बैकएंड सिक्योरिटी किसी वेब ऐप्लिकेशन के बैकएंड कॉम्पोनेंट को सुरक्षित रखने के लिए इस्तेमाल किए जाने वाले तरीकों को कहते हैं. इनमें सर्वर, सर्वर-साइड कोर, डेटाबेस, और एपीआई एंडपॉइंट को खतरों और जोखिम की आशंकाओं से बचाने के लिए, इस्तेमाल किए जाने वाले तरीके शामिल हैं. वेब ऐप्लिकेशन को डेवलप करने के लिए सुरक्षा एक ज़रूरी पहलू है. यह पक्का करता है कि ग्राहक से जुड़ा निजी डेटा, गोपनीय, भरोसेमंद, और उपलब्ध हो.
बैकएंड को सेवा प्रॉडक्ट के तौर पर इस्तेमाल करने का एक फ़ायदा यह भी है कि आपकी ओर से खतरे को मैनेज करने से जुड़े कई काम किए जा रहे होते हैं. हालांकि, सबसे सुरक्षित बैकएंड को भी असुरक्षित बनाया जा सकता है. उदाहरण के लिए, उपयोगकर्ता की गलत अनुमतियां सेट करके.
कॉन्टेंट पर आधारित वेब ऐप्लिकेशन बनाते समय, संभावित खतरों या जोखिमों को कम करने के लिए, प्रोग्रामिंग की तकनीकों, कॉन्फ़िगरेशन और सेटअप के सबसे सही तरीकों, टूलिंग, इंफ़्रास्ट्रक्चर, और सेवाओं का इस्तेमाल करना ज़रूरी है. OWASP टॉप टेन में, वेब ऐप्लिकेशन की सुरक्षा से जुड़े मौजूदा और उभरते हुए जोखिमों के बारे में खास जानकारी दी गई है. साथ ही, यह भी बताया गया है कि Google Cloud पर इन्हें कैसे कम किया जा सकता है.
वेब ऐप्लिकेशन फ़ायरवॉल
वेब ऐप्लिकेशन फ़ायरवॉल (डब्ल्यूएएफ़), जैसे कि Google Cloud Armor एक सुरक्षा समाधान है. इसे वेब ऐप्लिकेशन को कई तरह के ऑनलाइन खतरों से बचाने के लिए डिज़ाइन किया गया है. इनमें वेब ऐप्लिकेशन के इस्तेमाल में आम तौर पर होने वाले जोखिम की आशंकाएं और हमले शामिल हैं. ये बाहरी अनुरोधों और आपके अंदरूनी सिस्टम के बीच एक लेयर की तरह काम करते हैं. इन्हें अक्सर लोड बैलेंसिंग या एंडपॉइंट पर सीधे इंटिग्रेट किया जाता है, जहां से बाहरी ट्रैफ़िक मिलता है. वे सुरक्षा नीतियों के आधार पर, आने वाले अनुरोधों की निगरानी करते हैं और उनका विश्लेषण करते हैं. ये नीतियां ट्रैफ़िक को अनुमति देती हैं या अस्वीकार करती हैं, नुकसान पहुंचाने वाले अनुरोधों को ब्लॉक करती हैं, और संभावित खतरों का पता लगाती हैं. वेब ऐप्लिकेशन के लिए एक व्यापक सुरक्षा रणनीति बनाने के लिए, डब्ल्यूएएफ़ का इस्तेमाल अक्सर सुरक्षा से जुड़े दूसरे तरीकों के साथ किया जाता है. इनमें नियमित सुरक्षा टेस्टिंग, सुरक्षित कोडिंग तरीके, और नेटवर्क सुरक्षा कंट्रोल शामिल हैं. क्लाउड सेवा देने वाली कई कंपनियां डब्ल्यूएएफ़ सेवाएं देती हैं, जिन्हें वेब ऐप्लिकेशन होस्टिंग एनवायरमेंट में इंटिग्रेट किया जा सकता है.
अपने बैकएंड को सुरक्षित रखने के लिए, Google Cloud Armor को सेट अप करने के बारे में ज़्यादा जानें.
आने वाले ट्रैफ़िक के लिए प्रॉक्सी लेयर
इनकमिंग प्रॉक्सी लेयर, जिसे अक्सर रिवर्स प्रॉक्सी कहा जाता है, एक नेटवर्क सुरक्षा कॉम्पोनेंट है जो क्लाइंट के अनुरोधों और वेब सर्वर, ऐप्लिकेशन या सेवाओं के बीच मौजूद होता है. यह अपने पीछे वाले सर्वर की ओर से आने वाले अनुरोधों को मैनेज करती है और एक मध्यस्थ की तरह काम करती है. इससे कई फ़ायदे मिलते हैं. जैसे, सुरक्षा, लोड बैलेंस करना, कैश मेमोरी में सेव करना, और रूटिंग.
मैनेज की जा रही प्रॉक्सी (या आगे का हिस्सा) लेयर का मतलब ऐसे नेटवर्क इन्फ़्रास्ट्रक्चर कॉम्पोनेंट से है जो किसी तीसरे पक्ष की सेवा देने वाली कंपनी या ऐसी मैनेज की जा रही सेवा को आउटसोर्स करता है जो किसी संगठन के लिए प्रॉक्सी सर्वर के डिप्लॉयमेंट, रखरखाव, और ऑपरेशन को मैनेज करती है. मैनेज की गई प्रॉक्सी लेयर, नेटवर्क की सुरक्षा को बेहतर बनाती हैं, परफ़ॉर्मेंस को ऑप्टिमाइज़ करती हैं, और अन्य नेटवर्किंग फ़ंक्शन उपलब्ध कराती हैं. मैनेज की जा रही प्रॉक्सी लेयर का इस्तेमाल करके, नेटवर्किंग कॉम्पोनेंट से जुड़ी ऑपरेशन और एडमिन की ज़िम्मेदारियां कम की जा सकती हैं. इससे इन-हाउस आईटी टीमों पर बोझ कम हो जाता है. इन सेवाओं को अक्सर बढ़ाया जा सकता है. साथ ही, इन्हें सुरक्षा या अनुपालन से जुड़ी ज़रूरतों को पूरा करने के लिए कस्टमाइज़ किया जा सकता है.
उदाहरण के लिए, बाहरी ऐक्सेस किए जा सकने वाले एपीआई के लिए, Apigee, एक क्लाउड-नेटिव एपीआई मैनेजमेंट प्लैटफ़ॉर्म है. यह ट्रैफ़िक को बैकएंड तक पहुंचने से पहले, ट्रैफ़िक को मैनेज करने, अनुरोधों को अलग करने, और सुरक्षा नीतियों को लागू करने की सुविधाएं देता है.
सेवा से जुड़े सबसे सही तरीके
आपका ऐप्लिकेशन जिन सेवाओं का इस्तेमाल कर रहा है उनके लिए सुरक्षा के सबसे सही तरीकों के बारे में सोचें और उसकी सलाह अपनाएं. उदाहरण के लिए, Cloud Run के लिए, यह पक्का करें कि आपने अपने अनुरोधों की पुष्टि की है और अपने क्लाउड संसाधनों को सुरक्षित किया है. अपने डेटा को कॉन्फ़िगर करने, तैयार करने, और मैनेज करने के लिए, Cloud SQL सबसे सही तरीके अपनाएं.
सीक्रेट मैनेजर जैसा सीक्रेट मैनेजमेंट सिस्टम है. यह सुरक्षित तरीके से स्टोरेज, मैनेज करने, और आपके ऐप्लिकेशन के सीक्रेट ऐक्सेस को मैनेज करता है. जैसे, एपीआई पासकोड, सर्टिफ़िकेट, और क्रिप्टोग्राफ़िक कुंजियां. कनेक्टर के ज़रिए इन सेवाओं को आपकी दूसरी बैकएंड सेवाओं से जोड़ा जा सकता है. इससे आपका बैकएंड सिस्टम, सुरक्षित तरीके से आपके सीक्रेट ऐक्सेस कर सकता है.
अगर अपने बैकएंड में किसी दूसरे एपीआई, SDK टूल या सेवा का इस्तेमाल किया जाता है, तो उनके सबसे सही तरीकों के बारे में रिसर्च करें और उनका पालन करें. उदाहरण के लिए, अगर Google Maps Platform की किसी सेवा का इस्तेमाल किया जाता है, तो एपीआई पासकोड को मैनेज करने और ऐप्लिकेशन को सुरक्षित रखने के सुझाए गए सबसे सही तरीके अपनाएं.
लॉगिंग और ऑडिटिंग ऐक्सेस के साथ-साथ निगरानी और सूचना देना भी अहम पहलू हैं.
Google Cloud की सुरक्षा से जुड़े सबसे सही तरीकों में, सुरक्षित आर्किटेक्चर और ऐप्लिकेशन के डिज़ाइन के बारे में नीले रंग के सामान्य प्रिंट और खास जानकारी दी जाती है. सुरक्षा निर्देश केंद्र में, Google Cloud पर सुरक्षा और जोखिम को मैनेज करने के लिए टूल का एक सुइट शामिल है. इसमें, गलत कॉन्फ़िगरेशन, जोखिम की आशंकाओं, और अन्य खतरों की पहचान करने के लिए अपने-आप काम करने वाले टूल शामिल हैं.
डेवलपमेंट से जुड़े सबसे सही तरीके
बैकएंड को लागू करने के लिए इस्तेमाल होने वाले फ़्रेमवर्क और भाषा के सबसे सही तरीकों का पालन करें. ज़्यादातर लोकप्रिय वेब फ़्रेमवर्क में गाइड और फ़ॉलो करने के लिए सबसे सही तरीके पब्लिश किए गए हैं.
संभावित समस्याओं की पहचान करने के लिए, अपने डेवलपमेंट में अपने-आप विश्लेषण करने वाले टूल की मदद लें या पाइपलाइन बनाएं.
OWASP वेब सिक्योरिटी टेस्टिंग गाइड में एक ऐसा टेस्टिंग फ़्रेमवर्क दिया गया है जिसे खास तौर पर वेब ऐप्लिकेशन के लिए टारगेट किया गया है.