২ সেপ্টেম্বর ২০২২
গুয়েরমেলো মোহাম্মদ - ক্লাউড সিকিউরিটি আর্কিটেক্ট দ্বারা, Skyhigh Security
আজ আমরা অনেক বৈধ ব্যক্তিগত ক্লাউড যোগাযোগ পরিষেবা ব্যবহার করি, যেমন WhatsApp , কাজ এবং ব্যক্তিগত উদ্দেশ্যে। যাইহোক, কখনও কখনও সেই বৈধ ক্লাউড পরিষেবাদিগুলি অপব্যবহার করা যেতে পারে এবং কর্পোরেট ডেটার ঝুঁকিপূর্ণ এক্সপোজারের দিকে পরিচালিত করতে পারে। এই ব্লগ জুড়ে, আমরা ব্যক্তিগত ওয়েব অ্যাপ্লিকেশনগুলির সাথে চ্যালেঞ্জগুলি নিয়ে আলোচনা করব যা ডেটা এক্সফিল্ট করতে এবং ম্যালওয়্যার ইনজেক্ট করতে প্রক্সি প্রযুক্তিকে বাইপাস করে এবং কীভাবে স্কাইহাইSecurity Service Edge (এসএসই) পোর্টফোলিও, সঙ্গে Remote Browser Isolation (আরবিআই), আক্রমণ পৃষ্ঠ কমাতে এবং তথ্য এক্সপোজার সীমাবদ্ধ করতে পারেন।
আজকাল, যোগাযোগ প্ল্যাটফর্ম অপরিহার্য। এই প্ল্যাটফর্মগুলি পরিবার এবং সহকর্মীদের সাথে সংযুক্ত থাকতে এবং নতুন বন্ধু তৈরি করতে ব্যবহৃত হয়। তাদের ব্যবহার কোভিড -১৯ এবং নতুন আধুনিক কর্মক্ষেত্র দ্বারা ত্বরান্বিত হয়েছিল, যেখানে আমরা প্রায়শই অফিস স্পেসের বাইরে কাজ করি, যেখানে আমরা সতীর্থ এবং বন্ধুদের সাথে সামাজিকীকরণ করতে পারি। বাড়ি থেকে বা অন্যান্য দূরবর্তী অবস্থান থেকে একচেটিয়াভাবে কাজ করার ফলে আমরা একে অপরের সাথে দেখা করার সময় কমিয়ে দিই এবং এর ফলে WhatsApp , সিগন্যাল এবং টেলিগ্রামের মতো যোগাযোগ প্রযুক্তি ব্যক্তিগত এবং কাজের উভয় উদ্দেশ্যেই ব্যবহৃত হচ্ছে।
আধুনিক কর্মক্ষেত্রে নতুন ঝুঁকির সূচনা
হোয়াটসঅ্যাপ যোগাযোগের জন্য বহুল ব্যবহৃত মোবাইল অ্যাপ্লিকেশন। অ্যাপ্লিকেশনটি নিজে থেকে সংস্থাগুলির জন্য কোনও নিরাপত্তা ঝুঁকি নিয়ে আসে না, কারণ ব্যবহারকারী পরিষেবাটি অ্যাক্সেস করার জন্য তার ব্যক্তিগত ডিভাইস ব্যবহার করে। কিন্তু যখন আমরা কর্পোরেট-পরিচালিত এবং ব্যক্তিগত ডিভাইসগুলির মধ্যে সেতুবন্ধন তৈরি করি, যেমন একটি পরিচালিত ডিভাইস থেকে হোয়াটসঅ্যাপের ওয়েব সংস্করণ ব্যবহার করি? এই ব্যবহারটি কর্পোরেট ডিভাইসে ঝুঁকি হিসাবে বিবেচিত হবে। আসুন দেখে নেওয়া যাক হোয়াটসঅ্যাপ পরিষেবা কীভাবে কাজ করে এবং কোথায় ঝুঁকি রয়েছে।
যখন কোনও ব্যবহারকারী whatsapp.com অ্যাক্সেস করে, তখন তাদের মোবাইল ডিভাইসটি ওয়েব পোর্টালের সাথে যুক্ত করতে বলা হয়, যার ফলে ওয়েব পরিষেবাটি স্থানীয় ব্রাউজারের মাধ্যমে কথোপকথনগুলি নিয়ে আসে। প্রযুক্তিগতভাবে, স্থানীয় মেশিনের ব্রাউজারটি হোয়াটসঅ্যাপ ওয়েব পরিষেবার সাথে একটি সুরক্ষিত যোগাযোগ স্থাপন করে। এই যোগাযোগটি একটি দ্বি-নির্দেশমূলক বার্তা যা ওয়েব সকেট বলে। প্রক্সি প্রযুক্তির ভূমিকা হ'ল এইচটিটিপি যোগাযোগগুলি পরিদর্শন করে ওয়েব ট্র্যাফিক সুরক্ষিত করা, তবে এটি ওয়েব সকেট যোগাযোগের সামগ্রী পরিদর্শন করতে পারে না, যেমন চিত্র 1 এ দেখানো হয়েছে।
চিত্র ১. একটি ওয়েবসকেট সেশন বর্ণনা করে ডায়াগ্রাম
একবার কর্পোরেট ডিভাইসে হোয়াটসঅ্যাপ ওয়েব অ্যাপ্লিকেশন ইনস্টল হয়ে গেলে, একজন ব্যবহারকারী সংবেদনশীল কর্পোরেট ডেটা আপলোড এবং বহিষ্কার করতে পারেন। এটি ক্লাউড প্রক্সি ডিএলপি নীতি প্রয়োগকে অসম্ভব করে তোলে কারণ ডেটা এনক্রিপ্ট করা হয়েছে এবং পরিদর্শন করা হবে না। আপনি চিত্র 2 এ দেখতে পারেন, ডেটা ক্লাউড প্রক্সি নিয়ন্ত্রণকে বাইপাস করে।
চিত্র 2. দ্বিমুখী বার্তাগুলি ফরোয়ার্ড প্রক্সি পরিদর্শনগুলি বাইপাস করে
হোয়াটসঅ্যাপ ডেমো ভিডিওর মাধ্যমে এক্সফিল্টেটেড ডেটাতে, একজন ব্যবহারকারী তার ব্যক্তিগত ইমেল ব্যবহার করে ক্রেডিট কার্ডের তথ্য সম্বলিত একটি গোপনীয় নথি ভাগ করার চেষ্টা করে, তবে ক্লাউড প্রক্সি ডিএলপি নীতির উপর ভিত্তি করে, ফাইলটিতে থাকা তথ্য ব্যক্তিগত মেলবক্সে আপলোড করার পক্ষে খুব সংবেদনশীল এবং তাই অবরুদ্ধ করা হয়। তারপরে, এই সীমাবদ্ধতাটি বাইপাস করার জন্য, ব্যবহারকারী তারপরে ফাইলের সামগ্রীটি সরাসরি ব্রাউজারে অনুলিপি এবং আটকানোর চেষ্টা করে। আগের মতো, ক্লাউড প্রক্সি ডিএলপি নীতিটি ট্রিগার করা হয় এবং প্রচেষ্টা অনুলিপিটি আবার অবরুদ্ধ করা হয়। শেষ চেষ্টায় ব্যবহারকারী হোয়াটসঅ্যাপ ওয়েব ব্যবহার করেন এবং তাদের ডিভাইসটি জোড়া দেন। এবার তারা ক্লাউড ওয়েব প্রক্সি ডিএলপি সামগ্রী পরিদর্শন না করেই ফাইলটি আপলোড করতে সক্ষম।
চ্যালেঞ্জ মোকাবেলা
এই ঝুঁকি বুঝতে পারলে এডমিনদের জন্য দ্বিধাদ্বন্দ্বের সৃষ্টি হয়। তাদের সিদ্ধান্ত নিতে হবে যে বাড়ি থেকে কাজ করার সময় ব্যবহারকারীদের এই যোগাযোগের পরিষেবাগুলিতে অ্যাক্সেস দেওয়ার অনুমতি দেওয়া হবে বা এই ঝুঁকির বিরুদ্ধে সুরক্ষিত করার জন্য হোয়াটসঅ্যাপ ব্লক করা হবে এবং ব্যবহারকারীর কাজ করার ক্ষমতাকে ব্যাহত করবে। আদর্শ সমাধান হ'ল কর্পোরেট ডেটা সুরক্ষিত রাখার সময় ব্যবহারকারীকে এই পরিষেবাটি (বা অন্যদের) ব্যবহার করার অনুমতি দেওয়া। অতএব, বিচ্ছিন্নতা প্রযুক্তিগুলি অ্যাডমিনকে সর্বদা প্রয়োজনীয় সুরক্ষার স্তর নিয়ে আসবে, পাশাপাশি ব্যবহারকারীদের ওয়েব পরিষেবাদি অ্যাক্সেসে কম বিধিনিষেধ দেবে।
বিচ্ছিন্নতা প্রযুক্তিগুলি ব্যবহারকারীর মেশিনের স্থানীয় ব্রাউজারে ওয়েবসাইটের সামগ্রীকে একটি সুরক্ষিত দূরবর্তী স্থানে সরিয়ে নিয়ে যায়। তারপরে, স্থানীয় মেশিনের ব্রাউজারে লক্ষ্য ওয়েবসাইটের সামগ্রীর কেবল একটি চিত্র প্রদর্শিত হয়। ওয়েবসাইটের সম্ভাব্য আপোস করা সামগ্রীগুলির কোনওটিই স্থানীয় মেশিনে কার্যকর করা হবে না - স্বয়ংক্রিয়ভাবে ব্রাউজারের দুর্বলতা এক্সপোজার এবং কুকি হাইজ্যাকিংয়ের ঝুঁকি হ্রাস করে। গার্টনারের মতেইনোভেশন ইনসাইট ফর Remote Browser Isolationগবেষণা (সাবস্ক্রিপশন প্রয়োজনীয়), বিচ্ছিন্নতা প্রযুক্তি ব্যবহার করে সংস্থাগুলি আক্রমণের পৃষ্ঠকে 70 শতাংশ হ্রাস করতে পারে। চিত্র 3 এর চিত্রটি প্রদর্শন করে Skyhigh Security Remote Browser Isolation (আরবিআই) প্রযুক্তি এবং এটি কীভাবে স্থানীয় ব্রাউজার এবং হোয়াটসঅ্যাপ পরিষেবার মধ্যে বসে।
চিত্র 3. ওয়েবসকেট যোগাযোগে যাওয়ার আগে হোয়াটসঅ্যাপ বিচ্ছিন্ন করুন ও পরীক্ষা করুন
আমাদের হোয়াটসঅ্যাপ সিকিউরড উইথ আরবিআই ডেমো ভিডিওতে একজন ব্যবহারকারীর হোয়াটসঅ্যাপ ওয়েব পরিষেবা অ্যাক্সেস করার চেষ্টা করার উদাহরণ দেওয়া হয়েছে। হোয়াটসঅ্যাপ ওয়েব একটি বিচ্ছিন্ন ক্লাউড পরিবেশের ভিতরে খোলা হবে Skyhigh Security ক্লাউড এবং কেবলমাত্র কথোপকথনের চিত্রটি স্থানীয় ব্রাউজারে প্রেরণ করা হবে। আইসোলেশন ক্লাউড এনভায়রনমেন্টের মধ্যে একটি ওয়েব সকেট স্থাপন করা হয়, হোয়াটসঅ্যাপ পরিষেবাটি আরবিআইয়ের সাথে সুরক্ষিত থাকে যা অ্যাডমিনকে আইসোলেশন সেশন থেকে সম্পাদিত সমস্ত ক্রিয়াকলাপ নিয়ন্ত্রণ করতে দেয়।
কী টেকওয়ে
বিচ্ছিন্নতা প্রযুক্তি ওয়েব প্রক্সিগুলিকে কেবল অনুমতি এবং অবরুদ্ধ করার পরিবর্তে ক্রিয়া প্রয়োগ করার আরও স্বাধীনতা নিয়ে আসে। এটি স্বয়ংচালিত শিল্পের মতো, যেখানে ব্রেকের আবিষ্কার গাড়ির গতিতে নিরাপদ বৃদ্ধির অনুমতি দেয়। যেহেতু ব্রেকগুলি খুব দ্রুত যাওয়া এবং নিয়ন্ত্রণ হারানো থেকে গাড়িতে রাজত্ব করতে পারে, ইঞ্জিনিয়াররা আরও শক্তিশালী ইঞ্জিন তৈরি করেছেন যা উচ্চতর গতিতে যেতে পারে, আরও আত্মবিশ্বাসী যে এই গতিগুলি আরও নিরাপদে নিয়ন্ত্রণ করা যায়।
একইভাবে, বিচ্ছিন্নতা প্রযুক্তি স্থানীয় মেশিন থেকে একটি সুরক্ষিত বিচ্ছিন্ন ব্রাউজারে সমস্ত মৃত্যুদন্ড সরিয়ে ওয়েব প্রক্সি নিয়ন্ত্রণের দরজা উন্মুক্ত করে। এটি করার ফলে প্রশাসকদের বিশাল ব্যতিক্রম তালিকা বজায় রাখার প্রয়োজনীয়তা হ্রাস পায় এবং বাড়ি থেকে কাজ করার সময় ব্যবহারকারীকে আরও স্বাধীনতা দেয়। এই পদ্ধতিটি জিরো ট্রাস্ট সিকিউরিটি আর্কিটেকচার নীতিগুলিকেও সমর্থন করে, কারণ আমরা গন্তব্য সাইট বা এর মধ্যে থাকা সামগ্রীকে বিশ্বাস করি না, তবে কর্পোরেট মেশিন থেকে একটি সুরক্ষিত এবং দূরবর্তী ব্রাউজারে কোনও সম্ভাব্য ঝুঁকি কার্যকর করার ক্রমাগত মূল্যায়ন এবং অপসারণ করি।
দরকারী লিংক
ব্লগে ফিরে যান