ਸੁਰੱਖਿਆ ਸੰਬੰਧੀ ਵਿਚਾਰ: ਡਿਫੈਂਸ-ਇਨ-ਡੈਪਥ ਸਟਰੈਟਜੀ
ਇਹ ਲੇਖ ਦੱਸਦਾ ਹੈ ਕਿ ਅਸੀਂ ਵੈੱਬਸਾਈਟ ਅਤੇ ਯੂਜ਼ਰ ਡਾਟਾ ਦੀ ਰੱਖਿਆ ਕਈ ਸੁਰੱਖਿਆ ਪਰਤਾਂ ਦੁਆਰਾ ਕਿਵੇਂ ਕਰਦੇ ਹਾਂ।
ਸਮੱਸਿਆ: ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨਿਸ਼ਾਨੇ ਹੁੰਦੀਆਂ ਹਨ
ਜਨਤਕ ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਲਗਾਤਾਰ ਖ਼ਤਰਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ:
-
ਬੋਟਸ ਅਤੇ ਸਕ੍ਰੈਪਰਸ: ਸਰੋਤਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲਾ ਆਟੋਮੈਟਿਕ ਟ੍ਰੈਫਿਕ
-
SQL ਇੰਜੈਕਸ਼ਨ: ਦੁਰਭਾਵਨਾਪੂਰਨ ਡਾਟਾਬੇਸ ਕੁਵਰੀਜ਼
-
XSS ਹਮਲੇ: ਦੁਰਭਾਵਨਾਪੂਰਨ ਸਕ੍ਰਿਪਟਾਂ ਇੰਜੈਕਟ ਕਰਨਾ
-
DDoS ਹਮਲੇ: ਸਰਵਰ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਲੋਡ ਪਾਉਣਾ
-
ਡਾਟਾ ਉਲੰਘਣਾਵਾਂ: ਸੰਵੇਦਨਸ਼ੀਲ ਡਾਟਾ ਤੱਕ ਗੈਰ-ਅਧਿਕਾਰਤ ਪਹੁੰਚ
-
API ਦੀ ਦੁਰਵਰਤੋਂ: API ਕਾਲਾਂ ਦੀ ਅਧਿਕਤਾ
ਇੱਕੋ ਸੁਰੱਖਿਆ ਉਪਾਨ ਕਾਫ਼ੀ ਨਹੀਂ ਹੈ—ਸਾਨੂੰ ਡਿਫੈਂਸ-ਇਨ-ਡੈਪਥ ਦੀ ਲੋੜ ਹੈ।
ਹੱਲ: ਬਹੁ-ਪਰਤ ਸੁਰੱਖਿਆ
ਅਸੀਂ ਹਰ ਪਰਤ 'ਤੇ ਸੁਰੱਖਿਆ ਲਾਗੂ ਕਰਦੇ ਹਾਂ:
- CDN ਪਰਤ: CloudFront DDoS ਅਤੇ ਬੋਟ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕਦਾ ਹੈ
- ਐਪਲੀਕੇਸ਼ਨ ਪਰਤ: ਇਨਪੁਟ ਵੈਲੀਡੇਸ਼ਨ ਅਤੇ ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ
- ਡਾਟਾਬੇਸ ਪਰਤ: ਪੈਰਾਮੀਟਰਾਈਜ਼ਡ ਕੁਵਰੀਜ਼ ਇੰਜੈਕਸ਼ਨ ਨੂੰ ਰੋਕਦੀਆਂ ਹਨ
- API ਪਰਤ: ਰੇਟ ਲਿਮਿਟਿੰਗ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ
- ਇਨਫਰਾਸਟ੍ਰਕਚਰ ਪਰਤ: ਸੀਕ੍ਰੇਟਸ ਮੈਨੇਜਮੈਂਟ ਅਤੇ ਪਹੁੰਚ ਨਿਯੰਤਰਣ
ਡਾਟਾ ਸੁਰੱਖਿਆ
ਕੋਈ ਅੰਦਰੂਨੀ ਵੇਰਵੇ ਨਹੀਂ
ਅਸੀਂ ਕਦੇ ਵੀ ਅੰਦਰੂਨੀ ਇਮਲੀਮੈਂਟੇਸ਼ਨ ਦੇ ਵੇਰਵੇ ਨਹੀਂ ਦਿਖਾਉਂਦੇ:
-
ਐਬਸਟ੍ਰੈਕਸ਼ਨ ਪਰਤ: ਅੰਦਰੂਨੀ ਵੇਰਵੇ ਲੁਕੇ ਹੋਏ
-
ਕੋਈ ਫੰਕਸ਼ਨ ਨਾਮ ਨਹੀਂ: ਅੰਦਰੂਨੀ ਫੰਕਸ਼ਨ ਨਾਮ ਕਦੇ ਨਾ ਦਿਖਾਓ
-
ਕੋਈ ਫਾਈਲ ਪਾਥ ਨਹੀਂ: ਅੰਦਰੂਨੀ ਫਾਈਲ ਪਾਥ ਕਦੇ ਨਾ ਦਿਖਾਓ
-
ਕੋਈ ਡਾਟਾ ਸਟ੍ਰਕਚਰ ਨਹੀਂ: ਅੰਦਰੂਨੀ ਡਾਟਾ ਸਟ੍ਰਕਚਰ ਕਦੇ ਨਾ ਦਿਖਾਓ
API ਕੀਜ਼ਾਂ
API ਕੀਜ਼ਾਂ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਪ੍ਰਬੰਧਿਤ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ:
-
ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ: ਕੋਡ ਵਿੱਚ ਕਦੇ ਨਹੀਂ
-
ਸੀਕ੍ਰੇਟਸ ਮੈਨੇਜਮੈਂਟ: ਸੁਰੱਖਿਅਤ ਸਟੋਰੇਜ
-
ਰੋਟੇਸ਼ਨ: ਨਿਯਮਿਤ ਕੁੰਜੀ ਰੋਟੇਸ਼ਨ
-
ਪਹੁੰਚ ਨਿਯੰਤਰਣ: ਕੀਜ਼ਾਂ ਤੱਕ ਸੀਮਿਤ ਪਹੁੰਚ
ਇਨਪੁਟ ਵੈਲੀਡੇਸ਼ਨ
ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ
ਸਾਰੇ ਯੂਜ਼ਰ ਇਨਪੁਟ ਸੈਨੀਟਾਈਜ਼ ਕੀਤੇ ਜਾਂਦੇ ਹਨ:
-
XSS ਸੁਰੱਖਿਆ: ਟੈਂਪਲੇਟ ਆਟੋ-ਐਸਕੇਪਿੰਗ
-
SQL ਇੰਜੈਕਸ਼ਨ: ਪੈਰਾਮੀਟਰਾਈਜ਼ਡ ਕੁਵਰੀਜ਼
-
ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ: ਇਨਪੁਟ ਵੈਲੀਡੇਸ਼ਨ
-
ਪਾਥ ਟ੍ਰੈਵਰਸਲ: ਪਾਥ ਵੈਲੀਡੇਸ਼ਨ
ਵੈਲੀਡੇਸ਼ਨ
ਇਨਪੁਟ ਵੈਲੀਡੇਸ਼ਨ ਲਾਗੂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ:
-
ਟਾਈਪ ਚੈੱਕਿੰਗ: ਇਨਪੁਟ ਟਾਈਪਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ
-
ਰੇਂਜ ਚੈੱਕਿੰਗ: ਇਨਪੁਟ ਰੇਂਜਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ
-
ਫਾਰਮੈਟ ਚੈੱਕਿੰਗ: ਇਨਪੁਟ ਫਾਰਮੈਟਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ
-
ਲੰਬਾਈ ਚੈੱਕਿੰਗ: ਇਨਪੁਟ ਲੰਬਾਈਆਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ
ਪਹੁੰਚ ਨਿਯੰਤਰਣ
ਰੇਟ ਲਿਮਿਟਿੰਗ
ਰੇਟ ਲਿਮਿਟਿੰਗ ਦੁਰਵਰਤੋਂ ਨੂੰ ਰੋਕਦੀ ਹੈ:
-
ਰਿਕੁਐਸਟ ਥ੍ਰੋਟਲਿੰਗ: ਐਪਲੀਕੇਸ਼ਨ-ਲੈਵਲ ਰੇਟ ਲਿਮਿਟਿੰਗ
-
IP-ਅਧਾਰਿਤ: ਪ੍ਰਤੀ-IP ਰੇਟ ਲਿਮਿਟਿੰਗ
-
ਰਿਕੁਐਸਟ ਕਿਸਮਾਂ: ਵੱਖ-ਵੱਖ ਰਿਕੁਐਸਟ ਕਿਸਮਾਂ ਲਈ ਵੱਖ-ਵੱਖ ਸੀਮਾਵਾਂ
-
ਗਰੇਸਫੁਲ ਡੀਗ੍ਰੇਡੇਸ਼ਨ: ਰੇਟ ਲਿਮਿਟ ਪਾਰ ਹੋਣ 'ਤੇ 429 ਵਾਪਸ ਕਰੋ
ਬੋਟ ਡਿਟੈਕਸ਼ਨ
ਬੋਟ ਡਿਟੈਕਸ਼ਨ ਆਟੋਮੈਟਿਕ ਦੁਰਵਰਤੋਂ ਨੂੰ ਰੋਕਦਾ ਹੈ:
-
ਯੂਜ਼ਰ ਏਜੰਟ ਫਿਲਟਰਿੰਗ: ਜਾਣੇ-ਪਛਾਣੇ ਬੋਟਾਂ ਦੀ ਪਛਾਣ
-
ਵਿਵਹਾਰ ਵਿਸ਼ਲੇਸ਼ਣ: ਰਿਕੁਐਸਟ ਪੈਟਰਨ ਵਿਸ਼ਲੇਸ਼ਣ
-
CAPTCHA: ਜ਼ਰੂਰਤ ਪੈਣ 'ਤੇ ਮਨੁੱਖੀ ਪੁਸ਼ਟੀਕਰਨ
-
IP ਬਲਾਕਿੰਗ: ਦੁਰਭਾਵਨਾਪੂਰਨ IPs ਨੂੰ ਬਲਾਕ ਕਰੋ
ਸੁਰੱਖਿਅਤ ਸੰਚਾਰ
HTTPS
ਸਾਰਾ ਸੰਚਾਰ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ:
-
SSL/TLS: ਸਾਰੇ ਟ੍ਰੈਫਿਕ ਲਈ HTTPS
-
HSTS: HTTP ਸਖ਼ਤ ਟ੍ਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ
-
ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਬੰਧਨ: ਆਟੋਮੈਟਿਕ ਸਰਟੀਫਿਕੇਟ ਨਵੀਨੀਕਰਨ
-
ਫਾਰਵਰਡ ਸੀਕ੍ਰੇਸੀ: ਅਸਥਾਈ ਕੁੰਜੀ ਵਟਾਂਦਰਾ
CSRF ਸੁਰੱਖਿਆ
CSRF ਸੁਰੱਖਿਆ ਕ੍ਰੌਸ-ਸਾਈਟ ਹਮਲਿਆਂ ਨੂੰ ਰੋਕਦੀ ਹੈ:
-
ਟੋਕਨ: ਫਾਰਮਾਂ ਵਿੱਚ CSRF ਟੋਕਨ
-
ਵੈਲੀਡੇਸ਼ਨ: ਸਬਮਿਸ਼ਨ 'ਤੇ ਟੋਕਨ ਵੈਲੀਡੇਸ਼ਨ
-
ਸੇਮ-ਸਾਈਟ ਕੂਕੀਜ਼: ਸੇਮ-ਸਾਈਟ ਕੂਕੀ ਵਿਸ਼ੇਸ਼ਤਾ
ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ
ਆਡਿਟ ਲੌਗਿੰਗ
ਆਡਿਟ ਲੌਗਿੰਗ ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਨੂੰ ਟਰੈਕ ਕਰਦੀ ਹੈ:
-
ਪਹੁੰਚ ਲੌਗ: ਸਾਰੀ ਪਹੁੰਚ ਟਰੈਕ ਕਰੋ
-
ਗਲਤੀ ਲੌਗ: ਸਾਰੀਆਂ ਗਲਤੀਆਂ ਟਰੈਕ ਕਰੋ
-
ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ: ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਟਰੈਕ ਕਰੋ
-
ਲੌਗ ਰਿਟੈਂਸ਼ਨ: ਰਿਟੈਂਸ਼ਨ ਪਾਲਿਸੀ
ਨਿਗਰਾਨੀ
ਨਿਗਰਾਨੀ ਸੁਰੱਖਿਆ ਸਮੱਸਿਆਵਾਂ ਦਾ ਪਤਾ ਲਗਾਉਂਦੀ ਹੈ:
-
ਰੀਅਲ-ਟਾਈਮ ਅਲਰਟਸ: ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਲਈ ਤੁਰੰਤ ਅਲਰਟ
-
ਅਨੋਖਲੀ ਖੋਜ: ਅਸਾਧਾਰਨ ਪੈਟਰਨਾਂ ਦਾ ਪਤਾ ਲਗਾਓ
-
ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ: ਆਟੋਮੈਟਿਕ ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ
-
ਸੁਰੱਖਿਆ ਡੈਸ਼ਬੋਰਡ: ਕੇਂਦਰੀ ਸੁਰੱਖਿਆ ਡੈਸ਼ਬੋਰਡ
ਸਾਰਾਂਸ਼
ਸੁਰੱਖਿਆ ਸੰਬੰਧੀ ਵਿਚਾਰ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ:
-
ਡਿਫੈਂਸ ਇਨ ਡੈਪਥ: ਸੁਰੱਖਿਆ ਦੀਆਂ ਕਈ ਪਰਤਾਂ
-
ਇਨਪੁਟ ਵੈਲੀਡੇਸ਼ਨ: ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ ਅਤੇ ਵੈਲੀਡੇਸ਼ਨ
-
ਪਹੁੰਚ ਨਿਯੰਤਰਣ: ਰੇਟ ਲਿਮਿਟਿੰਗ ਅਤੇ ਬੋਟ ਡਿਟੈਕਸ਼ਨ
-
ਸੁਰੱਖਿਅਤ ਸੰਚਾਰ: HTTPS ਅਤੇ CSRF ਸੁਰੱਖਿਆ
-
ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ: ਆਡਿਟ ਲੌਗਿੰਗ ਅਤੇ ਰੀਅਲ-ਟਾਈਮ ਨਿਗਰਾਨੀ