CIS Benchmarks: আইটি সিস্টেমের নিরাপত্তায় আন্তর্জাতিক স্ট্যান্ডার্ড ফ্রেমওয়ার্ক!

Center for Internet Security (CIS) একটি অলাভজনক প্রতিষ্ঠান যা ২০০০ সালে প্রতিষ্ঠিত। এর প্রধান লক্ষ্য হলো সাইবার নিরাপত্তায় বাস্তবমুখী, ঐকমত্য-ভিত্তিক সর্বোত্তম অনুশীলন প্রদান। CIS Benchmarks ছাড়াও CIS Critical Security Controls (CIS Controls), CIS Hardened Images, এবং MS-ISAC (Multi-State Information Sharing & Analysis Center) এর অন্যান্য প্রকল্প।

CIS-এর কাজের পদ্ধতি অনন্য—এটি ভেন্ডর-নিরপেক্ষ এবং প্রতিটি Benchmark বিশ্বব্যাপী বিশেষজ্ঞদের ঐকমত্যে তৈরি হয়। ১৫,০০০-এর বেশি কমিউনিটি সদস্য এই প্রক্রিয়ায় অবদান রাখেন—যার মধ্যে আছেন সরকারি কর্মকর্তা, প্রাইভেট সেক্টরের প্রকৌশলী, এবং অ্যাকাডেমিক গবেষক।

প্রতিটি CIS Benchmark একটি নির্দিষ্ট প্রযুক্তির জন্য নির্দিষ্ট। বর্তমানে ২৫টিরও বেশি প্রযুক্তি ক্যাটাগরির জন্য Benchmark রয়েছে। অপারেটিং সিস্টেম ক্যাটাগরিতে Windows Server (২০১৬, ২০১৯, ২০২২), Windows 10/11, RHEL, Ubuntu, CentOS, Amazon Linux, macOS রয়েছে।

ক্লাউড প্ল্যাটফর্মের জন্য AWS Foundations, Azure Foundations, Google Cloud Platform, Oracle Cloud—প্রতিটির আলাদা Benchmark। ডাটাবেস ক্যাটাগরিতে Microsoft SQL Server, Oracle, MySQL, PostgreSQL, MongoDB। কন্টেইনার ও কুবেরনেটিসের জন্য Docker, Kubernetes, Red Hat OpenShift।

নেটওয়ার্ক ডিভাইসের জন্য Cisco IOS, Palo Alto, Check Point—এমনকি প্রিন্টার ও MFP ডিভাইসের জন্যও Benchmark আছে। অ্যাপ্লিকেশনের জন্য Microsoft 365, Google Workspace, Zoom, Slack-এর Benchmark রয়েছে।

প্রতিটি Benchmark সাধারণত ১০০ থেকে ৩০০ পর্যন্ত পৃথক নিয়ন্ত্রণ ধারণ করে। প্রতিটি নিয়ন্ত্রণে রয়েছে শিরোনাম, বর্ণনা, যৌক্তিকতা, সরাসরি প্রভাব, অডিট পদ্ধতি (কীভাবে যাচাই করবেন), প্রতিকার (কীভাবে ঠিক করবেন), এবং রেফারেন্স।

CIS Benchmarks-এ দুটি Profile সাধারণত থাকে—Level 1 এবং Level 2। Level 1-এ এমন সেটিংস অন্তর্ভুক্ত যা কর্মক্ষমতা ও কার্যকারিতায় ন্যূনতম প্রভাব ফেলে এবং অধিকাংশ পরিবেশে নিরাপদে প্রয়োগ করা যায়। উদাহরণস্বরূপ, পাসওয়ার্ড নীতি, ব্যবহারকারীর অডিট লগ, অপ্রয়োজনীয় পরিষেবা নিষ্ক্রিয়।

Level 2 আরও কঠোর সুরক্ষা প্রদান করে কিন্তু কিছু কার্যকারিতা সীমিত করতে পারে। উদাহরণস্বরূপ, কঠোর নেটওয়ার্ক ফিল্টারিং, USB ডিভাইস ব্লক, অথবা নির্দিষ্ট অ্যাপ্লিকেশন প্রতিবন্ধকতা। উচ্চ-নিরাপত্তা পরিবেশ (যেমন প্রতিরক্ষা, ফিনান্স, স্বাস্থ্যসেবা) সাধারণত Level 2 প্রয়োজন।

কিছু Benchmark-এ অতিরিক্ত Profile থাকে, যেমন STIG (Security Technical Implementation Guide) প্রোফাইল যা মার্কিন প্রতিরক্ষা বিভাগের প্রয়োজনীয়তা অনুসরণ করে।

CIS AWS Foundations Benchmark ক্লাউড নিরাপত্তায় সবচেয়ে বেশি ব্যবহৃত। এতে IAM (Multi-Factor Authentication বাধ্যতামূলক, Root Account ব্যবহার সীমাবদ্ধ, Password Policy), CloudTrail (সব রিজিয়নে লগিং, লগ ফাইল ভ্যালিডেশন), Networking (Security Group-এ 0.0.0.0/0 থেকে SSH/RDP নিষিদ্ধ), এবং Monitoring (অনুমোদিত API কল, কনসোল সাইন-ইন ব্যর্থতা)—এর মতো নিয়ন্ত্রণ রয়েছে।

CIS Kubernetes Benchmark-এ Control Plane, etcd, Worker Node, এবং Policy কনফিগারেশনের জন্য বিস্তারিত নির্দেশনা রয়েছে। API Server অডিট লগিং, RBAC সঠিক কনফিগারেশন, Network Policy প্রয়োগ, এবং Pod Security Standards প্রয়োগের নিয়ম এতে অন্তর্ভুক্ত।

CIS Windows Server 2022 Benchmark-এ ৫০০-এর বেশি নিয়ন্ত্রণ রয়েছে—Account Policy, Local Policy, Event Log, Restricted Groups, System Services, Registry, File System, Wired Network Policy, Windows Firewall, Network List Manager, Wireless Network, Public Key Policy, Software Restriction Policy, Network Access Protection, Application Control, এবং IP Security Policy।

CIS Benchmark বাস্তবায়ন একটি ধাপে ধাপে প্রক্রিয়া। প্রথম ধাপে স্কোপ সংজ্ঞায়িত করুন—কোন কোন সিস্টেমে কোন Benchmark প্রয়োগ হবে। দ্বিতীয় ধাপে Gap Analysis—বর্তমান কনফিগারেশন এবং Benchmark-এর সুপারিশের মধ্যে ফাঁক চিহ্নিত করুন।

তৃতীয় ধাপে Pilot Implementation—কয়েকটি অ-গুরুত্বপূর্ণ সিস্টেমে Benchmark প্রয়োগ করে কার্যকারিতা ও পার্শ্ব প্রতিক্রিয়া পর্যবেক্ষণ করুন। কিছু সেটিংস (যেমন কঠোর PowerShell প্রতিবন্ধকতা) ব্যবসায়িক অ্যাপ্লিকেশন ভেঙে দিতে পারে।

চতুর্থ ধাপে Production Rollout—পর্যায়ক্রমে সব সিস্টেমে Benchmark প্রয়োগ করুন। Group Policy (Windows), Ansible/Puppet/Chef (Linux), CloudFormation/Terraform (Cloud) ব্যবহার করে স্বয়ংক্রিয়ভাবে প্রয়োগ করা সর্বোত্তম। পঞ্চম ধাপে Continuous Monitoring—Benchmark অনুসরণ নিয়মিত যাচাই করুন এবং কনফিগারেশন ড্রিফট শনাক্ত করুন।

CIS Benchmark অডিট ম্যানুয়ালি করা প্রায় অসম্ভব—প্রতিটি সার্ভারে শত শত সেটিংস পরীক্ষা করতে দিন লেগে যাবে। সৌভাগ্যবশত স্বয়ংক্রিয়করণের জন্য চমৎকার টুল রয়েছে।

CIS-CAT Pro হলো CIS-এর নিজস্ব অফিসিয়াল অডিট টুল। এটি বিনামূল্যে সংস্করণে CIS-CAT Lite হিসেবে পাওয়া যায়। এটি একটি সিস্টেমে চালালে Benchmark-এর প্রতিটি নিয়ন্ত্রণ যাচাই করে এবং HTML/XML রিপোর্ট তৈরি করে।

ক্লাউড পরিবেশে Prowler (AWS, Azure, GCP), Scout Suite, এবং Cloud Custodian-এর মতো ওপেন সোর্স টুল CIS Cloud Benchmark অনুসারে স্ক্যান করতে পারে। AWS Security Hub, Microsoft Defender for Cloud, এবং Google Security Command Center-ও বিল্ট-ইন CIS Benchmark স্ক্যানিং অফার করে।

Kubernetes-এর জন্য kube-bench হলো স্ট্যান্ডার্ড টুল যা CIS Kubernetes Benchmark-এর বিরুদ্ধে ক্লাস্টার যাচাই করে। Linux-এর জন্য OpenSCAP, Lynis, এবং Wazuh ব্যবহৃত হয়। Configuration Management টুল যেমন Ansible-এর জন্য DevSec.io সম্প্রদায় প্রস্তুত CIS hardening রোল প্রদান করে।

বাণিজ্যিক সমাধানের মধ্যে Tenable Nessus, Qualys VMDR, Rapid7 InsightVM—সবগুলোতেই CIS Benchmark পলিসি স্ক্যান অন্তর্ভুক্ত।

ক্লাউড পরিবেশে দ্রুত শুরু করার জন্য CIS Hardened Images একটি চমৎকার সমাধান। CIS পূর্ব-কনফিগার করা ভার্চুয়াল মেশিন ইমেজ প্রদান করে যা ইতিমধ্যে CIS Benchmark অনুসারে hardened। AWS Marketplace, Azure Marketplace, Google Cloud Marketplace—সব জায়গায় এই ইমেজ পাওয়া যায়।

এই ইমেজগুলো ব্যবহার করলে প্রাথমিক hardening-এর কাজ এড়ানো যায়, যা নতুন প্রকল্প শুরু করার সময় বহু সময় সাশ্রয় করে। এর মূল্য থাকলেও বড় প্রতিষ্ঠানের জন্য এই বিনিয়োগ যথেষ্ট লাভজনক।

CIS Benchmarks অন্যান্য নিরাপত্তা কাঠামোর সাথে সমন্বিত। PCI-DSS, HIPAA, NIST 800-53, ISO 27001, SOC 2—এই সব নিয়ন্ত্রক প্রয়োজনীয়তার সাথে CIS Benchmark-এর সরাসরি মানচিত্রায়ন রয়েছে। অনেক অডিটর CIS Benchmark অনুসরণকে নিয়ন্ত্রক সম্মতির প্রমাণ হিসেবে গ্রহণ করেন।

বিশেষ করে CIS Controls (পূর্বে SANS Top 20) একটি উচ্চ-স্তরীয় নিরাপত্তা কাঠামো যা প্রতিষ্ঠানগুলোকে অগ্রাধিকার নির্ধারণে সাহায্য করে। CIS Controls v8-এ ১৮টি নিয়ন্ত্রণ রয়েছে—Inventory and Control of Enterprise Assets থেকে Penetration Testing পর্যন্ত। প্রতিটি Control-এর সাথে CIS Benchmark-এর প্রাসঙ্গিক অংশগুলো ম্যাপ করা।

CIS Benchmark বাস্তবায়নে কিছু সাধারণ সমস্যা রয়েছে। প্রথমত, সব সুপারিশ সব পরিবেশে প্রযোজ্য নয়। উদাহরণস্বরূপ, ডেভেলপমেন্ট ল্যাবে যে কঠোরতা প্রয়োজন তা প্রোডাকশনের চেয়ে আলাদা। প্রতিটি নিয়ন্ত্রণের জন্য Exception নথিভুক্ত করার একটি আনুষ্ঠানিক প্রক্রিয়া থাকা উচিত।

দ্বিতীয়ত, Benchmark নিয়মিত আপডেট হয়—সাধারণত প্রতি বছরে একবার। আপডেট ট্র্যাক করা এবং নতুন নিয়ন্ত্রণ মূল্যায়ন একটি চলমান কাজ। তৃতীয়ত, কিছু নিয়ন্ত্রণ পুরোনো অ্যাপ্লিকেশন বা লিগ্যাসি সিস্টেমে প্রয়োগ করলে কার্যকারিতা ব্যাহত হতে পারে।

চতুর্থত, অডিট ও প্রতিকারের মধ্যে সমন্বয় চ্যালেঞ্জিং। স্ক্যান একটি লঙ্ঘন দেখায়, কিন্তু সেটি ঠিক করতে কে দায়ী? Configuration Management Database (CMDB) এবং পরিষ্কার মালিকানা নির্ধারণ এই সমস্যা সমাধানে সাহায্য করে।

CIS Benchmark-এর সফল বাস্তবায়নের জন্য কিছু সর্বোত্তম অনুশীলন অনুসরণ করুন। প্রথমত, ছোট থেকে শুরু করুন—Level 1 সম্পূর্ণ করার পর Level 2-তে যান। দ্বিতীয়ত, Infrastructure as Code পদ্ধতি গ্রহণ করুন—Terraform, CloudFormation, Ansible-এ Benchmark নিয়মাবলী লিখে রাখুন যাতে নতুন সিস্টেম স্বয়ংক্রিয়ভাবে hardened হয়।

তৃতীয়ত, Drift Detection সক্রিয় করুন—কেউ যদি hardened কনফিগারেশন পরিবর্তন করে, তাত্ক্ষণিকভাবে সতর্কতা পান। চতুর্থত, নিয়মিত Tabletop Exercise চালান যেখানে CIS Benchmark-এর প্রাসঙ্গিকতা প্রকৃত হামলার দৃশ্যে পরীক্ষা করা হয়।

পঞ্চমত, ডেভেলপার ও অপারেটরদের প্রশিক্ষণ প্রদান করুন—তারা যেন বুঝতে পারেন কেন একটি বিশেষ সেটিংস গুরুত্বপূর্ণ। নিরাপত্তা যখন বাধা হিসেবে নয় বরং উন্নয়নের অংশ হিসেবে দেখা হয়, তখন বাস্তবায়ন অনেক মসৃণ হয়।