CASB Implementation: ক্লাউড ডেটা নিরাপত্তায় ক্লাউড অ্যাক্সেস সিকিউরিটি ব্রোকারের ভূমিকা!

CASB হলো একটি সিকিউরিটি পলিসি এনফোর্সমেন্ট পয়েন্ট যা ক্লাউড সেবার ব্যবহারকারী এবং সেবা প্রদানকারীর মাঝখানে অবস্থান করে। এটি ক্লাউড-বাউন্ড ট্রাফিক পরিদর্শন করে, প্রতিষ্ঠানের নিরাপত্তা নীতি প্রয়োগ করে, এবং দৃশ্যমানতা প্রদান করে। Gartner ২০১২ সালে এই ক্যাটাগরি সংজ্ঞায়িত করে এবং এটি দ্রুত প্রতিষ্ঠানগত নিরাপত্তা স্থাপত্যের কেন্দ্রবিন্দু হয়ে ওঠে।

ঐতিহ্যবাহী নিরাপত্তা সরঞ্জাম যেমন ফায়ারওয়াল, IDS, এবং DLP নেটওয়ার্ক সীমান্তে অবস্থিত। কিন্তু ক্লাউডে এই সীমান্ত প্রায় অস্তিত্বহীন—ব্যবহারকারীরা যেকোনো স্থান থেকে, যেকোনো ডিভাইস থেকে SaaS অ্যাপে সংযুক্ত হন। CASB এই নতুন বাস্তবতার জন্য বিশেষভাবে ডিজাইন করা।

Gartner CASB-এর প্রধান কার্যকারিতাকে চারটি স্তম্ভে ভাগ করেছে। প্রথমটি হলো Visibility (দৃশ্যমানতা)। কোন কর্মচারী কোন ক্লাউড অ্যাপ ব্যবহার করছেন, কখন, এবং কী ডেটা স্থানান্তর হচ্ছে—এই সব তথ্য CASB সংগ্রহ ও বিশ্লেষণ করে। Shadow IT আবিষ্কার এর একটি গুরুত্বপূর্ণ দিক—প্রতিষ্ঠান প্রায়শই জানেনই না যে কর্মচারীরা ডজন খানেক অননুমোদিত অ্যাপ ব্যবহার করছেন।

দ্বিতীয় স্তম্ভ হলো Compliance। GDPR, HIPAA, PCI-DSS, SOX—এই সব নিয়ন্ত্রক কাঠামোর প্রয়োজনীয়তা ক্লাউডে পূরণ করা চ্যালেঞ্জিং। CASB প্রি-বিল্ট নীতি দিয়ে এই কাজ সহজ করে। উদাহরণস্বরূপ, GDPR-এর জন্য EU ব্যবহারকারীদের ব্যক্তিগত তথ্য EU-এর বাইরে সংরক্ষণ না করার নিয়ম প্রয়োগ করা যায়।

তৃতীয় স্তম্ভ হলো Data Security। DLP (Data Loss Prevention) ক্লাউডে যাওয়া বা ক্লাউডে সংরক্ষিত সংবেদনশীল ডেটা শনাক্ত ও সুরক্ষিত করে। CASB ক্রেডিট কার্ড নম্বর, সামাজিক নিরাপত্তা নম্বর, এবং অন্যান্য PII স্ক্যান করতে পারে এবং এনক্রিপশন, টোকেনাইজেশন বা ব্লকিং প্রয়োগ করে।

চতুর্থ স্তম্ভ হলো Threat Protection। অ্যাকাউন্ট হাইজ্যাকিং, অস্বাভাবিক লগইন প্যাটার্ন, ম্যালওয়্যার আপলোড—এই সব হুমকি CASB শনাক্ত করে। User and Entity Behavior Analytics (UEBA) ব্যবহার করে এটি স্বাভাবিক আচরণের একটি বেসলাইন তৈরি করে এবং অসঙ্গতি শনাক্ত করে।

CASB বিভিন্ন আর্কিটেকচারে স্থাপন করা যায়, প্রতিটির নিজস্ব সুবিধা ও অসুবিধা আছে। সবচেয়ে সাধারণ মডেল হলো API-Based বা Out-of-Band। এখানে CASB ক্লাউড সেবা প্রদানকারীর API-এর সাথে সংযুক্ত হয় এবং সেখানে সংরক্ষিত ডেটা স্ক্যান করে। এটি দ্রুত স্থাপন করা যায় এবং কোনো নেটওয়ার্ক বাধা সৃষ্টি করে না, কিন্তু রিয়েল-টাইম প্রতিরোধে দুর্বল—ডেটা ইতিমধ্যে আপলোড হয়ে যাওয়ার পর সমস্যা শনাক্ত হয়।

দ্বিতীয় মডেল হলো Forward Proxy বা Inline। এখানে CASB একটি প্রক্সি হিসেবে কাজ করে—কর্মচারীর ডিভাইস থেকে ক্লাউডে যাওয়া সব ট্রাফিক প্রথমে CASB দিয়ে যায়। এটি রিয়েল-টাইম প্রয়োগ সক্ষম করে কিন্তু এজেন্ট ইনস্টলেশন বা PAC ফাইল প্রয়োজন। মোবাইল ডিভাইস ও BYOD-তে এটি চ্যালেঞ্জিং।

তৃতীয় মডেল হলো Reverse Proxy। এখানে CASB ক্লাউড সেবার সামনে বসে এবং সব আগত ট্রাফিক ফিল্টার করে। এটি বিশেষ করে আনম্যানেজড ডিভাইস থেকে অ্যাক্সেস নিয়ন্ত্রণে কার্যকর। তবে শুধু SAML-সমর্থিত অ্যাপের সাথে কাজ করে।

আধুনিক CASB সলিউশন সাধারণত Multi-mode—একই প্ল্যাটফর্ম API, Forward Proxy, এবং Reverse Proxy সবকিছু সমর্থন করে, যা ব্যবহারের ক্ষেত্রের উপর নির্ভর করে নির্বাচিত হয়।

বাজারে কয়েকটি প্রধান CASB ভেন্ডর রয়েছে। Microsoft Defender for Cloud Apps (পূর্বে Microsoft Cloud App Security) Microsoft 365 ব্যবহারকারীদের জন্য সবচেয়ে স্বাভাবিক পছন্দ, কারণ এটি Azure AD এবং Microsoft 365-এর সাথে গভীর ইন্টিগ্রেশন প্রদান করে।

Netskope Security Cloud একটি মার্কেট লিডার, যা শুধু CASB নয় বরং SWG, ZTNA-সহ একটি সম্পূর্ণ SASE প্ল্যাটফর্ম প্রদান করে। McAfee MVISION Cloud (এখন Skyhigh Security) দীর্ঘদিন ধরে এই ক্ষেত্রে অগ্রণী। Palo Alto Networks Prisma SaaS, Forcepoint, Bitglass (Forcepoint দ্বারা অধিগৃহীত), এবং Cisco Cloudlock অন্যান্য উল্লেখযোগ্য বিকল্প।

ভেন্ডর নির্বাচনের সময় বিবেচ্য বিষয় হলো সমর্থিত SaaS অ্যাপের সংখ্যা, ডিপ্লয়মেন্ট মডেলের নমনীয়তা, DLP ক্ষমতা, AI/ML-ভিত্তিক হুমকি শনাক্তকরণ, এবং বিদ্যমান নিরাপত্তা স্ট্যাকের সাথে ইন্টিগ্রেশন।

CASB স্থাপন একটি জটিল প্রকল্প যা সঠিক পরিকল্পনা দাবি করে। প্রথম ধাপ হলো Discovery Phase—একটি প্রুফ-অফ-কনসেপ্ট চালিয়ে কোন কোন SaaS অ্যাপ প্রতিষ্ঠানে ব্যবহৃত হচ্ছে তা ম্যাপ করা। অধিকাংশ প্রতিষ্ঠান এই পর্যায়ে অবাক হন যে তারা ১,০০০-এর বেশি অননুমোদিত অ্যাপ ব্যবহার করছেন।

দ্বিতীয় ধাপে Use Case সংজ্ঞায়িত করা। যেমন: "ব্যক্তিগত Gmail অ্যাকাউন্টে কর্পোরেট ফাইল আপলোড প্রতিরোধ", "শুধু ব্যবস্থাপিত ডিভাইস থেকে Salesforce অ্যাক্সেস", "Microsoft 365-এ আপলোড হওয়া সব ফাইলের ম্যালওয়্যার স্ক্যান"। প্রাথমিকভাবে ৩-৫টি অগ্রাধিকার ব্যবহারের ক্ষেত্রে ফোকাস করা সর্বোত্তম।

তৃতীয় ধাপে Pilot Deployment। ছোট একটি ব্যবহারকারী গ্রুপের জন্য CASB স্থাপন এবং নীতি পরিমার্জন। বড় কর্পোরেট পরিবেশে সরাসরি সবার উপর প্রয়োগ করলে False Positive ব্যবসায়িক কার্যক্রম ব্যাহত করতে পারে।

চতুর্থ ধাপে Policy Tuning। প্রাথমিকভাবে নীতিগুলো Monitor মোডে চালান, যেখানে লঙ্ঘন লগ হয় কিন্তু ব্লক হয় না। কয়েক সপ্তাহের ডেটা বিশ্লেষণ করে False Positive কমান, তারপর Enforce মোডে স্থানান্তর করুন।

পঞ্চম ধাপ হলো Integration। CASB-কে SIEM (Splunk, QRadar, Sentinel) এবং SOAR প্ল্যাটফর্মের সাথে যুক্ত করুন। Identity Provider (Azure AD, Okta) সংযোগ Conditional Access নীতির জন্য অপরিহার্য।

ষষ্ঠ ধাপে User Training। কর্মচারীদের জানান কেন কিছু আচরণ ব্লক হচ্ছে এবং অনুমোদিত বিকল্প কী। নিরাপত্তা সচেতনতা ছাড়া যেকোনো নিরাপত্তা সরঞ্জাম ব্যর্থ হবে।

সাম্প্রতিক বছরগুলোতে CASB একটি বৃহত্তর কাঠামোর অংশ হয়ে উঠেছে—Secure Access Service Edge (SASE) এবং Security Service Edge (SSE)। এখানে CASB-এর সাথে SWG (Secure Web Gateway), ZTNA (Zero Trust Network Access), এবং FWaaS (Firewall as a Service) একীভূত হয়।

এই একীভূত পদ্ধতির সুবিধা অনেক—একটি প্ল্যাটফর্ম, একটি কনসোল, একটি পলিসি ইঞ্জিন। ব্যবহারকারী যেখানেই থাকুন এবং যা-ই অ্যাক্সেস করুন (SaaS, IaaS, বা অভ্যন্তরীণ অ্যাপ), একই নিরাপত্তা নীতি প্রয়োগ হয়।

CASB শক্তিশালী হলেও কিছু চ্যালেঞ্জ রয়েছে। প্রথমত, এনক্রিপ্টেড ট্রাফিক পরিদর্শনের জন্য SSL Inspection প্রয়োজন, যা প্রাইভেসি ও আইনি জটিলতা সৃষ্টি করতে পারে। দ্বিতীয়ত, Inline মোডে CASB সংযোগ ব্যর্থ হলে সব ক্লাউড অ্যাক্সেস বিচ্ছিন্ন হতে পারে।

তৃতীয়ত, কিছু অ্যাপ (যেমন ChatGPT, নতুন Generative AI টুল) দ্রুত আসছে যেগুলোর জন্য CASB-এর কভারেজ থাকতে দেরি হতে পারে। চতুর্থত, BYOD ডিভাইসে CASB প্রয়োগ কর্মচারীর প্রাইভেসি উদ্বেগ সৃষ্টি করে।

CASB ইমপ্লিমেন্ট করার সময় কয়েকটি গুরুত্বপূর্ণ সর্বোত্তম অনুশীলন অনুসরণ করুন। প্রথমত, ব্যবসায়িক ইউনিটের সাথে ঘনিষ্ঠ সহযোগিতা রাখুন—তাদের কাজের প্রবাহ না বুঝে নীতি প্রয়োগ ব্যর্থতার রেসিপি। দ্বিতীয়ত, একটি ফেজড অ্যাপ্রোচ গ্রহণ করুন—দৃশ্যমানতা থেকে শুরু, তারপর পলিসি, তারপর প্রয়োগ।

তৃতীয়ত, ব্যবহারকারীর অভিজ্ঞতা গুরুত্ব দিন—অতিরিক্ত কঠোর নীতি বাইপাস অনুসন্ধানে উৎসাহিত করে। চতুর্থত, নিয়মিত পর্যালোচনা ও আপডেট নিশ্চিত করুন—ক্লাউড পরিবেশ দ্রুত পরিবর্তিত হয়।

পঞ্চমত, ডেটা ক্লাসিফিকেশন স্কিম পরিষ্কার রাখুন—Public, Internal, Confidential, Restricted ক্যাটাগরি সংজ্ঞায়িত করুন এবং প্রতিটির জন্য আলাদা নীতি প্রয়োগ করুন। ষষ্ঠত, Insider Threat-এর জন্য বিশেষ UEBA নিয়ম তৈরি করুন।