डेटा संप्रभुता और डेटा अनुपालन के लिए API Gateway का उपयोग
November 28, 2022
पृष्ठभूमि और चुनौतियाँ
स्मार्टफोन, IoT, और हाई-स्पीड मोबाइल नेटवर्क की बढ़ती लोकप्रियता के साथ, बड़ी मात्रा में संवेदनशील डेटा उत्पन्न हुआ है, जैसे कि फोटो, वित्तीय लेनदेन, भौगोलिक स्थान, DNA अनुक्रमण, चिकित्सा रिकॉर्ड, और क्लिनिकल ट्रायल। इन संवेदनशील डेटा पर आधारित सांख्यिकीय विश्लेषण व्यक्तियों, कंपनियों, या लोगों के समूहों की पहचान को सटीक रूप से चित्रित कर सकता है, जिससे व्यक्तिगत गोपनीयता और राष्ट्रीय सुरक्षा को खतरा होता है।
अधिक से अधिक देशों के विधायी निकाय इस समस्या की गंभीरता और तात्कालिकता को समझ रहे हैं। उन्होंने डेटा संग्रह और सीमा पार स्थानांतरण को विनियमित करने के लिए कई कानून और नियम पेश किए हैं। यूरोप में सामान्य डेटा संरक्षण विनियमन (GDPR) और अमेरिका में हेल्थ इंश्योरेंस पोर्टेबिलिटी और अकाउंटेबिलिटी एक्ट (HIPAA) इन कानूनों के अग्रदूत हैं। कई विकासशील देश भी कदम बढ़ा रहे हैं:
- मलेशिया: पर्सनल डेटा प्रोटेक्शन एक्ट 2010 (PDPA), नवंबर 2013 में प्रभावी।
- चीन: साइबर सुरक्षा कानून, डेटा सुरक्षा कानून, और व्यक्तिगत सूचना संरक्षण कानून 2017 से 2021 के बीच क्रमशः जारी किए गए।
- ब्राजील: ब्राजीलियन जनरल डेटा प्रोटेक्शन लॉ (BGDP), सितंबर 2020 में प्रभावी।
- थाईलैंड: थाईलैंड का पर्सनल डेटा प्रोटेक्शन एक्ट (PDPA), जून 2022 में प्रभावी।
इस प्रकार, टर्मिनल और उपयोगकर्ताओं द्वारा उत्पन्न डेटा, जो निर्माताओं द्वारा संग्रहीत और रखा जाता है, कई कानून प्रवर्तन एजेंसियों द्वारा निगरानी में होता है। इसलिए, उद्यम, विशेष रूप से बड़े बहुराष्ट्रीय उद्यम, कई तात्कालिक नई समस्याओं का सामना कर रहे हैं:
- कौन सा डेटा संग्रहित किया जा सकता है? कौन सा नहीं?
- डेटा कैसे और कहाँ संग्रहित किया जाता है?
- क्या डेटा को सीमा पार स्थानांतरित किया जा सकता है?
इन सभी के लिए समाधान तैयार करना एक बड़ी परियोजना होगी। यहाँ हम मुख्य रूप से एक मुद्दे पर ध्यान केंद्रित करेंगे:
API के माध्यम से प्रेषित क्लाइंट डेटा के लिए, API गेटवे स्तर पर डेटा संप्रभुता कैसे निर्धारित की जाए ताकि यह सुनिश्चित हो सके कि डेटा को कानूनी रूप से प्रसंस्कृत और संग्रहित किया जा रहा है?
उदाहरण के लिए, एक अमेरिकी उपयोगकर्ता जो यूरोप में व्यापार यात्रा पर है, अपने मोबाइल फोन का उपयोग करके बैंक ट्रांसफर करता है। इस समय, लेनदेन डेटा को अमेरिका में एक दूरस्थ सर्वर द्वारा प्रसंस्कृत और संग्रहित किया जाना चाहिए, न कि यूरोप में एक निकटतम सर्वर द्वारा।
इस लेख के दूसरे भाग में, हम इस उदाहरण के लिए एक विशिष्ट तकनीकी समाधान प्रदान करेंगे। इससे पहले, आइए पहले डेटा संप्रभुता और अनुपालन को देखें।
डेटा संप्रभुता और डेटा अनुपालन क्या हैं?
डेटा संप्रभुता
एक देश न केवल भौतिक स्थान पर संप्रभुता रखता है, जैसे कि क्षेत्र, वायुसीमा, और जलसीमा, बल्कि अपने डेटा और राष्ट्रीय साइबरस्पेस पर भी संप्रभुता रखता है।
सामान्य डेटा संरक्षण विनियमन (GDPR) को उदाहरण के रूप में लें, जो व्यक्तिगत डेटा की गोपनीयता और सुरक्षा के लिए एक EU विनियमन है। GDPR में सबसे बुनियादी आवश्यकता यह है कि "सभी उपयोगकर्ता डेटा संग्रहण व्यवहारों के लिए उपयोगकर्ता की सहमति आवश्यक है और उपयोगकर्ता को किसी भी समय संग्रहित व्यक्तिगत डेटा को स्पष्ट और हटाने का अधिकार है।"
इसलिए, यदि कोई कंपनी यूरोपीय डेटा को अन्य क्षेत्रों में स्थानांतरित करना चाहती है, तो उसे यह सुनिश्चित करना होगा कि तीसरे देश की डेटा संप्रभुता आवश्यकताएँ EU की आवश्यकताओं को पूरा करती हैं। स्थानीय कानूनों के अनुपालन की आवश्यकता के संबंध में, बहुराष्ट्रीय व्यवसायों में वास्तव में कई चिंताएँ हैं।
एक और चिंता अमेरिका का PATRIOT Act है, जो अमेरिका में संग्रहीत सभी डेटा, या अमेरिकी कंपनियों द्वारा संग्रहीत डेटा को अमेरिका की निगरानी में रखने की आवश्यकता है। अमेरिकी न्याय विभाग और केंद्रीय खुफिया एजेंसी (CIA) को कंपनियों से डेटा प्रदान करने का अधिकार है। 2013 में, अमेरिकी न्याय विभाग ने माइक्रोसॉफ्ट से आयरलैंड के सर्वर पर संग्रहीत कुछ ईमेल जानकारी का खुलासा करने का अनुरोध किया। माइक्रोसॉफ्ट ने अमेरिकी न्याय विभाग के अनुरोध को अस्वीकार कर दिया क्योंकि यह यूरोपीय संघ के नियामक आवश्यकताओं का उल्लंघन करेगा। फिर अमेरिकी न्याय विभाग ने माइक्रोसॉफ्ट पर मुकदमा किया, लेकिन माइक्रोसॉफ्ट ने मुकदमा जीत लिया। बाद में, डेटा संप्रभुता के जोखिम से बचने के लिए, अमेरिका में कई कंपनियों ने अपने डेटा केंद्रों को सीधे यूरोप में स्थापित किया, यह सोचकर कि यह सुरक्षित होगा। हालांकि, हाल ही में कुछ मामलों में न्यायाधीशों ने फैसला दिया कि अमेरिका को यूरोप में अमेरिकी कंपनियों से डेटा का अनुरोध करने का अधिकार है। यह अमेरिका का लॉन्ग-आर्म ज्यूरिसडिक्शन है।
डेटा संप्रभुता ने वास्तव में उद्यमों के वैश्विक व्यवसाय को महत्वपूर्ण चुनौतियाँ प्रदान की हैं, और कंपनियों में डेटा संप्रभुता के मुद्दे को ठीक से संभालना विशेष रूप से महत्वपूर्ण हो गया है।
डेटा अनुपालन
बहुराष्ट्रीय कंपनियों के लिए, यदि डेटा संप्रभुता की कोई आवश्यकता नहीं है, तो डेटा सिंक्रनाइज़ेशन अपेक्षाकृत सरल है। अमेरिका में एक उपयोगकर्ता का डेटा आसानी से एशिया और यूके के सर्वरों पर सिंक्रनाइज़ किया जा सकता है, जैसा कि नीचे दिए गए चित्र में दिखाया गया है। इस तरह, जब एक अमेरिकी एशिया में यात्रा करता है, तो वह अमेरिका में उत्पन्न विभिन्न डेटा तक भी पहुँच सकता है।
डेटा संप्रभुता के अनुपालन आवश्यकताओं के साथ, बहुत सारा डेटा देशों के बीच सिंक्रनाइज़ और एक्सेस नहीं किया जा सकता है। उद्यमों को उपयोगकर्ताओं को अलग करने और उनसे जुड़े डेटा को अलग करने की आवश्यकता होती है। एक मानक तरीका है कि उपयोगकर्ताओं को क्षेत्रों के आधार पर विभाजित किया जाए।
अमेज़न के किंडल को लें, अमेरिका में उपयोगकर्ताओं द्वारा खरीदे गए ई-बुक्स को चीनी खाते के साथ उनके किंडल पर डाउनलोड नहीं किया जा सकता है। ऐसा इसलिए है क्योंकि विभिन्न देशों (क्षेत्रों) के बीच डेटा पूरी तरह से अलग होता है। सिस्टम की संरचना निम्नलिखित है:
तो, यदि यूके में एक उपयोगकर्ता अमेरिकी खाते के साथ अमेज़न यूके तक पहुँचना चाहता है, तो तकनीकी रूप से क्या किया जाना चाहिए? आइए नीचे दिए गए संरचना चित्र को देखें। अधिकांश मौजूदा API गेटवे उत्पाद समान समाधान प्रस्तावित करते हैं।
मौजूदा API गेटवे स्तर समाधान
हम इस समाधान के मूल को एक वाक्य में रख सकते हैं:
यूके में API गेटवे उपयोगकर्ता की पहचान करता है। यदि API को पता चलता है कि उपयोगकर्ता अमेरिका में पंजीकृत है, तो इसे अमेरिका के सर्वरों पर प्रसंस्करण के लिए रूट किया जाएगा।
फिर भी, इसके पीछे कुछ तकनीकी चुनौतियाँ और अनुपालन के छिपे हुए खतरे भी हैं:
-
API गेटवे को सूक्ष्म-स्तरीय रूट शेड्यूलिंग क्षमताओं की आवश्यकता होती है, HTTP हेडर, अनुरोध args, और अनुरोध बॉडी से डेटा प्राप्त करता है, और बाहरी डेटाबेस क्वेरी के साथ सहयोग करके यह निर्धारित करता है कि कौन सा सर्वर उपयोगकर्ता को संभालेगा।
-
क्षेत्रों के बीच नेटवर्क को जोड़ने की आवश्यकता होती है ताकि अनुरोध को आगे भेजा जा सके। यूके सर्वर रूम और अमेरिका सर्वर रूम को जोड़ने की आवश्यकता होती है।
-
यूके सर्वर में API गेटवे ने पहले ही SSL प्रमाणपत्र को उतार दिया हो सकता है, API की सामग्री को पढ़ लिया हो सकता है, और डेटा को स्थानीय डिस्क या अन्य सेवाओं में एक्सेस लॉग, ऑडिट लॉग, ऑब्जर्वेबिलिटी सिस्टम आदि के माध्यम से रिकॉर्ड कर दिया हो सकता है।
क्या इन समस्याओं को हल करने का कोई तरीका है?
मल्टीलेयर नेटवर्क: API डेटा ट्रांसमिशन के अनुपालन को सुनिश्चित करने के लिए Apache APISIX का समाधान
यहाँ हम APISIX में "मल्टीलेयर नेटवर्क" की अवधारणा का परिचय देते हैं ताकि API गेटवे स्तर पर API द्वारा प्रेषित डेटा के अनुपालन और सुरक्षा को सुनिश्चित किया जा सके। मल्टीलेयर नेटवर्क, जैसा कि नाम से पता चलता है, API गेटवे को दो परतों में विभाजित करता है, लेयर 1 और लेयर 2, जैसा कि निम्नलिखित चित्र में दिखाया गया है:
- लेयर 1 API गेटवे: SSL प्रमाणपत्र उतारने, सूक्ष्म-स्तरीय रूट शेड्यूलिंग, और यह निर्धारित करने के लिए जिम्मेदार है कि कौन सा लेयर 2 API गेटवे API अनुरोधों को संभालेगा।
- लेयर 2 API गेटवे: यह मूल API गेटवे है, जिसे डेटा अनुपालन की चिंता करने की आवश्यकता नहीं है।
लेख की शुरुआत में पूछे गए प्रश्न पर वापस आते हैं: अमेरिका में पंजीकृत एक उपयोगकर्ता कैसे सुनिश्चित कर सकता है कि उसके लेनदेन के स्थान की परवाह किए बिना API डेटा अनुपालन हो?
सबसे पहले, API अनुरोध लेयर 1 API गेटवे पर भेजा जाएगा, जो मूल रूप से Apache APISIX है लेकिन multi-layer network ऑब्जेक्ट को जोड़ता है, जिस पर कस्टम प्लगइन्स को बांधा जा सकता है:
- लेयर 1 API गेटवे लेयर 2 API गेटवे क्लस्टर के पते, वजन, और अन्य जानकारी को परिभाषित करता है। यहाँ हम अमेरिका क्लस्टर और यूके क्लस्टर को सेट करते हैं:
http://Layer-1-API-Gateway-IP/apisix/admin/multilayer_network/clusters/cluster-US { "desc": "description", "http_port": 80, "https_port": 443, "gateways": [ {"host": "IP1", "weight": 1}, {"host": "IP2", "weight": 2} ] } http://Layer-1-API-Gateway-IP/apisix/admin/multilayer_network/clusters/cluster-UK { "desc": "description", "http_port": 80, "https_port": 443, "gateways": [ {"host": "IP1", "weight": 1}, {"host": "IP2", "weight": 2} ] }
- मल्टीलेयर नेटवर्क पर रूटिंग नियमों को परिभाषित करें, और
barप्लगइन के साथ बांधें:
http://Layer-1-API-Gateway-IP/apisix/admin/multilayer_network/routes/bank-foo { "desc": "bank API", "hosts": ["foo.com"], "uris": ["/*"], "plugin_id": "bar" }
- कस्टम प्लगइन्स को परिभाषित करें:
http://***/apisix/admin/multilayer_network/plugins/bar { "desc": "plugin", "plugins": { "jwt-auth": { ... ... }, "foo-upstream-selector": { "scheme": "HTTPS" ... ... }, ... ... } }
यहाँ हमने दो प्लगइन्स को बांधा है। jwt-auth प्लगइन का उपयोग अनुरोध की पहचान प्रमाणीकरण को पूरा करने के लिए किया जाता है। foo-upstream-selector का उपयोग डेटाबेस से उपयोगकर्ता ID, देश/क्षेत्र, और उपयोगकर्ता से संबंधित क्लस्टर जैसी जानकारी को पढ़ने और यह निर्दिष्ट करने के लिए किया जाता है कि यह किस लेयर 2 API गेटवे क्लस्टर को रूट करेगा।
यह मल्टीलेयर संरचना विभिन्न देशों में डेटा अनुपालन को सुनिश्चित करती है।
निष्कर्ष
संक्षेप में, API गेटवे की मल्टीलेयर संरचना द्वारा सक्षम सूक्ष्म-स्तरीय रूट शेड्यूलिंग उद्यमों को API डेटा को तेजी से और सुरक्षित रूप से प्रसंस्कृत करने में मदद कर सकती है, जबकि डेटा अनुपालन आवश्यकताओं को सुनिश्चित करती है। हम यह आउट-ऑफ-द-बॉक्स कार्यक्षमता API7 क्लाउड और API7 एंटरप्राइज में प्रदान करते हैं। हमसे संपर्क करने के लिए फॉर्म भरने के लिए आपका स्वागत है।