Veb Tətbiqlər Üçün Sıfır-Etibar Təhlükəsizlik: Praktiki Bələdçi

Sıfır-etibar təhlükəsizlik modeli heç bir istifadəçinin, cihazın və ya şəbəkənin mahiyyət etibarilə etibarlı olmadığını fərz edir — hər sorğu ayrıca yoxlanmalıdır. Bu yanaşmanın vacibliyi sadə bir faktda gizlənir: ənənəvi perimetr əsaslı təhlükəsizlik API-lər, mikroservislər və paylanmış komandalar dünyasında artıq işləmir. Bu bələdçidə sıfır-etibar arxitekturasını veb tətbiqlərinizə ilk gündən necə tətbiq edəcəyinizi praktiki addımlarla izah edəcəyik.

Perimetr Təhlükəsizliyi Niyə İflas Edir

Ənənəvi təhlükəsizlik modelləri şəbəkə perimetri daxilindəki hər şeyə etibar edir. Lakin müasir veb tətbiqlərinin perimetri yoxdur. API-lər ictimaiyyətə açıqdır, komandalar uzaqdan işləyir və məlumat onlarla üçüncü tərəf xidmətindən keçir.

Tək bir oğurlanmış etimadnamə bütün təhlükəsizlik modelinizi keçə bilər. 2025-ci ildə baş verən əsas məlumat pozuntularının 68%-i oğurlanmış etimadnamələr və ya sosial mühəndislik hücumları vasitəsilə həyata keçirilib — perimetr müdafiəsi bu hücumların heç birini dayandıra bilmir.

Sıfır-etibar bu tək uğursuzluq nöqtəsini aradan qaldırır. Hər sorğu müstəqil olaraq autentifikasiya olunur, hər əməliyyat yalnız minimum lazımi icazə ilə icra olunur.

Əsas Prinsiplər

Sıfır-etibar arxitekturasının üç fundamental prinsipi var:

1. Açıq Şəkildə Yoxlayın

Hər autentifikasiya və avtorizasiya qərarı bütün mövcud məlumat nöqtələrinə əsaslanmalıdır: identifikasiya, lokasiya, cihaz sağlamlığı, xidmət tipi, məlumat təsnifatı. Sadəcə token-in mövcudluğu kifayət deyil — token-in konteksti, yaranma vaxtı və istifadə pattern-i də qiymətləndirilməlidir.

Bu prinsipi veb tətbiqlərdə tətbiq etmək üçün:

• Multi-faktor autentifikasiya (MFA) — Hər kritik əməliyyatda ikinci faktor tələb edin
• Kontekstual avtorizasiya — İstifadəçinin lokasiyası, cihazı və davranış pattern-i əsasında dinamik giriş qərarları
• Sessiya idarəsi — Qısa ömürlü token-lər, avtomatik yeniləmə və anomaliya aşkarlama

2. Minimum İmtiyaz Girişi

İstifadəçi girişini just-in-time (JIT) və just-enough-access (JEA) prinsipləri ilə məhdudlaşdırın. Hər istifadəçi yalnız cari tapşırığı üçün lazım olan minimum icazələrə sahib olmalıdır — daha çox deyil.

Enterprise veb tətbiqlərdə bu, rol əsaslı giriş nəzarəti (RBAC) və atribut əsaslı giriş nəzarəti (ABAC) kombinasiyasını tələb edir. Admin panelindəki müxtəlif bölmələrə müxtəlif giriş səviyyələri, API endpoint-lərinə granular icazə sistemi və həssas məlumatlara vaxt əsaslı giriş məhdudiyyətləri tətbiq edilməlidir.

3. Pozuntu Fərz Edin

Partlayış radiusunu minimuma endirin və girişi seqmentləşdirin. End-to-end şifrələməni yoxlayın. Təhdidləri aşkar etmək və cavab vermək üçün analitikadan istifadə edin. Bu prinsip təhlükəsizlik insidentinin qaçılmaz olduğunu qəbul edir — məqsəd zərəri minimuma endirməkdir.

Mikroservis arxitekturasında bu, hər xidmət arasında autentifikasiya olunmuş əlaqə, şifrələnmiş məlumat axını və təcrid olunmuş blast radius deməkdir. Bir xidmətin kompromis olması digərlərini təsirləməməlidir.

Veb Tətbiqlər Üçün Tətbiq Addımları

Sıfır-etibar arxitekturasını veb tətbiqinizdə tətbiq etmək üçün konkret addımlar:

Autentifikasiya Gücləndirilməsi

Güclü autentifikasiya hər şeyin təməlidir. Mümkün olduqda parolsuz autentifikasiya (WebAuthn, passkeys) tətbiq edin. Əks halda, minimum MFA tələb edin.

• Parolsuz autentifikasiya (WebAuthn, FIDO2) — Ən güclü seçim
• Hardware təhlükəsizlik açarları — Korporativ mühitlər üçün
• TOTP/SMS — Minimum acceptable MFA səviyyəsi
• Magic link — Aşağı risk ssenariları üçün

Content Security Policy (CSP)

CSP header-ləri XSS hücumlarının əksəriyyətini prevensiya edir. Hər veb tətbiqi güclü CSP ilə göndərilməlidir:

• script-src — Yalnız etibarlı mənbələrdən JavaScript icazəsi
• style-src — Inline style-ların məhdudlaşdırılması
• img-src — Şəkil mənbələrinin ağ siyahısı
• connect-src — API sorğularının etibarlı endpoint-lərlə məhdudlaşdırılması
• frame-ancestors — Clickjacking hücumlarının qarşısının alınması

Sessiya İdarəetməsi

HTTP-only, secure, SameSite cookie-ləri sessiya idarəetməsi üçün istifadə edin. JWT token-lər localStorage-da saxlanmamalıdır — bu, XSS hücumlarına qarşı zəifdir. Server tərəfli sessiya idarəetməsi ən təhlükəsiz yanaşmadır.

• HttpOnly — JavaScript vasitəsilə cookie girişini bloklayır
• Secure — Yalnız HTTPS üzərindən göndərilir
• SameSite=Strict — CSRF hücumlarının qarşısını alır
• Qısa ömürlü sessiyalar — Maksimum 24 saat, həssas əməliyyatlarda yenidən autentifikasiya

Input Validasiya

Bütün input-ları server tərəfində validasiya edin və sanitizasiya edin — heç vaxt klientə etibar etməyin. Bu, SQL injection, XSS və command injection hücumlarının əsas müdafiə xəttidir.

Validasiya strategiyası:

1. Tip yoxlaması — Zod, Yup və ya manual type guard-larla
2. Uzunluq məhdudiyyətləri — Hər sahə üçün maksimum uzunluq
3. Format validasiyası — Email, telefon, URL formatlarının yoxlanması
4. Sanitizasiya — HTML tag-ların və xüsusi simvolların təmizlənməsi
5. Parametrləşdirilmiş sorğular — SQL injection-ın tamamilə qarşısını alır

Rate Limiting

Bütün API endpoint-lərinə rate limiting tətbiq edin. Bu, brute-force hücumları, credential stuffing və API sui-istifadəsinin qarşısını alır.

Effektiv rate limiting strategiyası:

• IP əsaslı — Hər IP üçün dəqiqədə maksimum sorğu sayı
• İstifadəçi əsaslı — Autentifikasiya olunmuş istifadəçilər üçün ayrıca limitlər
• Endpoint əsaslı — Login endpoint-i üçün daha aqressiv limitlər
• Sliding window — Ani burst-ləri tutmaq üçün sürüşən pəncərə alqoritmi

Təhlükəsizlik Header-ləri

Hər veb tətbiqi ilk gündən bu header-lərlə göndərilməlidir. Tətbiqi heç bir xərc tələb etmir və bütün bir sinif hücumların qarşısını alır:

• Strict-Transport-Security (HSTS) — HTTPS-i məcbur edir
• X-Frame-Options — Clickjacking-ə qarşı
• X-Content-Type-Options — MIME type sniffing-ə qarşı
• Referrer-Policy — Həssas URL məlumatlarının sızmasının qarşısını alır
• Permissions-Policy — Brauzer xüsusiyyətlərinə girişi məhdudlaşdırır

Monitorinq və İnsident Cavabı

Sıfır-etibar arxitekturası davamlı monitorinq tələb edir. Təhlükəsizlik insidentləri qaçılmazdır — fərq onları nə qədər tez aşkar edib cavab verdiyinizdədir.

Real-vaxt Anomaliya Aşkarlama

İstifadəçi davranış pattern-lərindəki anomaliyaları real-vaxtda izləyin. Qeyri-adi giriş vaxtları, naməlum cihazlardan giriş, qeyri-adi API istifadə pattern-ləri — bunların hamısı avtomatik siqnal generasiya etməlidir.

Audit Trail

Hər əhəmiyyətli əməliyyat loq edilməlidir: kim, nə vaxt, haradan, nə etdi. Bu loqlar dəyişdirilə bilməz olmalıdır və minimum 90 gün saxlanmalıdır. Enterprise uyğunluq tələbləri (SOC 2, GDPR, PCI DSS) bunu hüquqi cəhətdən tələb edir.

Avtomatlaşdırılmış Zəiflik Skanlaması

CI/CD pipeline-a inteqrasiya olunmuş avtomatlaşdırılmış zəiflik skanlaması — dependency audit, SAST (Static Application Security Testing) və DAST (Dynamic Application Security Testing) — hər deployment-dən əvvəl işə salınmalıdır.

Nəticə

Sıfır-etibar təhlükəsizlik sadəcə trend deyil — müasir veb tətbiqləri üçün yeganə rasional yanaşmadır. Perimetr müdafiəsinin artıq işləmədiyi bir dünyada, hər sorğunun yoxlanması, minimum imtiyaz girişinin tətbiqi və pozuntunun fərz edilməsi rəqəmsal aktivlərinizin qorunması üçün yeganə yoldur. Servoogle olaraq biz hər layihəni bu prinsiplər üzərində inşa edirik — çünki təhlükəsizlik sonradan əlavə edilən bir xüsusiyyət deyil, arxitekturanın fundamental hissəsidir.