برای ارائه CDN به بانک‌ها و PSPها به چه مواردی باید توجه کرد؟

نویسنده: مینا حاجی در تاریخ 23 آذر سال 1398 ساعت 9:30 0

شبکه بانکی کشور خوشبختانه یکی از پایدارترین و قابل‌اعتمادترین شبکه‌ها در کشور است که حتی در شرایط اضطراری و اختلال در کشور نیز به‌عنوان اولین شبکه‌، ارائه خدمت به مردم را به‌سرعت در پیش می‌گیرد. یکی از این گلوگاه‌های زیرساختی ارائه سرویس به مشتریان، موضوع CDN است که می‌تواند به شکل‌های مختلف روی سرعت و دسترس‌پذیری سرویس‌های بانک‌ها تاثیر بگذارد که در اینجا کیفیت سرویس ارائه‌دهندگان این خدمات به بانک‌ها مورد اهمیت قرار می‌گیرد. به همین بهانه می‌خواهیم نگاهی داشته باشیم به اینکه آیا ارائه CDN به بانک‌ها، PSPها و یا شرکت‌های فعال در حوزه‌های مالی هم به‌سادگی ارائه سرویس به سایر کسب‌وکارها ازجمله فروشگاه‌های اینترنتی است یا خیر؟ در این نوشته به مجموعه‌ای از پارامترها و استانداردها می‌پردازیم که در ارائه یا دریافت خدمات CDN در شبکه بانکی به‌طورکلی باید مدنظر قرار گرفته شود.

کیفیت سطح سرویس

شاید اولین و مهم‌ترین موضوع برای شبکه بانکی و پرداخت بحث Reliability یا همان اتکاپذیری است. احتمالا در برخی از کسب‌وکارها بتوان از چند دقیقه قطعی سرویس چشم‌پوشی کرد ولی قطعی سرویس در شبکه یک بانک یا PSP حتی برای چند ثانیه می‌تواند حجم زیادی خسارت مستقیم و غیرمستقیم برای آن مجموعه به همراه داشته باشد. در نتیجه نمی‎توان از یک CDN عمومی با سطح کیفیت سرویس معمولی به شبکه بانکی سرویس داد لذا باید از سرویس‌دهنده‌هایی استفاده کرد که یک CDN مخصوص شبکه بانکی و پرداخت با سطح کیفیت سرویس 99.99 ارائه می‌کنند. برای مثال داشتن سرورهای Edge اختصاصی که جدا از CDN عمومی باشد و منجر به امنیت بیش‌تر برای بانک‌ها می‌شود.

شبکه توزیع محتوا (CDN)، سرعت خدمت‌رسانی را افزایش می‌دهد

یا همین‌طور یکی دیگر از این موضوعات این است که بانک‌ها یا PSPها مطمئن باشند که یک حمله روی دامنه یک کسب‌وکار، روی دامنه سایر کسب‌وکارهای تحت سرویس، تاثیر نخواهد گذاشت؛ در CDN عمومی، احتمال اینکه حمله به یک دامنه روی سایر دامنه‌ها نیز تاثیر جانبی داشته باشد وجود دارد درصورتی‌که در ارائه CDN اختصاصی به بانک‌ها و PSPها به دلیل محدودیت تعداد مشتریان، این احتمال به‌شدت ضعیف می‌شود.

از طرف دیگر، کسب‌وکارهای مالی به‌طورکلی هدف خیلی خوبی برای حملات سایبری و DDOS هستند؛ در نتیجه حجم و ابعاد حملاتی که به بانک‌ها توسط مجرمان اینترنتی صورت می‌گیرد، بسیار سنگین‌تر و پیچیده‌تر از سایر کسب‌وکارهاست و حمله‌کننده در صورت موفقیت برد مالی بالایی می‌کند در نتیجه از منابع بیشتر و تیم‌های قوی‌تری برای این حملات استفاده می‌کنند. پس زیرساخت‌های ارائه‌دهنده CDN به این مجموعه‌ها باید هم از لحاظ کمی و هم از لحاظ کیفی به‌اندازه‌ای باشد که بتواند با حجم بالای حملات و انواع آنها مقابله کند.

بومی‌سازی قابلیت‌های امنیت

هر چند هر کسب‌وکاری سازوکارها و فرایندهای خاص خودش را دارد و باید به‌طورکلی از مجموعه‌ای از بومی‌سازی‌ها یا همان Customizations مخصوصا قابلیت‌های امنیت ابری برای دریافت سرویس از CDN برایشان انجام شود، ولی در شبکه بانکی و پرداخت این پیچیدگی‌ها نه‌تنها بیشتر و پیچیده‌تر می‌شود، بلکه بر حسب نیاز و خدمت متفاوت هر بانک یا PSP، جدا از بومی‌سازی کلی آن حوزه، باید بومی‌سازی‌هایی نیز مخصوص هر بانک یا PSP در حوزه قابلیت‌های امنیت ابری صورت گیرد و نمی‌توان یک نسخه کلی برای تمام بازیگران این صنف پیچید. از طرف دیگر، قوانین WAF باید بومی‌سازی‌شده برای تراکنش‌های مالی طراحی شده باشد و این موضوع از یک WAF معمولی برای CDN عمومی متفاوت است چراکه قواعد و الزامات امنیتی شاپرک در این حوزه به‌تفصیل بیان شده است؛ درصورتی‌که در بسیاری از صنایع و کسب‌وکارها قانون‌گذار هیچ‌گونه اظهارنظری در این خصوص نکرده است.

زیرساخت ارائه‌دهنده CDN باید راه‌هایی برای امکان نگه‌داشتن کلید خصوصی نزد صاحب کسب‌وکار که در این حوزه بانک‌ها یا شرکت‌های PSP هستند، ارائه دهد چراکه در این صنعت به دلیل دسترسی مستقیم به منابع مالی مردم و سازمان‌ها نمی‌توان کلید را در اختیار نهادهای بیرونی قرار داد.

داشتن دانش بانکی و پرداختی

در کنار تمام این موضوعات، به‌طورکلی چه در لایه توسعه و چه در لایه پشتیبانی کارشناسان شرکت ارائه‌دهنده CDN به بانک‌ها و PSPها باید با کسب‌وکار این سازمان‌ها به‌خوبی آشنایی داشته باشد تا بتوانند در مراحل مختلف به مسائل احتمالی پیش‌رو که مختص این صنایع است فکر کنند و حتی پیش از وقوع اتفاق یا مشکل، آن را برطرف کنند یا حداقل راهکار رفع آن برای زمان وقوع را داشته باشند. حتی در لایه پشتیبانی، آشنایی کارشناسان با مسائل و مشکلات این صنایع باعث افزایش سرعت ارائه پشتیبانی به مجموعه‌ها خواهد شد.

در کنار شناخت مسائل فنی و کسب‌وکاری این صنایع، ارائه‎دهنده‌های CDN به این کسب‌وکارها باید با محدودیت‌ها و الزامات قانونی این صنایع به‌خوبی آشنایی داشته باشند و حتی در صورت نیاز تاییدیه سازمان‌های مربوطه ازجمله شاپرک، بانک مرکزی و سایر نهادها را داشته باشند تا کمترین ریسک را متوجه بانک‌ها و PSPها کنند.

علاوه بر این‌ها، شبکه بانکی و پرداخت یک شبکه 24 ساعته است و پرواضح است که هر خدمت‌دهنده‌ای به این شبکه نیز باید پشتیبانی ۲۴ در 365 روز سال ارائه دهد.

چرا CDN؟

جدا از تمام موضوعات و مواردی که گفته شد، یکی از مهم‌ترین دلایل بانک‌ها و سازمان‌ها برای استفاده از CDN جلوگیری از حملات DDOS است که به‌طور عمده از منابعی خارج از کشور هدایت و انجام می‌شود. یکی از ابتدایی‌ترین و پیش‌پاافتاده‌ترین راهکارها که متاسفانه برخی از سازمان‌ها به اشتباه با انجام آن صورت‌مسئله را پاک می‌کنند، بستن سرویس به روی IPهای خارج از کشور است که نه‌تنها با ضایع کردن حق مشتریان خارج از کشور آن بانک همراه هست، حتی اگر سهم کمی از مشتریان بانک را تشکیل دهند، بلکه سرپوش گذاشتن روی مشکلی است که همچنان آن بانک یا سازمان را بیش از پیش تهدید می‌کند؛ چراکه آن نیمچه سپری راه هم که تا پیش از این برای مقابله احتمالی در دست داشتیم راه هم زمین انداخته‌ایم به امید اینکه دیگر از منابع داخلی حمله‌ای ما را تهدید نمی‌کند؛ اما غافل از اینکه توسعه استفاده خواسته یا ناخواسته مردم از بدافزارها به‌واسطه همه‌گیر شدن استفاده از انواع فیلترشکن‌ها، موضوع صفر بودن امکان حملات DDOS از منابع داخلی را عملا منتفی کرده است و در همین چند ماه اخیر شاهد آسیب دیدن سازمان‌های مختلف داخلی از همین نقطه بوده‌ایم.

جهت مشاهده مطالب بیشتر درباره CDN، این عبارت را در کارد زیر وارد و گزینه «جستجو» را کلیک کنید.