x

برای ورود به صفحه‌ی فارسی وب‌سایت ابر آروان کلیک کنید

امنیت ابری بدون نیاز به کلید خصوصی

امنیت ابری بدون نیاز به کلید خصوصی

OpenSesame ابر آروان راهکاری برای Remote Key Offloading
با در نظر گرفتن الزامات شاپرک و شبکه‌ی بانکی ایران

حفظ کلید خصوصی نزد خود، برای کسب‌وکارهایی با داده‌های حیاتی هم‌چون عرضه‌کنندگان خدمات آنلاین مالی، کارگزاری‌ها، بانک‌ها و استارت‌آپ‌های حوزه‌ی Fintech از دغدغه‌های اساسی است. گاهی موانع قانونی یا حتا فنی سبب می‌شوند تا برخی از این مشتریان نتوانند کلید خصوصی خود را در اختیار شبکه‌ی توزیع محتوا (CDN) قرار دهند.
آروان با درک این چالش و دغدغه‌ی مشتریان خود، قابلیت اوپن‌ سسمی (openSesame) را تولید و عرضه کرده است تا بدون دریافت کلید خصوصی (Private Key) از این مشتریان خاص، ارتباطی امن بر بستر TLS را با حفظ و تضمین بیش‌ترین سرعت و امنیت، برای آنان فراهم کند.

EDGE SERVERKEYSERVER

چرایی استفاده از OpenSesame

اوپن‌ سسمی (openSesame) ابر آروان، فرآیند TLS handshake را به‌گونه‌ای تقسیم می‌کند که بخش بزرگ این فرآیند در سرورهای لبه‌ ابر آروان انجام شود و مرحله‌ای از این فرآیند که مربوط به بررسی کلید خصوصی است، به سرور اصلی میزبان سایت که کلید خصوصی روی آن قرار دارد، ارجاع شود.
در نتیجه، مشتریان مالی و بانکی می‌توانند با کمک قابلیت اوپن‌ سسمی (openSesame) از تمامی خدمات ابر آروان هم‌چون شتاب‌دهی، خدمات DDoS Protection و برقراری ارتباطی امن با مشتریان برمبنای TLS استفاده کنند، بدون آن‌که نیازی به در اختیار گذاشتن کلید خصوصی خود در اختیار سرورهای لبه‌ ابر آروان داشته باشند.

چگونگی عملکرد OpenSesame

ابر آروان توانسته به‌کمک تغییراتی که در Nginx و OpenSSL انجام داده است، هم‌چنین توسعه‌ی ابزاری متعلق به خود، کاری کند که مرحله‌ی مربوط به بررسی Private Key، به‌شکل remote و با ارتباط با سرور اصلی میزان سایت (origin server) انجام شود و از این راه نیازی به دریافت Private Key از مشتریان استفاده کننده از خدمت اوپن‌ سسمی (openSesame) ابر آروان نباشد
لازمه‌ی برقراری ارتباطی امن با کمک اوپن‌ سسمی (openSesame)، برقراری امنیت ارتباط میان سرورهای ابر آروان و سرور اصلی میزبان سایت است. سرور اصلی میزبان سایت که دارنده‌ی کلید خصوصی است، می‌تواند این کلید را در اختیار هر شخص درخواست‌کننده‌ای، قرار دهد. پس ضروری است مطمین شویم که این کلید نه در اختیار همه، که تنها در اختیار سرورهای لبه ابر آروان قرار بگیرد.

به‌شکل خلاصه عملکرد OpenSesame در زیر آمده است:

one

کاربر با استفاده از شبکه‌ی Anycast ابر آروان به نزدیک‌ترین سرور لبه آروان متصل می‌شود و pre master secret رمزنگاری شده با کلید عمومی (Public Key) را برای سرور لبه ارسال می‌کند.

two

سرور لبه آروان این پیام را به همراه گواهینامه‌ی خود برای سرور اصلی میزبان سایت ارسال می‌کند. سرور اصلی با دریافت این پیام پس از تایید هویت سرور آروان، پیام رمزنگاری شده‌ی حاوی pre master secret را رمزگشایی و این رمز را از طریق تونلی امن برای سرور لبه آروان ارسال می‌کند.

three

سرور لبه با دست‌یابی به pre master secret، کلید نشست (session key) را به‌دست می‌آورد و ارتباط امن میان سرور لبه و کاربر بر بستر HTTPS برقرار می‌شود.

),-./0/12.,34&34&)*%'*$'+&'"('"),-./0/12.,34&34&ORIGINSERVERPrivate KeyCertificate!"#$#%&'"('"CDN EDGESERVERTLSTLS

در ویدیوی زیر صابر مسگری، کدسالار آروان و عضو تیم توسعه‌دهنده‌ی اوپن‌ سسمی (openSesame)، با زبانی ساده به توضیح عملکرد این قابلیت می‌پردازد.

تضمین بیش‌ترین سرعت

وظیفه‌ی ابر آروان سرعت بخشیدن به سایت‌ها و دسترسی کاربران به محتوای سایت‌ها در کم‌ترین زمان ممکن است. این امر برای سایت‌هایی که از خدمت اوپن‌ سسمی (openSesame) ابر آروان نیز استفاده می‌کنند، صدق می‌کند.
به بیان بهتر، سرعت دسترسی به محتوای سایتی که از خدمت اوپن‌ سسمی (openSesame) ابر آروان استفاده می‌کند باید به‌اندازه‌ی سرعت بارگذاری سایتی باشد که از این خدمت بهره نمی‌گیرد. توزیع جغرافیایی سرورهای ابر آروان در دیتاسنترهای مختلف به این نیاز پاسخ می‌دهد. همان‌طور که در تصویر زیر می‌بینید، با استفاده نکردن از خدمات CDN، تمام درخواست‌ها از هر نقطه‌ای از دنیا باید به‌سمت سرور اصلی میزبان سایت فرستاده شوند که فاصله‌ی جغرافیایی میان کاربر و سرور اصلی میزبان سایت، تاثیر به‌سزایی در مدت ‌زمان یا به‌ بیانی تاخیر دسترسی به محتوای سایت خواهد داشت.

ORIGINSERVERSSL ConnectionWithout ArvanCloud

هنگام استفاده از خدمت CDN، با توزیع محتوای وب‌سایت در سرورهای لبه‌ی ابر آروان در دیتاسنترهای مختلف، به درخواست کاربران از نزدیک‌ترین دیتاسنتر به آن‌ها پاسخ داده می‌شود. در نتیجه، پاسخ کاربر با کم‌ترین تاخیر ممکن داده خواهد شد.

هنگام استفاده از اوپن‌ سسمی (openSesame) نیز این امر کاملن صادق است. به این معنا که ارتباط بازدیدکنندگان سایت، به‌جای سرور اصلی میزبان سایت با سرورهای لبه‌ ابر آروان است و آن‌ها در کم‌ترین زمان ممکن از نزدیک‌ترین دیتاسنتر پاسخ خود را دریافت می‌کنند.همان‌طور که در تصویر زیر نشان داده شده، تنها ارتباط کمی طولانی‌تر مربوط به تک ارتباطی میان سرور لبه‌ ابر آروان و سرور اصلی میزبان سایت در فرآیند TLS handshake است.

ORIGINSERVERSSL ConnectionWith ArvanCloudArvanCloud

با توجه به دو تصویر بالا، با استفاده نکردن از CDN ابر آروان، ارتباط TLS میان بازدیدکننده و سرور اصلی میزبان سایت، نیازمند دو رفت و برگشت (roundtrip) است. اما در حالت استفاده از خدمت اوپن‌ سسمی (openSesame) آروان، ارتباط میان بازدید‌کننده‌ی سایت با سرور لبه ابر آروان در کوتاه‌ترین زمان ممکن انجام می‌شود و ارتباط TLS میان سرور لبه ابر آروان و سرور اصلی میزبان سایت نیز تنها نیازمند یک رفت و برگشت است. به‌ این ‌ترتیب باز هم تاخیر دسترسی بازدیدکننده‌ی سایت به محتوا در کم‌ترین زمان ممکن انجام می‌شود.

دلیل نیاز تنها به یک رفت و برگشت (roundtrip)، برقراری ارتباطی دایمی میان سرور لبه ابر آروان و سرور اصلی میزبان سایت است. سرور لبه‌ ابر آروان پس از یک‌بار برقراری ارتباط با سرور اصلی میزبان سایت، این ارتباط را حفظ می‌کند و درخواست بازدیدکنندگان بعدی از راه این ارتباط برقرار شده از قبل، پاسخ داده می‌شود.

برای مشاهده‌ی جزییات فنی دقیق‌تر از چگونگی عملکرد این قابلیت می‌توانید این مقاله را در وبلاگ ابر آروان بخوانید.

برای استفاده از CDN بانکی تماس بگیرید

تنها به میزان مصرف‌تان، هزینه پرداخت کنید

جزییات قیمت‌گذاری هر محصول را از این‌جا ببینید یا به قسمت ماشین حساب بروید و هزینه‌های خود را برآرود کنید.