Cloud Security: কর্পোরেট ক্লাউড ডেটাবেস হ্যাকারদের হাত থেকে সুরক্ষিত রাখার উপায়!

Cloud Security হলো এমন কৌশল, প্রযুক্তি ও নীতিমালার সমষ্টি যা ক্লাউড পরিবেশে সংরক্ষিত ডেটা, অ্যাপ্লিকেশন ও infrastructure-কে সুরক্ষিত রাখে। এর মূল লক্ষ্য তিনটি—Confidentiality, Integrity, এবং Availability (CIA Triad)।

ক্লাউড নিরাপত্তার সবচেয়ে গুরুত্বপূর্ণ ধারণা হলো Shared Responsibility Model। এই মডেল অনুসারে নিরাপত্তার দায়িত্ব ক্লাউড প্রোভাইডার ও গ্রাহকের মধ্যে বিভক্ত। সাধারণভাবে CSP দায়ী থাকে "Security OF the Cloud"-এর জন্য (data center, hardware, hypervisor), আর গ্রাহক দায়ী "Security IN the Cloud"-এর জন্য (data, application, IAM configuration)।

IaaS, PaaS এবং SaaS মডেলে এই দায়িত্বের পরিধি ভিন্ন। SaaS-এ গ্রাহকের দায়িত্ব কম, IaaS-এ বেশি। অনেক প্রতিষ্ঠান এই বিভাজন না বুঝে ভাবে সবকিছু AWS বা Microsoft সামলাবে—এটাই বেশিরভাগ breach-এর মূল কারণ।

OWASP Cloud Top 10 এবং Cloud Security Alliance (CSA)-এর "Egregious Eleven" রিপোর্ট অনুসারে ক্লাউডে প্রধান হুমকি গুলো হলো:

Misconfiguration: সবচেয়ে সাধারণ ও সবচেয়ে বিপজ্জনক। একটি public S3 bucket, একটি open security group, বা একটি over-privileged IAM role—এসবই data breach-এর প্রধান কারণ।

Insufficient Identity Management: দুর্বল password, MFA না থাকা, এবং excessive permission।

Insecure APIs: ক্লাউড API-গুলো ইন্টারনেট-facing হওয়ায় এগুলোর authentication ও authorization দুর্বল হলে সরাসরি compromise হয়।

Account Hijacking: Phishing বা credential stuffing-এর মাধ্যমে cloud account hijack।

Insider Threat: Disgruntled employee বা compromised credential-এর মাধ্যমে ভেতর থেকে আক্রমণ।

Data Breach: Encryption ছাড়া sensitive data সংরক্ষণ বা transit-এ অরক্ষিত transmission।

DDoS Attack: যদিও CSP-এর protection আছে, তবুও application-level DDoS সমস্যা সৃষ্টি করে।

Supply Chain Vulnerabilities: Third-party SaaS বা container image-এর মাধ্যমে আক্রমণ।

ক্লাউডে ডেটা সুরক্ষার জন্য বহু-স্তরের কৌশল প্রয়োজন।

Encryption at Rest: সব সংরক্ষিত ডেটা encrypt করুন। AWS-এ KMS, Azure-এ Key Vault, GCP-এ Cloud KMS ব্যবহার করুন। S3 bucket-এ default encryption enable করুন। RDS, DynamoDB, EBS volume—সবকিছুতে encryption বাধ্যতামূলক করুন।

Encryption in Transit: TLS 1.2 বা উচ্চতর ব্যবহার করুন। API call, database connection, ও inter-service communication-এ encrypted channel নিশ্চিত করুন। AWS-এ ACM (Certificate Manager) দিয়ে certificate management সহজ।

Customer-Managed Keys (CMK): Default CSP-managed key-এর পরিবর্তে নিজস্ব key ব্যবহার করুন। এতে key rotation ও revocation-এর সম্পূর্ণ নিয়ন্ত্রণ থাকে। Bring Your Own Key (BYOK) বা Hold Your Own Key (HYOK) মডেল অত্যন্ত sensitive ডেটার জন্য উপযুক্ত।

Data Classification: সব ডেটা একই স্তরের নয়। PII, PHI, financial data, এবং intellectual property-কে আলাদাভাবে চিহ্নিত করুন। AWS Macie, Microsoft Purview, এবং GCP Cloud DLP দিয়ে automated classification সম্ভব।

Data Loss Prevention (DLP): Sensitive ডেটা যাতে অননুমোদিতভাবে বের না হয় তার জন্য DLP policy সেট করুন। Cloud Access Security Broker (CASB) এক্ষেত্রে গুরুত্বপূর্ণ ভূমিকা পালন করে।

Backup ও Recovery: Ransomware থেকে সুরক্ষার জন্য immutable backup রাখুন। 3-2-1-1-0 rule অনুসরণ করুন: ৩টি copy, ২টি ভিন্ন media, ১টি offsite, ১টি immutable, ০ error।

ক্লাউডে network security এর জন্য বহু-স্তরীয় defense প্রয়োজন।

Virtual Private Cloud (VPC): নিজস্ব VPC তৈরি করে network segmentation নিশ্চিত করুন। Production, staging, ও development environment আলাদা VPC-তে রাখুন।

Security Groups ও NACL: AWS-এ Security Group instance-level firewall, আর NACL subnet-level। শুধু প্রয়োজনীয় port open রাখুন। 0.0.0.0/0 দিয়ে SSH/RDP port কখনোই open করবেন না।

Private Endpoints: AWS PrivateLink, Azure Private Endpoint, GCP Private Service Connect ব্যবহার করুন যাতে সার্ভিসের সাথে যোগাযোগ public internet দিয়ে না হয়।

Web Application Firewall (WAF): AWS WAF, Azure Front Door WAF, Cloudflare-এর মতো WAF দিয়ে SQL injection, XSS, এবং OWASP Top 10 আক্রমণ ব্লক করুন।

DDoS Protection: AWS Shield Advanced, Azure DDoS Protection Standard ব্যবহার করুন critical workload-এ।

Zero Trust Network Access (ZTNA): Traditional VPN-এর পরিবর্তে Cloudflare Access, Zscaler Private Access, বা Tailscale-এর মতো ZTNA সলিউশন ব্যবহার করুন।

IAM cloud security-এর কেন্দ্রবিন্দু। শক্তিশালী IAM ছাড়া বাকি সব defense অর্থহীন।

Multi-Factor Authentication (MFA): সব user account-এ MFA বাধ্যতামূলক করুন। Phishing-resistant MFA (FIDO2/WebAuthn) ব্যবহার করুন। Root account ও admin account-এ hardware token (YubiKey) ব্যবহার করুন।

Single Sign-On (SSO): Okta, Azure AD, বা AWS IAM Identity Center-এর মাধ্যমে centralized authentication ব্যবস্থা করুন।

Principle of Least Privilege (PoLP): কাউকেই অতিরিক্ত permission দেবেন না। AWS-এ IAM Access Analyzer, Azure-এ PIM ব্যবহার করুন।

Just-in-Time (JIT) Access: Standing privileged access দূর করুন। প্রয়োজনে temporary elevation দিন।

Service Account Management: Application-এর জন্য static credential নয়, IAM role/managed identity ব্যবহার করুন।

দৃশ্যমানতা ছাড়া নিরাপত্তা অসম্ভব।

Centralized Logging: CloudTrail, Azure Activity Log, GCP Audit Logs—সব centralized SIEM-এ পাঠান। Splunk, Microsoft Sentinel, বা Elastic Security ব্যবহার করুন।

Cloud Security Posture Management (CSPM): Prisma Cloud, Wiz, Orca Security-এর মতো CSPM টুল continuously misconfiguration detect করে।

Cloud Workload Protection Platform (CWPP): Container, VM, serverless workload-এর জন্য runtime protection প্রদান করে।

SIEM ও SOAR: Security Information and Event Management এবং Security Orchestration, Automation and Response সিস্টেম দিয়ে automated incident response নিশ্চিত করুন।

Threat Intelligence: AWS GuardDuty, Azure Defender, Google Cloud Threat Intelligence ইত্যাদি ব্যবহার করুন। MITRE ATT&CK framework অনুসরণ করে threat hunting করুন।

বিভিন্ন শিল্পে বিভিন্ন compliance প্রয়োজন—PCI DSS (পেমেন্ট), HIPAA (স্বাস্থ্য), GDPR (ইউরোপ), SOC 2, ISO 27001 ইত্যাদি।

Compliance Frameworks: AWS Audit Manager, Azure Compliance Manager, GCP Assured Workloads ব্যবহার করুন automated compliance assessment-এর জন্য।

Cloud Governance: AWS Organizations, Azure Management Groups, GCP Organization দিয়ে hierarchical control implement করুন।

Policy as Code: Open Policy Agent (OPA), AWS Config Rules, Azure Policy দিয়ে compliance-as-code লিখুন।

Tagging Strategy: সব রিসোর্সে consistent tagging করুন—Environment, Owner, CostCenter, DataClassification ইত্যাদি।

Capital One (2019): Misconfigured WAF + over-privileged IAM role → ১০ কোটি গ্রাহকের ডেটা চুরি। শিক্ষা: WAF এবং IAM দুটোই সঠিকভাবে কনফিগার করতে হবে।

Pegasus Airlines (2022): Misconfigured S3 bucket → ৬.৫ TB ডেটা ফাঁস। শিক্ষা: S3 Block Public Access সব account-এ enable রাখুন।

Microsoft AI Researcher (2023): Misconfigured SAS token → ৩৮ TB internal data ফাঁস। শিক্ষা: SAS token-এর scope ও expiration সঠিকভাবে সেট করুন।

Toyota Connected Corp (2023): Misconfigured cloud setting → ২ মিলিয়ন গ্রাহকের vehicle ডেটা ১০ বছর ধরে exposed। শিক্ষা: Continuous monitoring অপরিহার্য।

কর্পোরেট ক্লাউড ডেটাবেস সুরক্ষার জন্য নিচের অনুশীলনগুলো অনুসরণ করুন।

Defense in Depth: একাধিক নিরাপত্তা স্তর তৈরি করুন—network, IAM, application, data, monitoring—যাতে একটি ব্যর্থ হলেও অন্যটি রক্ষা করে।

Zero Trust Architecture: "Never trust, always verify" নীতি অনুসরণ করুন। Internal network-কেও untrusted ধরে নিন।

Infrastructure as Code (IaC): Terraform, CloudFormation, Pulumi দিয়ে infrastructure manage করুন। Manual change বন্ধ করুন। IaC security scanning (Checkov, tfsec) করুন।

Continuous Security Testing: Penetration testing, red teaming, এবং bug bounty program চালু রাখুন।

Employee Training: ক্লাউড নিরাপত্তা সম্পর্কে নিয়মিত প্রশিক্ষণ দিন। Phishing simulation চালান।

Vendor Risk Management: Third-party SaaS ও integration-এর নিরাপত্তা মূল্যায়ন করুন।

Disaster Recovery Plan: RTO ও RPO নির্ধারণ করুন। Multi-region deployment এবং regular DR drill করুন।

Patch Management: Operating system, container image, এবং dependencies regularly update করুন।

Secrets Management: Hardcoded credential বন্ধ করুন। Vault, AWS Secrets Manager, Azure Key Vault ব্যবহার করুন।