ক্লাউডের যত নিরাপত্তা সমস্যা

ক্লাউড এখন আর জল্পনা-কল্পনা বা তর্ক-বিতর্কের কোনো বিষয় নয়। ক্লাউড নিয়ে দ্বিধাদ্বন্দ্বেও ভুগছে না আর কেউ। কোম্পানিগুলো প্রথমে খানিকটা ধীরগতিতে হলেও এখন একেবারে পুরোদমে ক্লাউডে তাদের ডাটা ও অ্যাপ্লিকেশনগুলোকে স্থানান্তরিত করে নিয়ে যাচ্ছে। তবে এর মধ্যেও ক্লাউডের নিরাপত্তা নিয়ে সবার মধ্যে একটা উদ্বেগ কাজ করছে। সবাই ভাবছে, এই যে আমার অমূল্য সব ডাটা, এগুলোর নিরাপত্তা কি ক্লাউডে সবসময় দেয়া যাবে? উত্তর হচ্ছে: ক্লাউডে ডাটার নিরাপত্তা বিধানের জন্য আগে নিরাপত্তাজনিত বড় সমস্যাগুলোকে চিহ্নিত করতে হবে। সম্প্রতি ক্লাউড সিকিউরিটি অ্যালায়েন্স বা ‘সিএসএ’ ক্লাউডের নিরাপত্তাজনিত কয়েকটি হুমকিকে চিহ্নিত করেছে। তারা মনে করে, ক্লাউডের চরিত্রের মধ্যেই আছে বিনিময় বা শেয়ারিং, আর এর ফলে নানা রকমের নিরাপত্তাজনিত হুমকি দেখা দিতে পারে। সেসব হুমকিকে মোকাবেলা করতে হলে প্রতিনিয়ত নিজেদের প্রতিরক্ষা ব্যবস্থাকে জোরদার করার কাজ করতে হয় প্রতিষ্ঠানগুলোর। ক্লাউডের প্রতি নিরাপত্তা হুমকির যে তালিকা সিএসএ করেছে, সেখান থেকে কয়েকটি নিয়ে আমরা আলোচনা করব এই নিবন্ধে।

এক নম্বর হুমকি-ডাটার নিরাপত্তাহানি
প্রথাগত কর্পোরেট নেটওয়ার্কের মত ক্লাউডের হুমকিগুলোও প্রায় একই রকম। তবে ক্লাউড সার্ভারে যেহেতু অকল্পনীয় পরিমাণে বিপুল ডাটা সংরক্ষণ করা হয় সেহেতু এগুলো সবসময় আক্রমণের আশঙ্কার মধ্যে থাকে। সাধারণত ব্যক্তি আর্থিক তথ্য-উপাত্ত চুরি বা বেহাত হলে (যেটি ‘ডাটা ব্রিচ’ নামে পরিচিত) তবেই তা আলোচনার শিরোনাম হয়, কিন্তু ডাটা চুরি বা বেহাত হওয়া কেবল আর্থিক তথ্যের মধ্যেই সীমিত নেই। স্বাস্থ্য তথ্য, বাণিজ্যচুক্তির গোপন তথ্য, মেধাস্বত্ত্ব ইত্যাদিও বেহাত হতে পারে। ডাটা ব্রিচ ঘটলে কোম্পানিগুলো ক্ষতিপূরণ ও মামলার মুখোমুখি হতে পারে। এছাড়া ব্র্যান্ড ইমেজের ক্ষতি ও ব্যবসার আর্থিক ক্ষতি তো আছেই। এ কারণে ক্লাউড সেবাদাতা প্রতিষ্ঠানগুলো ডাটা ব্রিচ যাতে না ঘটে সেজন্য নিরাপত্তাসংক্রান্ত পদক্ষেপ গ্রহণ করে। এর মধ্যে মাল্টিফ্যাক্টর অথেন্টিকেশন ও এনক্রিপশন প্রধান।

দুই নম্বর হুমকি-‘কমপ্রোমাইজড ক্রেডেনশিয়াল’ ও ‘ব্রোকেন অথেন্টিকেশন’
ডাটা ব্রিচ কেন ঘটে তা নিয়ে বিতর্ক আছে। তবে সাধারণভাবে মনে করা হয়, অথেন্টিকেশনের শিথিলতা, দুর্বল পাসওয়ার্ড ও দুর্বল কি ও সার্টিফিকেট ম্যানেজমেন্টের জন্যই এটি ঘটে থাকে। কাকে কোন কাজের পারমিশন দেয়া হবে সে ব্যাপারে সিদ্ধান্ত গ্রহণ ও আইডেন্টিটি ম্যানেজমেন্টের দুর্বলতার জন্য ডাটা ব্রিচের মুখোমুখি হতে পারে। আরেকটা সমস্যা হচ্ছে, কোনো ব্যবহারকারীর কাজের ধরন পরিবর্তিত হয়ে গেলে বা তিনি প্রতিষ্ঠান ছেড়ে চলে গেলেও ভুলক্রমে তার ইউজার অ্যাকসেস প্রত্যাহার করা হয় না। এসব সমস্যা এড়াতে হলে মাল্টিফ্যাক্টর অথেন্টিকেশন সিস্টেম, যেমন ওয়ান-টাইম পাসওয়ার্ড , ফোন বেসড অথেন্টিকেশন ও স্মার্টকার্ড ব্যবহার করা হয়ে থাকে, কারণ এর মাধ্যমে চুরি যাওয়া পাসওয়ার্ডের মাধ্যমে লগইন করা সম্ভব হয় না আক্রমণকারীর পক্ষে। অনেক ডেভেলপার ভুলক্রমে সোর্স কোডে ক্রেডেনশিয়াল ও ক্রিপটোগ্রাফিক কি এমবেড করে এবং সেগুলোকে ‘গিটহাব’-এর মত পাবলিক রিপোজিটরিতে রেখে দেয়। অথচ কি-গুলোর সুরক্ষা অবশ্যই দিতে হবে, এ কারণে একটি নিরাপদ ও সুরক্ষিত পাবলিক কি ইনফ্রাস্ট্রাকচার প্রবর্তন করা জরুরি। এছাড়া এগুলোকে নিয়মিত রোটেট করতে হবে, যাতে আক্রমণকারীরা অথরাইজেশন ছাড়া কোনো কি ব্যবহারে সক্ষম না হয়।

তিন নম্বর হুমকি: হ্যাক হওয়া ইন্টারফেস ও এপিআই
বলতে গেলে প্রতিটি ক্লাউড সেবা ও অ্যাপ্লিকেশনই বর্তমানে অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস তথা এপিআই ব্যবহার করে। আইটি টিমগুলো ক্লাউড সেবা ব্যবস্থাপনা ও অন্যান্য ক্লাউড সেবার সাথে যোগাযোগের জন্য ইন্টারফেস ও এপিআই ব্যবহার করে। এসব ইন্টারফেস ও এপিআই ক্লাউড প্রভিশনিং, ম্যানেজমেন্ট, অর্কেস্ট্রেশন ও মনিটরিং সুবিধা প্রদান করে। অথেন্টিকেশন ও অ্যাকসেস কন্ট্রোল থেকে শুরু করে এনক্রিপশন ও অ্যাক্টিভিটি মনিটরিং পর্যন্ত ক্লাউড সেবার যাবতীয় ব্যবহার ও নিরাপত্তা ব্যবস্থা এপিআই-এর নিরাপত্তার ওপর নির্ভর করে। যেসব তৃতীয় পক্ষ এপিআইয়ের ওপর নির্ভর করে এবং এসব ইন্টারফেসের ওপর ভিত্তি করে নতুন কিছু তৈরি করে, তারা দৃশ্যপটে আবির্ভুত হলে ঝুঁকির পরিমাণ আরো বেড়ে যায়। কারণ প্রতিষ্ঠানগুলো এসব তৃতীয় পক্ষের হাতেও বেশ কিছু সেবা ও ক্রেডেনশিয়ালকে হস্তান্তর করে। দুর্বল ইন্টারফেস ও এপিআই-এর কারণে প্রতিষ্ঠানগুলো গোপনীয়তা, ইন্টেগ্রিটি, জবাবদিহিতাসহ নানা ধরনের নিরাপত্তা হুমকির মুখোমুখি হয়। এপিআই ও ইন্টারফেস সাধারণত একটি সিস্টেমের সবচেয়ে বেশি উন্মুক্ত অংশ, কারণ এগুলোকে ওপেন ইন্টারনেট থেকে অ্যাকসেস করা সম্ভব। এজন্য এগুলোর ওপর যথেষ্ট পরিমাণে নিয়ন্ত্রণ বজায় রাখার জন্য ক্লাউড প্রতিষ্ঠানগুলোকে তাগাদা দিয়েছে সিএসএ। এছাড়া নিরাপত্তামুখী কোড রিভিউ (security-focused code reviews) ও প্রতিনিয়ত পেনিট্রেশন টেস্টিংয়েরও তাগাদা দিয়েছে তারা।

চার নম্বর হুমকি: সিস্টেমের দুর্বলতা
এক্সপ্লয়েটেড সিস্টেম ভালনারেবিলিটি বা সিস্টেমের অন্তর্নিহত দুর্বলতা, যেমন প্রোগ্রারেম মেধ্য থেকে যাওয়া বাগ ক্লাউড ব্যবস্থাকে ঝুঁকির মধ্যে ফেলতে পারে। ক্লাউড কম্পিউটিংয়ে ‘মাল্টিটেনেন্সি’ (multitenancy) বৃদ্ধির সঙ্গে সঙ্গে এই ঝুঁকি ক্রমশই বেড়ে চলেছে। প্রতিষ্ঠানগুলোতে মেমোরি ও ডাটাবেসসহ বিভিন্ন রিসোর্স প্রচুর শেয়ার করা হয়, যা নতুন নতুন আক্রমণের পথ প্রশস্ত করে। সিএসএ-র মতে, মৌলিক কিছু আইটি প্রক্রিয়া অনুসরণের মাধ্যমেই এসব দুর্বলতাকে প্রতিরোধ করা যায়। এসব প্রক্রিয়ার মধ্যে আছে নিয়মিত ঝুঁকি পরীক্ষা (vulnerability scanning), দ্রুত প্যাচ ব্যবস্থাপনা (prompt patch management) এবং সিস্টেমের হুমকির সন্ধান পেলেই দ্রুত ফলো আপের ব্যবস্থা নেয়া। সিএসএ বলছে, প্রতিষ্ঠানগুলো আইটি অবকাঠামোর পেছনে যত খরচ করে তার সামান্য একটি অংশ খরচ করলেই এসব ঝুঁকি কমানো করা সম্ভব।

-সিনিউজভয়েস/ডেক্স