Cloud Basics: ক্লাউড কম্পিউটিংয়ের প্রাথমিক ধারণা এবং এর নিরাপত্তা ঝুঁকি!

সহজ ভাষায় ক্লাউড কম্পিউটিং হলো ইন্টারনেটের মাধ্যমে কম্পিউটিং রিসোর্স (যেমন সার্ভার, স্টোরেজ, ডাটাবেস, নেটওয়ার্কিং, সফটওয়্যার) পরিষেবা হিসেবে পাওয়া। প্রতিষ্ঠানগুলোকে নিজস্ব ফিজিকাল সার্ভার কিনতে বা মেইন্টেন করতে হয় না—তারা Amazon, Microsoft, বা Google-এর মতো ক্লাউড প্রোভাইডার থেকে যা প্রয়োজন তা ভাড়া নেয়।

NIST (US National Institute of Standards and Technology) ক্লাউড কম্পিউটিং-এর পাঁচটি অপরিহার্য বৈশিষ্ট্য সংজ্ঞায়িত করেছে। প্রথমটি On-Demand Self-Service—ব্যবহারকারী যখন প্রয়োজন তখনই কোনো মানব হস্তক্ষেপ ছাড়াই রিসোর্স পেতে পারেন। দ্বিতীয়টি Broad Network Access—ইন্টারনেটের মাধ্যমে যেকোনো ডিভাইস থেকে অ্যাক্সেস।

তৃতীয়টি Resource Pooling—প্রোভাইডারের রিসোর্স বহু গ্রাহকের মধ্যে ভাগ করা হয়, যা ফিজিকাল হার্ডওয়্যার থেকে আলাদা ভার্চুয়ালাইজেশন প্রযুক্তি ব্যবহার করে। চতুর্থটি Rapid Elasticity—চাহিদা অনুযায়ী রিসোর্স দ্রুত বাড়ানো বা কমানো। পঞ্চমটি Measured Service—আপনি যা ব্যবহার করেন তার জন্যই কেবল অর্থ প্রদান করেন।

ক্লাউড পরিষেবা সাধারণত তিনটি প্রধান মডেলে বিভক্ত, যা আপনি কতটা নিয়ন্ত্রণ চান এবং কতটা ম্যানেজমেন্টের দায়িত্ব নিতে চান তার উপর নির্ভর করে।

Infrastructure as a Service (IaaS) সবচেয়ে নিম্ন স্তর। এখানে আপনি ভার্চুয়াল মেশিন, স্টোরেজ, এবং নেটওয়ার্কিং ভাড়া নেন। অপারেটিং সিস্টেম, মিডলওয়্যার, রানটাইম, অ্যাপ্লিকেশন—সব আপনাকে নিজে ম্যানেজ করতে হয়। Amazon EC2, Microsoft Azure VM, Google Compute Engine—এগুলো IaaS-এর উদাহরণ।

Platform as a Service (PaaS) মাঝারি স্তর। এখানে প্রোভাইডার অপারেটিং সিস্টেম, মিডলওয়্যার, রানটাইমের যত্ন নেয়। আপনি শুধু আপনার অ্যাপ্লিকেশন ডিপ্লয় করেন। AWS Elastic Beanstalk, Google App Engine, Azure App Service, Heroku—এগুলো PaaS।

Software as a Service (SaaS) সর্বোচ্চ স্তর। এখানে সম্পূর্ণ অ্যাপ্লিকেশন প্রোভাইডার পরিচালনা করেন এবং ব্যবহারকারী শুধু ব্রাউজার বা ক্লায়েন্ট অ্যাপের মাধ্যমে অ্যাক্সেস করেন। Gmail, Salesforce, Dropbox, Slack, Microsoft 365—এগুলো সব SaaS।

আধুনিক সময়ে নতুন মডেল আসছে—Function as a Service (FaaS) বা Serverless Computing যেখানে আপনি শুধু কোডের ফাংশন আপলোড করেন, এবং Container as a Service (CaaS) যেখানে কন্টেইনার অর্কেস্ট্রেশন একটি পরিষেবা।

ক্লাউড কোথায় হোস্ট করা হবে তার ভিত্তিতে চারটি প্রধান ডিপ্লয়মেন্ট মডেল রয়েছে। Public Cloud হলো সবচেয়ে সাধারণ—AWS, Azure, GCP-এর মতো প্রোভাইডার সাধারণ জনগণের জন্য উন্মুক্ত। এখানে অনেক গ্রাহক একই অবকাঠামো ব্যবহার করেন (Multi-tenant)।

Private Cloud একটি একক প্রতিষ্ঠানের জন্য ডেডিকেটেড—হয় তাদের নিজস্ব ডেটা সেন্টারে বা প্রোভাইডারের কাছে কিন্তু আলাদা ভাবে। এটি বেশি নিয়ন্ত্রণ ও নিরাপত্তা দেয় কিন্তু খরচ বেশি।

Hybrid Cloud Public এবং Private-এর সমন্বয়। সংবেদনশীল ডেটা প্রাইভেট ক্লাউডে এবং সাধারণ ওয়ার্কলোড পাবলিক ক্লাউডে চালানো হয়। অধিকাংশ বড় প্রতিষ্ঠান এই মডেল অনুসরণ করেন।

Multi-Cloud একাধিক পাবলিক ক্লাউড প্রোভাইডার একসাথে ব্যবহার—যেমন কিছু সার্ভিস AWS-এ, কিছু Azure-এ। এটি Vendor Lock-in এড়াতে সাহায্য করে।

বর্তমান বিশ্বে তিনজন প্রধান ক্লাউড প্রোভাইডার মার্কেটের সিংহভাগ ধরে রেখেছে। Amazon Web Services (AWS) সবচেয়ে পুরোনো এবং বৃহত্তম—২০০৬ সালে চালু এবং এখনো প্রায় ৩৩% বাজার শেয়ার। ২০০-এর বেশি পরিষেবা প্রদান করে।

Microsoft Azure দ্বিতীয় বৃহত্তম, প্রায় ২৩% বাজার শেয়ার। Microsoft-এর এন্টারপ্রাইজ গ্রাহক ভিত্তির সুবিধা পেয়ে দ্রুত বৃদ্ধি পাচ্ছে। Active Directory, Office 365-এর সাথে ইন্টিগ্রেশন এর বড় শক্তি।

Google Cloud Platform (GCP) তৃতীয়, প্রায় ১১% বাজার শেয়ার। ডেটা অ্যানালিটিক্স, মেশিন লার্নিং, এবং কুবেরনেটিসে শক্তিশালী।

এছাড়া Oracle Cloud, IBM Cloud, Alibaba Cloud (চীন-কেন্দ্রিক), DigitalOcean (ডেভেলপার-ফ্রেন্ডলি), Linode উল্লেখযোগ্য।

ক্লাউড নিরাপত্তা বুঝতে সবচেয়ে গুরুত্বপূর্ণ ধারণা হলো Shared Responsibility Model। ক্লাউড নিরাপত্তা প্রোভাইডার ও গ্রাহকের মাঝে ভাগ করা—কে কোনটি নিরাপদ রাখবেন তা সার্ভিস মডেলের উপর নির্ভর করে।

AWS-এর ভাষায়, প্রোভাইডার দায়ী "Security of the Cloud"—ফিজিকাল ডেটা সেন্টার, হার্ডওয়্যার, নেটওয়ার্ক অবকাঠামো, এবং হাইপারভাইজার। গ্রাহক দায়ী "Security in the Cloud"—অপারেটিং সিস্টেম প্যাচ, অ্যাপ্লিকেশন কোড, ডেটা এনক্রিপশন, এবং অ্যাক্সেস ম্যানেজমেন্ট।

IaaS-এ গ্রাহকের দায়িত্ব সবচেয়ে বেশি, PaaS-এ মাঝারি, SaaS-এ সবচেয়ে কম। কিন্তু সব মডেলেই গ্রাহক সবসময় দায়ী থাকেন তাদের ডেটা, ব্যবহারকারী অ্যাকাউন্ট, এবং অ্যাক্সেস কন্ট্রোলের জন্য।

ক্লাউড অ্যাডপশনের সাথে সাথে নতুন ধরনের নিরাপত্তা ঝুঁকি উঠে এসেছে। প্রথমটি Misconfiguration—ভুল করে কনফিগার করা ক্লাউড রিসোর্স। সবচেয়ে কুখ্যাত উদাহরণ হলো পাবলিকলি অ্যাক্সেসযোগ্য S3 Bucket—Capital One, Verizon, Accenture-সহ অনেক কোম্পানি এর কারণে ডেটা ব্রিচের শিকার হয়েছে।

দ্বিতীয় ঝুঁকি হলো দুর্বল Identity and Access Management (IAM)। অতিরিক্ত প্রিভিলেজযুক্ত ব্যবহারকারী, দীর্ঘস্থায়ী অ্যাক্সেস কী, এবং MFA-হীন অ্যাকাউন্ট—এগুলো আক্রমণকারীদের সহজ লক্ষ্য।

তৃতীয়ত, Insecure APIs—ক্লাউড সার্ভিসে সব কিছুই API-এর মাধ্যমে নিয়ন্ত্রিত হয়। অসংরক্ষিত বা ভুল কনফিগার করা API একটি বিশাল আক্রমণ পৃষ্ঠতল।

চতুর্থত, Data Breach—অর্থ্যাৎ ক্লাউডে সংরক্ষিত সংবেদনশীল ডেটা চুরি। অপর্যাপ্ত এনক্রিপশন, অসুরক্ষিত ব্যাকআপ, এবং Insider Threat এই ঝুঁকিতে অবদান রাখে।

পঞ্চমত, Account Hijacking—ফিশিং বা ক্রেডেনশিয়াল চুরির মাধ্যমে ক্লাউড অ্যাকাউন্টের নিয়ন্ত্রণ নেওয়া। এর পরিণতি বিধ্বংসী হতে পারে—আক্রমণকারী সম্পূর্ণ ক্লাউড পরিবেশ মুছে দিতে পারেন বা ব্যয়বহুল রিসোর্স চালু করতে পারেন।

ষষ্ঠত, Denial of Service (DoS)—যদিও ক্লাউড সাধারণত স্কেলেবল, একটি বড় DDoS আক্রমণ Bill Shock তৈরি করতে পারে যেখানে ক্লাউড বিল হঠাৎ লক্ষ গুণ বেড়ে যায়।

ক্লাউড নিরাপত্তা শুরু হয় কয়েকটি মৌলিক অনুশীলন থেকে। প্রথমত, সব ব্যবহারকারীর জন্য Multi-Factor Authentication (MFA) বাধ্যতামূলক করুন—বিশেষ করে Root/Admin অ্যাকাউন্টে। Root অ্যাকাউন্ট দৈনন্দিন কাজে ব্যবহার করা উচিত নয়।

দ্বিতীয়ত, Principle of Least Privilege অনুসরণ করুন—প্রতিটি ব্যবহারকারী ও সার্ভিসকে শুধু প্রয়োজনীয় ন্যূনতম অনুমতি দিন। দীর্ঘস্থায়ী অ্যাক্সেস কী-এর পরিবর্তে IAM Role এবং সংক্ষিপ্ত-মেয়াদী টোকেন ব্যবহার করুন।

তৃতীয়ত, সব ডেটা ট্রানজিট এবং রেস্ট উভয় অবস্থায় এনক্রিপ্ট করুন। S3, EBS, RDS-এ এনক্রিপশন ডিফল্টে সক্রিয় থাকা উচিত। Customer-Managed Key (CMK) ব্যবহার করুন যাতে এনক্রিপশন কী আপনার নিয়ন্ত্রণে থাকে।

চতুর্থত, Cloud-Native Logging সক্রিয় করুন—AWS CloudTrail, Azure Activity Log, GCP Audit Log। এই লগগুলো একটি কেন্দ্রীয় SIEM-এ পাঠান এবং সন্দেহজনক কর্মকাণ্ডের জন্য অ্যালার্ট সেট করুন।

পঞ্চমত, নিয়মিত Cloud Security Posture Management (CSPM) স্ক্যান চালান। AWS Security Hub, Azure Defender, GCP Security Command Center, বা থার্ড-পার্টি টুল যেমন Prisma Cloud, Wiz, Lacework ব্যবহার করুন।

ষষ্ঠত, CIS Benchmark অনুসরণ করুন এবং Infrastructure as Code (IaC) দিয়ে কনফিগারেশন স্বয়ংক্রিয়ভাবে প্রয়োগ করুন। Terraform, CloudFormation, Pulumi—এই টুলগুলোতে নিরাপত্তা সর্বোত্তম অনুশীলন কোডে এম্বেড করুন।

সপ্তমত, একটি ক্লাউড-নির্দিষ্ট Incident Response Plan তৈরি করুন এবং নিয়মিত মহড়া চালান। ক্লাউডে ইনসিডেন্ট অন-প্রিমাইজ থেকে আলাদা—তদন্তের পদ্ধতি, লগ সংগ্রহ, এবং প্রতিক্রিয়া কৌশল সবই ভিন্ন।