সাইবার সিকিউরিটি বিশ্বে একটি অভ্যাস রয়েছে যা দীর্ঘদিন ধরে অনুসরণ করা হচ্ছে- "অবস্থায় পরিবর্তন বা বিবর্তনই হল অ্যাপ্লিকেশনগুলিকে চিরতরে নিরাপদ রাখার একমাত্র উপায়"৷
অতীতে, আন্তঃ-কম্পোনেন্ট প্রমাণীকরণ অনেক অ্যাপ্লিকেশনের জন্য একটি ঝামেলা ছিল। অ্যাক্সেস পাওয়ার জন্য ক্লাউড এপিআই-এর বিভিন্ন মিডলওয়্যার এবং ব্যাক-এন্ড উপাদানগুলিতে অ্যাপগুলিকে নিজেদের যাচাই করতে হবে। যাইহোক, একটি ওয়েব API-এ অ্যাপ্লিকেশন প্রমাণীকরণ একটি অপরিহার্য প্রক্রিয়া।
বৈধকরণের জন্য বিদ্যমান প্রক্রিয়া হল একটি স্ট্যাটিক অ্যাপ্লিকেশন লগইন। কিন্তু এই পদ্ধতিতে নিরাপত্তা সংক্রান্ত সমস্যা রয়েছে:–
- লগইন শংসাপত্রগুলি বার বার আপডেট করা হয়৷ ৷
- এটি একটি ফার্মের একটি অ্যাপ্লিকেশনের কার্যক্রম পরীক্ষা এবং রেকর্ড করার ক্ষমতা হ্রাস করে।
এছাড়াও পড়ুন: DevSecOps:এটা হবে আমাদের অ্যাপ্লিকেশন এবং সফ্টওয়্যার সুরক্ষিত করতে সাহায্য করবেন?
TLS পারস্পরিক প্রমাণীকরণ
যাইহোক, ক্লাউড এপিআই সুরক্ষায় সহায়তা করার সর্বোত্তম উপায়গুলির মধ্যে একটি হল টিএলএস (ট্রান্সপোর্ট লেয়ার সিকিউরিটি) পারস্পরিক প্রমাণীকরণ চালু করা যখন উপাদান বা প্রক্রিয়া একে অপরের সাথে যোগাযোগ করে।
আসুন আমরা ধরে নিই যে RESTful API উপাদানগুলি ইতিমধ্যে TLS পারস্পরিক প্রমাণীকরণ কৌশল ব্যবহার করে। এটি অ্যাপ্লিকেশনগুলিকে নিজেদের বৈধ করার জন্য একটি ক্লায়েন্ট সার্টিফিকেশন উপস্থাপন করতে বলে৷ সুতরাং, এটি অ্যাপ্লিকেশন সুরক্ষা পরিকাঠামো কৌশল উন্নত করতে সহায়তা করতে পারে৷
প্রথাগত প্রক্রিয়ার সমস্যা
নিয়মিত প্রক্রিয়ায় ক্রিয়াকলাপগুলি ব্যাক-এন্ড উপাদান অনুসারে একটি ব্যবহারকারী আইডির অধীনে একসাথে শ্রেণীবদ্ধ করা হয়। এই শ্রেণীবিভাগ একটি অ্যাপ্লিকেশনের সাথে সম্পর্কিত সমগ্র ইভেন্ট তথ্যের মাধ্যমে ইভেন্টগুলি খুঁজে পাওয়া কঠিন করে তোলে। সাইবার-আক্রমণের সময় আপনি ঘটনাটি খুঁজে না পেলে পরিস্থিতি আরও খারাপ হয়ে যায়। নিরাপত্তা পেশাদাররা সৌম্য এবং ক্ষতিকারক অ্যাপ্লিকেশনের মধ্যে পার্থক্য করতে পারে না। এই বিশেষ সমস্যাটি এক দশক ধরে প্রচলিত এবং এখনও অমীমাংসিত৷
৷RESTful API-এর জন্য, তাদের এখনও একে অপরকে যাচাই করতে হবে এবং তারা শুধুমাত্র প্রমাণীকরণ করতে HTTP-সচেতন পদ্ধতির সাহায্য নেয়। উদাহরণস্বরূপ, অনুরোধকারীকে যাচাই করার জন্য একটি লুকানো মান HTTP অনুরোধ শিরোনামগুলির সাথে একত্রিত করা হয়েছে। এই প্রক্রিয়াটিকে HTTP মৌলিক প্রমাণীকরণ বলা হয়। ক্লাউড অ্যাপ্লিকেশনগুলি ক্লাউডে বা প্রাঙ্গনে রয়েছে কিনা তা উপেক্ষা করে এটি প্রয়োগ করা হয়৷ আপনি PaaS বা IaaS ব্যবহার করুন না কেন, ইন্টার-কম্পোনেন্ট প্রমাণীকরণ এখনও একটি অমীমাংসিত সমস্যা।
TLS কিভাবে সাহায্য করে
মূলত, আপনার প্রয়োগ করা প্রমাণীকরণ প্রক্রিয়া উন্নত করতে আপনাকে TLS-এর বৈশিষ্ট্যগুলি থেকে উপকৃত হতে হবে। যদি TLS ওয়েব সার্ফিংয়ের জন্য ব্যবহার না করা হয়, তবে এটি একে অপরের সাথে লেনদেন করা সহকর্মীদের মধ্যে পারস্পরিক বৈধতাকে সমর্থন করে৷
সার্ভার অনুরোধকারীকে সত্যায়িত করে ঠিক যেমন একটি ব্রাউজার একটি দূরবর্তী ওয়েবসাইটকে প্রমাণীকরণ করে। এইচটিটিপি প্রোটোকলটি ক্লাউড এপিআইগুলির পরিবহন হিসাবে ব্যবহৃত হয় তবে আমরা এখনও উপাদানগুলির মধ্যে পারস্পরিক বৈধতার অনুমতি দিতে পারি। TLS পারস্পরিক প্রমাণীকরণে, আমরা বিশেষভাবে গ্রহণযোগ্য শংসাপত্রের পরামিতিগুলিকে সীমাবদ্ধ করতে পারি। এর মানে হল যে ক্লাউড অ্যাপ্লিকেশনগুলিকে শুধুমাত্র নির্দিষ্ট শংসাপত্র বা সিরিয়াল নম্বর এবং এমনকি নির্দিষ্ট শংসাপত্র কর্তৃপক্ষের কাছ থেকেও উপস্থাপন করতে হবে। তাছাড়া, আপনি একটি স্ট্যাটিক লুকানো মান বা একটি পাসওয়ার্ডের সাথে TLS পদ্ধতি একত্রিত করতে পারেন। যদিও ক্লাউডে TLS পারস্পরিক প্রমাণীকরণ পদ্ধতির প্রয়োগের কিছু নির্ভরতা রয়েছে। প্রাথমিকভাবে, ক্লাউড API টিএলএস পারস্পরিক প্রমাণীকরণ সেট আপ করার জন্য কাস্টমাইজযোগ্য হওয়া উচিত। এর মানে হল যে আপনার একটি IaaS পরিবেশ থাকা উচিত যাতে আপনি কনফিগারেশন পরিবর্তন করতে পারেন। অন্যথায়, এটি একটি PaaS পরিবেশ হওয়া উচিত যেখানে আপনাকে এই কার্যকারিতা চালু করার অনুমতি দেওয়া হবে। আপনি AWS এবং Microsoft Azure এর মত ক্লাউড বিশেষজ্ঞদের উদাহরণ নিতে পারেন।
TLS পারস্পরিক প্রমাণীকরণের সুবিধা
TLS পারস্পরিক প্রমাণীকরণ ব্যবহার করার সময় আপনি উপভোগ করতে পারেন এমন কিছু আশ্চর্যজনক সুবিধা রয়েছে। TLS পারস্পরিক প্রমাণীকরণের সাথে সবচেয়ে বিশিষ্ট সুবিধাগুলির মধ্যে একটি হল পাসওয়ার্ড বা গোপন মান বজায় রাখার বিষয়ে কম ঝগড়া। পাসওয়ার্ড বা স্ট্যাটিক হিডেন ভ্যালু ব্যবহার করা এবং পরিচালনা করা একটি কষ্টকর কাজ কারণ এতে পাসওয়ার্ডগুলি পর্যায়ক্রমে পরিবর্তন করা, এর ব্যবহার পরীক্ষা করা, জটিল পাসওয়ার্ড তৈরি করা, এর সুরক্ষা নিশ্চিত করা ইত্যাদি প্রক্রিয়া অন্তর্ভুক্ত থাকে। যাইহোক, TLS পারস্পরিক প্রমাণীকরণ পাসওয়ার্ড বজায় রাখার অতিরিক্ত ঝামেলা কমায়। যদিও প্রমাণীকরণ পদ্ধতি সক্রিয় করার সময় পাসওয়ার্ডগুলি কয়েকবার ব্যবহার করা হয়, TLS দীর্ঘমেয়াদে পাসওয়ার্ডগুলির ভূমিকা হ্রাস করতে পারে৷
তা ছাড়াও, TLS পারস্পরিক প্রমাণীকরণ সার্টিফিকেশন এবং ব্যক্তিগত কী ব্যবহার করে যা পাসওয়ার্ডের চেয়ে কম বহনযোগ্য। তাই, যদিও সার্টিফিকেশন এবং প্রাইভেট কীগুলি অন্যান্য ডিজিটাল সত্তার মতো আপস করা যেতে পারে, তবুও এটি হ্যাকারদের জন্য অসুবিধার মাত্রা বাড়ায়, অন্তত লজিস্টিকসের ক্ষেত্রে যখন হ্যাকার রিমোট API কলার হিসেবে মাস্করেড করতে চায়।
যতদূর অ্যাপ্লিকেশনের নিরীক্ষণ সংশ্লিষ্ট, TLS আরও স্পষ্টতার সাথে API অনুরোধ করে এমন উপাদান বা অ্যাপ্লিকেশনের রেকর্ড রাখে। পাসওয়ার্ড সহ, এটি একটি জটিল প্রক্রিয়া৷ ৷
এছাড়াও পড়ুন:৷ সাইবার নিরাপত্তা কি উন্নতি হচ্ছে নাকি খারাপ হচ্ছে?
TLS পারস্পরিক প্রমাণীকরণের ত্রুটি
আপনি TLS পারস্পরিক প্রমাণীকরণ বাস্তবায়ন করার সময় কিছু ত্রুটি রয়েছে। যাইহোক, তাদের কেউই আপনাকে কৌশলটি প্রয়োগ করতে নিরুৎসাহিত করবে না।
পদ্ধতিটি উন্নত করতে নিম্নলিখিত ত্রুটিগুলি বিবেচনায় নেওয়া উচিত:–
প্রথম এবং সর্বাগ্রে, শংসাপত্রের মেয়াদ শেষ হয়। অতএব, মেয়াদ শেষ হওয়ার আগে একটি শংসাপত্র পুনরায় জারি করার কথা মনে রাখা উচিত। যদি, আপনি একটি শংসাপত্র পুনরায় জারি করতে ভুলে যান, ফলাফলগুলি বিপর্যয়কর হতে পারে কারণ সমস্যাটি ডিবাগ করা কঠিন৷ নিশ্চিত করুন যে আপনি সর্বদা মেয়াদোত্তীর্ণ শংসাপত্রগুলিকে সক্রিয়ভাবে প্রতিস্থাপন করতে সার্টিফিকেটের মেয়াদ শেষ হওয়ার তারিখের ট্র্যাক রাখেন৷
সব মিলিয়ে, TLS পারস্পরিক প্রমাণীকরণ হল ক্লাউড API-এর নিরাপত্তা উন্নত করার জন্য একটি গঠনমূলক পদ্ধতি। অন্তত, TLS পারস্পরিক প্রমাণীকরণ নিরাপত্তা বিশেষজ্ঞদের ক্লাউডে অ্যাপ্লিকেশন নিরাপত্তা মূল্যায়ন করতে সাহায্য করতে পারে।