ক্ষমতা না থাকলে আরও দায়িত্ব আসে

১৯ মে ২০২২

রডম্যান রামেজানিয়ান - এন্টারপ্রাইজ ক্লাউড সিকিউরিটি অ্যাডভাইজার, Skyhigh Security

আপনি সম্ভবত এই বাক্যাংশটি শুনেছেন "দুর্দান্ত শক্তির সাথে মহান দায়িত্ব আসে। বিকল্পভাবে, "পিটার পার্কার নীতি" নামে পরিচিত, এই বাক্যাংশটি জনপ্রিয় সংস্কৃতিতে সুপরিচিত হয়ে ওঠে, বেশিরভাগ কারণে স্পাইডার ম্যান, কমিকস এবং চলচ্চিত্র - যেখানে পিটার পার্কার নায়ক। বাক্যাংশটি আজ এতটাই সুপরিচিত যে উইকিপিডিয়ায় এর নিজস্ব নিবন্ধ রয়েছে। এই বাক্যাংশটির সারমর্ম হ'ল যদি আপনাকে আরও ভালর জন্য পরিবর্তন করার ক্ষমতা দেওয়া হয় তবে আপনার এটি করার নৈতিক বাধ্যবাধকতা রয়েছে।

যাইহোক, আমি ক্লাউড সিকিউরিটি সম্পর্কে গ্রাহকদের সাথে কথা বলার সময় যা লক্ষ্য করেছি, বিশেষত ইনফ্রাস্ট্রাকচার অ্যাজ এ সার্ভিস (আইএএএস) এর জন্য সুরক্ষা এমন একটি ঘটনা যা আমি "জন ম্যাকক্লেইন নীতি" ডাব করছি - নামটি নির্দোষদের রক্ষা করার জন্য পরিবর্তন করা হয়েছে।

জন ম্যাকক্লেইন নীতিটি ঘটে যখন কাউকে কিছু ঠিক করার দায়িত্ব দেওয়া হয়, তবে একই সাথে প্রয়োজনীয় পরিবর্তন করার ক্ষমতা দেওয়া হয়নি। পৃষ্ঠতলে, এই দৃশ্যটি অযৌক্তিক মনে হতে পারে, তবে আমি বাজি ধরছি যে অনেক ইনফোসেক দল সমস্যাটির প্রতি সহানুভূতি জানাতে পারে। কথোপকথনটি কিছুটা এরকম:

• ইনফোসেকের সিইও: আপনাকে নিশ্চিত করতে হবে যে আমরা ক্লাউডে সুরক্ষিত। আমি পরবর্তী হতে চাই না [এখানে সর্বশেষ লঙ্ঘন সন্নিবেশ করুন]।
• ইনফোসেক থেকে সিইও: হ্যাঁ, তাই আমি দেখেছি যে আমরা কীভাবে ক্লাউড ব্যবহার করছি এবং আমাদের সমস্যাগুলির বেশিরভাগই প্রক্রিয়া এবং জ্ঞানের অভাব থেকে আসে। আমাদের কাছে প্রচুর দল রয়েছে যা ক্লাউডে তাদের নিজস্ব জিনিস করছে এবং তারা কী করছে তাতে আমার সম্পূর্ণ দৃশ্যমানতা নেই।
• ইনফোসেকের সিইও: দুর্দান্ত, এটি ঠিক করুন।
• ইনফোসেক টু সিইওঃ আসলে সমস্যা হচ্ছে এই দলগুলোর ব্যাপারে আমার কোনো বক্তব্য নেই। তারা যা খুশি তাই করতে পারে। সমস্যা সমাধানের জন্য তারা ক্লাউড ব্যবহারের পদ্ধতি পরিবর্তন করতে যাচ্ছে। আমাদের পরিচালকদের কাছ থেকে কিনে নেওয়া দরকার, কিন্তু সেই পরিচালকরা আমাকে বলেছেন যে তারা কোনও কিছু পরিবর্তন করতে আগ্রহী নন কারণ এটি জিনিসগুলিকে ধীর করে দেবে।
• ইনফোসেকের সিইও: আমি নিশ্চিত আপনি এটি খুঁজে বের করবেন। শুভকামনা, এবং আমাদের কোনও লঙ্ঘন না করাই ভাল।

তখনই 'ক্ষমতা না থাকলে আরও দায়িত্ব আসে' কথাটি সত্য হয়ে ওঠে।

আর কেনই বা এমনটা হয়? কারণটি হ'ল ইনফ্রাস্ট্রাকচার-এ-এ-সার্ভিস (আইএএএস) মৌলিকভাবে আমরা কীভাবে আইটি ব্যবহার করি এবং এর পাশাপাশি আমরা কীভাবে সুরক্ষা স্কেল করি তা মৌলিকভাবে পরিবর্তন করেছে। আমরা আর ক্রয়ের অনুরোধ জমা দিই না এবং অবকাঠামোগত সংস্থানগুলি স্পিন করার জন্য দীর্ঘ, দীর্ঘ প্রক্রিয়াগুলির মধ্য দিয়ে যাই। এখন ক্রেডিট কার্ড সহ যে কেউ বিশ্বজুড়ে কয়েক মিনিটের মধ্যে ডেটা সেন্টারের সমতুল্য স্পিন আপ করতে পারে।

তত্পরতা, তবে, ইনফোসেকে কিছু অনিচ্ছাকৃত পরিবর্তন প্রবর্তন করেছে এবং স্কেল করার জন্য, ক্লাউড সুরক্ষা একটি দলের একমাত্র দায়িত্ব হতে পারে না। বরং, ক্লাউড নিরাপত্তা প্রক্রিয়া এম্বেড করা আবশ্যক এবং উন্নয়ন, স্থপতি, এবং অপারেশন মধ্যে সহযোগিতা উপর নির্ভর করে। এই দলগুলি এখন ক্লাউড সিকিউরিটিতে আরও গুরুত্বপূর্ণ ভূমিকা পালন করতে পারে এবং অনেক ক্ষেত্রে একমাত্র যারা নিরাপত্তা বাড়ানোর জন্য পরিবর্তন বাস্তবায়ন করতে পারে। ইনফোসেক এখন দ্বাররক্ষীর পরিবর্তে শেরপা হিসাবে কাজ করে যাতে প্রতিটি দল একই, সুরক্ষিত গতিতে অগ্রসর হয় তা নিশ্চিত করতে।

যাইহোক, জন ম্যাকক্লেইন আপনাকে এই সত্যটি বলতে পারেন যে ক্লাউড সুরক্ষার যত্ন নেওয়ার জন্য আপনার কাছে যত বেশি দল রয়েছে তার অর্থ এই নয় যে আপনার কাছে আরও ভাল সমাধান রয়েছে। প্রকৃতপক্ষে, বিভিন্ন অগ্রাধিকারের সাথে একাধিক দলের মধ্যে সমন্বয় সাধন করা সুরক্ষাকে আরও জটিল করে তুলতে পারে এবং আপনাকে ধীর করে দিতে পারে। সুতরাং একটি সুবিন্যস্ত সুরক্ষা সমাধানের প্রয়োজন যা বিকাশকারী, স্থপতি এবং ইনফোসেকের মধ্যে সহযোগিতার সুবিধার্থে তবে একই সাথে গার্ডরেল সরবরাহ করে, তাই কোনও স্লিপ ফাটল ফেলে না।

আমাদের ক্লাউড সুরক্ষা পরিষেবাটি বিশেষত ক্লাউডে চলমান এবং বিকাশকারী গ্রাহকদের জন্য নির্মিত হয়েছিল। আমরা এটাকে স্কাইহাই বলি Cloud-Native Application Protection Platform - বা কেবল স্কাইহাই সিএনএপিপি, কারণ প্রতিটি পরিষেবা একটি সংক্ষিপ্ত বিবরণ প্রাপ্য।

Skyhigh CNAPP কি? স্কাইহাই সিএনএপিপি ক্লাউড সিকিউরিটি পশ্চার ম্যানেজমেন্ট (সিএসপিএম), ক্লাউড ওয়ার্কলোড প্রোটেকশন প্ল্যাটফর্ম (সিডাব্লুপিপি) এর সমাধানগুলিকে একত্রিত করে, Data Loss Prevention (ডিএলপি), এবং একক সমাধানে অ্যাপ্লিকেশন সুরক্ষা। আমরা ইনফোসেক দলগুলিকে তাদের ক্লাউড নেটিভ অ্যাপ্লিকেশনগুলিতে বিস্তৃত দৃশ্যমানতা সরবরাহ করতে সিএনএপিপি তৈরি করেছি। আমাদের জন্য, লক্ষ্যটি ছিল না যে আমরা কীভাবে সবকিছু সুরক্ষিত রয়েছে তা নিশ্চিত করার জন্য জিনিসগুলিকে ধীর করব; বরং আমরা কীভাবে ইনফোসেক দলগুলিকে ক্লাউড সুরক্ষার জন্য প্রয়োজনীয় দৃশ্যমানতা এবং প্রসঙ্গটি সক্ষম করতে পারি যখন ডেভ দলগুলিকে দ্রুত সরানোর অনুমতি দেয়।

আমাকে সংক্ষেপে বর্ণনা করতে দিন যে স্কাইহাই সিএনএপিপিতে কী কী বৈশিষ্ট্য রয়েছে এবং গ্রাহকের পছন্দসই কিছু বৈশিষ্ট্য তালিকাভুক্ত করুন।

ক্লাউড সার্ভিস পশ্চার ম্যানেজমেন্ট (সিএসপিএম)

আজ আইএএএস-এ বেশিরভাগ লঙ্ঘন পরিষেবা ভুল কনফিগারেশনের কারণে। গার্টনার ২০১৬ সালে বলেছিল, "৯৫% ক্লাউড নিরাপত্তা ব্যর্থতা গ্রাহকের দোষ হবে। 2019 সালে, গার্টনার সেই উদ্ধৃতিটি আপডেট করে বলেছে যে "99% ক্লাউড সুরক্ষা ব্যর্থতা গ্রাহকদের দোষ হবে। আমি সেই দিনের অপেক্ষায় আছি যেদিন গার্টনারের পক্ষ থেকে বলা হবে "১০৫% গ্রাহকের দোষ হবে।

শতকরা হার এত বেশি কেন? একাধিক কারণ রয়েছে, তবে আমরা আমাদের গ্রাহকদের কাছ থেকে অনেক শুনেছি যে নতুন পরিষেবাগুলি কীভাবে সুরক্ষিত করা যায় সে সম্পর্কে জ্ঞানের বিশাল অভাব রয়েছে। প্রতিটি ক্লাউড সরবরাহকারী গ্রহণের জন্য কোনও ব্লকার ছাড়াই চঞ্চল গতিতে নতুন পরিষেবা এবং ক্ষমতা প্রকাশ করছে। দুর্ভাগ্যক্রমে, শিল্পটি এমন একটি কর্মী বাহিনী থাকার গতির সাথে মেলে না যা এই নতুন পরিষেবাদি এবং ক্ষমতাগুলি কীভাবে সর্বোত্তমভাবে কনফিগার করতে হয় তা জানে এবং বোঝে। স্কাইহাই সিএনএপিপি গ্রাহকদের অবিলম্বে সমস্ত ক্লাউড পরিষেবাদি নিরীক্ষণ করার ক্ষমতা সরবরাহ করে এবং সিআইএস ফাউন্ডেশন, পিসিআই, এইচআইপিপিএ এবং এনআইএসটির মতো সেরা সুরক্ষা অনুশীলন এবং শিল্পের মানগুলির বিরুদ্ধে সেই পরিষেবাগুলিকে বেঞ্চমার্ক করে।

সেই নিরীক্ষণের মধ্যে (আমরা এটিকে একটি সুরক্ষা ঘটনা বলি), স্কাইহাই সিএনএপিপি সুরক্ষা উন্নত করতে পরিষেবাগুলি কীভাবে পুনরায় কনফিগার করা যায় সে সম্পর্কে বিশদ তথ্য সরবরাহ করে, তবে পরিষেবাটি পরিষেবা স্তরের চুক্তির (এসএলএ) সাথে ডেভ দলগুলিকে সুরক্ষা ঘটনাটি অর্পণ করার ক্ষমতাও সরবরাহ করে যাতে কে কী মালিকানাধীন এবং কী পরিবর্তন করতে হবে সে সম্পর্কে কোনও অস্পষ্টতা নেই। এই সমস্ত ওয়ার্কফ্লো স্বয়ংক্রিয় করা যেতে পারে যাতে একাধিক দলকে সমস্যাগুলি খুঁজে পেতে এবং সমাধান করতে রিয়েল-টাইমে ক্ষমতায়িত করা হয়।

অতিরিক্তভাবে, স্কাইহাই সিএনএপিপির একটি কাস্টম নীতি বৈশিষ্ট্য রয়েছে যেখানে গ্রাহকরা তাদের পরিবেশের জন্য অনন্য ঝুঁকিপূর্ণ ভুল কনফিগারেশনগুলি সনাক্ত করার পাশাপাশি জেনকিনস, বিটবাকেট এবং গিটহাবের মতো বিকাশকারী সরঞ্জামগুলির সাথে সংহতকরণের জন্য নীতি তৈরি করতে পারেন যা সুরক্ষা মানগুলি পূরণ করে না এমন স্থাপনার বিষয়ে প্রতিক্রিয়া সরবরাহ করে।

ক্লাউড ওয়ার্কলোড সুরক্ষা প্ল্যাটফর্ম

আইএএএস প্ল্যাটফর্মগুলি লিনাক্স (ওএস), ডকার (ধারক) এবং কুবারনেটস (অর্কেস্ট্রেশন) এর মতো ওপেন-সোর্স সফ্টওয়্যার (ওএসএস) এর অনুঘটক হয়ে উঠেছে। এই সরঞ্জামগুলি ব্যবহার করার চ্যালেঞ্জটি হ'ল সফ্টওয়্যার লাইব্রেরিতে পাওয়া সাধারণ দুর্বলতা এবং এক্সপোজার (সিভিই) এর উত্তরাধিকার ঝুঁকি এবং নতুন পরিষেবা স্থাপনের ক্ষেত্রে ভুল কনফিগারেশন। গার্টনারের আরেকটি বিখ্যাত উক্তি হলো, 'কন্টেইনারের বিরুদ্ধে ৭০ শতাংশ হামলা হবে পরিচিত দুর্বলতা ও ভুল কনফিগারেশন থেকে, যেগুলোর প্রতিকার করা যেত। কিন্তু ইনফোসেক টিম কীভাবে সেই দুর্বলতা এবং ভুল কনফিগারেশনগুলি দ্রুত চিহ্নিত করে, বিশেষত ক্ষণস্থায়ী পরিবেশে একাধিক বিকাশকারী দল সিআই / সিডি পাইপলাইনগুলিতে ঘন ঘন রিলিজগুলি ঠেলে দেয়?

স্কাইহাই সিএনএপিপি আইএএএস-এ চলমান সমস্ত কম্পিউট ইনস্ট্যান্স, কন্টেইনার এবং কনটেইনার পরিষেবাগুলি সনাক্ত করে সম্পূর্ণ ওয়ার্কলোড সুরক্ষা সরবরাহ করে যখন সমালোচনামূলক সিভিই, সংগ্রহস্থল এবং উত্পাদন ধারক উভয় ক্ষেত্রেই ভুল কনফিগারেশন এবং কিছু নতুন সুরক্ষা বৈশিষ্ট্য প্রবর্তন করে। এই বৈশিষ্ট্যগুলির মধ্যে অ্যাপ্লিকেশন অনুমতি তালিকা, ওএস কঠোরকরণ এবং ফাইল অখণ্ডতা পর্যবেক্ষণ অন্তর্ভুক্ত রয়েছে যা শীঘ্রই ন্যানো-সেগমেন্টেশন এবং অন-প্রিম সমর্থন প্রবর্তনের পরিকল্পনা রয়েছে।

গ্রাহক প্রিয়

• ইন-টেন্যান্ট ডিএলপি স্ক্যান: আমাদের অনেক গ্রাহকের সর্বজনীনভাবে উন্মুক্ত ক্লাউড স্টোরেজ পরিষেবাদির জন্য বৈধ ব্যবহারের ক্ষেত্রে রয়েছে (কখনও কখনও বালতি হিসাবে পরিচিত), তবে একই সাথে সেই বালতিগুলিতে সংবেদনশীল ডেটা নেই তা নিশ্চিত করতে হবে। এই পরিষেবাগুলির জন্য ডিএলপি ব্যবহার করার চ্যালেঞ্জটি বাজারে উপলব্ধ অনেকগুলি সমাধান হ'ল বিক্রেতার নিজস্ব পরিবেশে ডেটা অনুলিপি করা। এটি ইগ্রেস চার্জের সাথে গ্রাহকের ব্যয় বাড়ায় এবং ডেটা ট্রানজিটের সাথে সুরক্ষা চ্যালেঞ্জগুলিও প্রবর্তন করে। সিএনএপিপি গ্রাহকদের ভাড়াটে ডিএলপি স্ক্যানগুলি সম্পাদন করতে দেয় যেখানে ডেটা কখনই আইএএএস পরিবেশ ছেড়ে যায় না, প্রক্রিয়াটিকে আরও সুরক্ষিত এবং কম ব্যয়বহুল করে তোলে।
• ক্লাউডের জন্য মিটার এটিটি ফ্রেমওয়ার্ক: সিকিউরিটি অপারেশন সেন্টার (এসওসি) এর ভাষা এমআইটিআরই, তবে ক্লাউড সিকিউরিটি ঘটনাগুলি এই ফ্রেমওয়ার্কে কীভাবে ফিট করে তার মধ্যে অনেকগুলি সূক্ষ্মতা রয়েছে। স্কাইহাই সিএনএপিপির সাহায্যে আমরা একটি এন্ড-টু-এন্ড প্রক্রিয়া তৈরি করেছি যা সমস্ত সিএসপিএম এবং সিডাব্লুপিপি সুরক্ষা ঘটনাগুলি এমআইটিআরইতে ম্যাপ করে। এখন ইনফোসেক এবং ডেভেলপার দলগুলি এমআইটিআরইতে প্রতিটি ক্লাউড ঘটনাকে স্বয়ংক্রিয়ভাবে শ্রেণিবদ্ধ করে, দ্রুত প্রতিক্রিয়া এবং আরও ভাল সহযোগিতার সুবিধার্থে একসাথে আরও কার্যকরভাবে কাজ করতে পারে।
• ইউনিফাইড অ্যাপ্লিকেশন সিকিউরিটি: সিএনএপিপি আমাদের এমভিশন ক্লাউড পরিষেবা হিসাবে একই প্ল্যাটফর্মে নির্মিত, একটিগার্টনার Magic Quadrant জন্য নেতা Cloud Access Security Broker (সিএএসবি)। গ্রাহকরা এখন একই সমাধানের সাথে আইএএএস-এ তৈরি করা অ্যাপ্লিকেশনগুলির পাশাপাশি তাদের সাস অ্যাপ্লিকেশনগুলির উপর বিশদ দৃশ্যমানতা এবং সুরক্ষা নিয়ন্ত্রণ পেতে সক্ষম হন। আমাদের গ্রাহকরা এমন একটি কনসোল রাখতে পছন্দ করেন যা সমস্ত দল জুড়ে অ্যাপ্লিকেশন ঝুঁকির একটি সামগ্রিক চিত্র সরবরাহ করে - ভোক্তাদের জন্য সাস এবং বিল্ডারদের জন্য আইএএএস।

আরও অনেক বৈশিষ্ট্য রয়েছে যা আমি হাইলাইট করতে চাই, তবে পরিবর্তে আমি আপনাকে নিজের জন্য সমাধানটি পরীক্ষা করে দেখার জন্য আমন্ত্রণ জানাচ্ছি। আমাদের রিলিজ সম্পর্কে আরও তথ্যের জন্য https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html দেখুন বা https://www.skyhighsecurity.com/forms/demo-request-form.html এ একটি ডেমো অনুরোধ করুন। আমরা আপনার প্রতিক্রিয়া পেতে এবং স্কাইহাই সিএনএপিপি আপনাকে ক্লাউডে আরও ক্ষমতায়িত এবং দায়িত্বশীল হতে সহায়তা করতে পারে তা শুনতে চাই।