ক্লাউডের যত নিরাপত্তা সমস্যা

ক্লাউড এখন আর জল্পনা-কল্পনা বা তর্ক-বিতর্কের কোনো বিষয় নয়। ক্লাউড নিয়ে দ্বিধাদ্বন্দ্বেও ভুগছে না আর কেউ। কোম্পানিগুলো প্রথমে খানিকটা ধীরগতিতে হলেও এখন একেবারে পুরোদমে ক্লাউডে তাদের ডাটা ও অ্যাপ্লিকেশনগুলোকে স্থানান্তরিত করে নিয়ে যাচ্ছে। তবে এর মধ্যেও ক্লাউডের নিরাপত্তা নিয়ে সবার মধ্যে একটা উদ্বেগ কাজ করছে। সবাই ভাবছে, এই যে আমার অমূল্য সব ডাটা, এগুলোর নিরাপত্তা কি ক্লাউডে সবসময় দেয়া যাবে? উত্তর হচ্ছে: ক্লাউডে ডাটার নিরাপত্তা বিধানের জন্য আগে নিরাপত্তাজনিত বড় সমস্যাগুলোকে চিহ্নিত করতে হবে। সম্প্রতি ক্লাউড সিকিউরিটি অ্যালায়েন্স বা ‘সিএসএ’ ক্লাউডের নিরাপত্তাজনিত কয়েকটি হুমকিকে চিহ্নিত করেছে। তারা মনে করে, ক্লাউডের চরিত্রের মধ্যেই আছে বিনিময় বা শেয়ারিং, আর এর ফলে নানা রকমের নিরাপত্তাজনিত হুমকি দেখা দিতে পারে। সেসব হুমকিকে মোকাবেলা করতে হলে প্রতিনিয়ত নিজেদের প্রতিরক্ষা ব্যবস্থাকে জোরদার করার কাজ করতে হয় প্রতিষ্ঠানগুলোর। ক্লাউডের প্রতি নিরাপত্তা হুমকির যে তালিকা সিএসএ করেছে, সেখান থেকে কয়েকটি নিয়ে আমরা আলোচনা করব এই নিবন্ধে।

এক নম্বর হুমকি-ডাটার নিরাপত্তাহানি
প্রথাগত কর্পোরেট নেটওয়ার্কের মত ক্লাউডের হুমকিগুলোও প্রায় একই রকম। তবে ক্লাউড সার্ভারে যেহেতু অকল্পনীয় পরিমাণে বিপুল ডাটা সংরক্ষণ করা হয় সেহেতু এগুলো সবসময় আক্রমণের আশঙ্কার মধ্যে থাকে। সাধারণত ব্যক্তি আর্থিক তথ্য-উপাত্ত চুরি বা বেহাত হলে (যেটি ‘ডাটা ব্রিচ’ নামে পরিচিত) তবেই তা আলোচনার শিরোনাম হয়, কিন্তু ডাটা চুরি বা বেহাত হওয়া কেবল আর্থিক তথ্যের মধ্যেই সীমিত নেই। স্বাস্থ্য তথ্য, বাণিজ্যচুক্তির গোপন তথ্য, মেধাস্বত্ত্ব ইত্যাদিও বেহাত হতে পারে। ডাটা ব্রিচ ঘটলে কোম্পানিগুলো ক্ষতিপূরণ ও মামলার মুখোমুখি হতে পারে। এছাড়া ব্র্যান্ড ইমেজের ক্ষতি ও ব্যবসার আর্থিক ক্ষতি তো আছেই। এ কারণে ক্লাউড সেবাদাতা প্রতিষ্ঠানগুলো ডাটা ব্রিচ যাতে না ঘটে সেজন্য নিরাপত্তাসংক্রান্ত পদক্ষেপ গ্রহণ করে। এর মধ্যে মাল্টিফ্যাক্টর অথেন্টিকেশন ও এনক্রিপশন প্রধান।

দুই নম্বর হুমকি-‘কমপ্রোমাইজড ক্রেডেনশিয়াল’ ও ‘ব্রোকেন অথেন্টিকেশন’
ডাটা ব্রিচ কেন ঘটে তা নিয়ে বিতর্ক আছে। তবে সাধারণভাবে মনে করা হয়, অথেন্টিকেশনের শিথিলতা, দুর্বল পাসওয়ার্ড ও দুর্বল কি ও সার্টিফিকেট ম্যানেজমেন্টের জন্যই এটি ঘটে থাকে। কাকে কোন কাজের পারমিশন দেয়া হবে সে ব্যাপারে সিদ্ধান্ত গ্রহণ ও আইডেন্টিটি ম্যানেজমেন্টের দুর্বলতার জন্য ডাটা ব্রিচের মুখোমুখি হতে পারে। আরেকটা সমস্যা হচ্ছে, কোনো ব্যবহারকারীর কাজের ধরন পরিবর্তিত হয়ে গেলে বা তিনি প্রতিষ্ঠান ছেড়ে চলে গেলেও ভুলক্রমে তার ইউজার অ্যাকসেস প্রত্যাহার করা হয় না। এসব সমস্যা এড়াতে হলে মাল্টিফ্যাক্টর অথেন্টিকেশন সিস্টেম, যেমন ওয়ান-টাইম পাসওয়ার্ড , ফোন বেসড অথেন্টিকেশন ও স্মার্টকার্ড ব্যবহার করা হয়ে থাকে, কারণ এর মাধ্যমে চুরি যাওয়া পাসওয়ার্ডের মাধ্যমে লগইন করা সম্ভব হয় না আক্রমণকারীর পক্ষে। অনেক ডেভেলপার ভুলক্রমে সোর্স কোডে ক্রেডেনশিয়াল ও ক্রিপটোগ্রাফিক কি এমবেড করে এবং সেগুলোকে ‘গিটহাব’-এর মত পাবলিক রিপোজিটরিতে রেখে দেয়। অথচ কি-গুলোর সুরক্ষা অবশ্যই দিতে হবে, এ কারণে একটি নিরাপদ ও সুরক্ষিত পাবলিক কি ইনফ্রাস্ট্রাকচার প্রবর্তন করা জরুরি। এছাড়া এগুলোকে নিয়মিত রোটেট করতে হবে, যাতে আক্রমণকারীরা অথরাইজেশন ছাড়া কোনো কি ব্যবহারে সক্ষম না হয়।

তিন নম্বর হুমকি: হ্যাক হওয়া ইন্টারফেস ও এপিআই
বলতে গেলে প্রতিটি ক্লাউড সেবা ও অ্যাপ্লিকেশনই বর্তমানে অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস তথা এপিআই ব্যবহার করে। আইটি টিমগুলো ক্লাউড সেবা ব্যবস্থাপনা ও অন্যান্য ক্লাউড সেবার সাথে যোগাযোগের জন্য ইন্টারফেস ও এপিআই ব্যবহার করে। এসব ইন্টারফেস ও এপিআই ক্লাউড প্রভিশনিং, ম্যানেজমেন্ট, অর্কেস্ট্রেশন ও মনিটরিং সুবিধা প্রদান করে। অথেন্টিকেশন ও অ্যাকসেস কন্ট্রোল থেকে শুরু করে এনক্রিপশন ও অ্যাক্টিভিটি মনিটরিং পর্যন্ত ক্লাউড সেবার যাবতীয় ব্যবহার ও নিরাপত্তা ব্যবস্থা এপিআই-এর নিরাপত্তার ওপর নির্ভর করে। যেসব তৃতীয় পক্ষ এপিআইয়ের ওপর নির্ভর করে এবং এসব ইন্টারফেসের ওপর ভিত্তি করে নতুন কিছু তৈরি করে, তারা দৃশ্যপটে আবির্ভুত হলে ঝুঁকির পরিমাণ আরো বেড়ে যায়। কারণ প্রতিষ্ঠানগুলো এসব তৃতীয় পক্ষের হাতেও বেশ কিছু সেবা ও ক্রেডেনশিয়ালকে হস্তান্তর করে। দুর্বল ইন্টারফেস ও এপিআই-এর কারণে প্রতিষ্ঠানগুলো গোপনীয়তা, ইন্টেগ্রিটি, জবাবদিহিতাসহ নানা ধরনের নিরাপত্তা হুমকির মুখোমুখি হয়। এপিআই ও ইন্টারফেস সাধারণত একটি সিস্টেমের সবচেয়ে বেশি উন্মুক্ত অংশ, কারণ এগুলোকে ওপেন ইন্টারনেট থেকে অ্যাকসেস করা সম্ভব। এজন্য এগুলোর ওপর যথেষ্ট পরিমাণে নিয়ন্ত্রণ বজায় রাখার জন্য ক্লাউড প্রতিষ্ঠানগুলোকে তাগাদা দিয়েছে সিএসএ। এছাড়া নিরাপত্তামুখী কোড রিভিউ (security-focused code reviews) ও প্রতিনিয়ত পেনিট্রেশন টেস্টিংয়েরও তাগাদা দিয়েছে তারা।

চার নম্বর হুমকি: সিস্টেমের দুর্বলতা
এক্সপ্লয়েটেড সিস্টেম ভালনারেবিলিটি বা সিস্টেমের অন্তর্নিহত দুর্বলতা, যেমন প্রোগ্রারেম মেধ্য থেকে যাওয়া বাগ ক্লাউড ব্যবস্থাকে ঝুঁকির মধ্যে ফেলতে পারে। ক্লাউড কম্পিউটিংয়ে ‘মাল্টিটেনেন্সি’ (multitenancy) বৃদ্ধির সঙ্গে সঙ্গে এই ঝুঁকি ক্রমশই বেড়ে চলেছে। প্রতিষ্ঠানগুলোতে মেমোরি ও ডাটাবেসসহ বিভিন্ন রিসোর্স প্রচুর শেয়ার করা হয়, যা নতুন নতুন আক্রমণের পথ প্রশস্ত করে। সিএসএ-র মতে, মৌলিক কিছু আইটি প্রক্রিয়া অনুসরণের মাধ্যমেই এসব দুর্বলতাকে প্রতিরোধ করা যায়। এসব প্রক্রিয়ার মধ্যে আছে নিয়মিত ঝুঁকি পরীক্ষা (vulnerability scanning), দ্রুত প্যাচ ব্যবস্থাপনা (prompt patch management) এবং সিস্টেমের হুমকির সন্ধান পেলেই দ্রুত ফলো আপের ব্যবস্থা নেয়া। সিএসএ বলছে, প্রতিষ্ঠানগুলো আইটি অবকাঠামোর পেছনে যত খরচ করে তার সামান্য একটি অংশ খরচ করলেই এসব ঝুঁকি কমানো করা সম্ভব।

-সিনিউজভয়েস/ডেক্স

17 thoughts on “ক্লাউডের যত নিরাপত্তা সমস্যা

  • নভেম্বর 20, 2020 at 7:35 অপরাহ্ন
    Permalink

    This transfer challenges your own ab muscles, over arms, hands, returning, joints you get the drift.

  • নভেম্বর 27, 2020 at 5:28 পূর্বাহ্ন
    Permalink

    If you should wish for electricity hookup for a Recreational vehicle or perhaps pink glamour camper trailer, you’ll get final decision approximately Great Bend on the Denver Think Dog park or possibly Region of fireside Claim Store.

  • ডিসেম্বর 3, 2020 at 6:06 অপরাহ্ন
    Permalink

    IdentificationThe subscapularis, supraspinatus, infraspinatus additionally, the teres insignificant form the cuff others in terms of a left arm, and additionally support neck external and internal turning thus all the name “rotator cuff. Revolving cuff crying, proposes the {American|United states|U .

  • মে 10, 2021 at 9:37 পূর্বাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is essentially a video game where you can do anything you want. SL is literally my second life (pun intended lol). If you would like to see more you can see these second life authors and blogs

  • মে 12, 2021 at 12:12 পূর্বাহ্ন
    Permalink

    This was awesome! I would like you to clean up all this spam though

  • মে 17, 2021 at 9:24 পূর্বাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is basically a game where you can do anything you want. Second life is literally my second life (pun intended lol). If you want to see more you can see these sl websites and blogs

  • মে 19, 2021 at 11:06 অপরাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is basically a online game where you can do anything you want. sl is literally my second life (pun intended lol). If you want to see more you can see these second life articles and blogs

  • মে 20, 2021 at 10:02 অপরাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is essentially a online game where you can do anything you want. SL is literally my second life (pun intended lol). If you would like to see more you can see these Second Life articles and blogs

  • মে 23, 2021 at 6:31 পূর্বাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is essentially a game where you can do anything you want. SL is literally my second life (pun intended lol). If you want to see more you can see these Second Life articles and blogs

  • মে 28, 2021 at 7:10 পূর্বাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is basically a online game where you can do anything you want. sl is literally my second life (pun intended lol). If you would like to see more you can see these sl authors and blogs

  • মে 29, 2021 at 7:24 পূর্বাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is essentially a game where you can do anything you want. sl is literally my second life (pun intended lol). If you would like to see more you can see these second life articles and blogs

  • মে 30, 2021 at 8:14 পূর্বাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is basically a online game where you can do anything you want. sl is literally my second life (pun intended lol). If you would like to see more you can see these Second Life authors and blogs

  • মে 30, 2021 at 4:40 অপরাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is basically a game where you can do anything you want. SL is literally my second life (pun intended lol). If you want to see more you can see these sl websites and blogs

  • জুন 3, 2021 at 1:41 পূর্বাহ্ন
    Permalink

    Have you ever heard of second life (sl for short). It is basically a video game where you can do anything you want. SL is literally my second life (pun intended lol). If you want to see more you can see these Second Life websites and blogs

মন্তব্য করুন

আপনার ই-মেইল এ্যাড্রেস প্রকাশিত হবে না।