يکشنبه ۲ دی ۱۴۰۳ , 22 Dec 2024
جالب است ۰
در میزگرد «چالش‌های رایانش ابری در ایران» بررسی شد

نظارت بر سرویس‌دهندگان راه اعتماد مشتریان را هموار می‌کند

اختصاصی افتانا-بخش دوم
میزگرد بررسی «چالش‌های رایانش ابری در ایران» جمعه شب ۲۷ فروردین‌ماه ۱۴۰۰ در کلاب‌هاوس برگزار شد.
میزگرد بررسی «چالش‌های رایانش ابری در ایران» جمعه شب ۲۷ فروردین‌ماه ۱۴۰۰ در کلاب‌هاوس برگزار شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، افتانا، میزگرد بررسی «چالش‌های رایانش ابری در ایران» را با همکاری مهندس علی کیایی‌فر، مدیر توسعه محصول مدبران و مسئول کانال تلگرامی پینگ جمعه شب ۲۷ فروردین‌ماه ۱۴۰۰ در کلاب‌هاوس برگزار کرد. پیش‌تر بخش اول این نشست آنلاین را منتشر کردیم. هم‌اکنون بخش دوم آن را در ادامه می‌خوانید.

مهندس کیایی‌فر: امنیت شرکت‌های ارائه‌دهنده سرویس ابری بسیار مهم است. اینکه از نظر حقوقی و قانونی این دولت است که باید به بحث پایش امنیت این مجموعه‌ها نظارت بکند یا بخش خصوصی پرسشی است که در مورد آن پاسخ‌های گوناگونی وجود دارد. در این مورد دو دیدگاه وجود دارد. گروهی معتقدند باید که یک نهاد رگولاتوری وجود داشته باشد تا ممیزی امنیت این ارائه‌دهندگان را انجام دهند، اما گروه دیگری معتقدند که باید از تمام ظرفیت‌ها استفاده کرده و اجازه رشد استارتاپإها داده شود و نباید خیلی جلوی آنها دست‌اندازهای قانونی و ممیزی و مجوز و غیر بگذاریم. واقعا راهکار آن چیست؟

دکتر جوان: سال ۹۸ یک بررسی مطالعاتی داشتیم درباره امریکا و اروپا که آنها چکار می‌کنند. در رایانش ابری برای سازگاری امنیتی، گواهی‌نامه‌های متعددی وجود دارد. از آن طرف، دولت‌ها استانداردهایی را تدوین کرده‌اند که اگر یک سرویس ابری بخواهد به شکل عمومی استفاده شود یک‌سری رگولیشن‌ها باید روی آن انجام شود تا گواهی لازم را بگیرد و شرکت‌هایی که آن مجوزها را گرفته‌اند همراه با خدماتی که می‌توانند ارائه دهند، اعلام می‌شوند. ما در اینجا هنوز این نظامات را نداریم. چندی قبل، مرکز ملی فضای مجازی گفت بررسی کنید که چه استانداردهایی باید داده شود که حداقل اگر دولت خواست به عنوان استفاده‌کننده این خدمت باشد چکار لازم است بکند. مستندات این کار ارائه شد، اما منجر به رگولیشنی نشد.
در سطوحی مثل حوزه سلامت و غیره که به دولت هم مربوط می‌شود باید رگولیشن‌ها از آن سمت اعلام و ابلاغ شود اما اگر در سطوح دیگری باشد می‌توان موضوع رگولیشن صنفی را مطرح کرد؛ یعنی یک‌سری نهادهای خصوصی باشند که یک سطحی از ممیزی‌ها را انجام دهند و این اعتماد را ایجاد کنند. ما هر دوی اینها را نداریم و در این مورد با خلاء مواجه‌ایم.
از آن طرف هم هر شرکت ابری باید به تناسب سطح خدماتی که ارائه می‌دهد و وسعت خدمات و مشتریانش استانداردها را رعایت کند و گواهی ها را بگیرد. مثلا شاید یک استارتاپ کوچک درباره رفتن به دنبال این استانداردها احساس نیار نکند، اما در سطحی مثل ابر آروان که به بسیاری جاهای دولتی و مشتریان بسیاری سرویس ارائه می‌دهد باید به سمت اخذ این گواهی‌ها رفته باشد.

مهندس کیایی‌فر: این بحث را اینجا نگه می‌داریم و به سراغ آقای یوسفی‌زاده می‌رویم. زیرساخت‌ها تا چه اندازه برای ساختارهای ابری داخلی فراهم است؟

مهندس یوسفی‌زاده، مدیرعامل آسیاتک: وقتی صحبت از رایانش ابری می‌کنیم زیرشاخه‌های زیادی از رایانش ابری مطرح هستند و بسیاری از آنها مثل رایانش ابری پابلیک و تجاری به بلوغ و قابل استفاده شدن رسیده‌اند. ما چالش‌هایی برای سایر سرویس‌ها داریم که باید به آنها هم فکر کنیم.

باید ببینیم به‌روز نگه داشتن در شرایط تحریم و توسعه ابزارهای عمومی را چگونه انجام دهیم. در سال‌های اخیر توسعه زیادی در شبکه ارتباطی و دسترسی مردم و شرکت‌ها اتفاق افتاده است و این موقعیت، قابل تقدیر است. روی همین شبکه، سرویس‌های لایه بعد و پایه‌ای زیرساخت داده‌ها بالا می‌آید. ما شاهد بلوغ انواع ابزارها و اپلیکیشن‌ها و زیرساخت‌های این ابزارها هستیم.

بحث ارتباط دیتاسنترها و بسترهای نگهداری را پیش رو داریم که طراحی‌های خیلی خوب و سرمایه‌گذاری‌هایی خوب از سوی شرکت‌های بزرگ و وزارت ارتباطات به‌زودی حجم خوبی را برای همه زیرساخت‌ها و اقشار، باز و رقابتی می‌کند.
نیروی متخصص هم یکی از چالش‌هایی است که باید برطرف شود. برای رشد باید از همدیگر حمایت بیشتری کنیم و از اتفاقات آموزه‌هایی داشته باشیم.

از طرفی برای بهبود کیفیت، سازمان فناوری نیز تفاهم‌نامه‌ای با نظام صنفی برای رتبه‌بندی و نظارت بر دیتاسنترها امضا کرده است.

مهندس ناصح، مدیر فنی شرکت ابرآمد: باید به نداشتن بلوغ در زیرساخت‌های ارتباطی که ظرفیت ایجاد کلاودهای گسترده را ندارد، توجه داشته باشیم. همچنین امنیت در همه‌جای دنیا در کلاود بسیار مهم است، اما ما اغلب از آن غافل شده‌ایم.
بحث جی‌کلاود یکی از مهم‌ترین بحث‌های این حوزه است که شاید الزام‌آور باشد تا شرکت‌هایی که در اکوسیستم ایران ابری فعال هستند به رشد برساند. سراسیمه‌گی در ارائه سرویس‌های جدید و متحول در شرکت‌هایی که خیلی در آنها بلوغ نمی‌بینیم نگران‌کننده است. خیلی نباید تنوع سرویس را به کیفیت بالا مرتبط کنیم و هرچند این تعدد، هویت خوبی به سرویس‌دهنده می‌دهد، اما باید منطقی پشت آن باشد. نباید مشتری را به سرویس ابر خود بیاوریم، اما یک بک‌اپ و پشتیبانی خوب به او ندهیم و برای امنیتش امکاناتی در اختیارش نگذاریم. چون برای مشتری پیچیدگی ایجاد می‌شود و ممکن است که گاهی منجر به مهاجرت او از کلاود شود.
بحث نیروی متخصص بسیار ارزش آفرین است . تجربه و تربیت در این حوزه مراحل گذار را در تکنولوگی تسهیل می کند. تحریم ها هم معضل دیگری است که ارائه خدمات امنیتی را در سرویس های ابری دشوار کرده است . اگر بتوانیم درباره معماری‌های امیتی و نیروی متخصص فکرکنیم و از سراسیمه‌گی و تنوع خدمات بکاهیم، موفق‌تر خواهیم بود.

مهندس کیایی‌فر: وقتی شرکتی سرویس کلاود ارائه می‌دهد اگرچه در قراردادش با مشتری نوشته ‌است که مسئولیتی در زمینه بک‌آپ‌گیری ندارند، ولی بدیهی است که باید حداقل طی یک فرایند زمانی کوتاه بتواند سرویس را در دسترس قرار بدهد و نمی‌تواند کسب‌و‌کارهای بسیاری را به تعویق بیندازد و لازم است که زودتر ارائه سرویس را از سر بگیرد. چون پرداخت جریمه‌ها هم نمی‌تواند جبران خسارت ناشی از نابودی دیتا را برای این کسب‌وکاری که مشتری او بوده، بکند. آقای غفاری‌نژاد، مسئول رسیدگی به موضوعات امنیت از دیدگاه حقوق مشتریانی که در یک حمله سایبری به نابودی کشیده می‌شوند، چیست؟

مهندس غفاری‌نژاد: اگر بخواهم از نگاه یک مشتری فکر کنم وقتی من بخواهم سرویسی بگیرم و همچنان هم به این فکر کنم که موضوع امنیت و بک‌آپ چه می‌شود خیلی سودی برای من ندارد. موضوع دیگر این است که به عنوان یک شرکت ابری به جای اینکه به دنبال بلوغ باشیم سعی می‌کنیم با حمایت‌های دولتی این کار را تسریع کنیم که اصلا خوب نیست.

یک چک‌لیست ساده می‌تواند مانع مشکلات بزرگ امنیتی شود. اینکه این چک‌لیست ساده وجود ندارد دلایلی بسیاری می‌تواند داشته‌باشد. شتاب‌زدگی برای رشد سازمان، نداشتن نیروی متخصص، یکتا بودن و نبود جو رقابتی تهدیدهایی برای یک سازمان و مشتریان او هستند که احساس نمی‌شوند.

بلوغ هنوز برای کلاودهای ایرانی شکل نگرفته‌است. همچنین کلاودها در ایران نه امنیت ایجاد می‌کنند و نه هزینه را کاهش می‌دهند و برای من مشتری و مدیر فنی سازمان خیلی جذاب نیست که خود را به سازمانی وابسته کنم که تضمینی برای بک‌آپ هم به من نمی‌دهد.
مشتری هیچ حمایتی از جایی نمی‌شود که او را برای استفاده از این خدمات داخلی برانگیزد. انتظار من به عنوان مشتری از سرویس ابری این است که حتی اگر اتفاقی برای آن شرکت افتاد، من مشتری تهدید نشوم.

مهندس کیایی‌فر: از دیدگاه مشتری نمی‌توانم به سرویس کلاودهای خارجی بروم چون شاهد بودم که با قطعی اینترنت کسی به جبران خسارتم فکر نکرد و کلاود داخلی هم از نظر امنیتی اعتماد و اطمینان را از من سلب کرده چون هیچ نهادی به‌صورت دوره‌ای آنها را ممیزی نمی‌کند تا مشخص شود که آیا پچ‌ها و غیره در آنها اعمال می‌شود یا نه. تنها راه این است که خودم بیایم سرویس را راه‌اندازی کنم که این هم یعنی نابودی سرویس ابری تجاری درکشور. راهکار آن چیست؟ آیا سازمان نظام صنفی یا نهادی مثل جامعه آزاد رایانش ابری باید متولی آن باشند؟ یا یک نهاد دولتی؟ چطو می‌توان اعتماد مشتری را بازگرداند؟

مهندس شهاب احمدی، از مدیران ارشد فناوری اطلاعات در صنعت نفت: کسی که در ایران به سراغ کلاود می‌رود باید بداند چه ریسکی را متحمل می‌شود. شخصا به این زودی‌ها به سمت کلاود ایران رفتن را درست نمی‌بینم. کلاودهای ایرانی باید شفافیت قراردادهای مشتریان را در نظر داشته باشند و به انها بگویند که با استفاده از سرویس آنها با چه مخاطراتی مواجه می‌شوند.

ما متاسفانه در ایران هنوز نهاد ممیزکننده و رتبه‌دهنده به دیتاسنترها را هم نداریم و چیزی هم که در نظام صنفی اتفاق افتاده این است که تعدادی از اعضایی که خودشان این بیزنس را دارند بین خودشان ممیزهایی انتخاب کردند.

اگر مثل شاپرک یک نهاد مستقل را به عنوان متولی این کار معرفی میشد خیلی اتفاق بهتری بود. مجموعه شاپرک که به‌عنوان نهاد بالادستی بالای سر شرکت‌های پرداختی ایستاده‌است مستقل از آن صنف و از هرجایی است و اگر پیشرفتی در لایه‌های پرداخت می‌بینید نتیجه همین است که شاپرک به هیچ جا وابسته نیست، اما در دمورد دیتاسنترها خود نظام صنفی، یعنی بازیگران این حوزه که تعداد آنها خیلی هم زیاد نیست، خودشان باید یکدیگر ممیزی بکنند. لذا از خود بیزنس به خود بیزنس ممیزی دادن اتفاق خیلی اثرگذاری نخواهد بود.

مهندس عدالت، مدیرعامل شرکت رهنمون: چیزی که دنیا به سمت آن می‌رود مقررات‌زدایی و خودتنظیم‌گری است. سازمان های خود تنظیم‌گر در کشور ما سابقه زیادی دارند مثل سازمان نظام مهندسی یا نظام پزشکی. حالا این اتفاق در نظام صنفی رایانه‌ای هم نمی‌تواند بی اعتبار تلقی شود. این سازمان رسته‌های مختلف را در بر می‌گیرد. نهاد رگولاتور چه خصوصی چه دولتی چه سازمان مردم‌نهاد، اعتبار خود را از خروجی خود می‌گیرد. نظام صنفی امروز در آغاز راه است و قطعا ده سال دیگر می‌توان درباره ممیزی‌هایی که به دیتاسنترها می‌دهد قضاوت کرد.

دکتر جوان: اینکه خود صنعت به حدی از بلوغ برسد که خود، بتواند رگولیشن را انجام دهد رسیدن به بالاترین حد بلوغ است و اینکه ما رگولیشن را به نظام صنفی بدهیم به معنی سلف رگولیشن نیست. باید به این فکر کنیم که رگولیشن هم نوعی بیزنس است. نظام صنفی می‌تواند نهاد بالاسری این رگولیشن بادی‌ها باشد تا بتواند این نظارت‌ها را مدیریت کند. چون می‌دانیم که وقتی نظارت دست دولت می‌افتد درگیر مسائل دیگری هم می‌شویم اما اگر نهادهای تخصصی همان حوزه باشند این گونه نمی‌شود. به نظر من نظام صنفی می‌تواند رگولیشن بادی را اداره کند و نظارت دست خود صنعت باشند و دولت به آن ورود نکند.

مهندس مسعود مقیمی، کارشناس و مشاور: موضوع این است که ما به وجود ناظر و امتیازدهی و کیفیت‌دهی عادت کرده‌ایم. ولی چیزی که ما کارشناسان فنی به تجربه دیده‌ایم این است که این موضوع اثری ندارد. قرار نیست ما یک‌ساله اعتماد بازار را جلب کنیم. بلکه جواب درست دادن به نگرانی‌های مشتریان کم‌کم و در بلندمدت، این اعتماد را ایجاد می‌کند.

واقعیت این است که دنیا حداقل امروز با وجود این تحریم‌ها به ما اعتماد نمی‌کند و بازار محدودی داریم، پس خودمان را با آمازون مقایسه نکنیم و به جای اضافه کردن هزاران فیچر روی سیستم روی یک خدمت تمرکز کنیم.

بازی بخش خصوصی بازی عرضه و تقاضاست و شرکت کلاود ایرانی باید نقاط هدف را درست بشناسد. می‌تواند به جای هدف گرفتن اعتماد، توسعه و مدیریت را هدف بگیرد یا یکی هم‌افزایی را پیگیری کند و به دنبال پارتنرهای متخصص متشکل از برندهای تخصصی باشد که هر کدام خودشان را به بازار اثبات کرده‌اند و بدین شکل اعتماد اولیه‌ای ایجاد می‌شود. بازار خصوصی در جهان دیگر از حالت بوروکراتیک و تایید نهاد بالادستی به سمت هم‌افزایی با برندهای مختلف رفته است. متاسفانه ما درکشورمان خیلی به سمت هم‌افزایی نرفته‌ایم و همه به دنبال سهم صد درصدی خودمان هستیم. من شخصا نه خیلی می‌توانم خودم را به نهاد نظارتی ملزم بدانم نه ورود نظام صنفی و نه کنار کشیدن نظام صنفی.

مهندس کیایی‌فر: با بخشی از صحبت‌های شما موافق هستم، اما از طرفی می‌بینیم که حمایت‌های قانونی یک دغدغه از سوی مشتری است که اطمینان‌بخشی به کاربر می‌دهد و خود، اعتمادسازی را تقویت می‌کند پس نمی‌توان این نهادهای نظارتی را مطلقا نفی کرد. بحث‌های خوبی در اینجا داشتیم که به‌دلیل طولانی شدن جلسه، آن را به میزگردهای تخصصی بعدی موکول می‌‌کنیم. در این میزگرد که روی کلاب‌هاوس برگزار شد و هم‌زمان در کانال‌های تلگرامی افتانا و پینگ نیز پخش شد حدود ۳۰۰ نفر مخاطب آنلاین داشتیم.

شایان ذکر است که در این میزگرد آنلاین این مباحث نیز مطرح شدند که با توجه به گستردگی بحث پیرامون آنها امید می‌رود در میزگردهای آینده بتوان با حضور کارشناسان متخصص و زبده کشورمان، بیشتر به هر کدام از آنها پرداخت: فرهنگ‌سازی که خود سازمان‌ها بزرگ هم خیلی به بلوغ نرسیدند‌، نهاد بالادستی برای امتیازدهی، بومی‌سازی در یک سری مباحث کلاود مثل موضوع بک‌آپگیری،توانایی شرکت ابری برای برون‌رفت از بحران‌های احتمالی، میزان پاسخگویی زیرساخت کشور و پهنای باند مناسب، نداشتن چک‌لیست در شرکت‌های ابری، دانش ناکافی مدیران در لایه‌های فنی سازمان‌ها، ‌محرمانگی اطلاعات شرکت‌های ابری در زمینه تجهیزاتی که به‌کار می برند و نیز توجه بیشتر نظام صنفی به قسمت فنی و استانداردها به‌عنوان نهادی که اعتماد به بخش خصوصی در آن شکل می‌گیرد.
کد مطلب : 17744
https://aftana.ir/vdcc0mqs.2bqm08laa2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی