gRPC Security: মাইক্রোসার্ভিসেস আর্কিটেকচারে ডেটা যোগাযোগের সাইবার নিরাপত্তা!

gRPC দাঁড়িয়ে আছে কয়েকটি আধুনিক প্রযুক্তির উপর। HTTP/2 ট্রান্সপোর্ট লেয়ার হিসেবে কাজ করে, যা Multiplexing, Header Compression, এবং Binary Framing সমর্থন করে। Protocol Buffers (Protobuf) সিরিয়ালাইজেশন ফরম্যাট হিসেবে ব্যবহৃত হয়—JSON-এর তুলনায় Protobuf অনেক ছোট ও দ্রুত। .proto ফাইলে সার্ভিস এবং মেসেজ স্ট্রাকচার সংজ্ঞায়িত করে স্বয়ংক্রিয়ভাবে ক্লায়েন্ট ও সার্ভার কোড জেনারেট করা যায়।

gRPC চার ধরনের কমিউনিকেশন প্যাটার্ন সমর্থন করে: Unary RPC (একক রিকোয়েস্ট, একক রেসপন্স), Server Streaming (একক রিকোয়েস্ট, একাধিক রেসপন্স), Client Streaming (একাধিক রিকোয়েস্ট, একক রেসপন্স), এবং Bidirectional Streaming (উভয় দিক থেকে স্ট্রিম)। এই ফ্লেক্সিবিলিটি Real-Time অ্যাপ্লিকেশন, যেমন Live Translation, Chat, এবং IoT Telemetry-র জন্য অত্যন্ত উপযোগী।

REST-এর তুলনায় gRPC-এর কয়েকটি স্বাতন্ত্র্য রয়েছে যা নিরাপত্তায় প্রভাব ফেলে। এটি Binary Protocol, যার ফলে নেটওয়ার্ক ট্রাফিক সহজে পরিদর্শনযোগ্য নয়—Wireshark-এ Protobuf Decoding ছাড়া কন্টেন্ট দেখা যায় না। Strongly Typed Schema থাকায় Type Confusion আক্রমণ কঠিন, কিন্তু Business Logic Bug-এর সংখ্যা কমে না। HTTP/2-এর Multiplexing-এর কারণে Single Connection-এ অনেকগুলো Stream চলতে পারে, যা DoS পরিস্থিতিতে জটিলতা তৈরি করে।

gRPC তিন স্তরের নিরাপত্তা প্রদান করে: Transport Security, Authentication, এবং Authorization। Transport Security সাধারণত TLS-এর মাধ্যমে নিশ্চিত হয়। gRPC ডিফল্টভাবে TLS-কে উৎসাহিত করে; এমনকি grpc.NewClient Plaintext Connection ব্যবহার করতে গেলে Explicit WithInsecure() কল প্রয়োজন।

Mutual TLS (mTLS) gRPC-এর জন্য বিশেষভাবে গুরুত্বপূর্ণ। সাধারণ TLS-এ শুধু সার্ভার নিজেকে প্রমাণ করে; mTLS-এ ক্লায়েন্টও Certificate দিয়ে নিজের পরিচয় প্রমাণ করে। মাইক্রোসার্ভিসেস স্থাপত্যে mTLS Zero Trust Networking-এর ভিত্তি—প্রতিটি সার্ভিস ক্রিপ্টোগ্রাফিকভাবে অন্য সার্ভিসকে চিনতে পারে।

Authentication-এর জন্য gRPC একাধিক পদ্ধতি সমর্থন করে। SSL/TLS Certificate-ভিত্তিক Authentication mTLS-এর মাধ্যমে কাজ করে। Token-Based Authentication-এ JWT, OAuth 2.0, বা API Key Header হিসেবে পাঠানো হয়—authorization: Bearer <token> ধরনের ফরম্যাটে। Google Cloud-এ Application Default Credentials (ADC) এবং Workload Identity ব্যবহৃত হয়।

Authorization আরও পরিশীলিত স্তর। প্রতিটি RPC-তে ক্লায়েন্ট কী করতে পারবে তা যাচাই করতে হয়। গ্রপিক ইন্টারসেপ্টর (Interceptor) ব্যবহার করে Cross-Cutting Authorization Logic প্রয়োগ করা যায়। Envoy এবং Istio-র মতো Service Mesh এই কাজটি Sidecar Proxy স্তরে স্বয়ংক্রিয় করে দেয়।

gRPC একটি আধুনিক প্রোটোকল হলেও বেশ কয়েকটি Attack Surface বহন করে। প্রথমটি Reflection Service অপব্যবহার। gRPC Server Reflection একটি Built-in পরিষেবা যা ক্লায়েন্টকে রানটাইমে সার্ভিসের Schema আবিষ্কার করতে দেয়—যেমন GraphQL Introspection। Production-এ Reflection চালু থাকলে আক্রমণকারীরা grpcurl, BloodHound for gRPC, বা grpc_cli দিয়ে সম্পূর্ণ সার্ভিস ইন্টারফেস ম্যাপ করতে পারে।

দ্বিতীয় ভেক্টর Plaintext Communication। উন্নয়ন পর্যায়ে অনেক ডেভেলপার InsecureChannelCredentials ব্যবহার করেন, এবং সেই কনফিগারেশন Production-এও থেকে যায়। এতে On-Path Attacker Protobuf পেলোড ডিকোড করে সংবেদনশীল তথ্য পড়তে এবং পরিবর্তন করতে পারে।

তৃতীয় ভেক্টর Authentication Bypass। যদি Authentication Interceptor কেবল নির্দিষ্ট Method-এ প্রয়োগ হয় এবং Wildcard Match না থাকে, তবে নতুন Method আক্রমণকারী Unauthenticated অবস্থায় কল করতে পারে। Service Mesh-এ ভুল কনফিগারেশনের কারণে Sidecar Bypass-ও সম্ভব—যদি Pod-এ সরাসরি Network Reach পাওয়া যায়।

চতুর্থ ভেক্টর Denial of Service। gRPC HTTP/2-এর Multiplexing-এর কারণে CVE-2023-44487 ("Rapid Reset Attack")-এর মতো দুর্বলতায় আক্রান্ত হতে পারে। ক্লায়েন্ট একই Connection-এ হাজার হাজার Stream দ্রুত খুলে এবং বন্ধ করে সার্ভারকে ক্ষতিগ্রস্ত করে। Streaming RPC-তে অসীম স্ট্রিম পাঠিয়েও সার্ভার রিসোর্স নিঃশেষ করা যায়।

পঞ্চম ভেক্টর Message Size Abuse। ডিফল্ট Maximum Message Size gRPC-তে ৪MB, কিন্তু অনেক ডেভেলপার এটি বাড়িয়ে নেন (যেমন ১GB) ফাইল ট্রান্সফারের জন্য। আক্রমণকারী বিশাল মেসেজ পাঠিয়ে Memory Exhaustion ঘটাতে পারে।

ষষ্ঠ ভেক্টর Protobuf Parser-এ দুর্বলতা। অতীতে protobuf-cpp, protobuf-java-তে Memory Corruption এবং Recursion-Based DoS Vulnerability পাওয়া গেছে। CVE-2022-3171 এমন একটি উদাহরণ।

সপ্তম ভেক্টর Information Disclosure via Error Messages। gRPC Status Code-এর সাথে Verbose Error Detail যুক্ত করা হলে Internal Database Schema, File Path, বা Stack Trace ফাঁস হতে পারে।

অষ্টম ভেক্টর Replay Attack। যদি Request Idempotency নিশ্চিত করা না হয় এবং Token-এ Nonce বা Timestamp না থাকে, তবে ক্যাপচার করা Request পুনরায় পাঠিয়ে ক্ষতিকর কাজ করা সম্ভব।

mTLS gRPC-এর সবচেয়ে শক্তিশালী নিরাপত্তা ফিচার হলেও এটি সঠিকভাবে প্রয়োগ করা চ্যালেঞ্জিং। প্রথমে একটি বিশ্বস্ত Certificate Authority (CA) প্রয়োজন। প্রতিষ্ঠান অভ্যন্তরীণ Private CA চালাতে পারে (HashiCorp Vault, AWS Private CA, Smallstep, cfssl), অথবা Service Mesh-এর Built-in CA (Istio Citadel, Linkerd Identity) ব্যবহার করতে পারে।

প্রতিটি সার্ভিসের জন্য SPIFFE ID-এর মতো একটি Unique Identifier থাকা উচিত। SPIFFE (Secure Production Identity Framework For Everyone) এবং SPIRE ক্লাউড-নেটিভ পরিবেশে Workload Identity প্রদানের আধুনিক স্ট্যান্ডার্ড। উদাহরণস্বরূপ, spiffe://example.com/ns/prod/sa/payment-service একটি ID যা Payment Service-কে চিনতে সাহায্য করে।

Certificate Rotation একটি গুরুত্বপূর্ণ অপারেশনাল ইস্যু। দীর্ঘমেয়াদী Certificate ঝুঁকিপূর্ণ; বরং Short-Lived Certificate (যেমন ২৪ ঘণ্টা) এবং স্বয়ংক্রিয় Rotation প্রয়োগ করা উত্তম। Istio এবং Linkerd ডিফল্টভাবে এটি করে।

Certificate Pinning কিছু ক্ষেত্রে কার্যকর হলেও মাইক্রোসার্ভিসেস স্থাপত্যে এটি Operationally কঠিন। বরং Trust Domain-ভিত্তিক Validation এবং Service Identity Verification প্রাধান্য পায়।

Istio এবং Linkerd-এর মতো Service Mesh মাইক্রোসার্ভিসেস স্থাপত্যে gRPC নিরাপত্তা প্রয়োগকে অনেক সহজ করে দিয়েছে। প্রতিটি Pod-এর সাথে একটি Sidecar Proxy (Envoy বা Linkerd-Proxy) চালানো হয়, যা স্বয়ংক্রিয়ভাবে mTLS করে, Traffic Routing করে, এবং Authorization Policy প্রয়োগ করে।

Istio-র PeerAuthentication রিসোর্স দিয়ে Namespace বা Mesh-Wide STRICT mTLS Mode সেট করা যায়। AuthorizationPolicy দিয়ে কোন সার্ভিস কোন সার্ভিসকে কোন Method কল করতে পারবে তা নিয়ন্ত্রণ করা যায়—Service-to-Service ABAC (Attribute-Based Access Control)।

Linkerd-এর Server এবং ServerAuthorization CRD একই কাজ আরও সরল API দিয়ে করে। Linkerd তার ছোট আকার এবং নিম্ন Operational Overhead-এর জন্য জনপ্রিয়।

কিছু বাস্তব ইনসিডেন্ট থেকে শিক্ষা পাওয়া যায়। ২০২৩ সালে Rapid Reset Attack (CVE-2023-44487) গ্লোবাল ইন্টারনেট অবকাঠামোতে নজিরবিহীন প্রভাব ফেলেছিল। Google নিজেদের Cloud পরিষেবায় প্রতি সেকেন্ডে ৩৯৮ মিলিয়ন Request-এর DDoS Block করেছিল—যা একটি ঐতিহাসিক রেকর্ড। gRPC-নির্ভর সিস্টেমগুলোকে দ্রুত HTTP/2 Server Patch করতে হয়েছিল।

Tetragon এবং Cilium-এর মতো eBPF-ভিত্তিক টুল gRPC ট্রাফিক Layer 7-এ পরিদর্শন করতে পারে, যা Service Mesh-এর বিকল্প হিসেবে উদীয়মান।

gRPC Authorization-এ দুটি প্রধান প্যাটার্ন প্রচলিত। প্রথমটি Interceptor-Based Authorization, যেখানে প্রতিটি RPC কলের আগে Custom Middleware টোকেন যাচাই, Permission Check, এবং Logging করে। Go-তে grpc.UnaryInterceptor, Java-তে ServerInterceptor, এবং Python-এ Method Decorator ব্যবহৃত হয়।

দ্বিতীয় প্যাটার্ন Service Mesh-Driven Authorization, যেখানে Envoy বা Linkerd-Proxy External Authorization Service-এ Decision আউটসোর্স করে। Open Policy Agent (OPA) এই কাজে জনপ্রিয়—Rego ভাষায় লেখা পলিসি Centrally Manage করা যায়।

JWT-Based Authorization-এ Token Claim থেকে User, Tenant, এবং Permission বের করে যাচাই করা হয়। Token Audience, Issuer, এবং Expiration সবসময় যাচাই করতে হবে। JWKs Endpoint থেকে Public Key Caching করার সময় Cache Invalidation Strategy থাকতে হবে।

Per-Method Authorization গুরুত্বপূর্ণ। সব Method-এ একই অনুমতি প্রয়োজন নয়—Admin Method, Internal-Only Method, এবং Public Method আলাদা পলিসি দাবি করে। Wildcard Match-এর পরিবর্তে Explicit Allow List পদ্ধতি নিরাপদ।

gRPC API সুরক্ষিত করতে কয়েকটি Best Practice অনুসরণ করা উচিত। প্রথমত, Production-এ Reflection বন্ধ রাখুন বা শুধুমাত্র Authenticated User-এর জন্য খুলুন। gRPC-Go-তে এটি reflection.Register(s) কল না করে অর্জন করা যায়।

দ্বিতীয়ত, mTLS বাধ্যতামূলক করুন। InsecureChannelCredentials Production কোডে কখনো ব্যবহার করবেন না। Linter Rule এবং CI Check-এ এটি প্রয়োগ করুন।

তৃতীয়ত, Message Size Limit সঠিকভাবে সেট করুন। ডিফল্ট ৪MB অনেক ক্ষেত্রেই যথেষ্ট; বাড়ানোর প্রয়োজন হলে কঠোরভাবে যৌক্তিক মান নির্ধারণ করুন। MaxRecvMsgSize এবং MaxSendMsgSize কনফিগার করুন।

চতুর্থত, Rate Limiting এবং Concurrency Limit প্রয়োগ করুন। Envoy-এর Rate Limit Service, NGINX, বা grpc-go-এর RateLimit Interceptor ব্যবহার করুন। প্রতি ক্লায়েন্ট, প্রতি Method, এবং Global Limit আলাদাভাবে সেট করুন।

পঞ্চমত, Stream Timeout এবং Idle Timeout সেট করুন। অনন্ত Stream সার্ভার রিসোর্স দখল করে রাখতে পারে। Context Cancellation যথাযথভাবে Propagate করুন।

ষষ্ঠত, HTTP/2 Server Hardening করুন। CVE-2023-44487 প্রতিরোধে gRPC-Go-তে MaxConcurrentStreams সীমিত করুন, এবং Stream Reset Counter মনিটর করুন।

সপ্তমত, Input Validation কঠোরভাবে প্রয়োগ করুন। Protobuf Type Safety দিলেও Business Logic Validation প্রয়োজন—Length Check, Range Check, Allowed Value List।

অষ্টমত, Observability নিশ্চিত করুন। OpenTelemetry দিয়ে Distributed Tracing, Prometheus দিয়ে Metric, এবং Structured Logging প্রতিটি RPC কভার করুক। Sensitive Field (Password, Token) লগ থেকে Redact করুন।

নবমত, Vulnerability Scanning নিয়মিত করুন। gRPC লাইব্রেরি, Protobuf Compiler, এবং HTTP/2 Stack-এর CVE নিয়মিত পরীক্ষা করুন। Dependabot, Snyk, এবং Trivy এই কাজে সাহায্য করে।

দশমত, Threat Modeling করুন। প্রতিটি নতুন Service-এর জন্য STRIDE পদ্ধতিতে Threat Modeling চালান এবং Mitigation প্রয়োগ করুন।