ক্লাউডের যত নিরাপত্তা সমস্যা

ক্লাউড এখন আর জল্পনা-কল্পনা বা তর্ক-বিতর্কের কোনো বিষয় নয়। ক্লাউড নিয়ে দ্বিধাদ্বন্দ্বেও ভুগছে না আর কেউ। কোম্পানিগুলো প্রথমে খানিকটা ধীরগতিতে হলেও এখন একেবারে পুরোদমে ক্লাউডে তাদের ডাটা ও অ্যাপ্লিকেশনগুলোকে স্থানান্তরিত করে নিয়ে যাচ্ছে। তবে এর মধ্যেও ক্লাউডের নিরাপত্তা নিয়ে সবার মধ্যে একটা উদ্বেগ কাজ করছে। সবাই ভাবছে, এই যে আমার অমূল্য সব ডাটা, এগুলোর নিরাপত্তা কি ক্লাউডে সবসময় দেয়া যাবে? উত্তর হচ্ছে: ক্লাউডে ডাটার নিরাপত্তা বিধানের জন্য আগে নিরাপত্তাজনিত বড় সমস্যাগুলোকে চিহ্নিত করতে হবে। সম্প্রতি ক্লাউড সিকিউরিটি অ্যালায়েন্স বা ‘সিএসএ’ ক্লাউডের নিরাপত্তাজনিত কয়েকটি হুমকিকে চিহ্নিত করেছে। তারা মনে করে, ক্লাউডের চরিত্রের মধ্যেই আছে বিনিময় বা শেয়ারিং, আর এর ফলে নানা রকমের নিরাপত্তাজনিত হুমকি দেখা দিতে পারে। সেসব হুমকিকে মোকাবেলা করতে হলে প্রতিনিয়ত নিজেদের প্রতিরক্ষা ব্যবস্থাকে জোরদার করার কাজ করতে হয় প্রতিষ্ঠানগুলোর। ক্লাউডের প্রতি নিরাপত্তা হুমকির যে তালিকা সিএসএ করেছে, সেখান থেকে কয়েকটি নিয়ে আমরা আলোচনা করব এই নিবন্ধে।

এক নম্বর হুমকি-ডাটার নিরাপত্তাহানি
প্রথাগত কর্পোরেট নেটওয়ার্কের মত ক্লাউডের হুমকিগুলোও প্রায় একই রকম। তবে ক্লাউড সার্ভারে যেহেতু অকল্পনীয় পরিমাণে বিপুল ডাটা সংরক্ষণ করা হয় সেহেতু এগুলো সবসময় আক্রমণের আশঙ্কার মধ্যে থাকে। সাধারণত ব্যক্তি আর্থিক তথ্য-উপাত্ত চুরি বা বেহাত হলে (যেটি ‘ডাটা ব্রিচ’ নামে পরিচিত) তবেই তা আলোচনার শিরোনাম হয়, কিন্তু ডাটা চুরি বা বেহাত হওয়া কেবল আর্থিক তথ্যের মধ্যেই সীমিত নেই। স্বাস্থ্য তথ্য, বাণিজ্যচুক্তির গোপন তথ্য, মেধাস্বত্ত্ব ইত্যাদিও বেহাত হতে পারে। ডাটা ব্রিচ ঘটলে কোম্পানিগুলো ক্ষতিপূরণ ও মামলার মুখোমুখি হতে পারে। এছাড়া ব্র্যান্ড ইমেজের ক্ষতি ও ব্যবসার আর্থিক ক্ষতি তো আছেই। এ কারণে ক্লাউড সেবাদাতা প্রতিষ্ঠানগুলো ডাটা ব্রিচ যাতে না ঘটে সেজন্য নিরাপত্তাসংক্রান্ত পদক্ষেপ গ্রহণ করে। এর মধ্যে মাল্টিফ্যাক্টর অথেন্টিকেশন ও এনক্রিপশন প্রধান।

দুই নম্বর হুমকি-‘কমপ্রোমাইজড ক্রেডেনশিয়াল’ ও ‘ব্রোকেন অথেন্টিকেশন’
ডাটা ব্রিচ কেন ঘটে তা নিয়ে বিতর্ক আছে। তবে সাধারণভাবে মনে করা হয়, অথেন্টিকেশনের শিথিলতা, দুর্বল পাসওয়ার্ড ও দুর্বল কি ও সার্টিফিকেট ম্যানেজমেন্টের জন্যই এটি ঘটে থাকে। কাকে কোন কাজের পারমিশন দেয়া হবে সে ব্যাপারে সিদ্ধান্ত গ্রহণ ও আইডেন্টিটি ম্যানেজমেন্টের দুর্বলতার জন্য ডাটা ব্রিচের মুখোমুখি হতে পারে। আরেকটা সমস্যা হচ্ছে, কোনো ব্যবহারকারীর কাজের ধরন পরিবর্তিত হয়ে গেলে বা তিনি প্রতিষ্ঠান ছেড়ে চলে গেলেও ভুলক্রমে তার ইউজার অ্যাকসেস প্রত্যাহার করা হয় না। এসব সমস্যা এড়াতে হলে মাল্টিফ্যাক্টর অথেন্টিকেশন সিস্টেম, যেমন ওয়ান-টাইম পাসওয়ার্ড , ফোন বেসড অথেন্টিকেশন ও স্মার্টকার্ড ব্যবহার করা হয়ে থাকে, কারণ এর মাধ্যমে চুরি যাওয়া পাসওয়ার্ডের মাধ্যমে লগইন করা সম্ভব হয় না আক্রমণকারীর পক্ষে। অনেক ডেভেলপার ভুলক্রমে সোর্স কোডে ক্রেডেনশিয়াল ও ক্রিপটোগ্রাফিক কি এমবেড করে এবং সেগুলোকে ‘গিটহাব’-এর মত পাবলিক রিপোজিটরিতে রেখে দেয়। অথচ কি-গুলোর সুরক্ষা অবশ্যই দিতে হবে, এ কারণে একটি নিরাপদ ও সুরক্ষিত পাবলিক কি ইনফ্রাস্ট্রাকচার প্রবর্তন করা জরুরি। এছাড়া এগুলোকে নিয়মিত রোটেট করতে হবে, যাতে আক্রমণকারীরা অথরাইজেশন ছাড়া কোনো কি ব্যবহারে সক্ষম না হয়।

তিন নম্বর হুমকি: হ্যাক হওয়া ইন্টারফেস ও এপিআই
বলতে গেলে প্রতিটি ক্লাউড সেবা ও অ্যাপ্লিকেশনই বর্তমানে অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস তথা এপিআই ব্যবহার করে। আইটি টিমগুলো ক্লাউড সেবা ব্যবস্থাপনা ও অন্যান্য ক্লাউড সেবার সাথে যোগাযোগের জন্য ইন্টারফেস ও এপিআই ব্যবহার করে। এসব ইন্টারফেস ও এপিআই ক্লাউড প্রভিশনিং, ম্যানেজমেন্ট, অর্কেস্ট্রেশন ও মনিটরিং সুবিধা প্রদান করে। অথেন্টিকেশন ও অ্যাকসেস কন্ট্রোল থেকে শুরু করে এনক্রিপশন ও অ্যাক্টিভিটি মনিটরিং পর্যন্ত ক্লাউড সেবার যাবতীয় ব্যবহার ও নিরাপত্তা ব্যবস্থা এপিআই-এর নিরাপত্তার ওপর নির্ভর করে। যেসব তৃতীয় পক্ষ এপিআইয়ের ওপর নির্ভর করে এবং এসব ইন্টারফেসের ওপর ভিত্তি করে নতুন কিছু তৈরি করে, তারা দৃশ্যপটে আবির্ভুত হলে ঝুঁকির পরিমাণ আরো বেড়ে যায়। কারণ প্রতিষ্ঠানগুলো এসব তৃতীয় পক্ষের হাতেও বেশ কিছু সেবা ও ক্রেডেনশিয়ালকে হস্তান্তর করে। দুর্বল ইন্টারফেস ও এপিআই-এর কারণে প্রতিষ্ঠানগুলো গোপনীয়তা, ইন্টেগ্রিটি, জবাবদিহিতাসহ নানা ধরনের নিরাপত্তা হুমকির মুখোমুখি হয়। এপিআই ও ইন্টারফেস সাধারণত একটি সিস্টেমের সবচেয়ে বেশি উন্মুক্ত অংশ, কারণ এগুলোকে ওপেন ইন্টারনেট থেকে অ্যাকসেস করা সম্ভব। এজন্য এগুলোর ওপর যথেষ্ট পরিমাণে নিয়ন্ত্রণ বজায় রাখার জন্য ক্লাউড প্রতিষ্ঠানগুলোকে তাগাদা দিয়েছে সিএসএ। এছাড়া নিরাপত্তামুখী কোড রিভিউ (security-focused code reviews) ও প্রতিনিয়ত পেনিট্রেশন টেস্টিংয়েরও তাগাদা দিয়েছে তারা।

চার নম্বর হুমকি: সিস্টেমের দুর্বলতা
এক্সপ্লয়েটেড সিস্টেম ভালনারেবিলিটি বা সিস্টেমের অন্তর্নিহত দুর্বলতা, যেমন প্রোগ্রারেম মেধ্য থেকে যাওয়া বাগ ক্লাউড ব্যবস্থাকে ঝুঁকির মধ্যে ফেলতে পারে। ক্লাউড কম্পিউটিংয়ে ‘মাল্টিটেনেন্সি’ (multitenancy) বৃদ্ধির সঙ্গে সঙ্গে এই ঝুঁকি ক্রমশই বেড়ে চলেছে। প্রতিষ্ঠানগুলোতে মেমোরি ও ডাটাবেসসহ বিভিন্ন রিসোর্স প্রচুর শেয়ার করা হয়, যা নতুন নতুন আক্রমণের পথ প্রশস্ত করে। সিএসএ-র মতে, মৌলিক কিছু আইটি প্রক্রিয়া অনুসরণের মাধ্যমেই এসব দুর্বলতাকে প্রতিরোধ করা যায়। এসব প্রক্রিয়ার মধ্যে আছে নিয়মিত ঝুঁকি পরীক্ষা (vulnerability scanning), দ্রুত প্যাচ ব্যবস্থাপনা (prompt patch management) এবং সিস্টেমের হুমকির সন্ধান পেলেই দ্রুত ফলো আপের ব্যবস্থা নেয়া। সিএসএ বলছে, প্রতিষ্ঠানগুলো আইটি অবকাঠামোর পেছনে যত খরচ করে তার সামান্য একটি অংশ খরচ করলেই এসব ঝুঁকি কমানো করা সম্ভব।

-সিনিউজভয়েস/ডেক্স

Please Share This Post.

3 thoughts on “ক্লাউডের যত নিরাপত্তা সমস্যা

  • নভেম্বর 20, 2020 at 7:35 অপরাহ্ন
    Permalink

    This transfer challenges your own ab muscles, over arms, hands, returning, joints you get the drift.

  • নভেম্বর 27, 2020 at 5:28 পূর্বাহ্ন
    Permalink

    If you should wish for electricity hookup for a Recreational vehicle or perhaps pink glamour camper trailer, you’ll get final decision approximately Great Bend on the Denver Think Dog park or possibly Region of fireside Claim Store.

  • ডিসেম্বর 3, 2020 at 6:06 অপরাহ্ন
    Permalink

    IdentificationThe subscapularis, supraspinatus, infraspinatus additionally, the teres insignificant form the cuff others in terms of a left arm, and additionally support neck external and internal turning thus all the name “rotator cuff. Revolving cuff crying, proposes the {American|United states|U .

মন্তব্য করুন

আপনার ই-মেইল এ্যাড্রেস প্রকাশিত হবে না।