مشتریان خدمات ابری هم نیاز به آموزش دارند

میزگرد «مقایسه تجارب رایانش ابری در ایران و جهان» جمعه‌شب ۳ اردیبهشت‌ماه ۱۴۰۰ ساعت ۲۲:۰۰ به‌صورت زنده در تلگرام برگزار شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ادامه سلسله میزگردهای تخصصی افتانا، تنی چند از کارشناسان و فعالان حوزه رایانش ابری و امنیت فناوری اطلاعات در نشستی آنلاین به «مقایسه تجارب رایانش ابری در ایران و جهان» پرداختند. این میزگرد در ادامه میزگرد هفته گذشته و با همکاری مهندس علی کیایی‌فر، مدیر توسعه محصول مدبران و مسئول کانال تلگرامی پینگ (PingChannel@)، جمعه شب ۳ اردیبهشت‌ماه ۱۴۰۰ در تلگرام برگزار شد. پیش‌تر بخش اول این نشست آنلاین را منتشر کردیم. هم‌اکنون بخش دوم آن را در ادامه می‌خوانید.

کیایی‌فر: من به عنوان مشتری سرویس ابری که می‌خواهم یک استارتاپ راه‌اندازی کنم می‌آیم و چیزهایی را که برای سرویس خودم می‌خواهم را تیک می‌زنم و مثلا وقتی تیک بک‌آپ هم باشد و بزنم دیگر انتظار دارم که خیالم از این نظر راحت باشد که این سرویس‌دهنده اگر دیتاسنتر دچار هر حادثه‌ای شد اطلاعات من را برمی‌گرداند. بحث پوشش‌دهی یک دیتاسنتر به جای دیتاسنتری که به هر دلیلی از دسترس خارج شد هم برای مشتری مطرح است. آیا در حال حاضر سرویس‌دهندگان ما به چنین نیازهایی برای مشتریان جواب می‌دهند یا خیر؟

سیدصالحی: از دو جنبه می‌شود به این موضوع نگاه کرد: یکی اینکه آیا توان فنی برای انجام چنین کاری را داریم و نگاه دیگر اینکه آیا در ایران زیرساخت‌های کامل برای چنین خدماتی پیاده‌سازی شده است یا نه. از جنبه اول می توانم بگویم که بله. دقیقا در ایران انجام می‌شود. یعنی وقتی مشتری تیک بک‌آپ را می زند در واقع یک بک‌آپ حقیقی گرفته می‌شود و این موضوع پیش می‌آید که اگر سرویسی با ویژگی‌های بیشتر ارائه شود، هزینه‌های آن هم بالاتر است. درواقع هزینه دو برابر می‌شود چون دقیقا دوبرابر فضا در زیرساخت‌مان به آن مشتری اختصاص می‌دهیم. بک‌آپ دوره‌ای را روی دیتاسنتر دیگری می‌گیریم. ایده‌آل و راه‌حل فنی این است که دو تا دیتاسنتر را بالا نگه داریم ولی پهنای باند مشخصی می‌خواهیم که هنوز نتوانستیم این را از جایی بگیریم. برخی جاها نیز بستر فراهم است، اما دو دیتاسنتری که امکانش را دارند از آن‌جایی که د یک حوزه مشترک کسب‌وکاری هستند تمایلی نشان نمی‌دهند که بخواهند برای یک شرکت ابری با یکدیگر همراه شوند.

خون‌جوش: بحث سر دیتاسنتر خصوصی و عمومی نیست. بحث سر یک‌سری استانداردهای مشخصی است که کلاود باید داشته باشد. چیزی که ما باید الان در مورد آن صحبت کنیم این است که آیا ارائه‌دهندگان خدمات ابری ما APIهای لازمی که باید در اختیار کاربر می‌گذارد یا نه. ما سرویس استاندارد ابری در ایران نداریم و نگرانی کاربر ما به‌جاست. وقتی یک سرویس یکپارچه کامل ابری داشتیم می‌توانیم بگوییم که ما یک سرویس ابری ارائه می دهیم در غیر این صورت باید بگوییم که ما هاستینگ ارائه می‌دهیم.

دکتر جوان، دکترای فناوری اطلاعات و موسس جامعه آزاد رایانش ابری ایران: اگر بخواهم به مشکلاتی که ما اکنون داریم از لایه پایین به بالا اشاره کنم؛ مثلا در لایه زیرساخت ما در بحث لایه ارتباطی، انحصار زیرساخت را داریم که بخش خصوصی نمی‌تواند به آن وارد شود. در لایه بعدی در بحث دیتاسنترها مسئله این است که اینها داخل شهر بنا می‌شوند و یک‌سری استانداردهایی را دارند که با محدودیت‌های زیادی همراه است، مثلا همین تامین برق که با موضوعاتی مثل در اختیار گرفتن ژنراتور و گرفتن برق از دو منبع مختلف و غیره که تامین آنها در فضاهایی شهری به‌خصوص تهران راحت نیست و باید به بیرون شهر منتقل شوند تا بتوان استانداردهای لازم را رعایت کرد. در لایه بالاتر مسائلی که دکتر خون جوش هم اشاره کردند و مربوط به خود سرویس‌ها است که به شکل توزیع‌شده طراحی نمی‌شوند و یا سرویس‌های ابری نداریم که بتواند از این معماری پشتیبانی کند. مثلا سرویس‌های زیادی داریم که در یک پیک کند می‌شوند چون بر روی یک دیتاسنتر مستقر شده‌اند و با گلوگاه مواجه می‌شوند و این، چالش ایجاد می‌‌کند.

موضوع دیگر بحث شناخت آن چیزی است که مشتری از سرویس‌دهنده انتظار دارد. مثلا در حادثه اخیر دو موضوع با هم اشتباه گرفته شد. بحث دسترسی و موضوع بک‌آپ. اینکه سرویس‌ها از دسترس خارج شد گفته می‌شود که باید بک‌اپ گرفته می‌شد تا در اختیار مشتری قرار گیرد. در صورتی که در این اتفاق بیشتر بحث دسترسی‌پذیری بود نقض شد. مثلا در OVH که بعد از دو روز سرویس ها بالا می‌آیند به این دلیل است که دسترسی تا یک حدی کم می‌شود، اما کاملا نقض نمی‌شود. یعنی داشتن بک‌آپ دوره‌ای نه به‌عنوان سرویس بک‌آپ، بلکه به‌عنوان تضمین ارائه‌دهنده سرویس از جهتی که این سرویس همیشه باید در دسترس باشد تا در شرایط حاد، دست‌کم آخرین بک‌آپ را برای مشتری بالا بیاورد.

اینجا به مشکل معماری برمی‌خوریم که سرویس‌دهنده از داده‌ها کپی می گیرد اما همه را در یک سایت نگه می‌دارد که این به خاطر محدودیت در طراحی و تکنولوژی است که ارائه‌دهندگان استفاده می‌کنند و وقتی می‌خواهند سرویس را فراتر از یک سایت یا دیتاسنتر گسترش دهند با پیچیدگی‌های زیادی مواجه می‌شوند.

در قسمت دریافت‌کننده سرویس هم تحمل‌پذیری مناسب کاهش سطح سرویس باید یک معماری درست داشته باشد تا وقفه در ارائه سرویس کار آنها را مختل نکند. اما راهکار چیست؟ همان طور که ما به آموزش در سطح ارائه‌دهندگان سرویس در قالب‌های سمینار و همایش و دوره های آموزشی و غیره داشته و داریم حالا باید این آموزش‌ها را به سمت مشتری‌ها ببریم و آنها که می‌خواهند از کلاود استفاده کنند نیز باید آموزش ببینند. معماران کلود و یا مهندسان کلاود شامل کسانی نیست که صرفا خدمات کلاود ارائه می‌دهند بلکه کسانی هستند که نحوه استفاده صحیح از خدمات ابری را آموزش می‌دهند. نبود آموزش صحیح باعث می‌شود که مشتری هر مشکلی را که پیش بیاید به گردن ارائه‌دهنده سرویس بیندازد. درست است که ارائه‌دهندگان هم باید استانداردهایی را رعایت کنند اما مشتری هم باید سطحی از آموزش‌ها را ببیند تا بتواند از کلاود به طور صحیح استفاده کند.

کیایی‌فر: در مورد ابرآروان که چندبار هم نامی از آن برده شد باز تاکید می‌کنم که رسما از دوستان ابرآروان دعوت شده بود که تشریف بیاورند اما به دلیل مشغله‌های پیش‌آمده به زمان مناسب‌تری موکول کردند. موضوعی که می‌خواهم به آن اشاره کنم قطعی ۱۰ روزه اینترنت است که ممکن است باز هم چنین تجربیاتی داشته باشیم. یعنی من سرویس‌دهنده استارتاپ اگر قرار است که سرویسی را ارائه بدهم باید این نگرانی را هم داشته باشم. یک بحث دیگر هم هست که ممکن است از آن سمت، ما تحریم شویم مثل همین تحریم‌های دو هفته پیش گوگل که دسترسی ما به روی برخی سرویس‌ها فیلتر شدند و حتی با وی‌پی‌ان هم آی‌پی‌ها را شناسایی می‌کرد و سرویس‌هایی از کار افتاده بود. نه‌تنها خود گوگل بلکه سرویس‌هایی مثل اسپاتیفای که روی بستر گوگل بودند دچار مشکل شدند. سوال این است که آیا سرویس‌دهندگان ابری ایران از نظر وابستگی به اینترنت کاملا مستقل هستند و اگر روزی اینترنت بنابر ملاحظات سیاسی به صورت کامل قطع شد آیا سرویس‌های ما دچار اختلال می‌شوند. مثلا در همین اسنپ و تپسی و سرویس‌هایی که من مصرف‌کننده از آنها استفاده می‌کنم، لوکیشن‌ها درست کار می‌کنند یا نقشه آنها از کار می‌افتد؟

سیدصالحی: با وجود اینکه ما حدود ۵ سال است ای‌پی‌آی‌های رسمی آمازون را به مشتری ارائه می‌دهیم اما خیلی انگشت‌شمار بودند کسانی که آمدند تا برای ساخت اپ‌هایشان از آن استفاده کنند.کلودیفای کردن اپلیکیشن‌ها نیاز به فرهنگ‌سازی دارد و امیدواریم این فرهنگ به وجود بیاید تا دست‌کم برای اپ‌هایی که در آینده نوشته می‌شوند از این خدمات استفاده شود.
دکتر نوروزی: در صورت قطعی ناگهانی اینترنت، توسعه کاری ارائه‌دهندگان متوقف می‌شود. اما ارائه خود سرویس‌ها باید به گونه‌ای طراحی شوند که با این موضوع دچار اختلال نشود. شاید خیلی جاها وب‌سایت دیده نشود، اما کارها باید انجام ‌شود. با قطعی اینترنت نباید در توسعه سرویس‌های ابری چالش ایجاد شود.

کیایی‌فر: به عنوان یک مشتری فرض کنید من کسب‌و‌کار کوچکی روی سرور خودم ارائه می‌دهم و مشکل آن‌چنانی ندارم. حالا اگر بخواهم از یک زیرساخت ابری استفاده کنم نگرانی من این است که قبلا خیلی زیر ذره‌بین نبودم اما این تصور وجود دارد که آن شرکت ابری می‌تواند طعمه خوبی باشد که به چشم هکرها بیاید و وقتی او را زیر ذره‌بین بگیرند ممکن است کسب‌وکار من هم به خطر بیفتد. آیا این نگرانی به‌جاست؟

نوروزی: امتیازاتی که در استفاده از سرویس ابری وجود دارد به این ریسک می‌ارزد. ما سه پارمتر انگیزه و زمان و دانش را داریم که باید برای یک حمله وجود داشته باشد تا یک چیزی رخ بدهد. اگر سرویسی دارم که کسی رغبتی برای حمله به آن ندارد اینکه روی سرور خودم باشد یا جای دیگر انگیزه کسی را بالاتر نمی برد البته حمله‌کننده‌ای که قصد اختلال در یک سایت را دارد اول نگاه می‌کند که در کجا هاست شده و بعد نگاه می‌کند به اینکه آیا در آنجا می‌تواند کسی را مورد حمله قرار دهد. انگیزه حمله به سرویس‌هایی که ارائه می‌دهید بستگی دارد نه به اینکه سرویس‌هایی که می‌گیرید در کجا قرار گرفته است.

خدماتی که حداقل در پایداری، سرویس دریافت می‌کنند مهم است. حوزه ابری ما از نظر مسائل حقوقی ضعیف است. باید اعتماد دوطرفه در این فضا وجود داشته‌باشد. باید اعتماد متقابل میان ارائه‌دهندگان و مشتری باشد. چون ممکن است گاهی هم یکی به عنوان مشتری با ارائه‌دهنده سرویس وارد کار شود تا بخواهد بعدا به او حمله کند. برای اینکه هم مشتری بتواند از مالکیت معنوی اطلاعات خود دفاع کند و هم سرویس‌دهنده بتواند از حقوق خود دفاع کند باید قوانین درستی در این زمینه تدوین شود.

دومین مطلب مورد توجه در سرویس‌های ابری، صنعت بیمه است. چون ما در این زنجیره اعتمادی که درست می‌کنیم و با تمام تمهیداتی که می‌چینیم باز هم ممکن است یک اتفاق بیفتد. آخرین حلقه زنجیره اعتماد بیمه است که می‌تواند به عنوان ارزش افزوده توسط شرکت‌های ابری ارائه شود و صنعت بیمه هم باید به این موضوع ورود کند. شرکت‌های فعال خدمات ابری توان اقتصادی جبران خسارت‌های پیش‌بینی‌ناپذیر را به مشتریان خود ندارند. تنها راه، ورود سرویس‌های بزرگ‌تری مثل صنعت بیمه به موضوع رایانش ابری است. بیمه می‌تواند به‌عنوان یک ارزش افزوده از سوی سرویس‌دهنده به مشتری ارائه شود که خودش بستر اعتمادسازی خواهدبود.

ایجاد اعتماد در کسب‌وکارها برای جلب به سمت سرویس‌های ابری باید فرهنگ‌سازی و آموزش داده شود. اگر بدانیم چگونه سرویس خود را به عنوان مشتری، امن کنم تمایل به استفاده از این خدمات نیز پیدا می‌کنیم. پیشنهاد من در هر صورت رجوع به سرویس‌های ابری است چون هم در هزینه و هم در کیفیت موقعیت بهتری برای کسب‌وکارمان پیش می‌آید.

شایان ذکر است که در این میزگرد با حضور دکتر خون‌جوش، استاد مدعو دانشگاه تورنتو و هم‌بنیان‌گذار ابر دراک، دکتر جوان، مؤسس جامعه آزاد رایانش ابری ایران، مهندس سیدصالحی، مؤسس XaaS Cloud، دکتر نوروزی، مدیرعامل شرکت پندار کوشک ایمن و مهندس کیائی‌فر، مدیر توسعه محصول شرکت مدبران به‌عنوان مدیر جلسه درباره موضوع فناوری رایانش ابری و مقایسه تجارب این حوزه در ایران و جهان گفت‌وگو شد.