میزگرد بررسی «چالشهای رایانش ابری در ایران» جمعه شب ۲۷ فروردینماه ۱۴۰۰ در کلابهاوس برگزار شد.
میزگرد بررسی «چالشهای رایانش ابری در ایران» جمعه شب ۲۷ فروردینماه ۱۴۰۰ در کلابهاوس برگزار شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، افتانا، میزگرد بررسی «چالشهای رایانش ابری در ایران» را با همکاری مهندس علی کیاییفر، مدیر توسعه محصول مدبران و مسئول کانال تلگرامی پینگ جمعه شب ۲۷ فروردینماه ۱۴۰۰ در کلابهاوس برگزار کرد. پیشتر بخش اول این نشست آنلاین را منتشر کردیم. هماکنون بخش دوم آن را در ادامه میخوانید.
مهندس کیاییفر: امنیت شرکتهای ارائهدهنده سرویس ابری بسیار مهم است. اینکه از نظر حقوقی و قانونی این دولت است که باید به بحث پایش امنیت این مجموعهها نظارت بکند یا بخش خصوصی پرسشی است که در مورد آن پاسخهای گوناگونی وجود دارد. در این مورد دو دیدگاه وجود دارد. گروهی معتقدند باید که یک نهاد رگولاتوری وجود داشته باشد تا ممیزی امنیت این ارائهدهندگان را انجام دهند، اما گروه دیگری معتقدند که باید از تمام ظرفیتها استفاده کرده و اجازه رشد استارتاپإها داده شود و نباید خیلی جلوی آنها دستاندازهای قانونی و ممیزی و مجوز و غیر بگذاریم. واقعا راهکار آن چیست؟
دکتر جوان: سال ۹۸ یک بررسی مطالعاتی داشتیم درباره امریکا و اروپا که آنها چکار میکنند. در رایانش ابری برای سازگاری امنیتی، گواهینامههای متعددی وجود دارد. از آن طرف، دولتها استانداردهایی را تدوین کردهاند که اگر یک سرویس ابری بخواهد به شکل عمومی استفاده شود یکسری رگولیشنها باید روی آن انجام شود تا گواهی لازم را بگیرد و شرکتهایی که آن مجوزها را گرفتهاند همراه با خدماتی که میتوانند ارائه دهند، اعلام میشوند. ما در اینجا هنوز این نظامات را نداریم. چندی قبل، مرکز ملی فضای مجازی گفت بررسی کنید که چه استانداردهایی باید داده شود که حداقل اگر دولت خواست به عنوان استفادهکننده این خدمت باشد چکار لازم است بکند. مستندات این کار ارائه شد، اما منجر به رگولیشنی نشد. در سطوحی مثل حوزه سلامت و غیره که به دولت هم مربوط میشود باید رگولیشنها از آن سمت اعلام و ابلاغ شود اما اگر در سطوح دیگری باشد میتوان موضوع رگولیشن صنفی را مطرح کرد؛ یعنی یکسری نهادهای خصوصی باشند که یک سطحی از ممیزیها را انجام دهند و این اعتماد را ایجاد کنند. ما هر دوی اینها را نداریم و در این مورد با خلاء مواجهایم. از آن طرف هم هر شرکت ابری باید به تناسب سطح خدماتی که ارائه میدهد و وسعت خدمات و مشتریانش استانداردها را رعایت کند و گواهی ها را بگیرد. مثلا شاید یک استارتاپ کوچک درباره رفتن به دنبال این استانداردها احساس نیار نکند، اما در سطحی مثل ابر آروان که به بسیاری جاهای دولتی و مشتریان بسیاری سرویس ارائه میدهد باید به سمت اخذ این گواهیها رفته باشد.
مهندس کیاییفر: این بحث را اینجا نگه میداریم و به سراغ آقای یوسفیزاده میرویم. زیرساختها تا چه اندازه برای ساختارهای ابری داخلی فراهم است؟
مهندس یوسفیزاده، مدیرعامل آسیاتک: وقتی صحبت از رایانش ابری میکنیم زیرشاخههای زیادی از رایانش ابری مطرح هستند و بسیاری از آنها مثل رایانش ابری پابلیک و تجاری به بلوغ و قابل استفاده شدن رسیدهاند. ما چالشهایی برای سایر سرویسها داریم که باید به آنها هم فکر کنیم.
باید ببینیم بهروز نگه داشتن در شرایط تحریم و توسعه ابزارهای عمومی را چگونه انجام دهیم. در سالهای اخیر توسعه زیادی در شبکه ارتباطی و دسترسی مردم و شرکتها اتفاق افتاده است و این موقعیت، قابل تقدیر است. روی همین شبکه، سرویسهای لایه بعد و پایهای زیرساخت دادهها بالا میآید. ما شاهد بلوغ انواع ابزارها و اپلیکیشنها و زیرساختهای این ابزارها هستیم.
بحث ارتباط دیتاسنترها و بسترهای نگهداری را پیش رو داریم که طراحیهای خیلی خوب و سرمایهگذاریهایی خوب از سوی شرکتهای بزرگ و وزارت ارتباطات بهزودی حجم خوبی را برای همه زیرساختها و اقشار، باز و رقابتی میکند. نیروی متخصص هم یکی از چالشهایی است که باید برطرف شود. برای رشد باید از همدیگر حمایت بیشتری کنیم و از اتفاقات آموزههایی داشته باشیم.
از طرفی برای بهبود کیفیت، سازمان فناوری نیز تفاهمنامهای با نظام صنفی برای رتبهبندی و نظارت بر دیتاسنترها امضا کرده است.
مهندس ناصح، مدیر فنی شرکت ابرآمد: باید به نداشتن بلوغ در زیرساختهای ارتباطی که ظرفیت ایجاد کلاودهای گسترده را ندارد، توجه داشته باشیم. همچنین امنیت در همهجای دنیا در کلاود بسیار مهم است، اما ما اغلب از آن غافل شدهایم. بحث جیکلاود یکی از مهمترین بحثهای این حوزه است که شاید الزامآور باشد تا شرکتهایی که در اکوسیستم ایران ابری فعال هستند به رشد برساند. سراسیمهگی در ارائه سرویسهای جدید و متحول در شرکتهایی که خیلی در آنها بلوغ نمیبینیم نگرانکننده است. خیلی نباید تنوع سرویس را به کیفیت بالا مرتبط کنیم و هرچند این تعدد، هویت خوبی به سرویسدهنده میدهد، اما باید منطقی پشت آن باشد. نباید مشتری را به سرویس ابر خود بیاوریم، اما یک بکاپ و پشتیبانی خوب به او ندهیم و برای امنیتش امکاناتی در اختیارش نگذاریم. چون برای مشتری پیچیدگی ایجاد میشود و ممکن است که گاهی منجر به مهاجرت او از کلاود شود. بحث نیروی متخصص بسیار ارزش آفرین است . تجربه و تربیت در این حوزه مراحل گذار را در تکنولوگی تسهیل می کند. تحریم ها هم معضل دیگری است که ارائه خدمات امنیتی را در سرویس های ابری دشوار کرده است . اگر بتوانیم درباره معماریهای امیتی و نیروی متخصص فکرکنیم و از سراسیمهگی و تنوع خدمات بکاهیم، موفقتر خواهیم بود.
مهندس کیاییفر: وقتی شرکتی سرویس کلاود ارائه میدهد اگرچه در قراردادش با مشتری نوشته است که مسئولیتی در زمینه بکآپگیری ندارند، ولی بدیهی است که باید حداقل طی یک فرایند زمانی کوتاه بتواند سرویس را در دسترس قرار بدهد و نمیتواند کسبوکارهای بسیاری را به تعویق بیندازد و لازم است که زودتر ارائه سرویس را از سر بگیرد. چون پرداخت جریمهها هم نمیتواند جبران خسارت ناشی از نابودی دیتا را برای این کسبوکاری که مشتری او بوده، بکند. آقای غفارینژاد، مسئول رسیدگی به موضوعات امنیت از دیدگاه حقوق مشتریانی که در یک حمله سایبری به نابودی کشیده میشوند، چیست؟
مهندس غفارینژاد: اگر بخواهم از نگاه یک مشتری فکر کنم وقتی من بخواهم سرویسی بگیرم و همچنان هم به این فکر کنم که موضوع امنیت و بکآپ چه میشود خیلی سودی برای من ندارد. موضوع دیگر این است که به عنوان یک شرکت ابری به جای اینکه به دنبال بلوغ باشیم سعی میکنیم با حمایتهای دولتی این کار را تسریع کنیم که اصلا خوب نیست.
یک چکلیست ساده میتواند مانع مشکلات بزرگ امنیتی شود. اینکه این چکلیست ساده وجود ندارد دلایلی بسیاری میتواند داشتهباشد. شتابزدگی برای رشد سازمان، نداشتن نیروی متخصص، یکتا بودن و نبود جو رقابتی تهدیدهایی برای یک سازمان و مشتریان او هستند که احساس نمیشوند.
بلوغ هنوز برای کلاودهای ایرانی شکل نگرفتهاست. همچنین کلاودها در ایران نه امنیت ایجاد میکنند و نه هزینه را کاهش میدهند و برای من مشتری و مدیر فنی سازمان خیلی جذاب نیست که خود را به سازمانی وابسته کنم که تضمینی برای بکآپ هم به من نمیدهد. مشتری هیچ حمایتی از جایی نمیشود که او را برای استفاده از این خدمات داخلی برانگیزد. انتظار من به عنوان مشتری از سرویس ابری این است که حتی اگر اتفاقی برای آن شرکت افتاد، من مشتری تهدید نشوم.
مهندس کیاییفر: از دیدگاه مشتری نمیتوانم به سرویس کلاودهای خارجی بروم چون شاهد بودم که با قطعی اینترنت کسی به جبران خسارتم فکر نکرد و کلاود داخلی هم از نظر امنیتی اعتماد و اطمینان را از من سلب کرده چون هیچ نهادی بهصورت دورهای آنها را ممیزی نمیکند تا مشخص شود که آیا پچها و غیره در آنها اعمال میشود یا نه. تنها راه این است که خودم بیایم سرویس را راهاندازی کنم که این هم یعنی نابودی سرویس ابری تجاری درکشور. راهکار آن چیست؟ آیا سازمان نظام صنفی یا نهادی مثل جامعه آزاد رایانش ابری باید متولی آن باشند؟ یا یک نهاد دولتی؟ چطو میتوان اعتماد مشتری را بازگرداند؟
مهندس شهاب احمدی، از مدیران ارشد فناوری اطلاعات در صنعت نفت: کسی که در ایران به سراغ کلاود میرود باید بداند چه ریسکی را متحمل میشود. شخصا به این زودیها به سمت کلاود ایران رفتن را درست نمیبینم. کلاودهای ایرانی باید شفافیت قراردادهای مشتریان را در نظر داشته باشند و به انها بگویند که با استفاده از سرویس آنها با چه مخاطراتی مواجه میشوند.
ما متاسفانه در ایران هنوز نهاد ممیزکننده و رتبهدهنده به دیتاسنترها را هم نداریم و چیزی هم که در نظام صنفی اتفاق افتاده این است که تعدادی از اعضایی که خودشان این بیزنس را دارند بین خودشان ممیزهایی انتخاب کردند.
اگر مثل شاپرک یک نهاد مستقل را به عنوان متولی این کار معرفی میشد خیلی اتفاق بهتری بود. مجموعه شاپرک که بهعنوان نهاد بالادستی بالای سر شرکتهای پرداختی ایستادهاست مستقل از آن صنف و از هرجایی است و اگر پیشرفتی در لایههای پرداخت میبینید نتیجه همین است که شاپرک به هیچ جا وابسته نیست، اما در دمورد دیتاسنترها خود نظام صنفی، یعنی بازیگران این حوزه که تعداد آنها خیلی هم زیاد نیست، خودشان باید یکدیگر ممیزی بکنند. لذا از خود بیزنس به خود بیزنس ممیزی دادن اتفاق خیلی اثرگذاری نخواهد بود.
مهندس عدالت، مدیرعامل شرکت رهنمون: چیزی که دنیا به سمت آن میرود مقرراتزدایی و خودتنظیمگری است. سازمان های خود تنظیمگر در کشور ما سابقه زیادی دارند مثل سازمان نظام مهندسی یا نظام پزشکی. حالا این اتفاق در نظام صنفی رایانهای هم نمیتواند بی اعتبار تلقی شود. این سازمان رستههای مختلف را در بر میگیرد. نهاد رگولاتور چه خصوصی چه دولتی چه سازمان مردمنهاد، اعتبار خود را از خروجی خود میگیرد. نظام صنفی امروز در آغاز راه است و قطعا ده سال دیگر میتوان درباره ممیزیهایی که به دیتاسنترها میدهد قضاوت کرد.
دکتر جوان: اینکه خود صنعت به حدی از بلوغ برسد که خود، بتواند رگولیشن را انجام دهد رسیدن به بالاترین حد بلوغ است و اینکه ما رگولیشن را به نظام صنفی بدهیم به معنی سلف رگولیشن نیست. باید به این فکر کنیم که رگولیشن هم نوعی بیزنس است. نظام صنفی میتواند نهاد بالاسری این رگولیشن بادیها باشد تا بتواند این نظارتها را مدیریت کند. چون میدانیم که وقتی نظارت دست دولت میافتد درگیر مسائل دیگری هم میشویم اما اگر نهادهای تخصصی همان حوزه باشند این گونه نمیشود. به نظر من نظام صنفی میتواند رگولیشن بادی را اداره کند و نظارت دست خود صنعت باشند و دولت به آن ورود نکند.
مهندس مسعود مقیمی، کارشناس و مشاور: موضوع این است که ما به وجود ناظر و امتیازدهی و کیفیتدهی عادت کردهایم. ولی چیزی که ما کارشناسان فنی به تجربه دیدهایم این است که این موضوع اثری ندارد. قرار نیست ما یکساله اعتماد بازار را جلب کنیم. بلکه جواب درست دادن به نگرانیهای مشتریان کمکم و در بلندمدت، این اعتماد را ایجاد میکند.
واقعیت این است که دنیا حداقل امروز با وجود این تحریمها به ما اعتماد نمیکند و بازار محدودی داریم، پس خودمان را با آمازون مقایسه نکنیم و به جای اضافه کردن هزاران فیچر روی سیستم روی یک خدمت تمرکز کنیم.
بازی بخش خصوصی بازی عرضه و تقاضاست و شرکت کلاود ایرانی باید نقاط هدف را درست بشناسد. میتواند به جای هدف گرفتن اعتماد، توسعه و مدیریت را هدف بگیرد یا یکی همافزایی را پیگیری کند و به دنبال پارتنرهای متخصص متشکل از برندهای تخصصی باشد که هر کدام خودشان را به بازار اثبات کردهاند و بدین شکل اعتماد اولیهای ایجاد میشود. بازار خصوصی در جهان دیگر از حالت بوروکراتیک و تایید نهاد بالادستی به سمت همافزایی با برندهای مختلف رفته است. متاسفانه ما درکشورمان خیلی به سمت همافزایی نرفتهایم و همه به دنبال سهم صد درصدی خودمان هستیم. من شخصا نه خیلی میتوانم خودم را به نهاد نظارتی ملزم بدانم نه ورود نظام صنفی و نه کنار کشیدن نظام صنفی.
مهندس کیاییفر: با بخشی از صحبتهای شما موافق هستم، اما از طرفی میبینیم که حمایتهای قانونی یک دغدغه از سوی مشتری است که اطمینانبخشی به کاربر میدهد و خود، اعتمادسازی را تقویت میکند پس نمیتوان این نهادهای نظارتی را مطلقا نفی کرد. بحثهای خوبی در اینجا داشتیم که بهدلیل طولانی شدن جلسه، آن را به میزگردهای تخصصی بعدی موکول میکنیم. در این میزگرد که روی کلابهاوس برگزار شد و همزمان در کانالهای تلگرامی افتانا و پینگ نیز پخش شد حدود ۳۰۰ نفر مخاطب آنلاین داشتیم.
شایان ذکر است که در این میزگرد آنلاین این مباحث نیز مطرح شدند که با توجه به گستردگی بحث پیرامون آنها امید میرود در میزگردهای آینده بتوان با حضور کارشناسان متخصص و زبده کشورمان، بیشتر به هر کدام از آنها پرداخت: فرهنگسازی که خود سازمانها بزرگ هم خیلی به بلوغ نرسیدند، نهاد بالادستی برای امتیازدهی، بومیسازی در یک سری مباحث کلاود مثل موضوع بکآپگیری،توانایی شرکت ابری برای برونرفت از بحرانهای احتمالی، میزان پاسخگویی زیرساخت کشور و پهنای باند مناسب، نداشتن چکلیست در شرکتهای ابری، دانش ناکافی مدیران در لایههای فنی سازمانها، محرمانگی اطلاعات شرکتهای ابری در زمینه تجهیزاتی که بهکار می برند و نیز توجه بیشتر نظام صنفی به قسمت فنی و استانداردها بهعنوان نهادی که اعتماد به بخش خصوصی در آن شکل میگیرد.