Contacts
Get in touch
Close
Contacts

Bangladesh, Dhaka- 1200

+8801798651200

info@labfusionbd.com

সরকারের জন্য শূন্য বিশ্বাসকে অদৃশ্য করা সরকারের জন্য শূন্য বিশ্বাসকে রহস্যময় করা :: সরকারী প্রযুক্তি পর্যালোচনা

সরকারের জন্য শূন্য বিশ্বাসকে অদৃশ্য করা সরকারের জন্য শূন্য বিশ্বাসকে

সরকারের প্রতি শূন্য আস্থার রহস্যময়তা

যেহেতু শূন্য বিশ্বাস আইসিটি পরিবেশে আরও কেন্দ্রীয় হয়ে ওঠে, তাই এটিকে কেবল একটি সামঞ্জস্য হিসাবে নয় বরং গুরুত্বপূর্ণ নেটওয়ার্কগুলিকে সুরক্ষিত করার পরবর্তী বিবর্তন হিসাবে বিবেচনা করা দরকার।

হোম অ্যাফেয়ার্সের 2023-2030 অস্ট্রেলিয়ান সাইবার নিরাপত্তা কৌশলের সাম্প্রতিক প্রকাশনায়, যা এখন দেশের প্রথম সাইবার নিরাপত্তা আইন হওয়ার দিকে এগিয়ে যাচ্ছে, এতে বলা হয়েছে: “আমরা শূন্য বিশ্বাসের জন্য আন্তর্জাতিকভাবে স্বীকৃত দৃষ্টিভঙ্গিও আঁকব, যার লক্ষ্য একটি সম্পূর্ণ বিকাশের লক্ষ্যে। -সরকারের শূন্য বিশ্বাসের সংস্কৃতি।

বৃহত্তর সাইবার কৌশলের অংশ হিসাবে সরকার কর্তৃক এই উদ্যোগগুলিকে গুরুত্ব সহকারে নেওয়ার সাথে সাথে, একটি সরকারী সংস্থার নিরাপত্তা স্থাপত্য এবং ভঙ্গিতে শূন্য বিশ্বাস এবং এর প্রাসঙ্গিকতা বোঝা গুরুত্বপূর্ণ।

জিরো-ট্রাস্ট ফ্রেমওয়ার্ক ‘কখনও বিশ্বাস করবেন না, সর্বদা যাচাই করুন’ নীতি থেকে উদ্ভূত। এটি এই ধারণার উপর ভিত্তি করে তৈরি করে যে ঝুঁকি একটি সংস্থার নেটওয়ার্কের ভিতরে এবং বাইরে উভয়ই অন্তর্নিহিত।

জিরো ট্রাস্টের আর্কিটেকচার অন্তর্নিহিত বিশ্বাস দূর করে এবং শক্তিশালী পরিচয় ও অ্যাক্সেস ম্যানেজমেন্ট (IAM) নিয়ন্ত্রণ প্রয়োগ করে, যাতে ফেডারেল বিভাগ এবং অন্যান্য সরকারী সংস্থাগুলি সিস্টেম এবং ডেটাতে অ্যাক্সেস দেওয়ার আগে ব্যক্তি, ডিভাইস এবং অ্যাপ্লিকেশনগুলিকে অনুমোদন করতে পারে।

অস্ট্রেলিয়ায়, শূন্য বিশ্বাসের নীতিগুলি অস্ট্রেলিয়ান সিগন্যাল ডিরেক্টরেটের (ASD) গেটওয়ে নিরাপত্তা নির্দেশিকা প্যাকেজে প্রতিফলিত হয়1নেটওয়ার্কগুলির মধ্যে ডেটা প্রবাহ নিয়ন্ত্রণ করে এমন সিস্টেমগুলি গেটওয়ে পরিষেবাগুলির ডিজাইন, সংগ্রহ, পরিচালনা, রক্ষণাবেক্ষণ বা নিষ্পত্তি করার সময় সংস্থাগুলিকে সচেতন ঝুঁকি-ভিত্তিক সিদ্ধান্ত নিতে সহায়তা করার জন্য ডিজাইন করা হয়েছে৷

উচ্চ পরিপক্কতা স্তর দুই এবং তিনের জন্য প্রশমন কৌশলগুলির অপরিহার্য আট সেটেও জিরো ট্রাস্ট অন্তর্ভুক্ত রয়েছে। বিদেশে, মার্কিন যুক্তরাষ্ট্রের ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) একটি শূন্য-বিশ্বাস আর্কিটেকচার প্রকাশনা প্রকাশ করেছে2 এবং ASD এবং অস্ট্রেলিয়ান সরকার সারিবদ্ধ নীতিগুলির সেট:

  1. সমস্ত ডেটা উত্স এবং কম্পিউটিং পরিষেবাগুলি বিবেচনা করা হয়।
  2. নেটওয়ার্ক অবস্থান নির্বিশেষে সমস্ত যোগাযোগ সুরক্ষিত।
  3. ব্যক্তিগত এন্টারপ্রাইজ সংস্থানগুলিতে অ্যাক্সেস প্রতি-সেশন ভিত্তিতে দেওয়া হয়।
  4. সংস্থানগুলিতে অ্যাক্সেস গতিশীল নীতি দ্বারা নির্ধারিত হয় — ক্লায়েন্ট পরিচয়ের পর্যবেক্ষণযোগ্য অবস্থা, অ্যাপ্লিকেশন বা পরিষেবা এবং অনুরোধকারী সম্পদ সহ — এবং অন্যান্য আচরণগত এবং পরিবেশগত বৈশিষ্ট্যগুলি অন্তর্ভুক্ত করতে পারে।
  5. সমস্ত মালিকানাধীন এবং সংশ্লিষ্ট সম্পদের তাদের সততা এবং নিরাপত্তা ভঙ্গি এন্টারপ্রাইজ দ্বারা পরিমাপ করা হয়।
  6. সমস্ত সংস্থান প্রমাণীকরণ এবং অনুমোদন গতিশীল এবং অ্যাক্সেসের অনুমতি দেওয়ার আগে কঠোরভাবে প্রয়োগ করা হয়।
  7. এন্টারপ্রাইজ সম্পদের বর্তমান অবস্থা, নেটওয়ার্ক অবকাঠামো এবং যোগাযোগ সম্পর্কে যতটা সম্ভব তথ্য সংগ্রহ করে এবং এর নিরাপত্তা ভঙ্গি উন্নত করতে ব্যবহার করে।

উদ্দেশ্য হল এই নীতিগুলি প্রযুক্তি অজ্ঞেয়বাদী হতে হবে, এবং নির্দেশনামূলক নিয়মের পরিবর্তে নির্দেশিকা হতে হবে। এটি প্রতিফলিত করে যে প্রতিটি পরিবেশ প্রকৃতিতে অনন্য, এবং একটি সরকারী প্রেক্ষাপটে, হুমকি, প্রয়োজনীয়তা এবং ঝুঁকি এজেন্সি থেকে এজেন্সিতে পরিবর্তিত হয়।

কিন্তু নীতিগুলি প্রয়োগ করার অর্থ হল আইসিটি সম্পদগুলি সর্বদা এমনভাবে কাজ করা উচিত যেন নেটওয়ার্কের মধ্যে একটি বিদ্যমান হুমকি রয়েছে৷ কোন সম্পদ (তথ্যের উৎস) সহজাতভাবে বিশ্বস্ত নয়; প্রতিটি অধিবেশন জুড়ে একটি নীতি প্রয়োগকারী পয়েন্ট (PEP) এর মাধ্যমে প্রতিটির নিরাপত্তা ভঙ্গি মূল্যায়ন করা উচিত।

এটি দূরবর্তীভাবেও প্রযোজ্য: দূরবর্তী এন্টারপ্রাইজ বিষয় (ব্যবহারকারী এবং ডিভাইস) এবং সম্পদ (নেটওয়ার্কের সাথে সংযুক্ত ডিভাইস) তাদের স্থানীয় নেটওয়ার্ককে সম্পূর্ণরূপে বিশ্বাস করতে পারে না এবং অনুমান করা উচিত যে এটি আপস করা হয়েছে। সমস্ত কর্মপ্রবাহ, অবস্থান নির্বিশেষে, নিরাপত্তা ভঙ্গির ক্ষেত্রে একই আচরণ করা উচিত এবং নীতিগুলি প্রয়োগ করা উচিত যেন তারা অভ্যন্তরীণ নেটওয়ার্কের মধ্যে ছিল বা না।

এটি বোঝাও গুরুত্বপূর্ণ যে এই নীতিগুলি একা ডেটা স্তরে প্রয়োগ করা যায় না এবং একটি পৃথক নিয়ন্ত্রণ ফলকের প্রয়োজন হয় যা একটি নির্দিষ্ট পরিবেশের মধ্যে ডেটা অ্যাক্সেস পরিচালনা করে।

স্থাপনার মডেল

যদিও নীতিগুলি মৌলিক প্রযুক্তির ধারণা, সরকারী আইসিটি বিভাগগুলিকে তাদের পরিবেশের মধ্যে বিশ্বস্ত এবং অবিশ্বস্ত অঞ্চলগুলির অনুভূতি বিকাশের জন্য আরও গভীর স্থাপনার মডেলগুলি বুঝতে হবে: ডিভাইস এজেন্ট/গেটওয়ে মডেল, এনক্লেভ গেটওয়ে মডেল এবং রিসোর্সেস পোর্টাল মডেল .

ডিভাইস এজেন্ট/গেটওয়ে মডেল

ডিভাইস এজেন্ট/গেটওয়ে মডেলটি সাধারণত ফাউন্ডেশন অ্যাপ্রোচ কারণ এটি ক্লাউড-ফার্স্ট অ্যাপ্রোচ বা হাইব্রিড ক্লাউড কৌশল রয়েছে এমন পরিবেশের সাথে ঘনিষ্ঠভাবে সারিবদ্ধ হয়। এটি সরকারী সংস্থার পরিবেশের জন্য ভাল কাজ করে যেগুলি সাধারণত ক্লাউডে স্থানান্তরের কিছু সময়ে থাকে, অনেকের জায়গায় দূরবর্তী কাজের পরিবেশ থাকে। এই মডেলে, পিইপি দুটি ভাগে বিভক্ত, একটি সম্পদে এবং একটি সম্পদের সামনে।

সম্ভবত প্রাসঙ্গিক ডিভাইস এজেন্ট/গেটওয়ে মডেল কীভাবে কাজ করে তার একটি বাস্তব উদাহরণ দিতে, সরকার-জারি করা ল্যাপটপ সহ একজন ব্যবহারকারী একটি এন্টারপ্রাইজ সম্পদ যেমন একটি অ্যাপ্লিকেশন বা ডাটাবেসের সাথে সংযোগ করার চেষ্টা করে। ডিভাইসের স্থানীয় এজেন্ট অনুরোধটি পলিসি অ্যাডমিনিস্ট্রেটরের কাছে ফরোয়ার্ড করে এবং পলিসি ইঞ্জিন সফ্টওয়্যার অনুরোধটি মূল্যায়ন করে।

অনুমোদিত হলে, অ্যাডমিনিস্ট্রেটর এজেন্ট এবং অ্যাক্সেস গেটওয়ের মধ্যে একটি যোগাযোগের চ্যানেল তৈরি করে। ওয়ার্কফ্লো শেষ হয়ে গেলে বা প্রশাসকের দ্বারা যখন কোনও নিরাপত্তা ইভেন্ট ঘটে, যেমন, সেশন টাইম-আউট বা পুনরায় প্রমাণীকরণে ব্যর্থ হলে সংযোগটি বন্ধ হয়ে যায়। এই মডেলটি জনপ্রিয় কারণ সিস্টেমটি এমন অনেক এন্টারপ্রাইজ পরিবেশকে প্রতিফলিত করে যা ইতিমধ্যেই রূপান্তরিত হয়েছে বা ক্লাউডে স্থানান্তরিত হচ্ছে।

ছিটমহল গেটওয়ে মডেল

এনক্লেভ গেটওয়ে মডেলটি ডিভাইস এজেন্ট/গেটওয়ে মডেল থেকে অনুসরণ করে। এটি একটি আরও বেসপোক স্থাপনার সংকেত দেয় যেখানে সংস্থানগুলি একটি ব্যক্তিগত ক্লাউড বা ডেটা সেন্টারের মধ্যে রাখা হয়।

এই মডেলটি প্রথাগত সিকিউর ইন্টারনেট গেটওয়ে (SIG) মডেলের সাথে সারিবদ্ধভাবে সবচেয়ে কাছাকাছি যেখানে সংস্থানগুলি ডেটা সেন্টারে রাখা হয় বা একটি ব্যক্তিগত ক্লাউড পরিবেশ ব্যবহার করে৷ এটি একই রকম কিন্তু ডিভাইস এজেন্ট/গেটওয়ে মডেলের থেকে পরিবর্তিত হয় যে সংস্থানগুলি আলাদা না করে একসাথে একটি রিসোর্স এনক্লেভে থাকে।

এটিও সম্ভব যে এই স্থাপনাটি একটি ডিভাইস এজেন্ট/গেটওয়ে মডেলের পাশাপাশি চলে, যেখানে পরিবেশের মধ্যে লিগ্যাসি বা বার্ধক্যজনিত অ্যাপ্লিকেশনগুলি একটি সম্পূর্ণ ব্যক্তিগত ক্লাউড সিস্টেমে গেটওয়ের পিছনে থাকে।

এই মডেলের সাথে প্রধান বাধা হল যে গেটওয়ে সম্পদের একটি সংগ্রহকে রক্ষা করে এবং প্রতিটি সংস্থান পৃথকভাবে রক্ষা করতে সক্ষম নাও হতে পারে। মাইক্রো-সেগমেন্টেশন তৈরি করার জন্য গেটওয়ে এবং পৃথক সংস্থানগুলির মধ্যে আরও সিস্টেমের বিকাশ ঘটতে হবে – কাজের চাপকে আলাদা করতে ডেটা সেন্টার এবং ক্লাউড পরিবেশের মধ্যে অঞ্চলগুলি।

সম্পদ পোর্টাল মডেল

রিসোর্সেস পোর্টাল মডেলটির একটি পৃথক পদ্ধতি রয়েছে এবং ডিভাইসে স্টিয়ারিং এজেন্টের অভাবের কারণে নিরাপত্তা দৃশ্যমানতা হ্রাস পেয়েছে। আরও, গেটওয়ে পোর্টালটি একটি ক্লাউড-ভিত্তিক ইন্টারফেস এবং সর্বজনীনভাবে ইন্টারনেটের সাথে উন্মুক্ত হতে দেখা যায়।

এই মডেলটি PEP হিসাবে একটি গেটওয়ে পোর্টাল ব্যবহার করে এবং নীতি প্রশাসকের কাছ থেকে একটি নিরাপদ সংযোগ স্থাপনের জন্য কোনো স্টিয়ারিং এজেন্ট ব্যবহার করে না। অ্যাডমিনিস্ট্রেটর এখনও পলিসি ইঞ্জিনের সাথে অ্যাক্সেস অনুমোদন করে; যাইহোক, এই মডেলটিতে ব্যবহারকারীর উপর দৃশ্যমানতার অভাব রয়েছে কারণ ব্যবহারকারীর ডিভাইসে এজেন্টের প্রয়োজন নেই।

সম্পদ এবং ডিভাইসগুলি গেটওয়ে পোর্টালের সাথে সংযুক্ত হয়ে গেলে রিসোর্সেস মডেলটি শুধুমাত্র স্ক্যান করে এবং বিশ্লেষণ করে এবং ম্যালওয়্যার, আনপ্যাচড দুর্বলতা এবং উপযুক্ত কনফিগারেশনের মতো নিরাপত্তা সংক্রান্ত সমস্যাগুলির জন্য তাদের ক্রমাগত নিরীক্ষণ করতে সক্ষম নাও হতে পারে। পোর্টালটিকে ইন্টারনেট-মুখী বলে মনে করা হয় এবং এটি বিভিন্ন ইন্টারনেট-মুখী আক্রমণ যেমন একটি অস্বীকৃতি-অফ-সার্ভিস (DoS) আক্রমণের জন্য একটি প্রতিবন্ধক হতে পারে।

শূন্য বিশ্বাস: পরবর্তী বিবর্তন

যেহেতু সরকার শূন্য-বিশ্বাসের নীতি, স্থাপত্য এবং সংস্কৃতি বিভাগের আইসিটি এবং সুরক্ষা পরিবেশে আরও কেন্দ্রীয় হয়ে ওঠার দৃশ্য নির্ধারণ করেছে, এটিকে কেবল একটি সমন্বয় হিসাবে নয়, এই গুরুত্বপূর্ণ নেটওয়ার্কগুলিকে সুরক্ষিত করার পরবর্তী বিবর্তন হিসাবে বিবেচনা করা দরকার।

শূন্য বিশ্বাস পরিবর্তনের জন্য প্রস্তুত হওয়ার জন্য সরকারের মধ্যে মোকাবেলা করার জন্য বেশ কিছু চ্যালেঞ্জ এবং পদ্ধতি রয়েছে, যার মধ্যে রয়েছে শূন্য ট্রাস্ট প্ল্যাটফর্মে নীতি স্থানান্তর, উত্তরাধিকার ব্যবস্থার জন্য সমর্থন প্রদান, সাইবার প্রতিভার ঘাটতির মধ্যে দক্ষ লোক আনা এবং অপরিহার্য আটটি পরিপক্কতা বজায় রাখা। স্তর দুই

জিরো ট্রাস্টকে এক-আকার-ফিট-সমস্ত সমাধান হিসাবে দেখা উচিত নয় – এটি পৃথক এজেন্সিগুলির জন্য সর্বোত্তমভাবে স্থাপনের পদ্ধতির মিশ্রণের মাধ্যমে পুনরাবৃত্তিমূলকভাবে প্রয়োগ করা যেতে পারে। এটি নিশ্চিত করতে সাহায্য করবে যে সংস্থা, ব্যক্তি এবং ডেটা শেষ পর্যন্ত রক্ষা করছে তার জন্য শূন্য বিশ্বাস কাজ করে।

1. অস্ট্রেলিয়ান সাইবার সিকিউরিটি সেন্টার 2022, গেটওয়ে সিকিউরিটি গাইডেন্স প্যাকেজ: ওভারভিউ, https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration /gateway-hardening/gateway-security-guidance-package-overview>>

2. ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি 2020, জিরো ট্রাস্ট আর্কিটেকচার, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf>>




*জেমস রাবে ম্যাককুয়ারি গভর্নমেন্টের একজন প্রধান পরামর্শক, অস্ট্রেলিয়ান সরকারী সংস্থাগুলির জন্য ক্লাউড এবং নিরাপত্তা পরিষেবা প্রদানকারী অস্ট্রেলিয়ান৷ অস্ট্রেলিয়ার শীর্ষস্থানীয় এবং আন্তর্জাতিক প্রযুক্তি কোম্পানিগুলির একটি পরিসরে তার দুই দশকেরও বেশি পরামর্শ, বিপণন এবং পরিচালনার অভিজ্ঞতা রয়েছে।

শীর্ষ চিত্র ক্রেডিট: iStock.com/Olivier Le Moal

Source link

Leave a Comment

Your email address will not be published. Required fields are marked *