साइबर सुरक्षा की दुनिया में लंबे समय से एक प्रथा का पालन किया जा रहा है- "लगातार परिवर्तन या विकास अनुप्रयोगों को हमेशा के लिए सुरक्षित रखने का एकमात्र तरीका है"।
अतीत में, कई अनुप्रयोगों के लिए अंतर-घटक प्रमाणीकरण एक परेशानी थी। ऐप्स को एक्सेस हासिल करने के लिए क्लाउड एपीआई में अलग-अलग मिडलवेयर और बैक-एंड घटकों के लिए खुद को मान्य करना आवश्यक था। हालांकि, वेब एपीआई में एप्लिकेशन प्रमाणीकरण एक आवश्यक प्रक्रिया है।
सत्यापन के लिए मौजूदा तंत्र एक स्थिर एप्लिकेशन लॉगिन है। लेकिन इस पद्धति में सुरक्षा संबंधी समस्याएं हैं:-
- लॉगिन क्रेडेंशियल समय-समय पर अपडेट होते रहते हैं।
- यह किसी एप्लिकेशन की गतिविधियों की जांच और रिकॉर्ड करने के लिए एक फर्म की क्षमता को कम करता है।
यह भी पढ़ें: DevSecOps:Will It हमारे एप्लिकेशन और सॉफ़्टवेयर को सुरक्षित करने में सहायता?
TLS पारस्परिक प्रमाणीकरण
हालांकि, क्लाउड एपीआई सुरक्षा की सहायता करने के सर्वोत्तम तरीकों में से एक है टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी) पारस्परिक प्रमाणीकरण की शुरुआत करना जब घटक या प्रक्रियाएं एक दूसरे के साथ संवाद करती हैं।
मान लें कि RESTful API घटक पहले से ही TLS आपसी प्रमाणीकरण तकनीक का उपयोग करते हैं। यह आवेदनों को स्वयं को मान्य करने के लिए क्लाइंट प्रमाणन प्रस्तुत करने के लिए कहता है। इस प्रकार, यह एप्लिकेशन सुरक्षा अवसंरचना रणनीति को बेहतर बनाने में सहायता कर सकता है।
पारंपरिक प्रक्रिया की समस्या
नियमित प्रक्रिया में गतिविधियों को बैक-एंड घटकों के अनुसार एक उपयोगकर्ता आईडी के तहत एक साथ वर्गीकृत किया जाता है। यह वर्गीकरण किसी एप्लिकेशन से संबंधित संपूर्ण ईवेंट जानकारी के माध्यम से ईवेंट ढूंढना कठिन बनाता है। स्थिति तब और खराब हो जाती है जब आप साइबर हमले के दौरान घटना का पता नहीं लगा पाते हैं। सुरक्षा पेशेवर सौम्य और हानिकारक अनुप्रयोगों के बीच अंतर नहीं कर सकते। यह विशेष समस्या एक दशक से प्रचलित है और अभी तक अनसुलझी है।
RESTful API के लिए, उन्हें अभी भी एक-दूसरे को मान्य करने की आवश्यकता होती है और वे प्रमाणीकरण करने के लिए केवल HTTP-जागरूक तरीकों की मदद लेते हैं। उदाहरण के लिए, अनुरोधकर्ता को मान्य करने के लिए एक छिपे हुए मान को HTTP अनुरोध शीर्षलेखों के साथ एकीकृत किया जाता है। इस प्रक्रिया को HTTP मूल प्रमाणीकरण कहा जाता है। यह इस तथ्य की अवहेलना करते हुए लागू किया जाता है कि क्लाउड एप्लिकेशन क्लाउड में हैं या परिसर में। चाहे आप PaS या IaaS का उपयोग करें, अंतर-घटक प्रमाणीकरण अभी भी एक अनसुलझी समस्या है।
TLS कैसे मदद करता है
मूल रूप से, आपके द्वारा कार्यान्वित प्रमाणीकरण तंत्र को बढ़ाने के लिए आपको टीएलएस की सुविधाओं से लाभ उठाने की आवश्यकता है। यदि वेब सर्फिंग के लिए टीएलएस का उपयोग नहीं किया जाता है, तो यह एक दूसरे के साथ लेन-देन करने वाले साथियों के बीच आपसी सत्यापन का समर्थन करता है।
सर्वर अनुरोधकर्ता को उसी तरह प्रमाणित करता है जैसे कोई ब्राउज़र किसी दूरस्थ वेबसाइट को प्रमाणित करता है। HTTP प्रोटोकॉल का उपयोग क्लाउड एपीआई के लिए परिवहन के रूप में किया जाता है लेकिन हम अभी भी घटकों के बीच पारस्परिक सत्यापन की अनुमति दे सकते हैं। टीएलएस पारस्परिक प्रमाणीकरण में, हम विशेष रूप से स्वीकार्य प्रमाणपत्रों के मानकों को सीमित कर सकते हैं। इसका मतलब है कि क्लाउड एप्लिकेशन को केवल विशिष्ट प्रमाणपत्र या सीरियल नंबर और यहां तक कि विशिष्ट प्रमाणपत्र प्राधिकरण से प्रस्तुत करने की आवश्यकता होती है। इसके अलावा, आप टीएलएस विधि को स्थिर छिपे हुए मान या पासवर्ड के साथ जोड़ सकते हैं। हालांकि क्लाउड में टीएलएस पारस्परिक प्रमाणीकरण दृष्टिकोण को लागू करने पर कुछ निर्भरताएं होती हैं। मुख्य रूप से, क्लाउड एपीआई को टीएलएस पारस्परिक प्रमाणीकरण स्थापित करने के लिए अनुकूलन योग्य होना चाहिए। इसका मतलब है कि आपके पास एक IaaS वातावरण होना चाहिए ताकि आप कॉन्फ़िगरेशन को संशोधित कर सकें। अन्यथा, यह एक Paa वातावरण होना चाहिए जहां आपको इस कार्यक्षमता पर स्विच करने की अनुमति है। आप AWS और Microsoft Azure जैसे क्लाउड विशेषज्ञों का उदाहरण ले सकते हैं।
TLS पारस्परिक प्रमाणीकरण के लाभ
टीएलएस पारस्परिक प्रमाणीकरण का उपयोग करते समय आप कुछ आश्चर्यजनक लाभों का आनंद ले सकते हैं। टीएलएस पारस्परिक प्रमाणीकरण के साथ सबसे प्रमुख लाभों में से एक पासवर्ड या गुप्त मूल्यों को बनाए रखने के बारे में कम उपद्रव है। पासवर्ड या स्थिर छिपे हुए मूल्यों का उपयोग और प्रबंधन एक बोझिल काम है क्योंकि इसमें समय-समय पर पासवर्ड को संशोधित करने, इसके उपयोग की जांच करने, जटिल पासवर्ड बनाने, इसकी सुरक्षा सुनिश्चित करने आदि जैसी प्रक्रियाएं शामिल हैं। हालांकि, टीएलएस पारस्परिक प्रमाणीकरण पासवर्ड बनाए रखने की अतिरिक्त परेशानी को कम करता है। हालांकि प्रमाणीकरण विधि को सक्षम करते समय पासवर्ड का उपयोग कुछ बार किया जाता है, लेकिन TLS लंबे समय में पासवर्ड की भूमिका को कम कर सकता है।
इसके अलावा, टीएलएस पारस्परिक प्रमाणीकरण उन प्रमाणपत्रों और निजी कुंजियों का उपयोग करता है जो पासवर्ड से कम पोर्टेबल हैं। इसलिए, भले ही अन्य डिजिटल संस्थाओं की तरह प्रमाणन और निजी कुंजी से समझौता किया जा सकता है, फिर भी यह हैकर्स के लिए कठिनाई स्तर को बढ़ाता है, कम से कम रसद के मामले में, जबकि हैकर रिमोट एपीआई कॉलर के रूप में बहाना चाहता है।
जहां तक अनुप्रयोगों की निगरानी का संबंध है, टीएलएस उन घटकों या अनुप्रयोगों का रिकॉर्ड रखता है जो अधिक स्पष्टता के साथ एपीआई अनुरोध करते हैं। पासवर्ड के साथ, यह एक जटिल प्रक्रिया है।
यह भी पढ़ें: साइबर सुरक्षा बेहतर हो रही है या बदतर हो रही है?
टीएलएस पारस्परिक प्रमाणीकरण के दोष
जब आप टीएलएस पारस्परिक प्रमाणीकरण लागू करते हैं तो कुछ कमियां होती हैं। हालांकि, उनमें से किसी को भी आपको तकनीक को लागू करने के लिए हतोत्साहित नहीं करना चाहिए।
विधि को बढ़ाने के लिए निम्नलिखित दोषों को ध्यान में रखा जाना चाहिए:-
सबसे पहले और सबसे महत्वपूर्ण, प्रमाणपत्र समाप्त हो जाते हैं। इसलिए, किसी प्रमाण पत्र की समय सीमा समाप्त होने से पहले उसे फिर से जारी करना हमेशा याद रखना चाहिए। यदि आप किसी प्रमाणपत्र को फिर से जारी करना भूल जाते हैं, तो परिणाम विनाशकारी हो सकते हैं क्योंकि समस्या को दूर करना कठिन है। सुनिश्चित करें कि आप हमेशा समय सीमा समाप्त प्रमाणपत्रों को सक्रिय रूप से बदलने के लिए प्रमाणपत्रों की समाप्ति तिथियों का ट्रैक रखते हैं।
कुल मिलाकर, टीएलएस पारस्परिक प्रमाणीकरण क्लाउड एपीआई के लिए सुरक्षा में सुधार के लिए एक रचनात्मक तरीका है। कम से कम, टीएलएस आपसी प्रमाणीकरण सुरक्षा विशेषज्ञों को क्लाउड पर एप्लिकेशन सुरक्षा का आकलन करने में मदद कर सकता है।