প্রশ্ন: বর্ধিত API-ভিত্তিক আক্রমণের মুখে সংস্থাগুলি কীভাবে নিশ্চিত করতে পারে যে তাদের APIগুলি আপস প্রতিরোধী?
ররি ব্লান্ডেল, গ্র্যাভিটির প্রতিষ্ঠাতা এবং সিইও: সমস্ত আকারের এবং সমস্ত শিল্প জুড়ে ব্যবসাগুলি তাদের লাইন-অফ-বিজনেস অ্যাপ্লিকেশানগুলিকে একত্রিত করতে অভ্যন্তরীণ APIগুলির উপর এবং বিক্রেতা, গ্রাহক বা অংশীদারদের সাথে ডেটা বা পরিষেবাগুলি ভাগ করার জন্য বহিরাগত APIগুলির উপর নির্ভর করে৷ যেহেতু একটি একক API একাধিক অ্যাপ্লিকেশন বা পরিষেবাগুলিতে অ্যাক্সেস থাকতে পারে, API-এর সাথে আপোস করা হল ন্যূনতম প্রচেষ্টার সাথে ব্যবসায়িক সম্পদের একটি বিস্তৃত সেট আপস করার একটি সহজ উপায়।
APIs একটি জনপ্রিয় আক্রমণ ভেক্টর হয়ে উঠেছে, এবং API আক্রমণের ফ্রিকোয়েন্সি একটি বিস্ময়করভাবে বৃদ্ধি পেয়েছে 681%, সাম্প্রতিক অনুযায়ী সল্ট ল্যাব থেকে গবেষণা. আপনার API গুলিকে সুরক্ষিত করার প্রথম ধাপ হল সেরা অনুশীলনগুলি অনুসরণ করা, যেমন OWASP সাধারণ API নিরাপত্তা ঝুঁকি থেকে রক্ষা করার সুপারিশ করে.
যাইহোক, আইটি সংস্থানগুলিকে সুরক্ষিত রাখার জন্য মৌলিক API সুরক্ষা অনুশীলনগুলি যথেষ্ট নয়। ব্যবসাগুলিকে তাদের APIগুলিকে সুরক্ষিত করতে নিম্নলিখিত অতিরিক্ত পদক্ষেপগুলি গ্রহণ করা উচিত৷
1. ঝুঁকি-ভিত্তিক প্রমাণীকরণ গ্রহণ করুন
ব্যবসার ঝুঁকি-ভিত্তিক প্রমাণীকরণ নীতি গ্রহণ করা উচিত, যা উচ্চতর ঝুঁকির ক্ষেত্রে নিরাপত্তা সুরক্ষা প্রয়োগ করার অনুমতি দেয়। উদাহরণস্বরূপ, একটি এপিআই ক্লায়েন্টের বৈধ অনুরোধ জারি করার দীর্ঘ রেকর্ড রয়েছে যা একটি অনুমানযোগ্য প্যাটার্ন অনুসরণ করে এমন একটি নতুন ক্লায়েন্ট হিসাবে প্রতিটি অনুরোধের জন্য একই স্তরের প্রমাণীকরণের মধ্য দিয়ে যেতে হবে না যিনি আগে কখনও সংযোগ করেননি। কিন্তু যদি দীর্ঘকালের API ক্লায়েন্টের অ্যাক্সেস প্যাটার্ন পরিবর্তন হয় - যদি, উদাহরণস্বরূপ, ক্লায়েন্ট হঠাৎ করে একটি ভিন্ন IP ঠিকানা থেকে অনুরোধ জারি করা শুরু করে - আরও কঠোর প্রমাণীকরণের প্রয়োজন হয় যাতে একটি আপোসকৃত ক্লায়েন্ট থেকে অনুরোধগুলি না আসে তা নিশ্চিত করার একটি স্মার্ট উপায়।
2. বায়োমেট্রিক প্রমাণীকরণ যোগ করুন
যদিও টোকেনগুলি ক্লায়েন্ট এবং অনুরোধ প্রমাণীকরণের একটি মৌলিক উপায় হিসাবে গুরুত্বপূর্ণ থাকে, তারা চুরি করা যেতে পারে. সেই কারণে, বায়োমেট্রিক প্রমাণীকরণের সাথে টোকেন-ভিত্তিক প্রমাণীকরণকে সংযুক্ত করা API সুরক্ষা বাড়ানোর একটি স্মার্ট উপায়। এপিআই টোকেনের অধিকারী যে কেউ একজন বৈধ ব্যবহারকারী তা অনুমান করার পরিবর্তে, বিকাশকারীদের অ্যাপ্লিকেশন ডিজাইন করা উচিত যাতে ব্যবহারকারীদের আঙ্গুলের ছাপ, মুখ স্ক্যান বা অনুরূপ পদ্ধতি ব্যবহার করে প্রমাণীকরণ করতে হয়, অন্তত উচ্চ-ঝুঁকির প্রসঙ্গে।
3. বাহ্যিকভাবে প্রমাণীকরণ প্রয়োগ করুন
আপনার API প্রমাণীকরণ স্কিমগুলি যত জটিল হবে, আপনার অ্যাপ্লিকেশনের মধ্যেই সুরক্ষা প্রয়োজনীয়তাগুলি প্রয়োগ করা তত কঠিন। সেই কারণে, ডেভেলপারদের এপ্লিকেশন লজিক থেকে API সুরক্ষা নিয়মগুলিকে ডিকপল করার চেষ্টা করা উচিত এবং এর পরিবর্তে নিরাপত্তা প্রয়োজনীয়তাগুলি প্রয়োগ করতে API গেটওয়ের মতো বাহ্যিক সরঞ্জামগুলি ব্যবহার করা উচিত। এই পদ্ধতিটি API সুরক্ষা নীতিগুলিকে আরও স্কেলেবল এবং নমনীয় করে তোলে কারণ এগুলি অ্যাপ্লিকেশন সোর্স কোডের মাধ্যমে এপিআই গেটওয়েগুলির মধ্যে সহজেই প্রয়োগ এবং আপডেট করা যেতে পারে। এবং সবচেয়ে গুরুত্বপূর্ণ, এটি আপনাকে বিভিন্ন ব্যবহারকারী বা বিভিন্ন ঝুঁকি প্রোফাইলের উপর ভিত্তি করে অনুরোধের জন্য বিভিন্ন নিয়ম প্রয়োগ করতে দেয়।
4. ব্যবহারযোগ্যতার সাথে API নিরাপত্তা ব্যালেন্স করুন
নিরাপত্তাকে ব্যবহারযোগ্যতার শত্রু হতে না দেওয়া গুরুত্বপূর্ণ। আপনি যদি এপিআই প্রমাণীকরণের পরিমাপগুলিকে খুব বেশি অনুপ্রবেশকারী বা ভারসাম্যপূর্ণ করে তোলেন, তাহলে আপনার ব্যবহারকারীরা আপনার APIগুলি পরিত্যাগ করতে পারে, যা আপনি যা করতে চান তার বিপরীত। এপিআই নিরাপত্তা নিয়মগুলি কঠোর হওয়ার কারণ থাকলে তা নিশ্চিত করে এটি এড়িয়ে চলুন, কিন্তু অপ্রয়োজনীয় প্রয়োজনীয়তা আরোপ না করে।
এপিআইগুলিকে লক্ষ্য করে আক্রমণগুলি ধীর হওয়ার কোনও লক্ষণ দেখায় না৷ APIs ডিজাইন এবং সুরক্ষিত করার সময়, বিকাশকারীদের উচিত OWASP সুপারিশের বাইরে যাওয়া যাতে API-কে কাজে লাগানো আরও কঠিন হয়।
