জিরো ট্রাস্ট হল একটি উচ্চ-স্তরের কৌশল যা অনুমান করে যে ব্যক্তি, ডিভাইস এবং পরিষেবাগুলি বাহ্যিক এবং অভ্যন্তরীণভাবে কোম্পানির সংস্থানগুলি অ্যাক্সেস করার চেষ্টা করে, স্বয়ংক্রিয়ভাবে বিশ্বাস করা যায় না। পদ্ধতিটি জনপ্রিয় হয়ে উঠেছে কারণ এটি আধুনিক আক্রমণের পৃষ্ঠের সাথে যুক্ত ঝুঁকি মোকাবেলা করে। যাইহোক, বিভিন্ন তথ্য উৎসকে একত্র করা এবং ঝুঁকি কমাতে প্রসঙ্গ তৈরি করা সহজ প্রস্তাব নয়।
এই পথে শুরু হওয়া উদ্যোগগুলি প্রায়শই কয়েকটি মূল ক্ষেত্রের সাথে লড়াই করে, যার মধ্যে সামগ্রিক অবকাঠামো এবং সংস্থা যে পরিষেবাগুলি ব্যবহার করে তার দৃশ্যমানতার অভাব সহ। সাধারণ পরিকাঠামো বলে এখন আর কিছু নেই। ডিজিটাল রূপান্তর, সাসকে আলিঙ্গন করা, দূরবর্তী কাজ, অপারেশনাল টেকনোলজি, থার্ড-পার্টি সার্ভিস, এবং ডাটা এক্সচেঞ্জ সবই অনেক বেশি জটিল অ্যাটাক সারফেস তৈরি করেছে।
সংস্থাগুলি প্রায়শই তাদের শূন্য বিশ্বাস প্রোগ্রামকে প্রমাণীকরণের উপর ফোকাস করে, তবে এনটাইটেলমেন্ট এবং পরিবেশ বোঝার জন্যও গুরুত্বপূর্ণ। দ্বি-ফ্যাক্টর প্রমাণীকরণ স্থাপন করা কেবল পৃষ্ঠকে স্ক্র্যাচ করছে। একজন DevOps প্রকৌশলীকে একটি অজানা ডিভাইসে 2FA-এর মাধ্যমে প্রমাণীকরণ করা হলে তা তাদের প্রয়োজনের চেয়ে অনেক বেশি অ্যাপ্লিকেশান এবং প্ল্যাটফর্মে সুবিধা সহ একটি অবিশ্বস্ত পরিবেশে?
ওভারএনটাইটেলমেন্ট বিশেষত ক্লাউডে সমস্যাযুক্ত কারণ সঠিক স্তরের অ্যাক্সেসের জন্য ইঞ্জিনিয়ারদের ব্যবস্থা করার জটিলতা এবং ক্রমাগত পরিবর্তিত পরিবেশে তাদের অনুমতিগুলি ক্রমাগত যাচাই করা। "কখনও বিশ্বাস করবেন না, সর্বদা যাচাই করুন" এর মূল ধারণাটি কেবল ব্যবহারকারীর ক্ষেত্রেই নয়, তারা যে সম্পদগুলি ব্যবহার করে এবং অ্যাক্সেস তারা একবার প্রমাণীকৃত হয়েছে.
জিরো ট্রাস্টকে কাজে লাগানো
যখন সঠিকভাবে প্রয়োগ করা হয়, মাল্টিফ্যাক্টর প্রমাণীকরণ এবং অন্যান্য শূন্য বিশ্বাস প্রমাণীকরণ ক্ষমতাগুলি নিরাপত্তা বৃদ্ধি করবে, বাধা দেবে না। ব্যবহারকারীর অভিজ্ঞতা যাচাইকরণ প্রক্রিয়াকে স্ট্রীমলাইন করা উচিত এবং তারপরে কোন ব্যবহারকারীকে তাদের কাছে কোন পরিষেবা উপলব্ধ রয়েছে তার নির্দেশনা দেওয়া উচিত।
সম্পদের দৃষ্টিকোণ থেকে, এটি গুরুত্বপূর্ণ যে সংস্থাগুলির আক্রমণের অগ্রণী এবং পিছনের উভয় সূচকের বোধগম্যতা রয়েছে - উদাহরণস্বরূপ, সিস্টেমটি কতটা নিরাপদ তা জানা এবং সেই স্তরের নিরাপত্তার সাথে আপস করা হয়েছে এমন কোনো ইঙ্গিত আছে কিনা। একটি সম্পদ কতটা উন্মুক্ত করা হয় তা জানা, বিশেষ করে যখন এটি পরিষেবাগুলি অ্যাক্সেস করার জন্য ব্যবহৃত হয়, সর্বদা যাচাইকরণের প্রক্রিয়ার অংশ হওয়া উচিত।
একটি ক্রমবর্ধমান জটিল এবং বিস্তৃত নিরাপত্তা পরিকাঠামোর মধ্যে, এমন কোন একক সমাধান নেই যা শূন্য বিশ্বাসের উপর সরবরাহ করে। যাইহোক, কিছু কৌশল রয়েছে যা শূন্য বিশ্বাসের পদ্ধতির সাথে উঠতে পারে এমন চ্যালেঞ্জগুলি কাটিয়ে উঠতে সাহায্য করতে পারে।
1. ডেটা লেক এবং API গুলিকে পেয়ার আপ করুন৷
কিছু সরঞ্জাম রয়েছে যা মেঘের আনা বিশৃঙ্খলা পরিচালনা করতে সহায়তা করে। ডেটা লেক সলিউশনগুলি একটি ইউনিফাইড ভিউতে আলাদা ডেটা উত্স পাতন করার প্রক্রিয়াটিকে সরল করেছে৷ কিন্তু ডাটা লেকের তীরে অপেক্ষা করা হল ডেটা সংগ্রহের জগতের ওয়ার্কহরস — সর্বব্যাপী এবং দরকারী API। এপিআইগুলি প্ল্যাটফর্ম আর্কিটেক্টদের পক্ষে সমালোচনামূলক অন্তর্দৃষ্টি সংগ্রহ করা এবং স্বয়ংক্রিয় বিশ্লেষণের জন্য ডেটা লেকে ফেলে দেওয়া আরও সহজ করে তুলছে।
ডেটা লেকগুলি প্রচুর পরিমাণে লগ, সতর্কতা এবং অন্যান্য সুরক্ষা ডেটা বিশ্লেষণকে কেন্দ্রীভূত এবং প্রবাহিত করতে পারে, যা দক্ষতার সাথে হুমকি সনাক্ত করতে এবং প্রতিক্রিয়া জানাতে মেশিন লার্নিং ব্যবহারকে সক্ষম করে। ইতিমধ্যে, APIগুলি সুরক্ষা প্ল্যাটফর্মগুলির মধ্যে রিয়েল-টাইম ডেটা ভাগ করে নেওয়ার সুবিধা দিতে পারে, গতি এবং নির্ভুলতা বাড়ায় হুমকি সনাক্তকরণ এবং প্রতিক্রিয়া. উভয় প্রযুক্তিরই কঠোর ডেটা শাসন এবং নিরাপত্তা ব্যবস্থা মেনে চলার সাথে দায়িত্বশীল ব্যবহারের প্রয়োজন।
2. আক্রমণের পথ ব্লক করুন
শূন্য বিশ্বাস প্রয়োগ করে, প্রভাবিত সিস্টেমগুলিকে বিচ্ছিন্ন করার ক্ষমতার কারণে একটি আপোসকৃত সম্পদ বা ব্যবহারকারীর ডোমেনব্যাপী লঙ্ঘনের সম্ভাবনা অনেক কম। জিরো ট্রাস্ট পার্শ্বীয় আন্দোলন এবং বিশেষাধিকার বৃদ্ধি প্রতিরোধ করতে পারে, যেভাবে আক্রমণকারীরা র্যানসমওয়্যার আক্রমণ পরিচালনা করে।
লঙ্ঘন বন্ধ করতে, নিরাপত্তা দলগুলিকে হুমকি অভিনেতাদের দ্বারা পছন্দ করা আক্রমণের পথগুলি ভাঙতে ফোকাস করা উচিত। এটি করার জন্য, দলগুলিকে সম্পদের অন্তর্নিহিত এক্সপোজারগুলিকে মোকাবেলা করতে হবে, পাশাপাশি শূন্য বিশ্বাস বাস্তবায়নে অন্তর্নিহিত বিভাজন এবং যাচাইকরণ নিয়োগ করতে হবে। একটি সহজে শোষিত ব্রাউজার দুর্বলতা বা একটি ক্লায়েন্ট সিস্টেমে স্থানীয় বিশেষাধিকার বৃদ্ধি সমস্যা একটি বিস্তৃত সমস্যার দিকে নিয়ে যাওয়ার পরিবর্তে শুধুমাত্র সেই একক সম্পদকে প্রভাবিত করবে।
সক্রিয়ভাবে একদিকে প্রতিপক্ষের কৌশলগুলির উপর মনোযোগ কেন্দ্রীভূত করা এবং অন্যদিকে প্রভাবিত সিস্টেমগুলির সনাক্তকরণ এবং বিচ্ছিন্নকরণ স্বয়ংক্রিয়ভাবে আক্রমণকারীর প্রতিটি পদক্ষেপকে আরও কঠিন এবং ব্যয়বহুল করে তোলা উচিত।
3. ডান KPIs দেখুন
সঠিক মেট্রিক্স বাছাই করা দত্তক গ্রহণকে চালিত করতে পারে এবং শূন্য বিশ্বাসের সাথে সম্পর্কিত মৌলিক নিয়ন্ত্রণগুলিকে কার্যকর করতে পারে। মেট্রিক্স হল যে কোনো ভালো নিরাপত্তা কর্মসূচির ভিত্তি, কভারেজ এবং নিয়ন্ত্রণের যথাযথ স্তর নিশ্চিত করে এবং উন্নতির জন্য ফাঁক ও ক্ষেত্র চিহ্নিত করে। উদাহরণস্বরূপ, ক্লাউড ইনফ্রাস্ট্রাকচার এনটাইটেলমেন্ট ম্যানেজমেন্ট (CIEM) এর ক্ষেত্রে, একটি সংস্থা ক্লাউড অ্যাকাউন্টগুলির শতাংশ পরিমাপ করতে পারে যা সংজ্ঞায়িত নীতিগুলির বিরুদ্ধে সম্মতির জন্য পরিচিত এবং মূল্যায়ন করা হয়, বা সম্মতি ব্যর্থতার জন্য প্রতিক্রিয়া সময়।
মেট্রিক্স সাধারণত নিয়ন্ত্রণ-নির্দিষ্ট, তাই এটি উত্তোলন করা ভাল বিদ্যমান সেরা অনুশীলন সেন্টার ফর ইন্টারনেট সিকিউরিটির মত প্রতিষ্ঠান থেকে। মেট্রিক্সের সাহায্যে সিকিউরিটি প্রোগ্রামের কার্যকারিতা পরিমাপ করার সময়, যদিও, এটা গুরুত্বপূর্ণ যে মেট্রিকগুলি SMART (নির্দিষ্ট, পরিমাপযোগ্য, অর্জনযোগ্য, প্রাসঙ্গিক এবং সময়োপযোগী) এবং কাঙ্ক্ষিত ফলাফলের উপর দৃষ্টি নিবদ্ধ করা। এমন কিছু মেট্রিক থাকাও অনেক বেশি কার্যকর যেগুলিতে টিমের কাছ থেকে বিস্তৃত বাই-ইন রয়েছে অসংখ্য এবং কঠিন মেট্রিক যা সবাই পরিমাপ করতে ভয় পায়।
জিরো ট্রাস্ট আর্কিটেকচার হল ক্লাউড সাইবার সিকিউরিটির ল্যান্ডস্কেপে একটি গুরুত্বপূর্ণ সক্ষমকারী, কিন্তু এর বাস্তবায়ন সহজবোধ্য নয়। ডেটা লেক এবং API-এর কৌশলগত একীকরণ, আক্রমণ সনাক্তকরণের স্বয়ংক্রিয়তা এবং আপোসকৃত সিস্টেমগুলিকে বিচ্ছিন্ন করার সাথে মিলিত, ক্লাউডে নিরাপত্তা বাড়ানোর চাবিকাঠি। এবং সুনির্দিষ্ট মেট্রিক্স নিয়োগ করা নিরাপত্তা দলগুলিকে শূন্য বিশ্বাস গ্রহণের সাথে সম্পর্কিত জটিলতাগুলি নেভিগেট করতে এবং এর সম্পূর্ণ সম্ভাবনা আনলক করতে সহায়তা করে।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud-security/executing-zero-trust-in-the-cloud-takes-strategy
