ادغام و یکپارچگی هم با آن وجود ندارد. اما یک اپلیکیشن می‌تواند در سطح بعدی، بیاید و با کیف پول یا سیستم Pay As You Go در آروان یکپارچه شود.»

او همچنین درباره بخش مالی این خدمات و سهم ابر آروان از حضور سایر سرویس‌ها در مارکت پلیس خود، می‌گوید: «در صورتی که اپلیکیشن رایگان نباشد، برای مثال ۳۰ درصد از درآمد برداشته می‌شود و در ازای آن سیستم Pay As You Go، مشتریان ابر آروان، کیف پول و... ارائه می‌شود. سطح بالاتری هم وجود دارد که ما اپلیکیشن قرار گرفته در مارکت پلیس را Verify هم می‌کنیم. در واقع ما اعلام می‌کنیم که سرویس را بررسی کرده‌ایم و از نظر ما، تایید شده است. این هم سطح دیگری از همکاری است که ما اپلیکیشن را به کاربران خود توصیه هم می‌کنیم.»

در این میان مهم‌ترین سوال این است آیا بازارچه ابری آروان می‌تواند باعث یک رشد انفجاری برای این شرکت در تعداد مشتریانش شود؟ این همان اتفاقی است که در سال ۹۶ و با اضافه شدن مارکت پلیس به دیجی‌کالا، برای همین فروشگاه اینترنتی افتاد. فرهاد فاطمی، هم‌بنیان‌گذار و ناخدای فنی ابر آروان می‌گوید: «این پیش‌بینی واقعا سخت است چون بازار خدمات ابری به اندازه‌ی بازار خرده فروشی بزرگ نیست. اما انتظار ما این است که یک تحول کسب‌وکاری در ابر آروان رخ دهد.»