Azure Security: ক্লাউড ডেটা সুরক্ষিত রাখতে Azure-এর সেরা নিরাপত্তা প্র্যাকটিস!
Microsoft Azure-এ Identity, Network, Data এবং Application স্তরে শক্তিশালী নিরাপত্তা নিশ্চিত করার সম্পূর্ণ গাইড।
মাইক্রোসফট Azure আজ বিশ্বের সবচেয়ে দ্রুত বর্ধনশীল ক্লাউড প্ল্যাটফর্মগুলোর একটি। Microsoft 365, Dynamics 365 এবং অন্যান্য Microsoft সার্ভিসের সাথে গভীর Integration থাকার কারণে Enterprise সংস্থাগুলো Azure-এর প্রতি বিশেষভাবে আকৃষ্ট। কিন্তু এই বিশাল ক্লাউড ইকোসিস্টেমে নিরাপত্তা একটি জটিল চ্যালেঞ্জ। সঠিক কনফিগারেশন, Identity Management এবং Threat Detection-এর সমন্বয় ছাড়া Azure অ্যাকাউন্ট সহজেই আক্রমণের শিকার হতে পারে।
এই বিস্তারিত নিবন্ধে আমরা Azure Security-র সমস্ত গুরুত্বপূর্ণ দিক নিয়ে আলোচনা করব— Microsoft Entra ID থেকে শুরু করে Azure Key Vault, Microsoft Defender for Cloud এবং Network Security Group পর্যন্ত। লক্ষ্য হলো এমন একটি Comprehensive Security Posture গড়ে তোলা যা আধুনিক সাইবার হুমকির বিরুদ্ধে কার্যকরভাবে দাঁড়াতে পারে।
Azure Security-র মূল ধারণা
Azure-এর নিরাপত্তা কাঠামো Shared Responsibility Model অনুযায়ী পরিচালিত। Microsoft ক্লাউডের ভৌত নিরাপত্তা, Hypervisor, Host OS এবং Global Network Infrastructure-এর দায়িত্ব নেয়। গ্রাহকের দায়িত্ব হলো Identity, Data, Application এবং Network Configuration-এর নিরাপত্তা নিশ্চিত করা।
Azure Security-র কেন্দ্রবিন্দু হলো Microsoft Entra ID, যা পূর্বে Azure Active Directory নামে পরিচিত ছিল। এটি একটি Cloud-Native Identity Provider যা SSO, MFA, Conditional Access এবং Identity Governance সরবরাহ করে। Entra ID-র সঠিক কনফিগারেশন ছাড়া বাকি সবকিছু অর্থহীন, কারণ আক্রমণকারীরা প্রথমেই Identity-কে টার্গেট করে।
Azure Resource Manager বা ARM হলো Control Plane যেখানে সমস্ত Azure Resource তৈরি ও পরিচালনা হয়। ARM-এর সাথে Role-Based Access Control বা RBAC যুক্ত যা নির্ধারণ করে কে কোন Resource-এ কী করতে পারবে। RBAC-এর সাথে Azure Policy যুক্ত করে Compliance এবং Governance নিশ্চিত করা হয়। Azure Blueprint-এর মাধ্যমে একসাথে Policy, RBAC এবং Resource Group Template ডিপ্লয় করা যায়।
Defense in Depth-এর নীতি অনুযায়ী Azure-এ একাধিক স্তরে নিরাপত্তা প্রয়োগ করা হয়। Perimeter Network-এ Azure DDoS Protection এবং Azure Firewall, Network Layer-এ NSG এবং Application Security Group, Compute Layer-এ Just-In-Time VM Access, এবং Data Layer-এ Encryption এবং Customer-Managed Key।
Microsoft Entra ID ও Identity হার্ডেনিং
Identity হলো ক্লাউডের নতুন Security Perimeter। Microsoft Entra ID-র সমস্ত গুরুত্বপূর্ণ Feature সক্রিয় করা প্রতিটি সংস্থার জন্য অপরিহার্য। প্রথমে সমস্ত User-এর জন্য Multi-Factor Authentication বাধ্যতামূলক করুন। Microsoft Authenticator App, FIDO2 Security Key বা Windows Hello for Business ব্যবহার করুন। SMS-এর মাধ্যমে MFA পরিহার করুন কারণ SIM Swapping Attack-এর মাধ্যমে এটি বাইপাস করা যায়।
Conditional Access Policy সঠিকভাবে কনফিগার করুন। কমপক্ষে নিম্নলিখিত Policy স্থাপন করুন— Block Legacy Authentication, Require MFA for All Users, Require MFA for Administrators, Block Sign-In from Risky Locations, এবং Require Compliant Device for Sensitive Application। Risky User এবং Risky Sign-In Policy সক্রিয় করে স্বয়ংক্রিয় Remediation নিশ্চিত করুন।
Privileged Identity Management বা PIM হলো Azure-এর একটি গুরুত্বপূর্ণ Feature যা Just-In-Time Privileged Access সক্ষম করে। কোনো User-কে Permanent Global Administrator Role দেবেন না। বরং Eligible Role Assignment করুন যেখানে User-কে Role Activate করার জন্য Approval এবং MFA-র মাধ্যমে যেতে হবে। Activation-এর পর Role শুধুমাত্র সীমিত সময়ের জন্য সক্রিয় থাকবে।
Break-Glass Account দুটি কনফিগার করুন। এই Account-গুলো শুধুমাত্র সম্পূর্ণ জরুরি অবস্থায় ব্যবহৃত হবে যখন Conditional Access বা MFA Provider-এর সাথে সমস্যা হয়। এদের পাসওয়ার্ড অত্যন্ত শক্তিশালী রাখুন, MFA হিসেবে Hardware Token ব্যবহার করুন এবং Vault-এ Physical Backup রাখুন।
Identity Protection সক্রিয় করুন যা Machine Learning-ভিত্তিক Risk Detection প্রদান করে। Anonymous IP, Atypical Travel, Leaked Credentials, এবং Malware Linked IP-র মতো Threat স্বয়ংক্রিয়ভাবে শনাক্ত করে।
Network Security ও Azure Firewall
Azure-এ Network Security নিশ্চিত করতে Hub-and-Spoke Topology গ্রহণ করুন। Hub VNet-এ Shared Service যেমন Azure Firewall, VPN Gateway, এবং Bastion Host রাখুন। Spoke VNet-গুলোতে Application Workload স্থাপন করুন। VNet Peering ব্যবহার করে Hub এবং Spoke-কে সংযুক্ত করুন।
Network Security Group বা NSG হলো Subnet বা NIC লেভেলে Stateful Firewall। Default Rule হিসেবে সমস্ত Inbound এবং Outbound Traffic Allow থাকে যা পরিবর্তন করতে হবে। Least Privilege নীতি অনুসরণ করে শুধুমাত্র প্রয়োজনীয় Port এবং Source IP Allow করুন।
Azure Firewall একটি Managed Cloud-Native Firewall Service যা Application Rule, Network Rule এবং DNAT Rule সমর্থন করে। Threat Intelligence-Based Filtering সক্রিয় করুন যা Microsoft-এর Threat Intelligence Feed ব্যবহার করে Malicious IP এবং Domain স্বয়ংক্রিয়ভাবে Block করে। Premium Tier ব্যবহার করলে TLS Inspection, IDPS, এবং URL Filtering পাওয়া যায়।
Azure DDoS Protection Standard সক্রিয় করুন যা Layer 3 এবং Layer 4 DDoS Attack থেকে রক্ষা করে। Web Application-এর জন্য Azure Front Door বা Application Gateway-এর সাথে Web Application Firewall ব্যবহার করুন যা OWASP Top 10 Vulnerability থেকে সুরক্ষা প্রদান করে।
Private Endpoint ব্যবহার করুন যাতে Azure PaaS Service যেমন Storage Account, SQL Database, Key Vault Internet থেকে অ্যাক্সেসযোগ্য না হয়। Service Endpoint থেকে Private Endpoint বেশি নিরাপদ কারণ এটি Private IP Address প্রদান করে এবং VNet-এর বাইরে থেকে অ্যাক্সেস সম্পূর্ণ Block করা সম্ভব।
ডেটা সুরক্ষা ও Encryption
Azure-এ ডেটা সুরক্ষার জন্য Encryption at Rest এবং Encryption in Transit উভয়ই বাধ্যতামূলক। Azure Storage Account-এ Default Encryption সক্রিয় থাকে কিন্তু Customer-Managed Key বা CMK ব্যবহার করুন যা Azure Key Vault-এ সংরক্ষিত। এটি Key Rotation, Audit Logging এবং Granular Access Control নিশ্চিত করে।
Azure Key Vault হলো একটি Cloud HSM Service যা Cryptographic Key, Secret এবং Certificate সংরক্ষণ করে। Key Vault-এ Soft Delete এবং Purge Protection সক্রিয় করুন যাতে দুর্ঘটনাবশত বা দূষিতভাবে Key মুছে ফেলা না যায়। Access Policy-র পরিবর্তে RBAC ব্যবহার করুন যা আরও Granular Control প্রদান করে।
Azure SQL Database-এ Transparent Data Encryption, Always Encrypted এবং Dynamic Data Masking সক্রিয় করুন। Always Encrypted বিশেষভাবে গুরুত্বপূর্ণ কারণ এটি Database Administrator-এর কাছেও সংবেদনশীল Column-এর Plaintext গোপন রাখে।
Microsoft Purview বা Information Protection ব্যবহার করে Data Classification এবং Labeling বাস্তবায়ন করুন। Confidential, Highly Confidential, Public-এর মতো Label স্বয়ংক্রিয়ভাবে প্রয়োগ হয় এবং সেই অনুযায়ী Access Restriction প্রয়োগ হয়।
Microsoft Defender for Cloud
Microsoft Defender for Cloud হলো Azure-এর Native Cloud Security Posture Management এবং Cloud Workload Protection Platform। এটি দুটি প্রধান Capability প্রদান করে— Continuous Security Assessment এবং Threat Protection।
Secure Score ফিচার আপনার Security Posture-কে শতাংশে প্রকাশ করে এবং Improvement Recommendation প্রদান করে। নিয়মিত এই Recommendation পর্যালোচনা করে বাস্তবায়ন করুন। Defender Plan সক্রিয় করুন বিভিন্ন Resource Type-এর জন্য— Defender for Servers, Defender for SQL, Defender for Storage, Defender for Containers, এবং Defender for Key Vault।
Defender for Servers Microsoft Defender for Endpoint Integration প্রদান করে যা EDR ক্ষমতা যুক্ত করে। File Integrity Monitoring, Just-In-Time VM Access, Adaptive Application Controls, এবং Vulnerability Assessment-এর মতো Feature পাওয়া যায়।
Logging, Monitoring ও Azure Sentinel
Azure-এ Logging কেন্দ্রীয়ভাবে পরিচালনা করুন। Azure Monitor, Log Analytics Workspace, এবং Azure Sentinel-এর সমন্বয়ে একটি শক্তিশালী SIEM প্ল্যাটফর্ম গড়ে তুলুন। Activity Log, Resource Log, Microsoft Entra ID Sign-In Log এবং Audit Log একটি Central Log Analytics Workspace-এ পাঠান।
Azure Sentinel হলো Cloud-Native SIEM এবং SOAR Platform। এটি Microsoft এবং Third-party Source থেকে Log Ingest করে, Machine Learning-এর মাধ্যমে Threat Detect করে এবং Automated Response চালায়। প্রি-বিল্ট Analytics Rule, Hunting Query এবং Workbook ব্যবহার করুন।
Diagnostic Setting প্রতিটি গুরুত্বপূর্ণ Resource-এ সক্রিয় করুন। Key Vault, Storage Account, Network Security Group, এবং Application Gateway-র Log অপরিহার্য। Log Retention কমপক্ষে ৯০ দিন রাখুন, Compliance-এর প্রয়োজন অনুযায়ী ১ বছর বা তার বেশি।
বাস্তব উদাহরণ
২০২৩ সালে Microsoft Storm-0558 নামে একটি Chinese State-Sponsored Threat Actor Group-এর বিরুদ্ধে অভিযোগ আনে। এই গ্রুপ একটি Microsoft Account Consumer Signing Key চুরি করে এবং সেটি ব্যবহার করে ২৫টিরও বেশি সংস্থার Exchange Online এবং Outlook.com Account অ্যাক্সেস করে। যদিও এটি Microsoft-এর নিজস্ব দুর্বলতা ছিল, এটি দেখায় Identity Provider-এর Key Management কতটা গুরুত্বপূর্ণ।
এই ঘটনার পর Microsoft Audit Logging সব গ্রাহকের জন্য Free করে দেয় এবং Key Management Practice পুনর্বিন্যাস করে। গ্রাহকদের জন্য শিক্ষা হলো— শুধুমাত্র Microsoft-এর Default নিরাপত্তার ওপর নির্ভর না করে নিজস্ব Detection এবং Response Capability গড়ে তোলা।
প্রতিরোধ ও প্রতিকার
Azure Security Best Practice কয়েকটি স্তম্ভের ওপর প্রতিষ্ঠিত। প্রথমত, Management Group এবং Subscription Hierarchy পরিকল্পিতভাবে তৈরি করুন। Production, Development, Sandbox-এর জন্য আলাদা Subscription রাখুন। Azure Policy ব্যবহার করে Resource Type, Region, এবং Configuration-এর Guardrail স্থাপন করুন।
দ্বিতীয়ত, Infrastructure as Code টুল যেমন Terraform, Bicep বা ARM Template ব্যবহার করুন। ম্যানুয়াল Portal-ভিত্তিক Deployment পরিহার করুন। CI/CD Pipeline-এ Security Scanning যেমন Checkov, tfsec বা Microsoft Defender for DevOps Integration করুন।
তৃতীয়ত, Regular Security Assessment পরিচালনা করুন। CIS Microsoft Azure Foundations Benchmark অনুসরণ করুন। Defender for Cloud-এর Regulatory Compliance Dashboard ব্যবহার করে PCI DSS, ISO 27001, NIST 800-53-এর সাথে সামঞ্জস্য পরীক্ষা করুন।
চতুর্থত, Backup এবং Disaster Recovery Plan তৈরি করুন। Azure Backup এবং Azure Site Recovery কনফিগার করুন। Immutable Backup Vault ব্যবহার করুন যা Ransomware Attack থেকে রক্ষা করে।
পঞ্চমত, কর্মীদের নিয়মিত Security Training দিন। Phishing Simulation চালান। Attack Simulator-এর মাধ্যমে Microsoft Defender for Office 365-এ Realistic Attack Scenario Test করুন।
Azure Security একটি বহুমাত্রিক বিষয় যেখানে Identity, Network, Data, এবং Application স্তরের সমন্বিত কৌশল প্রয়োজন। Microsoft-এর Native টুলগুলো অত্যন্ত শক্তিশালী, কিন্তু সঠিক কনফিগারেশন এবং ব্যবহার ছাড়া সেগুলো অর্থহীন। Zero Trust Architecture গ্রহণ করুন যেখানে প্রতিটি Access Request Verify করা হয়, Least Privilege প্রয়োগ করা হয়, এবং Continuous Monitoring বজায় রাখা হয়। নিয়মিত Threat Modeling এবং Red Team Exercise-এর মাধ্যমে আপনার Defense পরীক্ষা করুন। ক্লাউড নিরাপত্তা একটি অবিরাম যাত্রা, কোনো গন্তব্য নয়।
আপনার জ্ঞান যাচাই করতে প্রস্তুত? আজই HackCert-এ Azure Security MCQ Quiz-টি দিন!
Related articles
AWS Security: Ensuring Maximum Protection for Your Amazon Cloud Account
12 min
Azure Escape: How Hackers Breach Microsoft Cloud Security Boundaries
12 min
Cloud Forensics: Collecting Digital Evidence of Cyber Attacks in Cloud Infrastructure
12 min
Cloud IAM: Access Control and Identity Management in Cloud Servers
12 min