מחשוב ענן: תכין מסמך טיעונים

כל אינטגרטור, איש Devops, איש סיסטם ואחרים שמעודכנים בתחומי Cloud computing מודע בוודאי לכך שחוץ מאמזון שמציעה שרותי ענן רציניים, יש מתחרים לא פחות רציניים כמו מיקרוסופט, גוגל, Rack space ועוד פה ושם כמה ספקים קטנים (יחסית, יחסית).

מבחינת השרותים השונים, אפשר לנהל דיונים וויכוחים מקצועיים מכאן ועד להודעה חדשה אלו שרותים מתאימים מבחינת ספקים שונים. סתם דוגמא: האם שרותי ה-Cloud Front יותר טובים ממה שספקים אחרים כמו Akamai מציעים? התשובה היא כמובן “תלוי” – ל-Akamai יש רשת ענקית של שרתים בכל נקודה בעולם (רק בארץ יש להם 3 נקודות!), אבל מצד שני, המחיר ש-Akamai מבקש יכול להבהיל כל לקוח קטן עד בינוני.

אז אפשר לנהל דיונים וויכוחים מקצועיים מי יותר טוב ולמה שרות X של ספק Y יכול להתאים ללקוח כזה ולא לאחר, אבל לפעמים יש דברים שהם לא מקצועיים (נקרא להם “פוליטיים”) שיכולים לחרפן אנשי מקצוע אבל לא תהיה להם ברירה אלא לציית..

תרשו לי להסביר, ואתייחס לנקודה הישראלית (אם כי כמובן זה יכול לקרות בכל מקום בעולם): בארץ, ה-Gold Standard בכל הקשור למחשוב ענן כשהלקוחות שלך מגיעים מכל העולם זה כמובן אמזון. סטארט-אפ שרוצה להציע שרותים והיזם הוא זה מי שמקים את התשתית, סביר להניח שזה מה שיבחר. הסיבות לכך פשוטות: רוב “החבר’ה” כבר שם, יש שפע של מידע איך לעשות מה מו מי, ויש לאמזון שם של חברה יציבה (יחסית כמובן).

גוגל גם מציעה שרותי מחשוב ענן, אבל הנוכחות שלה בתחום הזה ספציפית בארץ – כמעט ולא קיימת, בניגוד לשרותים אחרים של גוגל שכאן יש נציגות ושרות (יוטיוב, פרסומות). למיקרוסופט לעומת זאת יש נציגות חזקה בישראל ולאחרונה הנציגות הזו מנסה בכל הכח לדחוף חברות להשתמש בשרותי ה-Azure שמיקרוסופט מציעה. לספקים אחרים גם אין נציגות רשמית בארץ.

מיקרוסופט בד”כ משתמשת בטריק ידוע: פינוק. לקוחות מוזמנים לכנסים עם ארוחות, סופי שבוע בבתי מלון ושאר פינוקים אחרים כדי “לרכוש את ליבם” של מנהלי ה-IT, ה-CTO ולפעמים ה-CEO של חברות שונות, באמצעות מצגות שונות שמראים כמה המוצרים של מיקרוסופט זולים יותר ונותנים ביצועים יותר גבוהים. רובנו, האנשים המקצועיים, יכולים די מהר לחלוק על המצגות האלו בכל מיני נקודות ולהראות שמיקרוסופט מציגה תמונה מעוותת בקשר ליכולות XYZ בהשוואה ל-ABC שהמתחרה מציע.

וכאן מגיע החלק של ה”הנחתה” (והוא קיים במיוחד בחברות) – נציגי מכירות של מיקרוסופט פונים בהתחלה לאנשי ה-IT ואם הם לא מצליחים לעשות מכירה, הם פונים לסמנכ”לים או למנכ”לים כדי למכור להם את המוצרים, ואם הלקוח מבחינת מיקרוסופט הוא חשוב – מיקרוסופט מוכנה “להוריד את המכנס” (סליחה על הביטוי) מבחינת מחירים והבטחות, וכך המפתחים או אנשי ה-IT יכולים לקבל יום אחד הוראה: אנחנו עוברים ל-Azure. כל איש Devops, אינטגרטור ואיש סיסטם רציני יכול להבין מיד את המשמעות: שכתוב ערימות סקריפטים מחדש וכאב ראש ענק ומי שהכי גרוע – העבודה הארוכה והסיזיפית אחר כך, לוודא שהביצועים הם אותו דבר כמו שיש לך כיום. בכל זאת, הוירטואליזציה שמיקרוסופט מציעה לא ממש מרשימה מבחינת Performance (תסתכלו באתר spec וחפשו פתרונות של מיקרוסופט).

אז איך אפשר להימנע ממכה כזו? בכך שאתה מכין מראש מסמך טיעונים שכולל:

  • הסברה על כמות העבודה שיש צורך לבצע על מנת להגר מספק מחשוב ענן אחד למשנהו
  • הדגשת עניין ההשבתה
  • לינקים למאמרים ולפוסטים שמראים שהמחירים צנחו לאחרונה (והם צנחו, רק החודש כל הספקים שהזכרתי הורידו מחירים בעשרות אחוזים)
  • הצגת ההטעיות של הספקים. ספק יכול להראות שהביצועים שלו גבוהים משמעותית מהמתחרה, אבל בטקסט הפצפון יופיע (לדוגמא) שהספק המתחרה משתמש ב-Instances יקרים בהרבה ממה שאתם משתמשים כיום, או שהמחיר האמיתי נמצא בנקודות אחרות.

יכולים בהחלט להיות מצבים שכדאי לעבור מספק מחשוב ענן אחד לאחר, אבל החלטה כזו צריכה לקחת בחשבון לא רק את השורה התחתונה של החשבונית, אלא גם ובמיוחד את האספקט הטכני, לראות מה אתה מרוויח מכל זה, כמה אתה צריך להשקיע מבחינת מעבר וכו’.

המלצה שלי: תכינו מסמך כזה.

תבדקו כתובות IP

לפני מספר ימים הייתי צריך לארגן שרת עבור לקוח בחו"ל. במקרה זה הלקוח לא שכר את שרותינו כספקי שרתים אלא שכר את שרותיי כפרילאנסר שיפנה לחברה שהוא מבקש שאסכם איתם חוזים, הקמה ותחזוקה של השרת והוא ישלם על כך להם ולי.

שוחחתי עם החברה, סיכמנו תשלומים, קיבלתי שרת, התחלתי להתקין אותו, להגדיר את הכל ואז ניסיתי לשלוח אימייל נסיון ל-GMAIL שלי לראות שהכל תקין.

ל-GMAIL שלי לא הגיע מייל. לשרת עצמו כן הגיע מייל.. מגוגל. מסתבר שהכתובת שרת נמצאת ב"רשימה השחורה", כלומר זו כתובת שבעבר השתמש בה ספאמר. ניסיתי עוד כתובות מהטווח שהספק נתן לי וכולם היו ברשימה השחורה.

לקח לי 3 ימים של תחנונים, "נקיון" של כתובות, קבלת כתובות אחרות (שחלק מהם גם היו ברשימה השחורה) להגיע למצב שיש לי טווח כתובות נקי.

זו נקודה שרבים מאלו ששוכרים שרתים (בין אם שרתי VPS או שרתים יעודיים) לא בודקים.

כשאתם שוכרים VPS או שרת, סביר להניח שתקבלו כתובת אחת נטו (תלוי בהפרדה אם יש VLAN או אין, אם הספק מקצה "ברוטו" 4 כתובות או כתובת אחת), והכתובת הזו היא שתייצג אתכם, ואם היא נמצאת באיזו רשימה שחורה כלשהי, סביר להניח שיהיו לכם בעיות במשלוח מיילים לחלק מהחברות.

לכן, הדבר הראשון שכדאי לעשות עוד לפני שמקימים שרת, זה לקחת את הכתובת של השרת ולהריץ בדיקה עליה באתר כמו MX TOOLBOX, ולוודא שהכתובת לא נמצאת ברשימה השחורה. אם היא נמצאת כבר שם, בקשו מהספק כתובת אחרת! ספקים רבים יתנגדו לכך ויציעו לנקות את הכתובת עבורכם או יתנו לכם הוראות איך לנקות אותה. הבעיה במקרה כזה שאם גוגל לדוגמא חסם אותה, יקח זמן רב עד שגוגל יעיפו אותה מהרשימה השחורה. במקרה כזה מומלץ לבקש מהתמיכה לעשות אסקלציה לטיקט ולהגיע למנהל. אלו ברגע שהם שומעים צעקות מוכנים לעיתים לחרוג ולתת לכם כתובת אחרת. קיבלתם כתובת? תריצו בדיקות עליה שוב.

ספקים רבים, לצערי, אינם בודקים את הכתובות שלהם אחת לתקופה, וכך מגיעים מצבים שספאמר שוכר טווח גדול של כתובות (לדוגמא – מספר קלאסי C מלאים בתואנה שהוא צריך אותם לתעודות SSL או ל-VPS עצמאיים), מפציץ דרכם ספאם עד שהוא נחסם לחלוטין אצל כל העולם ואחותו, ואז הוא נוטש את הספק. הלקוח הבא – יסבול מכך והספאמר לא ישלם אפילו סנט אחד נזק.

לכן – בדקו כתובות לפני שאתם מכניסים שרת חיצוני לפרודקשן. תחסכו לעצמכם את האי נעימות מהתלונות של לקוחות שלכם מדוע הם לא מצליחים להוציא אימיילים החוצה.

"מצב האומה" בכל הקשור לאינטרנט עסקי ושרתים

חג הפס יחול מחר (פסיכולוגים, הפרנסה תגיע בעקבות החג, כמו אחרי כל פסח) והחלטתי לקראת החג לפרסם את "מצב האומה" שלי ולתאר מה קורה בשוק האחסון (Hosting) ועוד – בישראל.

ניתן לאמר כי השנה – יש התקדמות בישראל בתחום האחסון ובתחום רוחבי פס וחיבור לאינטרנט בחו"ל:

  • בזק בינלאומי סיימה לפרוס קו (שמשום מה הולך בדיוק באותו מסלול של MED-1) וטמרס מסיימת בקרוב את פריסת הקו שלה (ובדרך מבקשת "הגנת ינוקא" משום מה). הקו של בזק אינו נותן יתרון משמעותי לגלישה מארה"ב (במקרים מסויימים הוא יותר איטי מהקו של MED-1), אבל בכל – ממצב של ספק אחד ל-3 ספקים מתחרים, זו התקדמות.
  • שוק השרתים הוירטואליים קצת התעורר השנה ובפורום hosts ופורומים אחרים הופיעו הצעות מחיר שמזכירות את המחירים באירופה ובארה"ב. חלק מהחבילות המוצעות הן הצעות של ציוד שנמצא בחו"ל ולפיכך המחיר נמוך, אולם ישנם מספר ספקים קטנים שמבצעים "תמות נפשי עם פלישתים" ומציעים מחירים זהים לחו"ל תוך כדי עקיפת המחירים הרשמיים שהם קובעים (לא צעד חכם לפרסם מחיר של 100 שקל באתר שלך ולבקש 50 בפורום, כמו הדוגמא הזו למשל), אבל זה צעד מבורך שאם ימשיך, הוא יגרום גם לספקים היותר גדולים להוזיל מחירים.
  • שוק טלפוניית ה-IP פורח, אך עדיין לא קיים ספק גדול שיתן פתרונות לאזרח הממוצע בתצורת SIP. בזק והוט מציעות פתרון טלפוניית IP דרך VOBB (לידיעת כתבי YNET: זה VOBB ולא VOB) כאשר הוט מבצעת דחיסה אכזרית של פאקטים (מה שגורם לאיכות קול נמוכה), אולם אף אחד מהם אינו נותן פתרון סלולרי (דרך SIP) או פתרון ROAMING בין הבית לסלולר ובחזרה, כך שקיימת כאן הזדמנות עסקית לעסק או חברה לעשות ביזנס לא רע.
  • בכל הקשור ל-IPTV לצערי אנו עדיין מפגרים הרחק מאחור בהשוואה למדינות אחרות. בבריטניה לדוגמא קיים Sky Go שמאפשרת לך לצפות בסרטים וסדרות (גם לא מקומיות) מכל טאבלט, סמארטפון או PC, בארה"ב יש את HULU וסרטים ניתן לראות עם NetFlix. בישראל? לוואלה יש מיזם VOD (וגם מיזם בשיתוף YES אך הוא סגור לאלו שאינם מנויים). ל-YNET יש מיזם עם "רשת", לאורנג' היה את Orange time (הוא כבר לא מופיע באתר שלהם). בכל המיזמים הללו איכות הוידאו היא בינונית ומטה (בהשוואה ל-HULU לדוגמא), וחוסר התוכן משווע (וגם כשיש תוכן איכותי, כמו "תמרות עשן", סידרה אהובה על כותב שורות אלו) ניתן לצפות בפרק או 2 ולא בכל הפרקים.
  • בתחום החדשות הפחות טובות: לצערי השנה חוסלה התחרות (אם היתה) בין הספקים הגדולים בכל הקשור לרוחבי פס בארץ (כולל מחירי תשתיות הולכה, ראו סעיף הבא), ואחסון שרתים (Colo). בעבר ספקים כמו נטויז'ן או 012 או 014 היו מתחרים על הלקוחות, אולם כעת כשחברת פרטנר "בלעה" את 012, וסלקום רכשה את נטויז'ן, אין כמעט תחרות, וכשעבדכם הנאמן מתעניין עבור לקוחותיו בשרותים אלו, קשה מאוד בחודשיים האחרונים להוציא מחירים תחרותיים מהספקים, בניגוד למצב לפני שנה שאנשי המכירות מצדדים שונים היו מתקשרים ומציעים מחירים וחותכים את המתחרים (ואגב, זה קורה לא רק לנו בעסק, גם למתחרים שלנו).
  • עוד דבר שלא התקדם: מחירי הולכה. בישראל עדיין המחיר להולכת חיבור נל"ן (בין אם זה מטרו, סיב או חיבורים אחרים של הוט/בזק/סלקום/פלאפון/אורנג') גבוה פי כמה וכמה בהשוואה למדינות אחרות, ובנוסף מחירי האינטרנט על אותה תשתית הולכה גבוהים במאות אחוזים בהשוואה למחירים בחו"ל, ומשום מה משרד התקשורת לא מתערב עדיין.

לסיכום: יש התקדמות בדברים מסויימים, יש נסיגה בדברים מסויימים ויש קפאון. בנושאים מסויימים לקוחות יכולים "לעקוף" (בכל הקשור ל-Hosting, VPS, אחסון אתרים), בנושאים אחרים קשה לעקוף (IPTV, פתרון VPN לא עוזר לצפיה בסדרות ישראליות לדוגמא), ובנושאים מסויימים צריכים לבלוע צפרדעים (תשתית הולכה, חיבור אינטרנט עיסקי).

מי יתן ובשנה הקרובה נראה התעוררות מגופים שונים (משרד התקשורת, זכייני שידור וכו'), ואולי גם הרגולטור יבין שבדברים מסויימים המצב מבריח עסקים לחו"ל במקום להשאיר אותם פה בישראל.

חג שמח,
חץ בן חמו

שרת VPS – האם גוגל עוזר למצוא כזה?

כשלקוחות מחפשים שרת וירטואלי VPS לשכור לעצמם או לעסק, בד"כ אחד המקומות הראשונים שהם יחפשו בו הוא גוגל. מכיוון שאצל רוב הגולשים הקשה של הכתובת google.co.il ו-google.com מגיעה לאותו מקום (גוגל ישראל בשפה העברית), החלטתי להציג את עשרת התוצאות הראשונות ולהראות שגוגל .. קצת מפספס בחיפוש (במקרה שלי גוגל מוגדר להיות מוצג באנגלית).

למי שמעוניין לבצע את החיפוש: פתח מצב Private Mode בפיירפוקס (או Incognito בכרום) וחפש בגוגל את המושג: שרתי VPS.

בהתחשב בכך שגוגל בימים האחרונים מבצעים שינויים (כמעט כל הספקים זזו למטה או למעלה בכמה מקומות), התוצאות לרגע זה נראות כמו בתמונה הבאה:

(המספרים שאתם רואים מצד שמאל הן תודות לתוסף Sorezki SEO Plus)

אז מה יש לנו בעשיריה הפותחת?

  • התוצאות באדום בהיר (1,2,7,8) מביאות את הגולש לאתר אינטרספייס, ושם מוכרים VPS עם Virtuozzo, הטכנולוגיה הכי גרועה שיש לוירטואליזציה. ישנה, בעייתית והמשתמש לא יכול לעדכן כמעט כלום.
  • התוצאות בסגול בהיר (3,6) מביאות לאותו מקום (VPS4U), אתר שגם המחירים וגם האתר עצמו לא עודכנו עוד משנת 2009 וניכר כי לא מדובר בספק שרותי VPS אלא בבונה אתרים ש"על הדרך" גם מוכר VPS.
  • עם מה נשארנו? תוצאות מס' 4,5,9,10 – ספקי שרתי VPS.

כלומר התוצאות של גוגל פשוט מתעדכנות מאוד לאט או לא מתעדכנות. מדוע אתרים משנת 2009 שלא שונו מאז נמצאות בעשיריה הפותחת? הרי קמו מאז עוד ספקי שרתי VPS, עדכנו את הדפים שלהם והם מבצעים קידום אתרים, אך גוגל ישראל פשוט לא משקף נכון את המציאות.

חיפושים קרובים (כמו רק המילה VPS ובחירת אפשרות קבלת תוצאות מישראל) גם מביאה לעשיריה הראשונה תוצאות לא מעודכנות, כמו האתר של hostdime שכבר סגרו בישראל והמילה VPS כלל לא מופיעה באתר. היכן ספקים כמו Evolution, RAID, securehost, טריפל סי ואחרים? הם בעמוד השני והשלישי, ולא חשוב כמה הספקים ישקיעו, גוגל (בישראל) נותן עדיפות ל-ותק, לא לתוכן.

זה לא שגוגל לא מתעדכנת. אם תלחצו מימין על תוצאות מהשעה האחרונה, 24 שעות אחרונות או זמנים אחרים, תוכלו בהחלט למצוא תוצאות מעודכנות, אבל בתוצאות הרגילות, גוגל בהחלט מעדיף להציג את האתרים הותיקים גם על חשבון אתרים פחות ותיקים ויותר מעודכנים (לדוגמא: פורומים על שרתי VPS, פורום hosts נמצא הכי "קרוב" .. בעמוד הרביעי).

מסקנה: אם אתה מחפש מגוון יותר גדול של ספקים עם מגוון הצעות, כנס גם לעמוד השני והשלישי.

ספק VPS בארץ: איך למצוא אחד?

הנה שאלה שמופיעה כמעט בכל פורום שמזכיר או מדבר על שרתי VPS: אצל איזה ספק לשכור שרתי VPS? (כמובן שהכי קל לי לאמר "בואו אלינו", אבל בכל זאת.. 🙂 )

קשה לענות על כך תשובה של "שמעון שרתים הוא הכי טוב, רוצו אליו" מהסיבה הפשוטה שלכל אחד יש דרישות אחרות ובקשות שונות וחלק מאותן דרישות/בקשות הן Deal Breaker.

אז במקום לאמר לך איזה ספק הכי מתאים לף, אנסה לתת מספר נקודות שכדאי לבדוק אותן ואז לאחר שתקבל תוצאות, תוכלו לנפות ולמצוא את הספק המתאים לכם. שים לב: לשם פוסט זה, אני יוצא מתוך הנחה שעבורך השרת VPS מייצר רווחים, חשוב לך מאוד שהוא יהיה תמיד למעלה, שאתה מעדיף ספק שיש לו "שקט" בתשתית עם כמה שפחות התקפות, ושאתה מחפש ספק רציני, ושאתה מוכן לשלם כמה שקלים יותר בשביל כל הדברים שציינתי. כמו כן אני יוצא מתוך הנחה שיש לך כמה שמות ששמעת/קראת מכל מיני פורומים.

אז אם אתה מחפש, תתחיל לפתוח טאבים בדפדפן ובדוק את הנקודות הבאות:

  1. חפש את שם הספק בגוגל עם המילים "שרתי משחק". הספק הנ"ל מופיע עם שרתי משחק? מחוק אותו מהרשימה שלך. מדוע? כי שרתי משחק אמנם ניתן להגביל אותם מבחינת תעבורה, אבל הבעייתיות מתחילה ברגע שאחד המשחקים מפסיד במשחק ומחליט לדפוק התקפת DDoS על כתובות ה-IP של הספק. אתה באמת רוצה לסבול בגלל ילד זב-חוטם שהפסיד במשחק?
  2. חפש את שם הספק בגוגל עם מילים שליליות כמו "שקרן", "רמאי", "גנב", "לא מומלץ" וכו'. מצאת? אוקיי, כנס לדפים שמצאת ובדוק את התנהלות הספק. זה שמישהו כתב ש"שמעון שרתים רמאי!1!1!!" לא אומר שהוא באמת כזה (בכל זאת, יש כאלו שמצפים לקבל את השמיים וכשהם לא מקבלים הם יקללו את הספק בכל דרך), אבל חשוב לראות איך הספק מתייחס לאותם תלונות. אם מצאתם שאותו ספק "מחמיא" לאותו לקוח בקללות/נאצות וכל דיבור סר-טעם, אז ה"ספק" הוא לא יותר מאשר ילד ומומלץ לדלג. אם לעומת זאת הספק מסביר ומגיב בבהירות ובמקצועיות, אז יכול להיות שיש פה לקוח שלא בדיוק צודק.
    לעומת זאת, אם אתם מוצאים שורה ארוכה של דפים שמכילים "שמעון שרתים רמאי!1!!" מכל מיני משתמשים, מומלץ למחוק את הספק.
  3. שגיאות כתיב/תחביר: כיום, תמורת כמה דולרים ניתן לרכוש עיצובים מקצועיים לעילא של אתרים, להרים דרופל/ג'ומלה/וורדפרס, לשים את העיצוב, "לגייר" אותו – ויש לנו אתר שנראה מאוד מקצועי. האם הספק באמת כזה? לא תמיד. איך יודעים אם מדובר ב-ילד? פשוט: שגיעוט קטיב. "ארדיסק" במקום דיסק קשיח. "אם" במקום "עם" ועוד 1001 שגיאות כתיב מראים בבירור שמדובר בילד שלקח שרת בזול ועכשיו הוא מוכר שרותים. אתם באמת רוצים לסמוך על ילד עם השרת שלכם? אם לא, דלגו מעליו.
  4. חבילות מעודכנות: ספקים שונים בארץ מפרסמים בקול תרועה בפורומים שונים מבצעים לכבוד חגים, התחלות שנה וכו', אבל באתר העסק עצמו .. יוק! כמובן שספקים רבים מעדיפים לפרסם מבצעים מיוחדים לסקטורים מסויימים באותם אתרים/פורומים של הסקטורים הנ"ל, אך מצד שני, ספקים רציניים תמיד מעדכנים גם את האתרים שלהם במבצעים לסקטורים שגם מגיעים לאותו אתר ולאותם חבילות שהסקטורים הנ"ל מחפשים. במילים אחרות: אם אתם נכנסים לאתר של ספק והמחירים מזכירים את שנת 2000, אתם גם תקבלו חבילות שמתאימות לשנת 2000, מומלץ לחפש ספק אחר.
  5. תוכן וידע: מצאתם ספק מעניין? תחפשו אותו בגוגל, חפשו מאמרים שלו (לא רק מאמרי SEO), הסתכלו ממתי המאמרים, האם הוא הוסיף לאחרונה תוכן? האם הספק מפרסם גם תוכן שמסייע ולא רק תוכן שיווקי? אם כן, כדאי לשים את שמו בצד של הספקים לבדיקה יותר מעמיקה.
  6. התחייבויות, SLA: בדקו מה הספק מתחייב ומה הוא לא. האם הספק מתחייב על רוחב פס או על משאבים אחרים או לא? האם יש פיצוי אם אינכם מקבלים את מה שהובטח או ש… זבשכ"ם? והכי חשוב: האם הדברים כתובים בשפה פשוטה ומובנת או שמדובר במסמך משפטי מסובך עם המון התחמקויות? אם מדובר באחרון, כדאי לדלג על אותו ספק.
  7. הספק מתחייב ל-24/7 תמיכה? הרימו טלפון בשעות הלילה, תראו אם מישהו באמת עונה לטלפון והאם מדובר במישהו עם קול של גיל צעיר. עונה ילד? ה"ספק" הוא עוד ילד (ראו סעיף 3). אין תשובה? תשכחו מתמיכה של 24/7, ואם את זה הוא לא נותן למרות שהוא מתחייב, אינכם יודעים מה הוא לא יתן לכם בשעה שתיקחו ממנו שרת. דלגו על אותו ספק.
  8. הצעות מחיר נראות זולות מאוד ביחס למתחרים? כדאי לבדוק מה עומד מאחורי זה. שיטות וירטואליזציה כמו OpenVZ רק יגרמו לכם לתלוש שערות מראשכם בזמן שלקוחות אחרים "חונקים" את השרת שלכם. כדאי לבדוק גם האם האחסון הוא באמת בישראל ולא בחו"ל (ישנם ספקים שמארחים את אתר המכירות שלהם בארץ אך בשקט בשקט הם מארחים את האתרים של הלקוחות בחול מבלי ליידע אותם). אלו הצעות שאולי יחסכו לכם כספים בהתחלה, אך כשיגיעו הבעיות (ועם OpenVZ תהיו בטוחים שהם יגיעו), אתם תפסידו כספים בגלל נפילות.
  9. המלצות על ספקים הן דבר חשוב, אולם כדאי לבדוק מה עומד מאחורי אותם המלצות. אם הממליץ מאחסן אצל אותו ספק, אז זו המלצה שווה. אם הממליץ מכיר לעומק את הספק, גם זו המלצה שווה, אולם אם הממליץ נותן המלצה רק כדי לקבל כספים מהספק, אז זו המלצה שאינה שווה כל כך. אם אתם רוצים המלצות אותנטיות, בקשו מהספק שם או 2 של לקוחות גדולים אצלו וצרו קשר עם אותם לקוחות, ראו מה דעתם, האם הם חושבים לעזוב? האם היו בעבר בעיות עם אותו ספק מול אותו לקוח? כך תוכלו לקבל תמונה אמינה יותר לגבי הספק.
  10. הנקודה הכי חשובה: ידע מקצועי. מצאתם ספק שעבר את כל הנקודות לעיל? צרו קשר עם הספק, בקשו איש טכני ותנו לו לבנות תאורתית עבורכם מערכת שאתם רוצים לבנות (מבלי לבנות אותה כמובן אלא שיתאר מה הקומפוננטות שצריך מבחינת תוכנה, תשתית וכו'), ובדקו את הידע שלו, כך תוכלו לדעת אם תהיה בעיה, שיש מישהו שם שיכול לסייע לכם. אם לעומת זאת הנציג לא יכול לענות ולא יכול להעביר אתכם למישהו שיכול לענות, אז תהיה לכם בעיה בעת שתתרחש (חס ושלום) תקלה. מומלץ למצוא ספק שמבין יותר.

אלו הסעיפים העיקריים. נכון, זה לא בדיוק דבר קצר (עם "רשימת המכולת" לעיל) לבדוק ספקים, אולם ביצוע הבדיקות יכול לחסוך לכם זמן וכאב ראש בעתיד אם תצטרכו את עזרתו של הספק או אם אתם מחפשים שקט מבחינת תקלות והפרעות.

בהצלחה וחג שמח.

VPS בארץ או בחו"ל?

לקוחות פוטנציאליים שמעוניינים בשרת VPS מתחבטים לעיתים קרובות היכן לשכור אותו. האם מספקים ישראלים או מספקים בחו"ל? לשכירת שרת VPS יש כל מיני נקודות שחשוב לשקול אותן, אולם לא תמיד עניין מיקום שרת ה-VPS נלקח בחשבון בצורה נכונה.

השאלה הראשונה שצריכה להיענות היא: מהיכן מגיעים הגולשים שלך?

אם התשובה היא "הרוב מישראל", אז הבחירה היא יותר קלה: ספקים ישראלים רבים מציעים שרתי VPS במחירים שונים, חלקם מתחרים בכבוד במחירים בחו"ל, תלוי בקונפיגורציה, מערכת ההפעלה, חוזה תמיכה ועוד.

אם התשובה "כל העולם", אז כאן התשובה מהיכן לקחת נהיית קצת יותר מסובכת.

לקוחות רבים (במיוחד סטארט-אפים) אצים רצים לספקים בארה"ב, חותמים חוזה וסוגרים עניין, אולם זוהי טעות נפוצה מכיוון שהמידע על רוחב פס קיים אינו נכון אצל אותם לקוחות. בארצות הברית אין את רוחב הפס הכי גדול לשרות גולשים מכל העולם.

לאירופה יש, ויש ספקים שיכולים להציע זאת… (אההממ… גם אנחנו)

באירופה, האיחוד האירופאי וגופים שונים השקיעו הון עתק בחיבורי אינטרנט של מאות טרהביט באיחוד עצמו ומחוצה לו, ואת זה רבים מחברות הסטארט-אפ (לדוגמא) לא יודעים. מי כן יודע? 2 תעשיות שצורכות המון רוחב פס: פורנו ומשחקי ההימורים. נכון, בארה"ב יש איסור על הפעלת קזינו און-ליין משרתים בארה"ב, אולם גם לפני כן, רוב התעשיה עצמה הקימה את השרתים שלה באירופה.

רוחב הפס האירופאי מאפשר להעביר קבצים גדולים במהירות של עשרות ומאות מגהביט גם בלי לשלם אלפי יורו נוספים מדי חודש. לעומת זאת, קחו שרת VPS ממוצע בארה"ב ותנסו לזרוק קבצים של ג'יגות מארה"ב לאירופה, תוך שניות ספורות תראו את המהירות… או חוסר מהירות. הסיבה לכך? ספקים רבים בארה"ב מפעילים QoS ברמת הראוטר שמאיט את קצב העברת הנתונים. לא מאיטים כמו בישראל, אבל יש האטה, אפשר לראות זאת באמזון, Rackspace, Softlayer ועוד.

נכון להיום, אין פתרון מסויים של בחירת שרת VPS אצל ספק מיבשת מסוימת על מנת לתת שרות מהיר ואמין לכל הגולשים מהעולם. לשם כך יש צורך להשתמש ב-CDN אבל CDN אינו עניין זול (במיוחד אם יש לך הרבה מידע להעביר לכל גולש) ולכן יש צורך בבחירה של ספק שרתי VPS שיתן מהירות גבוהה גם לגולשים מאירופה, גם ארה"ב וגם למזרח ואולי לכאן, לישראל.

חשוב מאוד: לא להאמין להבטחות סרק. לפני שמתחייבים או מחליטים על ספק, כדאי לבצע את הנסיון הבא: פתחו לכם שרת VPS אצל ספק ענן כמו אמזון (החבילה הכי קטנה תספיק) באזורים שונים, לדוגמא בארה"ב, ובקשו מהספק שאתם מעוניינים בשירותיו לינק לקובץ גדול להורדת מבחן. בשרת שפתחתם, בצעו פקודת wget לאותו קובץ ותראו מה המהירות שאתם מקבלים. המהירות מספקת? נסו באזור אחר לבצע wget לאותו לינק ובדקו מהירות. המהירות גם שם מספקת? אפשר לסגור עיסקה (מומלץ למחוק את המכונות שהקמתם אחרת תחוייבו על כך כספים נוספים). המהירות מגיעה בקושי לחצי מגהביט? חפשו ספק אחר.

בהצלחה

על אבטחת מידע ללקוחות – מצד הספקים

בפוסט הקודם דיברתי אבטחת מידע, מאגרי מידע ומה צריכים לעשות לקוחות ובוני האתרים שלהם. משה, אחד המגיבים בפוסט, שאל מה עם צד הספקים. פוסט זה נועד לענות על שאלה זו.

נבדיל בין 2 מושגים שרבים טועים לגביהם והם המקור לטעויות רבות בכל נושא אבטחת מידע מהצד של הספק.

תקיפת שרת

ישנם הרבה מאוד צעירים משועממים בעולם עם כל מיני אג'נדות, במיוחד נגד ישראל, ארה"ב, קפיטליזם, חברות גדולות וכו', ולכן חברות רבות חוות התקפות. ברוב המקרים מדובר בהתקפה מסוג DDoS.

התקפת DDoS היא בעצם הצפה של השרת בבקשת תוכן מהאתר (בד"כ הדף הראשי), אך בכל בקשה כזו צד היעד (הצד שאמור לקבל את המידע) מזוייפת, כך שהשרת מנסה להגיש את הדף לכתובת המזוייפת. מכיוון שהכתובת המזוייפת לא ביקשה את הדף, החיבור נשאר פתוח. תכפילו את זה בכמה אלפי בקשות לשניה ותקבלו מצב שהשרתים שלכם (ולא חשוב כמה שרתים יהיו לכם) פשוט "נחנק", כי שום בקשה לא מבוצעת עד הסוף, החיבור נשאר ומתווספים כל האלפים, עד שהשרת לבסוף קורס.

בהתקפת DDoS אין גניבה של מידע. המתקיף, בדיוק כמו האחרים, לא יכול להיכנס לשרת (אלא אם מדובר בהתקפה משולבת פריצה, דבר מאוד נדיר ומצריך ידע מוקדם לגבי השרתים, בד"כ לא מידע שמפורסם, ולכן במקרים כאלו מדובר במשהו פלילי מקומי). כל המטרה של ההתקפה היא להשבית את האתר, ואתרים מאוד גדולים (כמו אמזון, ויזה העולמית, FBI ועוד) חטפו התקפות כאלו ולמרות כל הציוד שהיה להם – האתרים היו מושבתים (עם ציוד אפשר לחסום את הבקשות, אבל עדיין לא תהיה גישה לדפים).

האם יש פתרון להתקפות DDoS? רוב חומות האש המודרניות (וגם Linux כחומת אש עם עוד מספר מודולים) יכולים לזהות התקפה ולספוג אותה, אבל עדיין רוב הרוחב פס יהיה תפוס בהתקפה עצמה. יש ספקים מסויימים בחו"ל המיועדים לאתרים ש"מושכים אש", והמחיר שלהם הולך לפי רוחב הפס שהספק יספוג עבור הלקוח, אבל אין שום פתרון ממשי עדיין כדי למנוע "חניקה" של רוחב הפס.

פריצה לשרת

פריצות לשרתים בעבר היו נהוגות על ידי סריקה של השרת המיועד לפריצה. הפורץ היה סורק עם תוכנות שונות את השרת שהוא רוצה לפרוץ אליו, מוצא פורט פתוח עם תוכנה שמאזינה לאותו פורט, מחפש פירצה לאפליקציה שמאזינה לאותו פורט – ומשם הוא היה פורץ.

שיטה זו עדיין בשימוש היום על ידי סקריפטים שפורצים רבים מריצים. הסקריפט לוקח טווח כתובות מסויים ומנסה למצוא בפורטים מסויימים אפשרות לפרוץ, כך לדוגמא אחד הפורטים הפופולריים הוא פורט 22 שמשמש בשרתי יוניקס/לינוקס כחיבור לשרת (SSH). סקריפט כזה שמוצא את הפורט הזה, ינסה לעשות login דרך משתמשים כמו root, admin וכו' ועל כל משתמש הוא ינסה להריץ סידרה של סיסמאות ידועות כמו מספרים, מספרים ואותיות רציפות על מקלדת (1q2w3e4r) ועוד כל מיני סיסמאות. אם השרת נמצא עם סיסמא כזו, הסקריפט יצור יוזר נוסף עם הרשאות root וידווח בחזרה למפעיל הסקריפט שיש לו עוד שרת פתוח לשימושו. אותו דבר קורה עם פורטים כמו 25 (SMTP), ועוד פורטים.

קל מאוד למנוע את הפריצות האלו: כל מה שצריך הוא לשנות את פורט SSH מ-22 למספר אחר, לבטל אפשרות כניסת root ע"י סיסמא מרחוק (תמיד תוכלו להיכנס כ-root מהקונסולה), ואם אפשר, עדיף לבטל סיסמאות לגמרי ולהשתמש במפתחות, כך שאם אין למשתמש קובץ סיסמא, המערכת לא תבקש ממנו סיסמא אלא תסגור את החיבור. אפשר להוסיף דברים כמו אפליקציית LFD (או להשתמש בתוכנת חומת אש CSF) וכך התוכנה יודעת לספור את כמות החיבורים מאותו IP ולחסום אותו זמנית או בצורה קבועה.

אבל רוב הפריצות אינן פריצות פורטים, אלא פריצת אפליקציות.

מהי פריצת אפליקציה? ובכן, מכיוון שרוב האתרים היום נכתבים על פלטפורמות פופולריות (וורדפרס, ג'ומלה, דרופל ועוד עשרות פלטפורמות), הפורץ ינסה להריץ אפליקציה שלא רק תזהה על איזה פלטפורמה האתר עובד, אלא גם תנסה לאתר פרצות ידועות ולחדור דרכן אל המערכת. מהרגע שהאפליקציה שהפורץ מוצאת את הפירצה – הפורץ יכול לעשות דברים רבים: לגשת לבסיס הנתונים של הלקוח, לקרוא, לשנות, לגשת לקבצים שנמצאים בתיקיית הלקוח, להוריד אותם למחשבו האישי, להעלות ולמחוק קבצים ועוד – הכל דרך האפליקציה (אפשר כמובן לעשות זאת ידנית דרך ה-URL לאחר שנמצא חור האבטחה).

במקרים מסויימים (כמו עם "הפורץ הסעודי") הפורץ לא כל כך מתעניין באתר שלך, אלא מתעניין האם ישנם חורי אבטחה ברמת מערכת ההפעלה, והוא משתמש בערך באותן שיטות שהזכרתי מקודם כדי למצוא אם יש. במידה ויש, הפורץ יכול לנצל את החור אבטחה כדי ליצור לעצמו משתמש עם הרשאות מערכת, ואז להיכנס ולעשות במערכת כרצונו – כולל קריאה/עריכה/מחיקה של כל מי שמשתמש בשרת, והוא אפילו יכול למחוק ולשנות את המערכת הפעלה עצמה.

אז מה ספק אחסון טוב צריך שיהיה וצריך לעשות? כמה דברים:

  1. הטמעת חומת אש רצינית עם חוקים קשיחים: סיסקו, צ'ק-פוינט, פורטינט, ג'וניפר – כולם מייצרים קופסאות חומות אש מספיק רציניות כדי להגן על משתמשים. ספק רציני יודע לקחת קופסא כזו ולהגדיר מי יכול להיכנס ברזולוציה של כתובת IP, איזה פורטים לפתוח עבור הלקוח ואיזה פורטים לסגור. ספק רציני גם יתקין ללקוח חומת אש פנימית עם חסימת פורטים פנימה והחוצה לפי הצורך.
  2. לא לאפשר לעובדים שלו להיכנס למערכות של הספק עם סיסמאות אלא עם מפתחות הצפנה בלבד וכל כניסה נרשמת ומתועדת.
  3. ספק טוב מפריד לחלוטין בין רשת השרתים של הלקוחות לרשת שלו עצמו. כך לדוגמא כל עניין ניהול הלקוחות, פרטי הלקוחות, סיסמאות וכו' צריכים לשבת ברשת נפרדת, עם גישה מאוד מפוקחת לסקריפט ששולף נתונים ועדיף שהנתונים יועברו בהצפנה. (אצלנו לדוגמא כל רישום הלקוחות נמצא בכלל בעיר אחרת אצל ספק אחר).
  4. אם מדובר בספק שסולק כרטיסי אשראי, אז הספק צריך להקים רשת פיזית אחרת (לא להסתפק במכונה וירטואלית וחיבור VLAN נפרד) ולהציג אישור שעבר PCI (שימו לב: ישנו סולק שלא אציין את שמו שמציג לוגו של PCI באתר שלו אך הוא לא עבר PCI ולכן חשוב לבקש לראות הוכחה שהספק עבר תקן PCI ושהתעודה מראה את השנה הקלנדרית הנוכחית (בדיקת תקינות ל-PCI צריך לעבור כל שנה).
  5. ספק טוב שומר בשרתי אחסון שיתופי שלו לפחות חודש רישומים של כניסות לשרת הן דרך WEB וגם SSH, רישומים אלו אמורים להישמר בגיבוי.
  6. עדכונים – כל השרתים (למעט VPS שאינם מנוהלים על ידי הספק) צריכים להיות אחת לשבוע מעודכנים בכל הטלאים האחרונים שיצאו לאותה הפצה.
  7. פאנלים – חובה שיהיו מעודכנים לגירסה האחרונה.

אלו הדברים שלעניות דעתי ספק טוב צריך לתת מבחינת מינימום.

נקודה חשובה שצריך להבהיר: אין הוקוס פוקוס באחסון. אם בונה אתרים אינו מצפין את המידע, הספק לא יכול להצפין עבורו את המידע המאוחסן. ספק אינו יכול לנטר את הנתונים היוצאים והנכנסים של כל לקוח כי זו כבר עבירה של חדירה לפרטיות הן של לקוח והן של גולשים (ושום ספק שפוי לא יכניס ראש בריא למיטה חולה). ספק יכול וצריך לעדכן את השרתים כדי שפרצות אבטחה לא יהיו בשרתים, אבל ספק לא יכול לעדכן את האפליקציות שהלקוח מתקין, זו אחריותו של הלקוח ושל בונה האתרים שלו, לא של הספק.

ועוד משהו אחד: בחשבון משותף עם גישת SSH אפשר לבדוק את חלק מהדברים. לדוגמא אם תקישו את הפקודה uname -a תוכלו לראות שגירסת הליבה (אם זו מערכת CentOS מעודכנת) היא 2.6.18-274 (לקוחות שלנו יראו 374, הוספנו כמה דברים לליבה). אם המספר פחות מ-274, זה אומר שהשרת אינו מעודכן, ובמקרים כאלו אתם חשופים לחורי אבטחה.

עתה לחלק הלא כל כך נעים: איש המכירות יכול להישבע בנקיטת חפץ שכל הסעיפים שציינתי לעיל מיושמים במלואם, אבל לך כלקוח לא תוכל לבדוק את רוב הדברים שציינתי אם הם נכונים או לא וכפי שראינו רק לפני מספר שבועות, אותו עסק שאחסן אתרים ופרצו אליו, הצהיר תחת כל מיקרופון ש"הם מוגנים", ראינו איזו הגנה יש להם…

אז מה ניתן לעשות? משהו פשוט: אם אתה מקים אתר עם הרבה מידע אישי או חנות, אני מציע לך לקחת שרת וירטואלי (VPS). עם שרת וירטואלי הכל בשליטתך. אתה (או האיש מטעמך) מאבטח את השרת בצורה הכי טובה (במקום לסמוך על הספק), אתה יכול להצפין ולאבטח דברים בצורה הרבה יותר חזקה מאשר באחסון שיתופי (לדוגמא: אתה יכול להצפין את תיקיית ה-Home, היכן שמאוחסנים במקרים רבים תכנים חשובים), אתה יכול לעשות אופטימיזציות ולא להיות תלוי בידע ובמקצועיות של אנשי הספק שנותן לך את ה-VPS ועוד. כך אתה יכול להגן על עצמך בצורה הכי טובה ובתקציב נמוך.

כשבוחרים ספק לשרות VPS

כשאנשים ועסקים מחפשים לעצמם מהיכן לשכור שרת VPS לארח את האתר או האפליקציה/שרות שלהם, במקרים רבים הם מחפשים דרך גוגל, מתייעצים עם חברים/קולגות, מקבלים המלצות, עושים סקר שוק ואז מחליטים..

יש עוד גורם מסוים שעסקים לא לוקחים בחשבון והוא: מה הפוקוס של אותו עסק? מה המיקוד שלו?

אם אתה מנהל עסק או חברה ותיקח חברת יעוץ שתסייע לך ברווחיות העסק, אחד הדברים הראשונים שהם ישאלו אותך זה: לאן העסק שלך פונה? מי בעצם הקהל שלך? האם יש לך מיקוד כזה? האם ההצעות שלך נותנות פתרונות טובים ש"תפורים" עבור אותו פלח לקוחות?

אני יכול לתת דוגמא מהעסק שלנו: אנחנו מתמקדים בשרתי VPS המיועדים לתחום ה-Prosumer  כלומר לשוק שמורכב גם ממקצוענים שמכירים היטב ולעומק מה זה VPS, מה זה שרת וירטואלי, מה ניתן ומה לא ניתן לעשות איתו, איך להגדיר אותו, איך לשנות אותו מכל צד אפשרי, לעשות לו אופטימיזציה ועוד, וגם לאנשים עצמם שמתכנתים, אנשי סיסטם (שיש להם בעבודה שרתים וירטואליים והם מנהלים אותם או שהם מנהלים של המחלקות הללו), אינטגרטורים, בוני אתרים מקצועיים, אנשי QA ועוד. גם האחסון המשותף שלנו שונה מאוד מאחסון אתרים שאחרים נותנים, כי אצלנו שמים דגש יותר על תמיכה של שפות נוספות, כלים (כמו GIT,SVN וכו') לניהול קוד, בקרה, והגבלת המשתמש כדי שלא יוכל "לחנוק" משתמש אחר (כן, גם באחסון משותף). אם מישהו שלא מבין כלל בתחום מגיע אלינו והוא רוצה לאחסן אתר, אנחנו נבקש לסגור את הפרטים הטכניים מול בונה האתרים שלו ולא איתו. אם אין לו בונה אתרים והוא לא מבין כלום בנושא ורוצה להרים בלוג משלו, נשמח להפנות אותו למתחרים, כי זה לא התחום שלנו. אנחנו לא נותנים שרות ל-End Users אבל רוב הספקים הישראלים שנותנים שרותי אחסון אתרים (אחסון משותף) נותנים בשמחה למשתמשי קצה, אז שירוויחו, בשמחה.

זה הפוקוס אצלנו.

ספקים אחרים לא יפרסמו את הפוקוס שלהם כי הפוקוס שלהם מסתכם ב"הכל". רוצה שרת משחקים? קח. רוצה חבילות מוכרנים (ריסלר)? קבל. רוצה לארח פורנו? אין בעיה. הונאת לייקים בפייסבוק? אוקיי. זו כמובן זכותם המלאה לקבל את כולם ולעשות את הפרנסה שלהם מזה.

השאלה היא כמה אתה מחפש את השקט והיציבות, כי יש דברים שיפריעו לשקט ויציבות הזו, דברים כמו שרתי משחקים יכולים לגרום "רעשים" ובעיות ביציבות כי ילדים שלא לוקחים הפסד טוב לפעמים מגיבים בהתקפת שרתים (DDOS). דבר נוסף שכדאי לבדוק הוא על מה רץ אותו אחסון – האם מדובר במעבדים שמיועדים ל-Desktop או ציוד שרתים אמיתי? יש ספקים ש"חותכים פינות", מה שמתורגם לכך שאם אתה מעוניין ביציבות רצינית, תהיה לך בעיה בגלל שהספק התקמצן לקנות שרת ובמקום זאת לקח מחשב ב-1000 שקל ועל זה רץ האתר שלך.

אז איך יודעים את הנתונים האלו? ספקים לא ירוצו לספר שרוב הפעילות שלהם הם שרתי משחקים לדוגמא, אז במקרים כאלו כדאי לבדוק מי הלקוחות של אותו ספק או שפשוט לשאול: אתם משכירים שרתי משחק? ולפי התשובה אפשר להחליט. לגבי ציוד – זה יותר קל לבדוק: בכל מיני פורומים ספקים שונים מפרסמים חבילות מחוץ לאתר שלהם ולעיתים הם גם מפרסמים מה המפרט הטכני של אותם "שרתים", ואז אפשר לדעת על מה מדובר.

לסיכום: רצוי לפני שסוגרים עיסקה לעשות שיעורי בית. לבדוק ולחקור לגבי אותו ספק האם הוא בכלל מציע שרות שמתאים לך או לא, מה אחרים אומרים עליו, האם יש עליו תלונות, האם לקוחותיו יכולים להעיד עליו וכו' – ורק אז לסגור הסכם.

בהצלחה

בעקבות גניבות כרטיסי אשראי – שאלות ותשובות

בשבוע האחרון התוודענו כולנו לפורץ סעודי שהצליח לחדור לחברת אחסון ובניית אתרים בשם "דובל אתרים". הפורץ הצליח לפרוץ לאתרי דילים כמו "קבוצתי", "סייל 365", ולאתר הספורט One. הפורץ הסעודי התגאה בכך שהוא פרץ לעוד מספר רב של אתרים אולם לפי הכתב עידו קינן, רוב אותם אתרים הם קטנים ושוליים. הפורץ הסעודי כבר שיחרר פעמיים קבצים ובהם עשרות אלפי מספרי כרטיסי אשראי, חלקם תקינים וחלקם לא וחברות האשראי עושות הכל כדי לחסום את אותם כרטיסים ולהנפיק כרטיסים חדשים ללקוחות.

במאמר זה ננסה לענות על שאלות שעולות אצל בעלי אתרים.

האם המידע שמסרו בעלי חברת דובל נכון והפורץ חדר מתוך אתר בלתי מוגן אל אתרים מוגנים?

למעט חברות האשראי ואולי לעוד מספר גורמים, אין לאף אחד מידע קונקרטי מה בדיוק התחולל שם בשרת. ישנם שביבי מידע והמון השערות, אבל הטענה של בעלי דובל אתרים כאילו האתר שלהם היה מוגן והוא נפרץ מאתר אחר אינה נשמעת אמינה, הואיל והקבצים עצמם של מספרי האשראי, פרטי הלקוחות, כתובות, סיסמאות, טלפונים וכו' – היו בלתי מוצפנים, כך שעניין ה"אתרים מוגנים" מוטל בספק על ידי מומחי אבטחה רבים.

יש לי אתר שאני מוכר בו מוצרים, האם גם האתר שלי חשוף לפריצות?

אין לי או לאף אחד אחר אפשרות לאמר לך אם האתר שלך חשוף או לא (ובמקרים רבים גם לא מי שבנה לך את האתר!) וההמלצה של כל איש מקצוע תהיה – שתשכור איש אבטחת מידע שיעבור על האתר שלך, יתן המלצות כיצד לאבטח את האתר שלך, הצעת מחיר – ומומלץ שתשכיר אותו או איש אבטחה אחר ליישם את ההמלצות. חשוב לזכור: רוב בוני האתרים אינם מבינים היטב באבטחת מידע, ו"דילוג" על אבטחת מידע יכול לגרום לך להפסדים ניכרים אם יפרץ האתר שלך.

באתר שלי אני סולק כרטיסי אשראי ישראליים. האם יש המלצות כלשהן?

ישנן מספר המלצות עיקריות:

  • להעביר את האתר בדחיפות סריקה של איש אבטחת מידע לגבי הצפנת הנתונים, מחיקת נתונים שאין צורך בהם ושאסור שישמרו אצלך (לדוגמא: 3 הספרות בגב כרטיסי האשראי, מה שנקרא CVV או CVV2) ובדיקת עדכונים לגבי התוכנה שאתה משתמש בה לניהול האתר/חנות.
  • מעבר לאחסון לשרת וירטואלי (שרת VPS) – ראה הסבר בהמשך המאמר מדוע.
  • חתימת חוזה מתמשך עם בונה האתרים שלך (או בונה אחר) להטמעת עדכוני תוכנה ואבטחה באחסון שלך לפחות אחת לחודש.
  • מעבר לסליקה דרך אתר חיצוני (כמו טרנזילה ואחרים) שלהם יש מומחיות בסליקה, הצפנה ועוד.

אם אני מוכר מוצרים אבל אני לוקח פרטי אשראי בטלפון, אני צריך לדאוג?

שאל את עצמך את השאלה הבאה: האם היית מוכן לתת למתחרים שלך את המידע על לקוחותיך, כמות המלאי של המוצרים שלך, מבצעים ומחירים או מוצרים נוספים שאתה הולך להכניס באתרך? סביר להניח שהתשובה תהיה "לא", ולכן מאוד מומלץ גם כאן לשכור איש אבטחה שיעבור על האתר שלך ויתקן מה שצריך לתקן. אם יפרצו אליך (ולמען האמת זו לא שאלה של "אם" אלא "מתי") והמידע יגנב מהאתר שלך, הדבר עלול ליצור לך נזקים חמורים ואם יהיה אפשר להוכיח שהתוכן נגנב ממך, תהיה חשוף לתביעות רשלנות מצד לקוחות וחברות אחרות.

למה אני צריך שרת וירטואלי? מה רע במה שיש לי היום? הספק אומר שהאחסון מאובטח

אם יש לך חנות פיזית, האם תסתפק בדלת דיקט עם צילינד ומפתח שעולים 20 שקלים? סביר להניח שלא. אתה תרכוש דלתות חזקות, תשים מצלמות במעגל סגור, אולי תשכור חברת שמירה שתפטרל באזורך בלילה, אולי גם תתחבר למערכת אבטחה חיצונית עם גלאים ועוד – אתה בעצם תשקיע רבות כדי להגן על עצמך.

כך גם בעולם הוריטואלי. אחסון שיתופי שעולה כמה עשרות שקלים בחודש לא יכול לתת אבטחה מספקת לאתרים שסולקים כרטיסי אשראי או לאתרים שיש בהם מידע רגיש (פרטי לקוחות, מלאי שלך, תכנונים עתידיים, מבצעים שלא הוכרזו ועוד). בשרת וירטואלי (שרת VPS) אפשרויות ההגנה הרבה יותר גדולות ואיש טכני טוב יכול להגן בצורה רצינית על המידע שלך. אחסון שיתופי לעומת זאת, יכול לתת הגנה ברמה פשוטה עד בינונית, הואיל ואין אפשרות ליישם הגנות רבות ובמקביל לתת ללקוחות רבים להשתתף באותו אחסון שיתופי.

שרת וירטואלי עולה יותר מאחסון משותף ואין חולק על כך, אבל שרת וירטואלי גם נותן לך עצמאות באבטחה, אתר מהיר ללקוחותיך (מבלי להיות מואט על ידי לקוחות אחרים כמו באחסון שיתופי), אפשרויות גדילה מורחבות ועוד. לגבי המחיר: תלוי בספק והצעות המחיר שלו, ההבדל עצמו אינו כה גדול והוא נע בין 800 ל-1600 שקל לשנה. אצלנו לדוגמא ניתן לקבל שרת VPS כזה במחיר של 1800 שקל לשנה (פלוס מע"מ).

מה אם אני מעוניין לשמור פרטי אשראי למקרה והלקוח ירצה לרכוש פריטים/מוצרים נוספים?

לשם כך אני ממליץ לך להיוועץ במחלקת האבטחה של חברת האשראי איתה אתה סולק כרטיסים.

סולק צד שלישי יקר לי/לא מתאים לי ואני לא רוצה להיכנס להוצאות נוספות. אי אפשר להוזיל עלויות?

אפשרי לסלוק כרטיסים דרך אתר Paypal (אם כי לא ניתן לסלוק דרכם כרטיסי אשראי של ישראכרט בעלי 8 ספרות, לשם כך אפשרות להפנות לקוח כזה ל-וואלה פיי). במקרים כאלו יש צורך בהגדרת המערכת שלך וביצוע שינויים שיובילו את הלקוח בסיום בחירת המוצרים אל האתרים השונים, ולקוחות אלו יועברו לאתרים אלו, שם הם יזינו את פרטי כרטיס האשראי שלהם ולאחר ביצוע התשלום בפועל, הם יועברו בחזרה אל האתר שלך ואתה תקבל מ-Paypal או וואלה-פיי אישור/סירוב עיסקה.

העניין המרכזי שמומלץ לך לחשוב עליו הוא לא רק לגבי כרטיסי האשראי אלא פרטי הלקוחות ומידע שלך שצריך להיות מאובטח.

ספק האחסון שלי אומר שהשרתים שלהם מאובטחים והכל אצלם מאובטח. זה מספיק, לא?

אם תסתכל בחוזה שלך עם הספק (אם אין לך אתה יכול לבקש ממנו העתק), תראה בפירוש שהספק אינו מבטיח לך שאתרך לא יפרץ וזאת מסיבה פשוטה: שום ספק אינו עוקב אחרי הלקוחות שלו מה הם מעלים מבחינת תוכנות, אפליקציות (אפליקציה הכוונה התוכנה שמציגה ומאפשרת ניהול האתר/חנות), וגם אם יש לך שרות ניהול, הספק אינו מעדכן לך את האפליקציה/תוכנה שמותקנת בחשבון שלך. האבטחה היא ברמת נסינות תקיפה של השרתים, אך היא אינה ברמה של נסיון לפרוץ עם תוכנות מיוחדות לאתר שלך (כפי שקרה במקרה המפורסם הזה), וזה כך אצל כל הספקים. בנוסף, שום ספק לא יקדיש משאבים לחקור (במקרה של אחסון שיתופי) מהיכן בוצעה פריצה לאתרך (אם חס ושלום אירעה פריצה). המקסימום שיעשו זה שיחזור מגיבוי.

אם יש לכם עוד שאלות, אתם מוזמנים לכתוב אותם כאן בטוקבקים  ונשמח לענות לכם.