ব্যাকএন্ড সিকিউরিটি, যা সার্ভার-সাইড সিকিউরিটি নামেও পরিচিত, একটি ওয়েব অ্যাপ্লিকেশনের ব্যাকএন্ড উপাদানগুলিকে সুরক্ষা দিতে ব্যবহৃত অনুশীলনগুলিকে বোঝায়, যার মধ্যে সার্ভার, সার্ভার-সাইড কোর, ডাটাবেস এবং API এন্ডপয়েন্টগুলিকে হুমকি এবং দুর্বলতা থেকে রক্ষা করা হয়। নিরাপত্তা হল ওয়েব অ্যাপ্লিকেশন ডেভেলপমেন্টের একটি অপরিহার্য দিক যেহেতু এটি গোপনীয়তা, অখণ্ডতা এবং ব্যক্তিগত গ্রাহক ডেটার প্রাপ্যতা নিশ্চিত করে।
একটি পরিষেবা পণ্য হিসাবে ব্যাকএন্ড ব্যবহার করার একটি সুবিধা হল যে আপনার জন্য হুমকি ব্যবস্থাপনার অনেক কাজ করা হচ্ছে। কিন্তু এমনকি সবচেয়ে নিরাপদ ব্যাকএন্ডকেও অনিরাপদ করা যেতে পারে, উদাহরণস্বরূপ, ভুল ব্যবহারকারীর অনুমতি সেট করে।
একটি বিষয়বস্তু-চালিত ওয়েব অ্যাপ্লিকেশন বিকাশ করার সময়, সম্ভাব্য হুমকি বা ঝুঁকি কমাতে প্রোগ্রামিং কৌশল, কনফিগারেশন এবং সেটআপ সেরা অনুশীলন, টুলিং, অবকাঠামো এবং পরিষেবাগুলি ব্যবহার করা অপরিহার্য। OWASP টপ টেন বর্তমান এবং উদীয়মান ওয়েব অ্যাপ্লিকেশন নিরাপত্তা ঝুঁকির একটি ওভারভিউ প্রদান করে এবং কীভাবে সেগুলিকে Google ক্লাউডে প্রশমিত করা যায় ।
ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল
একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF), যেমন Google ক্লাউড আর্মার , সাধারণ ওয়েব দুর্বলতা এবং আক্রমণ সহ বিভিন্ন অনলাইন হুমকি থেকে ওয়েব অ্যাপ্লিকেশনগুলিকে রক্ষা করার জন্য ডিজাইন করা একটি নিরাপত্তা সমাধান৷ তারা বাহ্যিক অনুরোধ এবং আপনার অভ্যন্তরীণ সিস্টেমের মধ্যে একটি স্তর হিসাবে কাজ করে, প্রায়শই লোড ব্যালেন্সিং বা এন্ডপয়েন্টে সরাসরি একত্রিত হয় যেখানে বাহ্যিক ট্র্যাফিক পাওয়া যায়। তারা নিরাপত্তা নীতির উপর ভিত্তি করে আগত অনুরোধগুলি নিরীক্ষণ এবং বিশ্লেষণ করে যা ট্র্যাফিকের অনুমতি দেয় বা অস্বীকার করে, দূষিত অনুরোধগুলি এবং সম্ভাব্য হুমকিগুলিকে ব্লক করে৷ ওয়েব অ্যাপ্লিকেশনগুলির জন্য একটি ব্যাপক নিরাপত্তা কৌশল তৈরি করতে নিয়মিত নিরাপত্তা পরীক্ষা, সুরক্ষিত কোডিং অনুশীলন এবং নেটওয়ার্ক নিরাপত্তা নিয়ন্ত্রণ সহ অন্যান্য নিরাপত্তা ব্যবস্থাগুলির সাথে প্রায়ই WAF ব্যবহার করা হয়। অনেক ক্লাউড প্রদানকারী WAF পরিষেবাগুলি অফার করে যা ওয়েব অ্যাপ্লিকেশন হোস্টিং পরিবেশে একত্রিত হতে পারে।
আপনার ব্যাকএন্ড সুরক্ষিত করতে Google ক্লাউড আর্মার সেট আপ করার বিষয়ে আরও জানুন ।
ইনকামিং ট্রাফিকের জন্য প্রক্সি লেয়ার
একটি ইনকামিং প্রক্সি লেয়ার, প্রায়ই একটি বিপরীত প্রক্সি হিসাবে উল্লেখ করা হয়, একটি নেটওয়ার্ক নিরাপত্তা উপাদান যা ক্লায়েন্ট অনুরোধ এবং ওয়েব সার্ভার, অ্যাপ্লিকেশন, বা পরিষেবার মধ্যে বসে। এটি একটি মধ্যস্থতাকারী হিসাবে কাজ করে এর পিছনে থাকা সার্ভারগুলির পক্ষ থেকে আগত অনুরোধগুলি পরিচালনা করে৷ এটি নিরাপত্তা, লোড ব্যালেন্সিং, ক্যাশিং এবং রাউটিং সহ বিভিন্ন সুবিধা প্রদান করে।
পরিচালিত প্রক্সি (বা সম্মুখভাগ) স্তরগুলি একটি নেটওয়ার্ক অবকাঠামো উপাদানকে নির্দেশ করে যা একটি 3য় পক্ষের প্রদানকারীর কাছে আউটসোর্স করা হয় বা একটি পরিচালিত পরিষেবা যা একটি সংস্থার জন্য প্রক্সি সার্ভারের স্থাপনা, রক্ষণাবেক্ষণ এবং পরিচালনার তত্ত্বাবধান করে। পরিচালিত প্রক্সি স্তরগুলি নেটওয়ার্ক নিরাপত্তা বাড়ায়, কর্মক্ষমতা অপ্টিমাইজ করে এবং অতিরিক্ত নেটওয়ার্কিং ফাংশন প্রদান করে। পরিচালিত প্রক্সি স্তরগুলি ব্যবহার করে, আপনি নেটওয়ার্কিং উপাদানগুলির সাথে সম্পর্কিত অপারেশনাল এবং প্রশাসনিক দায়িত্বগুলি অফলোড করতে পারেন, ইন-হাউস আইটি টিমগুলির উপর বোঝা কমাতে পারেন৷ এই পরিষেবাগুলি প্রায়শই স্কেলযোগ্য এবং নির্দিষ্ট নিরাপত্তা বা সম্মতির প্রয়োজনীয়তাগুলি পূরণ করার জন্য কাস্টমাইজ করা যেতে পারে।
উদাহরণস্বরূপ, একটি বাহ্যিকভাবে অ্যাক্সেসযোগ্য API-এর জন্য, Apigee হল একটি ক্লাউড-নেটিভ API ম্যানেজমেন্ট প্ল্যাটফর্ম যা ট্র্যাফিক ব্যাকএন্ডে পৌঁছানোর আগে ট্র্যাফিক পরিচালনা, অনুরোধগুলিকে বিচ্ছিন্ন করতে এবং নিরাপত্তা নীতিগুলি প্রয়োগ করার বৈশিষ্ট্যগুলি প্রদান করে।
পরিষেবার সর্বোত্তম অনুশীলন
আপনার অ্যাপ্লিকেশন যে পরিষেবাগুলি ব্যবহার করছে তার নিরাপত্তার সর্বোত্তম অনুশীলনগুলি বিবেচনা করুন এবং এর পরামর্শ অনুসরণ করুন৷ উদাহরণস্বরূপ, ক্লাউড রানের জন্য আপনার অনুরোধগুলি প্রমাণীকরণ নিশ্চিত করুন এবং আপনার ক্লাউড সংস্থানগুলি সুরক্ষিত করুন ৷ ক্লাউড SQL-এর জন্য আপনার ডেটা কনফিগার, আর্কিটেক্ট এবং পরিচালনার জন্য সর্বোত্তম অনুশীলনগুলি অনুসরণ করুন ৷
সিক্রেট ম্যানেজারের মতো একটি গোপন ব্যবস্থাপনা সিস্টেম নিরাপদ সঞ্চয়স্থান, পরিচালনা এবং আপনার অ্যাপ্লিকেশনের গোপনীয়তা যেমন API কী, শংসাপত্র এবং ক্রিপ্টোগ্রাফিক কীগুলিতে অ্যাক্সেস পরিচালনা করে। এই পরিষেবাগুলি আপনার অন্যান্য ব্যাকএন্ড পরিষেবাগুলির সাথে সংযোগকারীর মাধ্যমে সংযুক্ত হতে পারে, আপনার ব্যাকএন্ড সিস্টেমগুলিকে আপনার গোপনীয়তাগুলিকে নিরাপদে অ্যাক্সেস করার অনুমতি দেয়৷
আপনি যদি আপনার ব্যাকএন্ডে অন্য কোনো API, SDK বা পরিষেবা ব্যবহার করেন, তবে তাদের সেরা অনুশীলনগুলিও গবেষণা করুন এবং অনুসরণ করুন৷ উদাহরণস্বরূপ, আপনি যদি একটি Google মানচিত্র প্ল্যাটফর্ম পরিষেবা ব্যবহার করেন, তাহলে API কীগুলি পরিচালনা এবং আপনার অ্যাপ্লিকেশনটিকে সুরক্ষিত করার জন্য প্রস্তাবিত সেরা অনুশীলনগুলি অনুসরণ করুন৷
নিরীক্ষণ এবং সতর্কতা, লগিং এবং অডিটিং অ্যাক্সেস সহ বিবেচনা করা গুরুত্বপূর্ণ দিক।
Google ক্লাউড নিরাপত্তার সর্বোত্তম অনুশীলনগুলি সুরক্ষিত আর্কিটেকচার এবং অ্যাপ ডিজাইনের উপর সাধারণ নীল প্রিন্ট এবং ওভারভিউ প্রদান করে। সিকিউরিটি কমান্ড সেন্টারে Google ক্লাউডে নিরাপত্তা এবং ঝুঁকি ব্যবস্থাপনার জন্য টুলের একটি স্যুট অন্তর্ভুক্ত রয়েছে, যার মধ্যে ভুল কনফিগারেশন, দুর্বলতা এবং অন্যান্য ঝুঁকি শনাক্ত করার জন্য স্বয়ংক্রিয় টুলিং রয়েছে।
উন্নয়নের সর্বোত্তম অনুশীলন
ব্যাকএন্ড বাস্তবায়ন করতে আপনি যে ফ্রেমওয়ার্ক এবং ভাষা ব্যবহার করেন তার জন্য সর্বোত্তম অনুশীলনগুলি অনুসরণ করুন। সর্বাধিক জনপ্রিয় ওয়েব ফ্রেমওয়ার্কগুলি অনুসরণ করার জন্য নির্দেশিকা এবং সর্বোত্তম অনুশীলনগুলি প্রকাশ করেছে৷
আপনার বিকাশের অংশ হিসাবে স্বয়ংক্রিয় বিশ্লেষণ টুলিং বিবেচনা করুন বা সম্ভাব্য সমস্যাগুলি সনাক্ত করতে সহায়তা করার জন্য পাইপলাইন তৈরি করুন।
OWASP ওয়েব সিকিউরিটি টেস্টিং গাইড একটি টেস্টিং ফ্রেমওয়ার্ক প্রদান করে যা বিশেষভাবে ওয়েব অ্যাপ্লিকেশানগুলিতে লক্ষ্য করা হয়।