যদিও ক্লাউড সুরক্ষা নিশ্চিতভাবেই ক্লাউড গ্রহণের বন্য পশ্চিম দিন থেকে অনেক দূর এগিয়েছে, সত্যটি হল যে আজকে বেশিরভাগ সংস্থাগুলি তাদের ক্লাউড সুরক্ষা অনুশীলনগুলিকে সত্যিকারের পরিপক্ক করার আগে একটি দীর্ঘ পথ যেতে হবে। এবং এটি নিরাপত্তা সংক্রান্ত ঘটনাগুলির পরিপ্রেক্ষিতে সংস্থাগুলিকে ব্যাপকভাবে ব্যয় করছে।
ভ্যানসন বোর্নের একটি গবেষণা এই বছরের শুরুর দিকে দেখিয়েছে যে গত বছরে সংস্থাগুলির প্রায় অর্ধেক লঙ্ঘন ক্লাউডে উদ্ভূত হয়েছিল। একই সমীক্ষায় দেখা গেছে যে গড় সংস্থাটি গত বছরে ক্লাউড লঙ্ঘনের জন্য প্রায় $4.1 মিলিয়ন হারিয়েছে।
ডার্ক রিডিং সম্প্রতি ক্লাউড নিরাপত্তার অবস্থা নিয়ে আলোচনা করার জন্য জিরো ট্রাস্ট সিকিউরিটির গডফাদার জন কিন্ডারভ্যাগের সাথে যোগাযোগ করেছে। যখন তিনি ফরেস্টার রিসার্চের একজন বিশ্লেষক ছিলেন, তখন কিন্ডারভ্যাগ জিরো ট্রাস্ট সিকিউরিটি মডেলটিকে ধারণা ও জনপ্রিয় করতে সাহায্য করেছিলেন। এখন তিনি ইলুমিওতে প্রধান ধর্মপ্রচারক, যেখানে তার প্রচারের মধ্যে তিনি এখনও শূন্য বিশ্বাসের জন্য একজন প্রবক্তা, ব্যাখ্যা করেছেন যে এটি ক্লাউড যুগে নিরাপত্তাকে পুনরায় ডিজাইন করার একটি মূল উপায়। কিন্ডারভ্যাগের মতে, এটির সাথে সাফল্য অর্জনের জন্য সংগঠনগুলিকে অবশ্যই নিম্নলিখিত কঠিন সত্যগুলির সাথে মোকাবিলা করতে হবে।
1. শুধু ক্লাউডে গিয়ে আপনি আরও সুরক্ষিত হবেন না
ক্লাউড সম্পর্কে আজকের সবচেয়ে বড় পৌরাণিক কাহিনী হল যে এটি বেশিরভাগ অন-প্রাঙ্গনে পরিবেশের চেয়ে সহজাতভাবে বেশি নিরাপদ, কিন্ডারভ্যাগ বলেছেন।
"ক্লাউডের একটি মৌলিক ভুল বোঝাবুঝি রয়েছে যে কোনওভাবে এটির মধ্যে আরও বেশি নিরাপত্তা তৈরি করা হয়েছে, যে আপনি ক্লাউডে যাওয়ার কাজ দ্বারা ক্লাউডে যাওয়ার মাধ্যমে আরও সুরক্ষিত," তিনি বলেছেন।
সমস্যা হল যখন হাইপারস্কেল ক্লাউড প্রদানকারীরা অবকাঠামো রক্ষায় খুব ভালো হতে পারে, তাদের গ্রাহকের নিরাপত্তা ভঙ্গির উপর নিয়ন্ত্রণ এবং দায়িত্ব খুবই সীমিত।
“অনেক লোক মনে করে যে তারা ক্লাউড প্রদানকারীর কাছে নিরাপত্তা আউটসোর্স করছে। তারা মনে করে তারা ঝুঁকি হস্তান্তর করছে,” তিনি বলেছেন। "সাইবার নিরাপত্তায়, আপনি কখনই ঝুঁকি স্থানান্তর করতে পারবেন না। আপনি যদি সেই ডেটার রক্ষক হন, তবে আপনি সর্বদা ডেটার রক্ষক, তা আপনার জন্য কে রাখুক না কেন।”
এই কারণেই কিন্ডারভ্যাগ বারবার পুনরাবৃত্তি করা বাক্যাংশটির একটি বড় অনুরাগী নয় "যৌথ দায়িত্ব,” তিনি বলেন যে এটিকে শ্রম এবং প্রচেষ্টার 50-50 বিভাজন বলে শোনাচ্ছে। তিনি শব্দগুচ্ছ পছন্দ করেন "অসম হ্যান্ডশেক", যা ফরেস্টারে তার প্রাক্তন সহকর্মী, জেমস স্টেটেন দ্বারা তৈরি করা হয়েছিল।
"এটি মৌলিক সমস্যা, মানুষ মনে করে যে একটি ভাগ করা দায়িত্ব মডেল আছে, এবং পরিবর্তে একটি অসম হ্যান্ডশেক আছে," তিনি বলেছেন।
2. একটি হাইব্রিড বিশ্বে স্থানীয় নিরাপত্তা নিয়ন্ত্রণগুলি পরিচালনা করা কঠিন৷
এদিকে, আসুন সেই উন্নত নেটিভ ক্লাউড সুরক্ষা নিয়ন্ত্রণগুলি সম্পর্কে কথা বলি যা প্রদানকারীরা গত এক দশকে তৈরি করেছে। যদিও অনেক প্রদানকারী গ্রাহকদের তাদের কাজের চাপ, পরিচয় এবং দৃশ্যমানতার উপর আরও নিয়ন্ত্রণের প্রস্তাব দিয়ে একটি ভাল কাজ করেছে, সেই গুণটি অসামঞ্জস্যপূর্ণ। যেমন কিন্ডারভ্যাগ বলেছেন, "তাদের মধ্যে কিছু ভাল, তাদের মধ্যে কিছু নয়।" তাদের সকলের মধ্যে আসল সমস্যা হল যে একটি একক প্রদানকারীর পরিবেশের বিচ্ছিন্নতার বাইরে বাস্তব জগতে তাদের পরিচালনা করা কঠিন।
“এটা করতে অনেক লোক লাগে, এবং তারা প্রতিটি একক মেঘে আলাদা। আমি মনে করি যে প্রতিটি কোম্পানির সাথে আমি গত পাঁচ বছরে কথা বলেছি তার একটি মাল্টিক্লাউড এবং একটি হাইব্রিড মডেল রয়েছে, উভয়ই একই সময়ে ঘটছে,” তিনি বলেছেন। “হাইব্রিড হচ্ছে, 'আমি আমার অন-প্রিমিসেস স্টাফ এবং ক্লাউড ব্যবহার করছি, এবং আমি একাধিক ক্লাউড ব্যবহার করছি, এবং আমি একটি একক অ্যাপ্লিকেশনের জন্য বিভিন্ন মাইক্রোসার্ভিসে অ্যাক্সেস দেওয়ার জন্য একাধিক ক্লাউড ব্যবহার করছি।' এই সমস্যাটি সমাধান করার একমাত্র উপায় হল একটি নিরাপত্তা নিয়ন্ত্রণ যা সমস্ত একাধিক ক্লাউড জুড়ে পরিচালিত হতে পারে।"
ক্লাউডে শূন্য বিশ্বাস স্থানান্তরিত করার বিষয়ে আলোচনা চালানোর এটি একটি বড় কারণ, তিনি বলেছেন।
“আপনি ডেটা বা সম্পদ যেখানেই রাখেন না কেন জিরো ট্রাস্ট কাজ করে। এটা মেঘের মধ্যে হতে পারে. এটা প্রাঙ্গনে হতে পারে. এটি একটি শেষ পয়েন্টে হতে পারে, "তিনি বলেছেন।
3. পরিচয় আপনার মেঘ সংরক্ষণ করবে না
আজকাল ক্লাউড আইডেন্টিটি ম্যানেজমেন্টের উপর অনেক জোর দেওয়া হয়েছে এবং শূন্য বিশ্বাসের মধ্যে পরিচয় উপাদানের উপর অসামঞ্জস্যপূর্ণ মনোযোগ দেওয়া হয়েছে, সংস্থাগুলির জন্য এটি বোঝা গুরুত্বপূর্ণ যে পরিচয়টি ক্লাউডে শূন্য বিশ্বাসের জন্য একটি সুষম ভারসাম্যপূর্ণ প্রাতঃরাশের অংশ মাত্র।
"শূন্য বিশ্বাসের আখ্যানের বেশিরভাগই পরিচয়, পরিচয়, পরিচয় সম্পর্কে," কিন্ডারভ্যাগ বলেছেন। “পরিচয় গুরুত্বপূর্ণ, কিন্তু আমরা শূন্য বিশ্বাসে নীতিতে পরিচয় গ্রহণ করি। এটা শেষ নয়, সব হবে. এটা সব সমস্যার সমাধান করে না।”
Kindervag এর অর্থ হল একটি শূন্য ট্রাস্ট মডেলের সাথে, শংসাপত্রগুলি স্বয়ংক্রিয়ভাবে ব্যবহারকারীদের একটি প্রদত্ত ক্লাউড বা নেটওয়ার্কের মধ্যে সূর্যের নীচে কিছুতে অ্যাক্সেস দেয় না। নীতিটি নির্দিষ্ট সম্পদে ঠিক কী এবং কখন অ্যাক্সেস দেওয়া হবে তা সীমাবদ্ধ করে। Kindervag শূন্য ট্রাস্ট মডেলের ম্যাপিং শুরু করার অনেক আগে থেকেই — নেটওয়ার্ক, কাজের চাপ, সম্পদ, ডেটা — বিভাজনের জন্য দীর্ঘকাল ধরে প্রবক্তা। তিনি যেমন ব্যাখ্যা করেছেন, নীতির দ্বারা শূন্য বিশ্বাস অ্যাক্সেসকে সংজ্ঞায়িত করার মূল বিষয়গুলিকে "প্রোটেক্ট সারফেস"-এ ভাগ করা হচ্ছে, যেহেতু প্রতিটি সুরক্ষা সারফেস অ্যাক্সেস করা বিভিন্ন ধরণের ব্যবহারকারীদের ঝুঁকির স্তর যে কোনও প্রদত্ত শংসাপত্রের সাথে সংযুক্ত নীতিগুলিকে সংজ্ঞায়িত করবে৷
“এটি আমার লক্ষ্য, লোকেদের তাদের কী সুরক্ষা করতে হবে তার উপর ফোকাস করা, সেই গুরুত্বপূর্ণ জিনিসগুলিকে বিভিন্ন সুরক্ষা সারফেসগুলিতে রাখা, যেমন আপনার পিসিআই ক্রেডিট কার্ডের ডাটাবেসটি তার নিজস্ব সুরক্ষা পৃষ্ঠে থাকা উচিত। আপনার এইচআর ডাটাবেস তার নিজস্ব সুরক্ষা পৃষ্ঠে থাকা উচিত। আপনার আইওটি সিস্টেম বা ওটি সিস্টেমের জন্য আপনার এইচএমআই তার নিজস্ব সুরক্ষা পৃষ্ঠে হওয়া উচিত, "তিনি বলেছেন। “যখন আমরা সমস্যাটিকে এই ছোট কামড়-আকারের খণ্ডে ভাগ করি, তখন আমরা সেগুলিকে একবারে এক খণ্ডে সমাধান করি এবং আমরা সেগুলি একের পর এক করি। এটি এটিকে অনেক বেশি পরিমাপযোগ্য এবং সম্ভব করে তোলে।"
4. অনেকগুলি সংস্থা জানে না তারা কী রক্ষা করার চেষ্টা করছে৷
যেহেতু সংস্থাগুলি ক্লাউডে তাদের সুরক্ষা পৃষ্ঠগুলিকে কীভাবে ভাগ করতে হবে তা নির্ধারণ করে, তাদের প্রথমে পরিষ্কারভাবে সংজ্ঞায়িত করতে হবে যে তারা কী রক্ষা করার চেষ্টা করছে। এটি অত্যন্ত গুরুত্বপূর্ণ কারণ প্রতিটি সম্পদ বা সিস্টেম বা প্রক্রিয়া তার নিজস্ব অনন্য ঝুঁকি বহন করবে, এবং এটি অ্যাক্সেসের জন্য নীতি নির্ধারণ করবে এবং এর চারপাশে কঠোর হবে। কৌতুক হল যে আপনি কয়েকশো পেনি রাখার জন্য $1 মিলিয়ন ভল্ট তৈরি করবেন না। এর সমতুল্য ক্লাউড একটি ক্লাউড সম্পদের চারপাশে প্রচুর সুরক্ষা স্থাপন করবে যা সংবেদনশীল সিস্টেম থেকে বিচ্ছিন্ন এবং সংবেদনশীল তথ্য রাখে না।
কিন্ডারভ্যাগ বলেছেন যে সংস্থাগুলির পক্ষে তারা ক্লাউড বা এর বাইরে কী সুরক্ষা করছে সে সম্পর্কে স্পষ্ট ধারণা না থাকা অবিশ্বাস্যভাবে সাধারণ। প্রকৃতপক্ষে, আজকাল বেশিরভাগ সংস্থার কাছে এমন কি ক্লাউডের মধ্যেও এটি কী বা ক্লাউডের সাথে কী সংযোগ করে সে সম্পর্কে স্পষ্ট ধারণা নেই, যা রক্ষা করা দরকার তা ছেড়ে দিন। উদাহরণ স্বরূপ, একটি ক্লাউড সিকিউরিটি অ্যালায়েন্স স্টাডি দেখায় যে শুধুমাত্র 23% সংস্থার ক্লাউড পরিবেশে সম্পূর্ণ দৃশ্যমানতা রয়েছে। এবং এই বছরের শুরু থেকে Illumio স্টাডি দেখায় যে 46% সংস্থার তাদের সংস্থার ক্লাউড পরিষেবাগুলির সংযোগে সম্পূর্ণ দৃশ্যমানতা নেই৷
"লোকেরা আসলে কী অর্জন করার চেষ্টা করছে, তারা কী রক্ষা করার চেষ্টা করছে সে সম্পর্কে চিন্তা করে না," তিনি বলেছেন। এটি একটি মৌলিক সমস্যা যা কোম্পানিগুলিকে প্রক্রিয়াটিতে যথাযথভাবে সুরক্ষা স্থাপন না করে প্রচুর নিরাপত্তা অর্থ অপচয় করে, কিন্ডারভ্যাগ ব্যাখ্যা করে। "তারা আমার কাছে আসবে এবং বলবে 'জিরো ট্রাস্ট কাজ করছে না' এবং আমি জিজ্ঞাসা করব, 'আচ্ছা, আপনি কী রক্ষা করার চেষ্টা করছেন?' এবং তারা বলবে, 'আমি এখনও এটি নিয়ে ভাবিনি,' এবং আমার উত্তর হল 'আচ্ছা, তাহলে আপনি এর কাছাকাছিও নন' শূন্য বিশ্বাস প্রক্রিয়া শুরু। ' "
5. ক্লাউড নেটিভ ডেভেলপমেন্ট ইনসেনটিভগুলি হ্যাকের বাইরে
DevOps অনুশীলন এবং ক্লাউড নেটিভ ডেভেলপমেন্ট ক্লাউড প্ল্যাটফর্ম এবং টুলিং দ্বারা তাদের দেওয়া গতি, মাপযোগ্যতা এবং নমনীয়তার মাধ্যমে ব্যাপকভাবে উন্নত করা হয়েছে। যখন নিরাপত্তা যথাযথভাবে সেই মিশ্রণে স্তরিত হয়, তখন ভালো জিনিস ঘটতে পারে। কিন্তু কিন্ডারভ্যাগ বলেছেন যে বেশিরভাগ উন্নয়ন সংস্থাগুলিকে এটি ঘটানোর জন্য যথাযথভাবে উত্সাহিত করা হয় না - যার অর্থ ক্লাউড অবকাঠামো এবং এর উপর নির্ভরশীল সমস্ত অ্যাপ্লিকেশন প্রক্রিয়াটিতে ঝুঁকির মধ্যে পড়ে।
“আমি বলতে চাই যে DevOps অ্যাপের লোকেরা আইটির রিকি ববিস। তারা শুধু দ্রুত যেতে চায়। আমার মনে আছে একটি কোম্পানির উন্নয়নের প্রধানের সাথে কথা বলেছিলাম যিনি অবশেষে লঙ্ঘন করেছিলেন, এবং আমি তাকে জিজ্ঞাসা করছিলাম সে নিরাপত্তার বিষয়ে কি করছে। এবং তিনি বলেছিলেন, 'কিছুই না, আমি নিরাপত্তার বিষয়ে চিন্তা করি না,' "কিন্ডারভ্যাগ বলেছেন। “আমি জিজ্ঞেস করলাম, 'আপনি কীভাবে নিরাপত্তার কথা ভাবছেন না?' এবং সে বলে 'কারণ আমার কাছে এর জন্য KPI নেই। আমার কেপিআই বলে যে আমাকে আমার দলে দিনে পাঁচটি পুশ করতে হবে, এবং যদি আমি তা না করি, আমি বোনাস পাব না।'
Kindervag বলেছেন যে এটি শুধুমাত্র অ্যাপসেকে নয়, ক্লাউড এবং তার বাইরের জন্য শূন্য বিশ্বাসে যাওয়ার ক্ষেত্রে একটি বড় সমস্যার একটি দৃষ্টান্ত। এটি ঘটানোর জন্য অনেক সংস্থারই সঠিক প্রণোদনা কাঠামো নেই - এবং আসলে অনেকেরই বিকৃত প্রণোদনা রয়েছে যা অনিরাপদ অনুশীলনকে উত্সাহিত করে।
এই কারণেই তিনি এন্টারপ্রাইজগুলির মধ্যে শ্রেষ্ঠত্বের শূন্য বিশ্বাস কেন্দ্র গড়ে তোলার একজন উকিল যেটিতে শুধু প্রযুক্তিবিদই নয়, পরিকল্পনা, নকশা এবং চলমান সিদ্ধান্ত গ্রহণের প্রক্রিয়াগুলিতে ব্যবসায়িক নেতৃত্বও অন্তর্ভুক্ত। যখন এই ক্রস-ফাংশনাল টিমগুলি মিলিত হয়, তিনি বলেন, তিনি "প্রণোদনা কাঠামো বাস্তব সময়ে পরিবর্তিত হতে দেখেছেন" যখন একটি শক্তিশালী ব্যবসায়িক কার্যনির্বাহী পদক্ষেপ বলে যে সংস্থাটি সেই দিকে অগ্রসর হতে চলেছে।
"সবচেয়ে সফল জিরো ট্রাস্ট উদ্যোগগুলি ছিল যেখানে ব্যবসায়ী নেতারা জড়িত ছিল," কিন্ডারভ্যাগ বলেছেন। “আমার একটা ম্যানুফ্যাকচারিং কোম্পানিতে ছিল যেখানে এক্সিকিউটিভ ভাইস প্রেসিডেন্ট — কোম্পানির শীর্ষ নেতাদের একজন — ম্যানুফ্যাকচারিং এনভায়রনমেন্টের জন্য জিরো ট্রাস্ট ট্রান্সফর্মেশনের জন্য চ্যাম্পিয়ন হয়েছিলেন। এটি খুব মসৃণভাবে চলেছিল কারণ সেখানে কোনও বাধা ছিল না।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
