پردازش در محيط هاي ابري و تأثير آن بر روابط عرضه کنندگان سرويس هاي IT با مشتريانشان
آيا لازم است بدانيد که اپليکيشين هاي شما بر روي کدام سخت افزار، سيستم عامل و پلتفرمي اجرا مي شوند؟
کاربر فضاي ابر با کمک VMware
پرسش جالبي که احتمالاً مطرح خواهد شد آن است که تغيير در نحوه در اختيار گرفتن منابع از سوي شرکت ها و پردازش اين منابع توسط مصرف کننده چه اثراتي بر روابط استوار و ديرينه ميان عرضه کنندگان خدمات IT و مشتريانشان خواهد داشت؟
بر اساس نتايج بدست آمده در اين رابطه، عملکرد عرضه کنندگان سرويس هاي ابر در پايبندي به تعهداتشان بسيار خوب بوده است و آنچه بايد بيشتر مورد توجه اين شرکت ها قرار گيرد مقوله امنيت است.
نتايج تحقيقات
امنيت موجود در فضاي ابر ضميمه خصوصي، متخصصين امر را شگفت زده کرد. يک اتصال VPN با هر يک از عرضه کنندگان شرکت کننده در تحقيق ايجاد شد چرا که از طريق اين اتصال نوعي مسير ارتباطي رمزنگاري شده ميان يک سازمان و منابع موجود در فضاي ابر خارجي مي شود.
پس از ايجاد اين اتصال، متخصصان تيم تحقيق موفق شدند که با کمک عرضه کنندگان حاضر در تحقيق و همچنين VPN شرکت Vyatta به مسيرياب مجازي تأييد شده خود که از نوع غير (appliance router nonCisco virtual Cisco) بود متصل شوند. در اين اتصال لينک داده ها، و متعاقب آن انتقال آنها از ابري که بدنه اصلي شبکه سازمان را ميزباني مي کرد مخفي مي ماند.
با اين حال نوع ديگري از داده ها در داخل منابع instance storage (هرگاه چندين کاربر و يا رايانه مطلبي را به اشتراک بگذارند، سيستم يک نمونه از آن مطلب را در حافظه خود ذخيره مي کند) فضاي ابر جريان پيدا مي کنند. چنانچه نمونه دريافت شده توسط سيستم بر روي يک SAN راه اندازي شود نمي توان به راحتي اطمينان يافت که iSCSI ،Fibre يا Channel يا ديگر منابع ذخيره سازي متصل شده از خارج، رمزنگاري شده و ايمن هستند يا خير.
بنابراين توصيه مي کنيم منابع ذخيره سازي در فضاي ابرهاي خصوصي و عمومي رمزنگاري شوند، حال اين رمزنگاري مي تواند هم از طريق سيستم عامل و هم زيرسامانه هاي پرونده سازي (filing subsystem) انجام گيرد. امکان دارد که ديسک ها Local باشند و متعاقب آن غيرقابل دسترسي با اين حال اگر اين ديسک ها به هر طريقي بخشي از يک SAN connected باشند بايد مطمئن شويد که داده ها رمزنگاري مي شوند.
امنيت فيزيکي
نگراني از بابت دسترسي فيزيک ديگران به منابع مورد استفاده يک شرکت مسأله مهمي است. ممکن است پس از وارد کردن بدافزار و يا کد ثبت گزارش به يک کامپيوتر سيستم آن تصادفاً راه اندازي شود. همچنين احتمال دارد به منظور دسترسي به داده هاي خصوصي يک شرکت از تاکتيک port mirror استفاده شود. در هر حال بايد بدانيد که امکان هرگونه اقدام نادرست از سوي پرسنل مي رود. اما از آنجا که تيم تحقيق هکرهاي کارکشته اي بودند تصميم گرفتند که اين کارها را خود انجام دهند تا نتايج آن را از نزديک مشاهده نمايند.
اين تيم در ادامه تحقيقات خود دريافتند که تقريباً تمامي عرضه کنندگان سرويس هاي ابر به سرويس گيرندگان خصوصي از نوعي مجوز که در واقع بر اساس قانون Sarbanes-Oxley ايالات متحده آمريکا و به منظور نظارت و کنترل ساليانه تدوين شده استفاده مي کنند.
اما اين مهر نشان دهنده تأييد موضوع خاصي نيست، بلکه ضروري است که بخش هاي مهم اين کنترل ها و اقدامات به دقت خوانده شود و آنگاه با آگاهي کامل، مفهوم آن را استنباط نمود. همچنين ضروري است که ليست کاملي از کنترل ها و اقدامات به همراه مجوز رسمي مميزي مورد اعتماد در اسناد ذکر شود. امکان دارد اين فرايند کمي پيچيده به نظر بيايد اما کاملاً منطقي بوده و در حال حاضر تنها مهر تأييدي است که براي عرضه کنندگان سرويس هاي مبتني برابر وجود دارد و در واقع نقطه اي است براي شروع.
محکم کاري فضاي ابر
اپليکيشن هاي مديريت فضاي ابر که توسط سازمان ها مورد استفاده قرار گرفته يا به فروش مي رسند حاوي ابزارهاي مجازي، هزينه نهايي و آبونمان استفاده از منابع و اطلاعاتي نظير نام فرد، نوع استفاده، محل استفاده و ميزان موفقيت وي در استفاده از منابع موجود در فضاي ابر مي باشند. در يک محيط ابري امور مختلف به صورت مجازي انجام مي گيرند؛ نمونه هاي دريافت شده توسط يک سيستم بر روي يک پلتفرم مجازي مورد استفاده قرار گرفته و براي انجام کاري مشخص به کار مي روند و در ادامه نمونه هاي ياد شده به همراه داده هايشان به قسمت هاي ديگر منتقل مي شوند.
متخصصين نيز از روش هاي مشترکي براي Bundling، استفاده ايمن، ظرفيت هاي ذخيره سازي يا جريان داده ها در داخل نمونه و نظارت بر نمونه هاي ابري ساخته شده بهره مي گيرند.
امروزه سرويس هاي اينترنتي آمازون به عنوان الگويي از فضاي ابر عمومي در صدر قرار دارند و در عوض پلتفرمي که در آزمايشات تيم تحقيق براي اپليکيشن هاي اتوماسيون فضاي ابري به کار رفت جايي در اين جدول ندارد. بنابر مشاهدات صورت گرفته در اين تحقيقات، ابزارهاي اتوماسيون فضاي ابري در وهله اول براي API آمازون به کار مي روند. به لطف کمک هاي انجمن Rightscale، ابزارهاي مجازي، و آگاهي انجمن، خدمات متنوع اين شرکت افزايش چشمگيري يافته است. اين خدمات طيف گسترده اي را شامل مي شوند از پردازش مشبک (gridcomputing) گرفته تا مکانيزم هاي کنترل کارهاي يک نوبته که در انجام آنها از APIهاي ابري AWS و Rackspace استفاده شده بود و جالب است بدانيد که مي توان از اين ابزارهاي مشابه در منابع داخلي موجود در فضاي ابر (Internal Cloud resources) نيز بهره برد.
در دنباله تحقيقات مشخص شد که توانمندي هاي نظارتي ابزار اتوماسيون ابري سيستم Tapln بسيار ضعيف عمل مي کند فلذا نمونه سازي اپليکيشن هاي مشبک اين ابزار را مي توان از جمله نقاط قوت آن به شمار آورد. روشي بسيار سريع و آسان براي مدلسازي اتوماسيون ابري وجود دارد با اين حال مدلهاي ساخته شده در سيستم Tapln با منطق بيشتري ساخته شده اند و با وجود آنکه ممکن است در ابتدا خسته کننده به نظر برسند ارزش ساختن را دارند.
در بررسي هاي انجام شده امنيت بسيار پايين اين دو نوع ابزار (retail و Life cycle) تيم تحقيق را بيش از همه چيز شگفت زده کرد. هيچگونه مشکلي در ايجاد زيرساخت ها و تأسيسات عظيم و يا استقرار سيستم هاي بسيار قدرتمند در آنها وجود نداشت اما آنجا که نوبت به تأمين امنيت مي رسيد کاري از دست ابزارهاي اتوماسيون فضاي ابر بر نمي آمد.
ذخيره سازي
بر اساس يک باور غلط در مورد ذخيره سازي داده در فضاي ابري، عمر داده هاي ذخيره شده در چنين فضاهايي بسيار کوتاه است و از طرف ديگر زمان لازم براي نفوذ به VPNها بسيار طولاني و در نتيجه به موجب عمر کوتاه داده ها در فضاي ابر، امنيت اينگونه ذخيره سازي بسيار بالا است.
ممکن است اين موضوع در مورد برخي اپليکيشن ها صحت داشته باشد و مسلماً اپليکيشن هايي نيز وجود دارند که داده هاي سرقت شده شان هيچ ارزشي ندارد که به عنوان نمونه مي توان به قسمت هاي ويدئويي ويرايش شده يا اصطلاحاً رندر شده اشاره نمود.
اما حفاظت از داده هاي مشتري و سازه هاي داده اي (datasets) که مشمول قوانين حفظ حريم خصوصي و اختيارات قانوني قرار مي گيرند امري است لازم. در نمونه هاي مورد آزمايش سطح رمزنگاري داده ها متفاوت بود؛ برخي موارد فاقد رمزنگاري بودند و در برخي هم به همان رمزنگاري ساده SSL (بدون رمزنگاري داده هاي ذخيره شده) اکتفاد شده بود و در موارد معدودي نيز داده ها به صورت تمام و کمال و در قالب +AES256 رمزنگاري شده بودند، با اين حال هيچگونه الگوي استانداردي براي رمزنگاري داده ها وجود ندارد و اين مسأله بيشتر به دقت عمل سازنده فضاي ذخيره سازي ابري و مدير آن بستگي دارد.
همچنين در واکنش سيستم به ذخيره سازي نيز تفاوت هاي فاحشي مشاهده شد. اينترنت به عنوان بزرگراهي براي انتقال داده ها، در طول شب سريع تر از روز بود و جالب است بدانيد که اين سرعت از سرعت انتقال داده از يک 2USBگيگ به يک راديو SATA هم کمتر بود. نتايج تحقيقات حاکي از آن بود که از نظر سرعت دانلود و آپلود حافظه S3 آمازون نيز به همين ترتيب است اما برخي معتقد بودند سرعت آپلود شدن داده به مراتب بيشتر از سرعت دانلود است. در واقع سرعت هيچيک از آنها نه به طور قابل ملاحظه اي سريع بود و نه بسيار کم. اپليکيشن سازماني فضاي ابر وارد بازار شد و تيم تحقيق نيز براي آنکه تجربه تازه اي در مورد پلتفرم هاي قدرتمند فضاي ابرهاي خصوصي کسب کند آن را مورد آزمايش قرار داد. اين اپليکيشن در نوع خود بي نظير بود چرا که يکي از مشهورترين نسخه هاي لينوکس و همچنين برنامه هاي جانبي (Starter kit accessories) را با خود به همراه داشت و به اين ترتيب امکان ايجاد يک فضاي ابر خصوصي را براي سازمان هاي متقاضي اين سرويس فراهم مي کرد. همانطور که برخي از شما خوانندگان محترم که آشنايي اندکي با سيستم عامل لينوکس داريد مستحضريد فرايند پيلوت موجود در اين پلتفرم امکان خطا توسط کاربر، آشنايي با نحوه عملکرد محيط هاي ابري و همچنين کسب آگاهي لازم براي استفاده مجدد از اين اپليکيشن در ابر AWS آمازون را فراهم آورده است.
UEC نوعي کيت ساختمان سازي است و به همين دليل شهروندان عادي نمي توانند از آن استفاده کنند. با اين حال جزئيات موجود در اين کيت که در ارتباط چگونگي فراهم ساختن و کاربرد ابزارها مجازي ذکر شده است آماده ساختن نمونه هاي فضاي ابر محلي (Local Cloud) را بسيار ساده کرده است. در ادامه مي توان از طريق ابزارهاي کنترل فضاي ابر و اپليکيشن هاي مديريتي آن به منظور امور ديگر و يا انجام خودکار امور بهره برد.
سازه هاي مديريتي
از ديگر بخش هايي که مورد آزمايش قرار گرفت Xen Server 5.6 شرکت Critix و در واقع قطعه مديريت آزمايشگاهي (Lab Manager Components) آن است. نوعي الماس به نام Self Service Portal يا همانSSP در داخل اين قطعه وجود دارد. اين الماس چندان هم پيشرفته نيست با اين حال بيشترين تعداد کنترل هاي رفتاري و ابزارهاي مجازي به خود اختصاص داده است و بر اساس تحقيقات انجام گرفته در نوع خود بي نظير است. فرم ها يا قالب هاي اين الماس حاکي از آن بود که مي توان طيف گسترده اي از کنترل هاي طراحي ممکن را به کار گرفت. با آنکه بر تيم تحقيق محرز شده بود که اين ويژگي مختص به XenServer است، اين موضوع آنها را به شدت شگفت زده کرد. به نظر مي آمد که پلتفرم نرم افزاري Eucalyptus در حال طي کردن مراحل پيشرفت خود است و در واقع يک سر و گردن از open Eucalyptus که در UEC شاهد آن بودند بالاتر بود. در واقع اميد زيادي به اين پلتفرم وجود دارد اما همچنان کارهاي زيادي بايد بر روي اين محصول انجام شود. در نهايت بايد بتوان آن فعاليت را به سادگي در فضاي يک ابر خصوصي و سرويس هاي ابر آمازون (و حتي ديگر سرويس ها) تغيير داده و مورد استفاده قرار داد.
در مقابل openNebula از نوعي پلتفرم متن باز براي به گردش درآوردن آسان منابع موجود در فضاي ابر خصوصي به همراه اکوسيستم آنلاين خود استفاده مي کند که نسبت به grid و بسياري نيازهاي پردازشي و مهم ديگر متعادل به نظر مي رسد. تا اينجاي کار منابع ابر Azure شرکت مايکروسافت بررسي نشده اند. اما تيم تحقيق در نظر دارد چنين کاري را در آينده نزديک انجام دهد و اين بدان معناست که بخش اعظمي از آنچه تاکنون مورد آزمايش قرار گرفته است به پلتفرم هاي مجازي مربوط مي شود که از لينوکس و شايد Windows Server پشتيباني مي کنند و صحبت پيرامون آنها به آينده موکول مي شود.
مجموعه برنامه هاي مرسومي که براي ارسال و دريافت ايميل، ارتباطات و حسابداري مورد استفاده شرکت ها قرار مي گيرد در حال جابجا شدن به منابع ميزباني شده به عنوان نرم افزار سرويس رسان يا اپليکيشن هاي ميزباني شونده توسط MSP هستند. عرضه کنندگان ابر، اتوماسيون، مديريت و زيرساخت مي توانند با فراهم ساختن Crossplatform و اجزاي شفاف و غيرشفاف امنيتي به کسب و کار خود رونق ببخشند.
منبع:نشريه بزرگراه رايانه، شماره ي 142