যেহেতু শূন্য বিশ্বাস আইসিটি পরিবেশে আরও কেন্দ্রীয় হয়ে ওঠে, তাই এটিকে কেবল একটি সামঞ্জস্য হিসাবে নয় বরং গুরুত্বপূর্ণ নেটওয়ার্কগুলিকে সুরক্ষিত করার পরবর্তী বিবর্তন হিসাবে বিবেচনা করা দরকার।
হোম অ্যাফেয়ার্সের 2023-2030 অস্ট্রেলিয়ান সাইবার নিরাপত্তা কৌশলের সাম্প্রতিক প্রকাশনায়, যা এখন দেশের প্রথম সাইবার নিরাপত্তা আইন হওয়ার দিকে এগিয়ে যাচ্ছে, এতে বলা হয়েছে: “আমরা শূন্য বিশ্বাসের জন্য আন্তর্জাতিকভাবে স্বীকৃত দৃষ্টিভঙ্গিও আঁকব, যার লক্ষ্য একটি সম্পূর্ণ বিকাশের লক্ষ্যে। -সরকারের শূন্য বিশ্বাসের সংস্কৃতি।
বৃহত্তর সাইবার কৌশলের অংশ হিসাবে সরকার কর্তৃক এই উদ্যোগগুলিকে গুরুত্ব সহকারে নেওয়ার সাথে সাথে, একটি সরকারী সংস্থার নিরাপত্তা স্থাপত্য এবং ভঙ্গিতে শূন্য বিশ্বাস এবং এর প্রাসঙ্গিকতা বোঝা গুরুত্বপূর্ণ।
জিরো-ট্রাস্ট ফ্রেমওয়ার্ক ‘কখনও বিশ্বাস করবেন না, সর্বদা যাচাই করুন’ নীতি থেকে উদ্ভূত। এটি এই ধারণার উপর ভিত্তি করে তৈরি করে যে ঝুঁকি একটি সংস্থার নেটওয়ার্কের ভিতরে এবং বাইরে উভয়ই অন্তর্নিহিত।
জিরো ট্রাস্টের আর্কিটেকচার অন্তর্নিহিত বিশ্বাস দূর করে এবং শক্তিশালী পরিচয় ও অ্যাক্সেস ম্যানেজমেন্ট (IAM) নিয়ন্ত্রণ প্রয়োগ করে, যাতে ফেডারেল বিভাগ এবং অন্যান্য সরকারী সংস্থাগুলি সিস্টেম এবং ডেটাতে অ্যাক্সেস দেওয়ার আগে ব্যক্তি, ডিভাইস এবং অ্যাপ্লিকেশনগুলিকে অনুমোদন করতে পারে।
অস্ট্রেলিয়ায়, শূন্য বিশ্বাসের নীতিগুলি অস্ট্রেলিয়ান সিগন্যাল ডিরেক্টরেটের (ASD) গেটওয়ে নিরাপত্তা নির্দেশিকা প্যাকেজে প্রতিফলিত হয়1নেটওয়ার্কগুলির মধ্যে ডেটা প্রবাহ নিয়ন্ত্রণ করে এমন সিস্টেমগুলি গেটওয়ে পরিষেবাগুলির ডিজাইন, সংগ্রহ, পরিচালনা, রক্ষণাবেক্ষণ বা নিষ্পত্তি করার সময় সংস্থাগুলিকে সচেতন ঝুঁকি-ভিত্তিক সিদ্ধান্ত নিতে সহায়তা করার জন্য ডিজাইন করা হয়েছে৷
উচ্চ পরিপক্কতা স্তর দুই এবং তিনের জন্য প্রশমন কৌশলগুলির অপরিহার্য আট সেটেও জিরো ট্রাস্ট অন্তর্ভুক্ত রয়েছে। বিদেশে, মার্কিন যুক্তরাষ্ট্রের ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) একটি শূন্য-বিশ্বাস আর্কিটেকচার প্রকাশনা প্রকাশ করেছে2 এবং ASD এবং অস্ট্রেলিয়ান সরকার সারিবদ্ধ নীতিগুলির সেট:
- সমস্ত ডেটা উত্স এবং কম্পিউটিং পরিষেবাগুলি বিবেচনা করা হয়।
- নেটওয়ার্ক অবস্থান নির্বিশেষে সমস্ত যোগাযোগ সুরক্ষিত।
- ব্যক্তিগত এন্টারপ্রাইজ সংস্থানগুলিতে অ্যাক্সেস প্রতি-সেশন ভিত্তিতে দেওয়া হয়।
- সংস্থানগুলিতে অ্যাক্সেস গতিশীল নীতি দ্বারা নির্ধারিত হয় — ক্লায়েন্ট পরিচয়ের পর্যবেক্ষণযোগ্য অবস্থা, অ্যাপ্লিকেশন বা পরিষেবা এবং অনুরোধকারী সম্পদ সহ — এবং অন্যান্য আচরণগত এবং পরিবেশগত বৈশিষ্ট্যগুলি অন্তর্ভুক্ত করতে পারে।
- সমস্ত মালিকানাধীন এবং সংশ্লিষ্ট সম্পদের তাদের সততা এবং নিরাপত্তা ভঙ্গি এন্টারপ্রাইজ দ্বারা পরিমাপ করা হয়।
- সমস্ত সংস্থান প্রমাণীকরণ এবং অনুমোদন গতিশীল এবং অ্যাক্সেসের অনুমতি দেওয়ার আগে কঠোরভাবে প্রয়োগ করা হয়।
- এন্টারপ্রাইজ সম্পদের বর্তমান অবস্থা, নেটওয়ার্ক অবকাঠামো এবং যোগাযোগ সম্পর্কে যতটা সম্ভব তথ্য সংগ্রহ করে এবং এর নিরাপত্তা ভঙ্গি উন্নত করতে ব্যবহার করে।
উদ্দেশ্য হল এই নীতিগুলি প্রযুক্তি অজ্ঞেয়বাদী হতে হবে, এবং নির্দেশনামূলক নিয়মের পরিবর্তে নির্দেশিকা হতে হবে। এটি প্রতিফলিত করে যে প্রতিটি পরিবেশ প্রকৃতিতে অনন্য, এবং একটি সরকারী প্রেক্ষাপটে, হুমকি, প্রয়োজনীয়তা এবং ঝুঁকি এজেন্সি থেকে এজেন্সিতে পরিবর্তিত হয়।
কিন্তু নীতিগুলি প্রয়োগ করার অর্থ হল আইসিটি সম্পদগুলি সর্বদা এমনভাবে কাজ করা উচিত যেন নেটওয়ার্কের মধ্যে একটি বিদ্যমান হুমকি রয়েছে৷ কোন সম্পদ (তথ্যের উৎস) সহজাতভাবে বিশ্বস্ত নয়; প্রতিটি অধিবেশন জুড়ে একটি নীতি প্রয়োগকারী পয়েন্ট (PEP) এর মাধ্যমে প্রতিটির নিরাপত্তা ভঙ্গি মূল্যায়ন করা উচিত।
এটি দূরবর্তীভাবেও প্রযোজ্য: দূরবর্তী এন্টারপ্রাইজ বিষয় (ব্যবহারকারী এবং ডিভাইস) এবং সম্পদ (নেটওয়ার্কের সাথে সংযুক্ত ডিভাইস) তাদের স্থানীয় নেটওয়ার্ককে সম্পূর্ণরূপে বিশ্বাস করতে পারে না এবং অনুমান করা উচিত যে এটি আপস করা হয়েছে। সমস্ত কর্মপ্রবাহ, অবস্থান নির্বিশেষে, নিরাপত্তা ভঙ্গির ক্ষেত্রে একই আচরণ করা উচিত এবং নীতিগুলি প্রয়োগ করা উচিত যেন তারা অভ্যন্তরীণ নেটওয়ার্কের মধ্যে ছিল বা না।
এটি বোঝাও গুরুত্বপূর্ণ যে এই নীতিগুলি একা ডেটা স্তরে প্রয়োগ করা যায় না এবং একটি পৃথক নিয়ন্ত্রণ ফলকের প্রয়োজন হয় যা একটি নির্দিষ্ট পরিবেশের মধ্যে ডেটা অ্যাক্সেস পরিচালনা করে।
স্থাপনার মডেল
যদিও নীতিগুলি মৌলিক প্রযুক্তির ধারণা, সরকারী আইসিটি বিভাগগুলিকে তাদের পরিবেশের মধ্যে বিশ্বস্ত এবং অবিশ্বস্ত অঞ্চলগুলির অনুভূতি বিকাশের জন্য আরও গভীর স্থাপনার মডেলগুলি বুঝতে হবে: ডিভাইস এজেন্ট/গেটওয়ে মডেল, এনক্লেভ গেটওয়ে মডেল এবং রিসোর্সেস পোর্টাল মডেল .
ডিভাইস এজেন্ট/গেটওয়ে মডেল
ডিভাইস এজেন্ট/গেটওয়ে মডেলটি সাধারণত ফাউন্ডেশন অ্যাপ্রোচ কারণ এটি ক্লাউড-ফার্স্ট অ্যাপ্রোচ বা হাইব্রিড ক্লাউড কৌশল রয়েছে এমন পরিবেশের সাথে ঘনিষ্ঠভাবে সারিবদ্ধ হয়। এটি সরকারী সংস্থার পরিবেশের জন্য ভাল কাজ করে যেগুলি সাধারণত ক্লাউডে স্থানান্তরের কিছু সময়ে থাকে, অনেকের জায়গায় দূরবর্তী কাজের পরিবেশ থাকে। এই মডেলে, পিইপি দুটি ভাগে বিভক্ত, একটি সম্পদে এবং একটি সম্পদের সামনে।
সম্ভবত প্রাসঙ্গিক ডিভাইস এজেন্ট/গেটওয়ে মডেল কীভাবে কাজ করে তার একটি বাস্তব উদাহরণ দিতে, সরকার-জারি করা ল্যাপটপ সহ একজন ব্যবহারকারী একটি এন্টারপ্রাইজ সম্পদ যেমন একটি অ্যাপ্লিকেশন বা ডাটাবেসের সাথে সংযোগ করার চেষ্টা করে। ডিভাইসের স্থানীয় এজেন্ট অনুরোধটি পলিসি অ্যাডমিনিস্ট্রেটরের কাছে ফরোয়ার্ড করে এবং পলিসি ইঞ্জিন সফ্টওয়্যার অনুরোধটি মূল্যায়ন করে।
অনুমোদিত হলে, অ্যাডমিনিস্ট্রেটর এজেন্ট এবং অ্যাক্সেস গেটওয়ের মধ্যে একটি যোগাযোগের চ্যানেল তৈরি করে। ওয়ার্কফ্লো শেষ হয়ে গেলে বা প্রশাসকের দ্বারা যখন কোনও নিরাপত্তা ইভেন্ট ঘটে, যেমন, সেশন টাইম-আউট বা পুনরায় প্রমাণীকরণে ব্যর্থ হলে সংযোগটি বন্ধ হয়ে যায়। এই মডেলটি জনপ্রিয় কারণ সিস্টেমটি এমন অনেক এন্টারপ্রাইজ পরিবেশকে প্রতিফলিত করে যা ইতিমধ্যেই রূপান্তরিত হয়েছে বা ক্লাউডে স্থানান্তরিত হচ্ছে।
ছিটমহল গেটওয়ে মডেল
এনক্লেভ গেটওয়ে মডেলটি ডিভাইস এজেন্ট/গেটওয়ে মডেল থেকে অনুসরণ করে। এটি একটি আরও বেসপোক স্থাপনার সংকেত দেয় যেখানে সংস্থানগুলি একটি ব্যক্তিগত ক্লাউড বা ডেটা সেন্টারের মধ্যে রাখা হয়।
এই মডেলটি প্রথাগত সিকিউর ইন্টারনেট গেটওয়ে (SIG) মডেলের সাথে সারিবদ্ধভাবে সবচেয়ে কাছাকাছি যেখানে সংস্থানগুলি ডেটা সেন্টারে রাখা হয় বা একটি ব্যক্তিগত ক্লাউড পরিবেশ ব্যবহার করে৷ এটি একই রকম কিন্তু ডিভাইস এজেন্ট/গেটওয়ে মডেলের থেকে পরিবর্তিত হয় যে সংস্থানগুলি আলাদা না করে একসাথে একটি রিসোর্স এনক্লেভে থাকে।
এটিও সম্ভব যে এই স্থাপনাটি একটি ডিভাইস এজেন্ট/গেটওয়ে মডেলের পাশাপাশি চলে, যেখানে পরিবেশের মধ্যে লিগ্যাসি বা বার্ধক্যজনিত অ্যাপ্লিকেশনগুলি একটি সম্পূর্ণ ব্যক্তিগত ক্লাউড সিস্টেমে গেটওয়ের পিছনে থাকে।
এই মডেলের সাথে প্রধান বাধা হল যে গেটওয়ে সম্পদের একটি সংগ্রহকে রক্ষা করে এবং প্রতিটি সংস্থান পৃথকভাবে রক্ষা করতে সক্ষম নাও হতে পারে। মাইক্রো-সেগমেন্টেশন তৈরি করার জন্য গেটওয়ে এবং পৃথক সংস্থানগুলির মধ্যে আরও সিস্টেমের বিকাশ ঘটতে হবে – কাজের চাপকে আলাদা করতে ডেটা সেন্টার এবং ক্লাউড পরিবেশের মধ্যে অঞ্চলগুলি।
সম্পদ পোর্টাল মডেল
রিসোর্সেস পোর্টাল মডেলটির একটি পৃথক পদ্ধতি রয়েছে এবং ডিভাইসে স্টিয়ারিং এজেন্টের অভাবের কারণে নিরাপত্তা দৃশ্যমানতা হ্রাস পেয়েছে। আরও, গেটওয়ে পোর্টালটি একটি ক্লাউড-ভিত্তিক ইন্টারফেস এবং সর্বজনীনভাবে ইন্টারনেটের সাথে উন্মুক্ত হতে দেখা যায়।
এই মডেলটি PEP হিসাবে একটি গেটওয়ে পোর্টাল ব্যবহার করে এবং নীতি প্রশাসকের কাছ থেকে একটি নিরাপদ সংযোগ স্থাপনের জন্য কোনো স্টিয়ারিং এজেন্ট ব্যবহার করে না। অ্যাডমিনিস্ট্রেটর এখনও পলিসি ইঞ্জিনের সাথে অ্যাক্সেস অনুমোদন করে; যাইহোক, এই মডেলটিতে ব্যবহারকারীর উপর দৃশ্যমানতার অভাব রয়েছে কারণ ব্যবহারকারীর ডিভাইসে এজেন্টের প্রয়োজন নেই।
সম্পদ এবং ডিভাইসগুলি গেটওয়ে পোর্টালের সাথে সংযুক্ত হয়ে গেলে রিসোর্সেস মডেলটি শুধুমাত্র স্ক্যান করে এবং বিশ্লেষণ করে এবং ম্যালওয়্যার, আনপ্যাচড দুর্বলতা এবং উপযুক্ত কনফিগারেশনের মতো নিরাপত্তা সংক্রান্ত সমস্যাগুলির জন্য তাদের ক্রমাগত নিরীক্ষণ করতে সক্ষম নাও হতে পারে। পোর্টালটিকে ইন্টারনেট-মুখী বলে মনে করা হয় এবং এটি বিভিন্ন ইন্টারনেট-মুখী আক্রমণ যেমন একটি অস্বীকৃতি-অফ-সার্ভিস (DoS) আক্রমণের জন্য একটি প্রতিবন্ধক হতে পারে।
শূন্য বিশ্বাস: পরবর্তী বিবর্তন
যেহেতু সরকার শূন্য-বিশ্বাসের নীতি, স্থাপত্য এবং সংস্কৃতি বিভাগের আইসিটি এবং সুরক্ষা পরিবেশে আরও কেন্দ্রীয় হয়ে ওঠার দৃশ্য নির্ধারণ করেছে, এটিকে কেবল একটি সমন্বয় হিসাবে নয়, এই গুরুত্বপূর্ণ নেটওয়ার্কগুলিকে সুরক্ষিত করার পরবর্তী বিবর্তন হিসাবে বিবেচনা করা দরকার।
শূন্য বিশ্বাস পরিবর্তনের জন্য প্রস্তুত হওয়ার জন্য সরকারের মধ্যে মোকাবেলা করার জন্য বেশ কিছু চ্যালেঞ্জ এবং পদ্ধতি রয়েছে, যার মধ্যে রয়েছে শূন্য ট্রাস্ট প্ল্যাটফর্মে নীতি স্থানান্তর, উত্তরাধিকার ব্যবস্থার জন্য সমর্থন প্রদান, সাইবার প্রতিভার ঘাটতির মধ্যে দক্ষ লোক আনা এবং অপরিহার্য আটটি পরিপক্কতা বজায় রাখা। স্তর দুই
জিরো ট্রাস্টকে এক-আকার-ফিট-সমস্ত সমাধান হিসাবে দেখা উচিত নয় – এটি পৃথক এজেন্সিগুলির জন্য সর্বোত্তমভাবে স্থাপনের পদ্ধতির মিশ্রণের মাধ্যমে পুনরাবৃত্তিমূলকভাবে প্রয়োগ করা যেতে পারে। এটি নিশ্চিত করতে সাহায্য করবে যে সংস্থা, ব্যক্তি এবং ডেটা শেষ পর্যন্ত রক্ষা করছে তার জন্য শূন্য বিশ্বাস কাজ করে।
1. অস্ট্রেলিয়ান সাইবার সিকিউরিটি সেন্টার 2022, গেটওয়ে সিকিউরিটি গাইডেন্স প্যাকেজ: ওভারভিউ, https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration /gateway-hardening/gateway-security-guidance-package-overview>>
2. ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি 2020, জিরো ট্রাস্ট আর্কিটেকচার, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf>>