ديتاسنتري ايراني كه امن است

واضح آرشیو وب فارسی:ايتنا: ديتاسنتري ايراني كه امن است

مدير IDC شركت پارس‌آنلاين: نكته‌اي را هم لازم مي‌دانم كه متذكر شوم كه ديدگاه ما نسبت به امنيت بايد به روز باشد. متاسفانه اين مساله در بسياري از ديتاسنتر و يا سرور روم‌هايي كه برخي از شركت‌هاي دولتي به صورت مجزا تشكيل داده‌اند مشاهده مي‌شود. يعني طي يك بودجه تعدادي سرور خريداري مي‌شود و حتي برخي تجهيزات و يا نرم‌افرارهاي امنيتي را خريداري كرده‌اند. اين مديران به تجهيزات امنيتي مانند سرور نگاه مي‌كنند كه تا زماني كه فن دستگاه كار كند، نيازي به هزينه ندارد ولي در زمينه مسائل امنيتي بايد به روز باشيم و بخش زيادي از تجهيزات امنيتي هر روز نياز به به‌روز رساني دارد. سيستمي كه امروز ايمن است، فردا حتماً امن نيست.

ديتاسنتري ايراني كه امن است
گفت‌وگو با مدير IDC شركت پارس‌آنلاين
ياشار بهمند- دنياي كامپيوتر و ارتباطات
وقتي صحبت از امنيت اطلاعات مي‌شود، به ناچاه نگاه‌ها متوجه مكان‌هايي مي‌شود كه اين مراكز در آنجا نگهداري مي‌شوند. حال اگر اين قصد داشته باشيم اين اطلاعات را بر روي شبكه اينترنت منتقل كنيم مراكز داده IDC خود را نشان خواهد داد و بالطبع حفظ امنيت در اين مراكز از اهميت به سزايي برخوردار خواهد بود. بر اين اساس بي ربط نديديم اگر در اين شماره كه به بحث امنيت پرداخته‌ايم به سراغ يكي از اين IDCهاي ايراني برويم و از امنيت در آن مكان جويا شويم. در اين مصاحبه كه در دفتر امامي يكي از مديران شركت پارس‌آنلاين و با حضور ايشان برگزار شد، روبروي ما حسين لطفي، مدير جوان IDC اين شركت نشسته بود، مديري كه در عين جواني داراي تجربه فني و مديريتي بسيار زياد در اين زمينه است.

• مطمئناً بارها به سئوال چرا هاستينگ در ايران پاسخ داده‌ايد، يك بار ديگر به اين سئوال از ديد امنيتي جواب دهيد.
اول بايد به اين نكته توجه كنيم كه ما هر چه شبكه را محدودتر كنيم امنيت بيشتر است، يعني اگر اطلاعات شما در ايران استفاده مي‌شود، اگر مسير دسترسي به اطلاعات را محدود به كشور ايران كنيم، چون مسير كمتر است، و از گره‌هاي كمتري رد مي‌شود امنيت بيشتر حفظ مي‌شود. شما در صورتي كه در خارج كشور هاست كنيد فقط براي وارد كردن نام كاربري و رمز بايد اين اطلاعات را بر روي بسته‌اي به خارج كشور بفرستيد و خدا مي‌داند كه اين اطلاعات از چه مسيري مي‌رود و در اين مسير چه اتفاقاتي مي‌تواند براي اين اطلاعات بيافتد، اما در صورت وجود ديتاسنتر و شبكه مطمئن داخلي اين اطلاعات نيازي به رفت و برگشت به خارج كشور ندارد. مساله ديگر تاييد هويت است. بسياري از حمله‌ها بخاطر اين است كه كسي خودش را به جاي شما جا مي‌كند و بارها دامنه‌هاي .com بسياري به همين علت از دست كاربران خارج شده است ولي همين حمله‌ها بر روي دامين .ir يا اتفاق نمي‌افتد و يا در صورت وقوع با مراجعه حضوري به سرعت قابل رفع شدن است.

اين مساله بارها در مساله هاستينگ رخ مي‌دهد و به راحتي در ايران براي مشتري ايراني قابل پيگيري است. نكته ديگر اينكه همه هاستينگ‌هايي كه در خارج كشور وجود دارد، پيشرفته نيست، داراي محيط مناسب براي هاستينگ نيست، شايد بسياري مسائل امنيتي در آنجا رعايت نمي‌شود. امروزه به خاطر مسائل تحريم بسياري از هاستينگ‌هايي به ايران سرويس مي‌دهند در كشور خودشان جزو بهترين‌ها نيستند و حتي برخي از آنها خدمات خود را به قيمت‌هاي ارزان‌تري ارائه مي‌كنند و اين براي مشتري ايراني جذاب است در صورتي كه مسائل امنيتي در آنها رعايت نمي‌شود، اما شما مي‌توانيد به راحتي با ديتاسنتر پارس‌آنلاين آشنا شويد. ساختمان اين مجموعه را كه اصولاً فقط به اين منظور طراحي شده را ببينيد، با تدابير به كار رفته امنيتي و تجهيزات مورد استفاده در آن آشنا شويد و ... .

• نقش مراكز داده در امنيت چيست؟
در جواب سئوال شما من بايد نكته‌اي را خدمتتان عرض كنم. ما امروزه با بسياري سازمان‌ها در حال فرهنگ‌سازي هستيم كه مزاياي هاستينگ در داخل كشور را به آنها توضيح دهيم. در مورد خصوصي‌ها اين انتخاب بين ايران و خارج است و در بين دولتي‌ها كه موظف شده‌اند در داخل‌ كشور هاست كنند، هم 2 انتخاب وجود دارد، ساختن يك ديتاسنتر و يا استفاده از ديتاسنترهاي موجود در كشور. در جريان اين فرهنگ‌سازي متوجه شده‌ايم كه تقسيم وظايف در زمينه امنيتي به خوبي تبيين نشده و ما در حال حاضر يكي از فعاليت‌هايي كه انجام مي‌دهيم تشريح امنيت و وظيفه هر كدام از عناصر در آن است. در بحث امنيت هر روزه مي‌بينيم كه سردمداران امنيتي دنيا هر روزه مورد آسيب قرار مي‌گيرند و اين نشان‌دهنده اين است كه امنيت صد درصدي وجود ندارد ولي ما تلاش مي‌كنيم اقداماتي كه خود انجام داده‌ايم و مزاياي هاستينگ در داخل را توضيح دهيم و به آنها بگوييم در اين بخشي كه وظيفه امنيت بر عهده ماست، تا چه ميزان كارآيي دارد. بخشي از تامين امنيت بر عهده شبكه حامل اطلاعات و بخشي ديگر بر عهده فرد استفاده كننده از آن اطلاعات است.

اگر كار صد درصد توسط ديتاسنتر انجام شود، يعني پياده‌سازي، اجرا و نگهداري توسط ديتاسنتر است و مشتري فقط كاربر است، سهم عظيمي از امنيت بر عهده ديتاسنتر است. اما اگر ديتاسنتر فقط فضا را در اختيار مشتري قرار دهد، و مواردي چون collocate داشته باشيم، در اين صورت امنيت آن بيشتر بر عهده مشتري خواهد بود. اما در اين صورت هم ما مشتري را تنها نمي‌گذاريم. ما تجربه خودمان را در اين صورت در اختيار مشتريانمان مي‌گذاريم و به نحوي آنها را مورد پشتيباني فني قرار مي‌دهيم. به نحوي كه برخي از قطعات فني كه در پارس‌آنلاين وجود دارد تمامي ديتاهاي موجود را مورد پشتيباني قرار مي‌دهد در صورتي كه اجرا و راه‌اندازي اين دستگاه‌ها به صورت منفرد هزينه بسيار گزافي را بر مشتري تحميل مي‌كند.

نكته‌اي را هم لازم مي‌دانم كه متذكر شوم كه ديدگاه ما نسبت به امنيت بايد به روز باشد. متاسفانه اين مساله در بسياري از ديتاسنتر و يا سرور روم‌هايي كه برخي از شركت‌هاي دولتي به صورت مجزا تشكيل داده‌اند مشاهده مي‌شود. يعني طي يك بودجه تعدادي سرور خريداري مي‌شود و حتي برخي تجهيزات و يا نرم‌افرارهاي امنيتي را خريداري كرده‌اند. اين مديران به تجهيزات امنيتي مانند سرور نگاه مي‌كنند كه تا زماني كه فن دستگاه كار كند، نيازي به هزينه ندارد ولي در زمينه مسائل امنيتي بايد به روز باشيم و بخش زيادي از تجهيزات امنيتي هر روز نياز به به‌روز رساني دارد. سيستمي كه امروز ايمن است، فردا حتماً امن نيست.

• حال كه جايگاه ديتاسنتر در امنيت مشخص شد، سئوال ديگري پيش مي‌آيد: امنيت در يك ديتاسنتر چگونه تامين مي‌گردد؟
ما وقتي از يك ديتاسنتر صحبت مي‌كنيم، 2 بحث مطرح است، امنيت فيزيكي و امنيت شبكه‌اي. از بحث امنيت فيزيكي آغاز مي‌كنم. ساختمان ديتا سنتر پارس آنلاين با هدف كاربري ديتاسنتر ساخته شده است و با ديدگاه‌هاي امنيتي ساخته شده است. در ساخت آن موانع امنيتي پيش‌بيني شده است. در طراحي آن ما اين مساله را پيش‌بيني كرده‌ايم كه به هر قسمت چه كساني اجازه تردد دارند و پيش‌بيني شده كه هر كسي نتواند به بخش ديگر وارد شود.

در اين ساختمان ما سه منطقه امنيتي داريم و موانع خود ساختمان مانند يك دژ مستحكم منطقه مركزي را درون خود قرار داده است. منطقه صفر وقتي است كه با فرد غير آشنا طرفيم، مثل وقتي كه در سالن آمفي تاتري كه در آنجا وجود دارد، برنامه‌اي در حال اجرا باشد. پرسنل پارس‌آنلاين اجازه ورود به منطقه 1 را دارند و منطقه 2 كه سرورها در آنجا وجود دارند براي بخشي از پرسنل فراهم شده است. جالب اينجاست كه اين منطقه 7 متر زير زمين قرار دارد. تازه در آنجا هم منطقه‌بندي و سگمنت‌بندي شده است و براي مثال فردي كه به تجهيزات ماهواره‌اي دسترسي دارد، به منطقه ديگر اجازه ورود ندارد. اين مساله حتي در بسياري از ديتاسنترهاي مطرح رعايت نشده است. دستگاه كنترل دسترسي را از نوع ايراني انتخاب كرده‌ايم اما برنامه‌اي ويژه براي آن درخواست كرده‌ايم كه مثلاً اگر در سايت اتفاقي بيافتد اقداماتي خاص انجام مي‌پذيرد. اين دستگاه به صورت SMS، بلوتوث و ... قابليت ارسال پيام به مديران حراست و مديران بخش را دارد.

در اين دستگاه چينش دروازه‌ها به صورتي تعريف شده است كه كسي كه مي‌تواند مثلاً به اتاق X دسترسي داشته باشد از درهاي 1 و 2 و 3 مي‌تواند رد شود و كسي كه به اتاق Y امكان دسترسي دارد از درهاي 1 و 2 و 4 مي‌تواند رد شود و اين فرد امكان رد شدن از در 3 را ندارد و نفر قبلي هم امكان رد شدن از در 4 را ندارد. يا مثلاً ملاقات شونده ساعت ملاقات دارد و بيش از آن امكان ماندن در مجموعه را ندارد و بعد از مدتي كارت، كليد ديگر كار نمي‌كند. مقاومت ساختمان از نكات جالب فيزيكي ساختمان است و تونلي جاذب شوك دورتادور ساختمان كنده شده و ساختمان را بغل كرده است. كاربرد اين تونل به اين منظور است كه اگر شوكي لرزه‌اي در اطراف ساختمان اتفاق بيافتد، اين شوك بايد بسيار قوي باشد تا به سازه برسد چون تونل جاذب شوك بخش زيادي از قدرت آن شوك را به خود جذب مي‌كند و مانع صدمه ديدن ساختمان مي‌شود. سازه ضد زلزله هم طراحي شده است.

البته ساختمان به قدري مقاوم طراحي شده است كه توان تحمل ديش 7 متري كه در پشت‌بام مجموعه قرار است نصب شود را داشته باشد. در بخش امنيت فيزيكي ساختمان موانع شما مي‌توانند در 2 نوع نظارتي و حفاظتي باشند، در اين ديتاسنتر حتي از پيشرفته‌ترين ابزار حفاظتي با نام ايرلاك هم استفاده شده است. اين ابزار به جز اين كه بدون حضور مامور امنيتي شما را از لحاظ وسايل چك مي‌كند، از لحاظ وزني هم شما را چك مي‌كند تا مبادا قطعه‌اي با خود به بيرون برده باشيد.

• بخش ديگر امنيت، امنيت شبكه‌اي است، پارس آنلاين چه تمهيداتي براي اين بخش سنجيده است؟
امنيت در بخش شبكه‌اي هم 2 قسمت است. يك بخش بخش تحليل اطلاعات و ديگري فايروال‌ها. يك فايروال موجود بي‌شعوري است كه ترافيك‌ها را به 2 بخش محدود و آزاد غربال مي‌كند. اما همين ترافيك‌هاي آزاد هستند كه سر سيستم بلا مي‌آورند. بايد شما خوب و بد ترافيك را مشخص كنيد. يك گاري را كه وارد يك شهر مي‌‌شود براي شما مثال مي‌زنم، شما صد تا هم دروازه براي اين شهر در نظر بگيريد، تا كسي محصول داخل گاري را زير و رو نكند اين گاري به راحتي از تمام دروازه‌ها عبور مي‌كند. شما بايد در جايي داخل بسته‌ها را تحليل كنيد. در بسياري موارد شما چند دروازه مي‌گذاريد به علت اينكه اگر يكي تعدادي از فايل‌هاي بد را تشخيص داد، ديگري بقيه را مجدداً بررسي كند و تعداد ديگري را تشخيص دهد. يك بار ديگر اشاره مي‌كنم اينها مربوط به فايل‌هايي هستند كه برچسب دارند و هنوز بسياري از تهديدات امنيتي به عنوان فايل آزاد وارد شده‌اند.

اطلاعات وارد ديتاسنتر ما كه مي‌شود از چند مرحله غربال (فايروال) رد مي‌شود كه اين تعداد مراحل بستگي به اهميت اطلاعات و نحوه مشتري و قرارداد في‌مابين دارد. بعد بسته اطلاعاتي وارد بلوكي مي‌شود كه داخل بسته‌ها را باز مي‌كند و اين ديوايس اطلاعات را تحليل مي‌كند. اين ديوايس‌ها به IPS و IDS معروف هستند. مثلاً يكي از روش‌هاي كار اين دستگاه نمره‌دهي است. يعني به يك بسته و يا يك IP بسته به رفتاري كه انجام مي‌دهد نمره داده مي‌شود و به واسطه دريافت نمره‌هاي منفي حلقه محاصره تنگ‌تر مي‌شود. جالب است بدانيد كه يك 24 ساعت يكي از IPSها حدود 1 ميليون تحديد امنيتي از بين حدود 685 ميليون بسته وارد شده به ديتاسنتر ما را شناسايي مي‌كند و اينگونه نيست كه ما اينجا نشسته باشيم و بي كار باشيم. بعضي از دستگاه‌هاي ما در روز بارها بايد به روز رساني شوند تا اطلاعات روز، حمله‌هاي روز را داشته باشند تا بتوانند در مقابل آنها مقاومت نمايند.

• خوب با همين فايروال و IPS امنيت شبكه تامين شد، يعني دستگاه‌هاي ديگري هم داريد؟
خير تازه اطلاعات جدا شدند. شما براي انتقال بعضي اطلاعات نياز به رمزنگاري داريد، پس دستگاه رمزنگار نياز داريد. يك سري سيستم‌هاي تاييد هويت نساز داريد كه براي اين كار به كليد‌ها و توكن‌ها نياز داريد. يك سري نمونه‌گير از بسته نياز داريد. براي جرم‌شناسي نياز به يك سري كپي‌برداري و ركورد كردن از اطلاعات داريد. يكي از بلوك‌ها هم براي تحليل داده‌هاي drop شده است. و يا سيستم‌هايي كه براي كنترل و پيدا كردن وجه اشتراك تحديدات امنيتي كاربرد دارند. تمام اتفاقات تا اينجا براي اين است كه اتفاقي نيافتد، حالا اگر افتاد چه كارهايي مي‌توانيد انجام دهيد. براي اين مرحله مثلاً backup گيري را داريم، اما وقتي شما اطلاعات يك بانك و يا بيمه را داريد، backup يعني اطلاعات روز قبل و يا حتي ساعت قبل كه اين يعني فاجعه. ما براي اين كار به سراغ راه‌حل‌ها و امكاناتي رفتيم كه بتوانيم اطلاعات فقط آن ناحيه آسيب ديده را بازگردانيم كه داستان آن هم مفصل است و در حوصله اين مصاحبه نمي‌گنجد.

• با تشكر از زماني كه براي ما اختصاص داديد.
دوشنبه 25 شهريور 1387

این صفحه را در گوگل محبوب کنید

[ارسال شده از: ايتنا]

[مشاهده در: www.itna.ir]

[تعداد بازديد از اين مطلب: 175]