Architecture Security: শুরু থেকেই নিশ্ছিদ্র সাইবার নিরাপত্তা ফ্রেমওয়ার্ক তৈরির গাইডলাইন!

Security Architecture হলো একটি comprehensive blueprint যা একটি organization-এর system, network, application, এবং data-এর নিরাপত্তা নিশ্চিত করতে কীভাবে control, technology এবং process integrate হবে তা define করে। এটি শুধু technology selection নয়—এটি business requirement, risk tolerance, regulatory compliance, এবং operational efficiency-এর সমন্বিত প্রকাশ।

একটি ভালো security architecture-এর কয়েকটি মৌলিক বৈশিষ্ট্য রয়েছে। প্রথমত, এটি risk-based—সব asset-কে সমান গুরুত্ব দেয় না, বরং business criticality অনুযায়ী prioritize করে। দ্বিতীয়ত, এটি defense in depth অনুসরণ করে—একটি single control-এর উপর নির্ভরশীল নয়, বরং multiple layer-এর সমন্বয়। তৃতীয়ত, এটি adaptable—evolving threat landscape এবং business requirement-এর সঙ্গে evolve করতে পারে।

Enterprise Security Architecture-এর জনপ্রিয় framework-এর মধ্যে রয়েছে SABSA (Sherwood Applied Business Security Architecture), TOGAF-এর security extension, এবং NIST Cybersecurity Framework। প্রতিটি framework কিছু uniqueness নিয়ে আসে, কিন্তু সবার core principle অনেকটা একই।

Classical security-এর ভিত্তি হলো CIA Triad—Confidentiality, Integrity, এবং Availability। Confidentiality নিশ্চিত করে যে শুধু authorized party data access করতে পারে। Integrity নিশ্চিত করে data unauthorized modification থেকে সুরক্ষিত। Availability নিশ্চিত করে যে authorized user প্রয়োজনের সময় system এবং data access করতে পারেন।

আধুনিক architecture-এ এই triad-এর সঙ্গে আরও কয়েকটি principle যোগ হয়েছে। Authentication (পরিচয় verify), Authorization (permission control), Non-repudiation (action অস্বীকার করতে না পারা), এবং Accountability (audit trail) মিলে একটি comprehensive picture তৈরি করে।

প্রতিটি architectural decision-এ এই principle-গুলো consider করতে হবে। উদাহরণস্বরূপ, একটি new database deployment-এ Confidentiality-এর জন্য encryption at rest, Integrity-এর জন্য checksumming এবং transaction logging, Availability-এর জন্য replication এবং backup—সবই plan করতে হবে।

পরিচিত ধারণা "trust but verify"-এর জায়গায় Zero Trust বলে "never trust, always verify"। এই paradigm shift এসেছে কারণ traditional perimeter-based security model আধুনিক threat landscape-এ inadequate—যেখানে remote work, cloud adoption, এবং mobile device ব্যাপক, সেখানে "trusted internal network" বলে কিছু নেই।

Zero Trust-এর core principle হলো: প্রতিটি access request—এমনকি internal network থেকে আসা—কে untrusted হিসেবে treat করা, এবং explicit authentication ও authorization দাবি করা। কোনো user বা device-এর location, network position, বা past behavior-এর ভিত্তিতে implicit trust নেই।

NIST SP 800-207 Zero Trust Architecture-এর authoritative reference। এর core component-গুলো হলো Policy Engine (access decision-এর জন্য logic), Policy Administrator (decision execute), এবং Policy Enforcement Point (actual access control)। Identity Provider, Asset Database, Threat Intelligence, এবং SIEM-ও এই ecosystem-এর অংশ।

বাস্তবায়নের জন্য কিছু specific technology category-র দরকার হয়। Identity and Access Management (IAM) এবং Privileged Access Management (PAM) identity verification-এর জন্য। Software-Defined Perimeter (SDP) এবং Zero Trust Network Access (ZTNA) network access control-এর জন্য। Microsegmentation network within network-এর জন্য। Continuous monitoring এবং User Entity Behavior Analytics (UEBA) anomaly detection-এর জন্য।

Google-এর BeyondCorp একটি pioneering Zero Trust implementation যা প্রায় এক দশক ধরে evolution করেছে। এই কৌশলে VPN-এর প্রয়োজনীয়তা সম্পূর্ণ বাদ দেওয়া হয়েছে—সব access (internal এবং external উভয়) Internet-based proxy-এর মাধ্যমে control হয়।

Defense in Depth হলো একটি military concept যা cybersecurity-তে adapted হয়েছে। মূল ধারণা হলো একাধিক স্বাধীন security layer তৈরি করা যাতে একটি layer fail করলেও অন্য layer protection প্রদান করে।

একটি typical enterprise defense in depth model-এ থাকে: Physical security (data center access control, surveillance), Network security (firewall, IDS/IPS, segmentation), Endpoint security (EDR, antivirus, host firewall), Application security (WAF, SAST/DAST, input validation), Data security (encryption, DLP, classification), এবং Identity security (MFA, SSO, PAM)।

প্রতিটি layer-এ specific control-গুলো carefully selected হওয়া উচিত। উদাহরণস্বরূপ, network layer-এ next-gen firewall, IDS/IPS, এবং network segmentation; application layer-এ secure coding standard, code review, এবং WAF।

Defense in Depth-এর একটি critical aspect হলো diversification। শুধু একই vendor-এর সব product ব্যবহার করলে systemic vulnerability হতে পারে। বিভিন্ন vendor এবং technology-এর mix নিরাপত্তা বাড়ায়।

Architecture phase-এ threat modeling একটি অপরিহার্য practice। এটি একটি structured process যেখানে system-এর সম্ভাব্য threat identify করা হয়, এবং সেই অনুযায়ী mitigation design করা হয়।

জনপ্রিয় methodology-এর মধ্যে STRIDE (Microsoft-এর তৈরি) সবচেয়ে বিস্তৃত। এটি threat-কে ছয় category-তে ভাগ করে: Spoofing (identity), Tampering (data), Repudiation (action), Information Disclosure, Denial of Service, এবং Elevation of Privilege। প্রতিটি component-এ এই categories-এর প্রাসঙ্গিকতা analyze করা হয়।

PASTA (Process for Attack Simulation and Threat Analysis) একটি seven-stage methodology যা business objective থেকে শুরু করে technical countermeasure পর্যন্ত যায়। এটি কাজের জন্য বেশি সময় দাবি করে কিন্তু আরো comprehensive।

DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) threat-কে quantify এবং prioritize করতে সাহায্য করে। যদিও এর subjective nature-এর কারণে Microsoft এটি ব্যবহার বন্ধ করেছে, এখনও অনেক organization এটি use করে।

Threat modeling-এর জন্য visual diagram—Data Flow Diagram (DFD)—অপরিহার্য। প্রতিটি component, trust boundary, এবং data flow document করা হয়। Trust boundary সেই point যেখানে data বা control এক trust level থেকে অন্যে যায়, এবং এসব জায়গায় বিশেষ scrutiny প্রয়োজন।

Network security architecture-এ multiple zone থাকে different trust level-এর সঙ্গে। Traditional model-এ DMZ (Demilitarized Zone) public-facing service-এর জন্য, internal network business application-এর জন্য, এবং restricted zone sensitive data-এর জন্য।

Microsegmentation এই concept-কে এগিয়ে নিয়েছে। প্রতিটি workload বা application-এর জন্য আলাদা segment, সঙ্গে strict east-west traffic control। VMware NSX, Cisco ACI, এবং Illumio-এর মতো platform এই capability প্রদান করে।

Software-Defined Networking (SDN) এবং Network Function Virtualization (NFV) network architecture-এ অভূতপূর্ব flexibility এনেছে। Security policy automatically deploy এবং enforce করা যায় across hybrid environment।

Cloud-native architecture-এ VPC (Virtual Private Cloud), security group, network ACL, এবং service mesh (Istio, Linkerd) network security-এর primary tool। Service mesh-এ mTLS, fine-grained authorization, এবং observability built-in।

আধুনিক architecture-এ identity হলো new perimeter। যেহেতু resource everywhere—on-premises, cloud, mobile—identity-ই হলো consistent control plane।

IAM strategy-তে কয়েকটি core component থাকে: Single Sign-On (SSO) user experience-এর জন্য, Multi-Factor Authentication (MFA) credential theft মোকাবেলায়, Role-Based Access Control (RBAC) bulk authorization-এর জন্য, এবং Attribute-Based Access Control (ABAC) fine-grained, context-aware decision-এর জন্য।

Privileged Access Management (PAM) সবচেয়ে sensitive accounts-এর জন্য। Just-in-Time (JIT) access—standing admin privilege-এর পরিবর্তে specific task-এর জন্য temporary access। Privileged Session Management—admin session-এর recording এবং monitoring। Password vaulting—shared admin password-এর secure storage।

Identity Governance and Administration (IGA) ensures যে access lifecycle properly managed—onboarding, role change, এবং offboarding-এ correct access provisioning। Periodic access review এবং certification শুধু compliance নয়, security-এর জন্যও critical।

Data security architecture-এ data classification প্রথম ধাপ। Public, Internal, Confidential, এবং Restricted—সাধারণ চারটি tier। প্রতিটি tier-এর জন্য specific handling requirement: encryption (rest, transit, in-use), access control, retention policy, এবং disposal procedure।

Encryption-এর জন্য proper key management critical। Hardware Security Module (HSM) সবচেয়ে sensitive key-এর জন্য। Cloud KMS (AWS KMS, Azure Key Vault, GCP KMS) cloud workload-এর জন্য। Key rotation, separation of duties, এবং audit logging—সবই key management-এর অংশ।

Data Loss Prevention (DLP) sensitive data-এর unauthorized exfiltration prevent করে। Network DLP traffic inspect করে, Endpoint DLP user action monitor করে, এবং Cloud DLP SaaS application-এ data scan করে। DLP-এর effectiveness নির্ভর করে accurate data classification এবং fine-tuned policy-এর উপর।

Database-specific control-এ Transparent Data Encryption (TDE), column-level encryption, dynamic data masking, এবং row-level security। Sensitive PII, financial data, এবং health record-এর জন্য tokenization বা format-preserving encryption প্রায়শই uses হয়।

Cloud adoption-এর সঙ্গে security architecture-এ নতুন dimension যোগ হয়েছে। Shared Responsibility Model বুঝা প্রথম গুরুত্বপূর্ণ পদক্ষেপ। Cloud provider physical infrastructure, hypervisor, এবং managed service-এর security নিশ্চিত করেন, কিন্তু application, data, identity, এবং configuration customer-এর responsibility।

Cloud Security Posture Management (CSPM) tool যেমন Wiz, Prisma Cloud, এবং AWS Security Hub configuration drift, misconfiguration, এবং compliance violation detect করে। AWS S3 bucket public exposure, Azure Storage account anonymous access, এবং IAM policy over-privilege—এসব সমস্যা CSPM দিয়ে identify হয়।

Cloud Workload Protection Platform (CWPP) যেমন CrowdStrike Falcon Cloud Workload Protection, Aqua Security, এবং Trend Micro Deep Security—container, VM, এবং serverless function-এ runtime protection প্রদান করে।

Multi-cloud এবং hybrid environment-এ consistent policy enforcement একটি বড় চ্যালেঞ্জ। Cloud-agnostic security platform এবং Infrastructure as Code (Terraform, Pulumi)-এর সঙ্গে security policy embed করা—এসব strategy প্রয়োগ করতে হয়।

Equifax breach (২০১৭) architectural failure-এর একটি classic case। তাদের network segmentation দুর্বল ছিল, web application server থেকে সরাসরি sensitive database access ছিল, এবং patch management process ভাঙা ছিল। ১৪৮ মিলিয়ন American-এর data exposed। সঠিক architecture এবং defense in depth এই incident-এর severity অনেকাংশে কমাতে পারত।

Target breach (২০১৩)-এ HVAC vendor-এর credential compromise থেকে point-of-sale system পর্যন্ত lateral movement-এ network segmentation-এর অভাব প্রকাশ পেয়েছিল। ৪০ মিলিয়ন credit card data চুরি হয়েছিল।

Capital One breach (২০১৯)-এ misconfigured AWS WAF-এর কারণে SSRF attack-এর মাধ্যমে metadata service থেকে IAM credential leak এবং তার মাধ্যমে S3 bucket access। ১০০ মিলিয়ন customer record affected। সঠিক IAM design, instance metadata service v2, এবং WAF configuration এই attack prevent করতে পারত।