FedRAMP Compliance: মার্কিন সরকারি ডেটা সংরক্ষণে ক্লাউড সার্ভিস প্রোভাইডারদের নিয়ম!

FedRAMP এর জন্ম হয়েছিল একটি বাস্তব সমস্যা সমাধানের জন্য। ২০১০ সালের আগে যখন বিভিন্ন ফেডারেল সংস্থা ক্লাউড গ্রহণ শুরু করল, প্রতিটি সংস্থা আলাদাভাবে একই ক্লাউড প্রদানকারীর নিরাপত্তা মূল্যায়ন করত। এর ফলে বিপুল সময় এবং অর্থের অপচয় হতো, কারণ একই AWS বা Salesforce পরিষেবা যদি ১৫টি ভিন্ন সংস্থা ব্যবহার করত, তাহলে ১৫ বার নিরাপত্তা মূল্যায়ন করতে হতো।

FedRAMP এর কেন্দ্রীয় ধারণা হলো একবার মূল্যায়ন, একাধিক ব্যবহার বা Do Once, Use Many Times। একটি ক্লাউড পরিষেবা একবার FedRAMP অনুমোদন পেলে যেকোনো ফেডারেল সংস্থা তা ব্যবহার করতে পারে। এটি প্রদানকারী এবং সরকার উভয়ের জন্যই সময় এবং অর্থ সাশ্রয় করে। সেই সাথে এটি একটি সমন্বিত নিরাপত্তা মান নিশ্চিত করে যা সব সরকারি ডেটার জন্য প্রযোজ্য।

FedRAMP NIST এর Special Publication 800-53 এর নিরাপত্তা নিয়ন্ত্রণ কাঠামোর ওপর ভিত্তি করে গড়ে উঠেছে। এর সঙ্গে FISMA বা Federal Information Security Modernization Act এর সম্পর্ক ঘনিষ্ঠ, যা ফেডারেল সংস্থাগুলোকে তাদের তথ্য সিস্টেমের নিরাপত্তা নিশ্চিত করতে বাধ্য করে। মূলত FedRAMP হলো ক্লাউড পরিষেবার জন্য FISMA এর বাস্তবায়ন।

FedRAMP তিনটি Impact Level এ ভাগ করা: Low, Moderate, এবং High। এই স্তরগুলো FIPS 199 মান অনুযায়ী নির্ধারিত হয়, যা গোপনীয়তা, অখণ্ডতা এবং প্রাপ্যতার ওপর সম্ভাব্য ক্ষতির গুরুত্বের ভিত্তিতে শ্রেণিবিন্যাস করে।

Low Impact স্তর প্রযোজ্য সেইসব সিস্টেমের জন্য যেখানে কোনো নিরাপত্তা ভঙ্গের ফলে সীমিত ক্ষতি হবে। উদাহরণ হিসেবে পাবলিক ওয়েবসাইট হোস্টিং। এই স্তরে প্রায় ১২৫টি নিরাপত্তা নিয়ন্ত্রণ মানতে হয়।

Moderate Impact স্তর সবচেয়ে সাধারণ এবং প্রায় ৮০ শতাংশ FedRAMP অনুমোদিত পরিষেবা এই স্তরে। এই স্তরের সিস্টেমে নিরাপত্তা ভঙ্গের গুরুতর প্রভাব হতে পারে, যেমন ব্যবসায়িক ক্ষতি বা নাগরিকদের ক্ষতি। এই স্তরে প্রায় ৩২৫টি নিরাপত্তা নিয়ন্ত্রণ মানতে হয়। অধিকাংশ Personally Identifiable Information বা PII এই স্তরে শ্রেণীবদ্ধ।

High Impact স্তর প্রযোজ্য আইন প্রয়োগ, জরুরি পরিষেবা, আর্থিক সিস্টেম, স্বাস্থ্য ব্যবস্থা—যেখানে নিরাপত্তা ভঙ্গের ফলে গুরুতর বিপর্যয় ঘটতে পারে। এই স্তরে প্রায় ৪২০টি নিরাপত্তা নিয়ন্ত্রণ পালন করতে হয় এবং স্থাপনা সাধারণত মার্কিন নাগরিক কর্মচারী দ্বারা পরিচালিত হতে হয়। FedRAMP High এর চেয়ে উচ্চতর স্তরের জন্য DoD এর Impact Level 4, 5 এবং 6 আছে, যা প্রতিরক্ষা বিভাগের সংবেদনশীল কাজের জন্য সংরক্ষিত।

FedRAMP অনুমোদন পেতে একটি ক্লাউড পরিষেবা প্রদানকারীকে একটি দীর্ঘ এবং কঠিন পথ পাড়ি দিতে হয়। প্রথম ধাপ হলো প্রস্তুতি, যেখানে প্রদানকারী তার পরিষেবার ফাঁক বিশ্লেষণ করেন এবং প্রয়োজনীয় নিয়ন্ত্রণ বাস্তবায়ন করেন। এই পর্যায়ে System Security Plan বা SSP, Incident Response Plan, Contingency Plan এর মতো অসংখ্য নথি তৈরি করতে হয়।

দ্বিতীয় ধাপ হলো একটি Third Party Assessment Organization বা 3PAO এর সঙ্গে চুক্তি। 3PAO হলো FedRAMP অনুমোদিত স্বাধীন মূল্যায়ন সংস্থা যা প্রদানকারীর নিরাপত্তা নিয়ন্ত্রণ যাচাই করে। 3PAO Security Assessment Report বা SAR তৈরি করে যেখানে সব দুর্বলতা এবং প্রতিকার নথিভুক্ত থাকে।

তৃতীয় ধাপ হলো অনুমোদন। দুটি পথ আছে: Agency Authorization যেখানে একটি নির্দিষ্ট ফেডারেল সংস্থা পরিষেবা অনুমোদন করে, এবং Joint Authorization Board বা JAB Authorization যেখানে DoD, DHS এবং GSA এর প্রতিনিধিরা একসাথে অনুমোদন দেন। JAB Provisional ATO বা Authority to Operate পাওয়া কঠিনতম পথ কিন্তু এটি সবচেয়ে ব্যাপক স্বীকৃতি দেয়।

চতুর্থ ধাপ হলো ক্রমাগত পর্যবেক্ষণ বা Continuous Monitoring। অনুমোদন পাওয়া মানেই কাজ শেষ নয়। প্রদানকারীকে মাসিক ভালনারেবিলিটি রিপোর্ট, ত্রৈমাসিক POAM বা Plan of Action and Milestones আপডেট এবং বার্ষিক মূল্যায়ন জমা দিতে হয়। যেকোনো নিরাপত্তা ঘটনা তৎক্ষণাৎ রিপোর্ট করতে হয়।

FedRAMP এ নিরাপত্তা নিয়ন্ত্রণগুলো ১৭ থেকে ২০টি পরিবারে শ্রেণীবদ্ধ। Access Control পরিবারে কে কী অ্যাক্সেস পাবে তা নিয়ন্ত্রিত হয়—Role Based Access Control, Multi Factor Authentication, Least Privilege নীতি অপরিহার্য। Audit and Accountability পরিবার প্রয়োজনীয় লগিং এবং তা সংরক্ষণের সময়কাল নির্ধারণ করে।

Configuration Management নিশ্চিত করে যে সিস্টেম পরিবর্তন নিয়ন্ত্রিত প্রক্রিয়ায় ঘটছে এবং সব পরিবর্তন নথিভুক্ত। Identification and Authentication পরিবারে ব্যবহারকারী যাচাইকরণের কঠোর মান আছে, বিশেষত প্রিভিলেজড অ্যাকাউন্টের জন্য Hardware Token বা PIV কার্ড বাধ্যতামূলক হতে পারে।

Incident Response এ একটি কাঠামোগত প্রক্রিয়া থাকতে হবে যা US-CERT এর সঙ্গে সমন্বিত। Risk Assessment নিয়মিত করতে হবে এবং নতুন ঝুঁকি শনাক্ত করতে হবে। System and Communications Protection এ এনক্রিপশন এবং নেটওয়ার্ক সেগমেন্টেশনের প্রয়োজনীয়তা আছে। FIPS 140-2 অনুমোদিত ক্রিপ্টোগ্রাফিক মডিউল ব্যবহার বাধ্যতামূলক।

System and Information Integrity ক্ষতিকর কোড থেকে রক্ষা এবং ভালনারেবিলিটি ম্যানেজমেন্ট নিশ্চিত করে। Supply Chain Risk Management সম্প্রতি যুক্ত হয়েছে, যা SolarWinds ঘটনার পর জরুরি হয়ে উঠেছে। Privacy Controls এ Personally Identifiable Information রক্ষার বিশেষ নিয়ম আছে।

বড় ক্লাউড প্রদানকারীরা FedRAMP এর জন্য বিশাল বিনিয়োগ করেছে। AWS GovCloud একটি আলাদা ক্লাউড পরিবেশ যা শুধু মার্কিন নাগরিক কর্মচারী পরিচালিত এবং মার্কিন মাটিতে অবস্থিত। Azure Government একইভাবে একটি বিচ্ছিন্ন পরিবেশ। Google Cloud তাদের Assured Workloads এর মাধ্যমে FedRAMP নিয়ন্ত্রণ সমর্থন করে।

Salesforce Government Cloud, ServiceNow Government Community Cloud, এবং Microsoft Office 365 GCC High—এই সব সরকারি ব্যবহারের জন্য বিশেষ পরিষেবা সরবরাহ করে। Slack এবং Zoom এর মতো সহযোগিতা প্ল্যাটফর্মেরও সরকারি সংস্করণ আছে। Snowflake, Databricks, এবং অসংখ্য SaaS প্রদানকারী FedRAMP অনুমোদন পেয়েছে বা পেতে কাজ করছে।

একটি পরিষেবা FedRAMP অনুমোদন পেতে সাধারণত ১২ থেকে ২৪ মাস সময় লাগে এবং খরচ ১ মিলিয়ন থেকে ৫ মিলিয়ন ডলার পর্যন্ত হতে পারে। কিন্তু একবার অনুমোদন পেলে, এটি একটি বিশাল বাজারের দরজা খুলে দেয়। ফেডারেল আইটি বাজেট প্রতি বছর ১০০ বিলিয়ন ডলারের বেশি, এবং এই বাজারে প্রবেশের প্রথম শর্ত হলো FedRAMP।

FedRAMP একা নয়; এটি একটি বড় কমপ্লায়েন্স ইকোসিস্টেমের অংশ। DoD এর জন্য DISA SRG বা Security Requirements Guide আছে যা FedRAMP এর ভিত্তিতে তৈরি কিন্তু অতিরিক্ত প্রতিরক্ষামূলক নিয়ম যুক্ত করে। CMMC বা Cybersecurity Maturity Model Certification প্রতিরক্ষা ঠিকাদারদের জন্য, যাদের সরাসরি ক্লাউড পরিষেবা প্রদান নাও করতে পারে।

StateRAMP রাজ্য সরকারি সংস্থাগুলোর জন্য একটি অনুরূপ কর্মসূচি যা ২০২০ সালে চালু হয়েছে। অনেক বাণিজ্যিক প্রতিষ্ঠান StateRAMP এবং FedRAMP উভয়ের জন্য আবেদন করে। আন্তর্জাতিক পরিসরে FedRAMP কে অনুসরণ করে গড়ে উঠেছে যুক্তরাজ্যের G-Cloud, অস্ট্রেলিয়ার IRAP, এবং কানাডার Cloud Profile।

ISO 27001, SOC 2, HIPAA, PCI DSS এর সঙ্গে FedRAMP এর অনেক নিয়ন্ত্রণ ওভারল্যাপ করে। অনেক প্রতিষ্ঠান এই Mapping ব্যবহার করে একাধিক কমপ্লায়েন্স একসাথে অর্জন করে। FedRAMP Tailored একটি সাম্প্রতিক সংস্করণ যা Low Impact SaaS পরিষেবার জন্য সরলীকৃত পথ প্রদান করে।

FedRAMP প্রক্রিয়া তার সুবিধার পাশাপাশি কিছু সমালোচনারও সম্মুখীন হয়েছে। প্রথমত, প্রক্রিয়া অত্যন্ত দীর্ঘ এবং ব্যয়বহুল, যা ছোট এবং উদ্ভাবনী প্রতিষ্ঠানের জন্য বাধা সৃষ্টি করে। এর ফলে সরকার শুধু বড় ক্লাউড প্রদানকারীদের ওপর নির্ভরশীল হয়ে পড়ে।

দ্বিতীয়ত, নথিপত্রের পরিমাণ এত বেশি যে আসল নিরাপত্তা বাস্তবায়নের পরিবর্তে কাগজি কাজে বেশি সময় ব্যয় হয় বলে অনেকে অভিযোগ করেন। FedRAMP মডার্নাইজেশন উদ্যোগের অধীনে ২০২৩ এবং ২০২৪ সালে অনেক প্রক্রিয়া স্বয়ংক্রিয় এবং সরলীকৃত করার চেষ্টা করা হচ্ছে।

তৃতীয়ত, FedRAMP প্রায়ই সর্বশেষ ক্লাউড উদ্ভাবনের সঙ্গে তাল মিলিয়ে চলতে পারে না। কন্টেইনার, সার্ভারলেস, AI পরিষেবা—এসবের জন্য বিশেষ নির্দেশিকা ধীরে ধীরে আসছে। OSCAL বা Open Security Controls Assessment Language যান্ত্রিক পাঠযোগ্য নিরাপত্তা ডকুমেন্টেশনের জন্য একটি প্রতিশ্রুতিশীল উদ্যোগ।

FedRAMP এর ভবিষ্যৎ পরিবর্তনের মুখে। ২০২২ সালের FedRAMP Authorization Act এই কর্মসূচিকে আনুষ্ঠানিক আইনি ভিত্তি দিয়েছে এবং আধুনিকীকরণের নির্দেশনা প্রদান করেছে। লক্ষ্য হলো অনুমোদন সময় কমানো, পুনর্ব্যবহারযোগ্যতা বাড়ানো এবং উদ্ভাবন উৎসাহিত করা।

AI পরিষেবার ক্ষেত্রে নতুন নির্দেশনা তৈরি হচ্ছে। ChatGPT, Claude এর মতো বৃহৎ ভাষা মডেল ব্যবহার সরকারি কাজে কীভাবে অনুমোদিত হবে, প্রশিক্ষণ ডেটার পবিত্রতা কীভাবে নিশ্চিত করা হবে—এসব প্রশ্নের সমাধান চলছে। NIST AI Risk Management Framework এই প্রক্রিয়ার গুরুত্বপূর্ণ অংশ।

Zero Trust Architecture FedRAMP এর নতুন সংস্করণে কেন্দ্রবিন্দুতে আসছে। CISA এর Zero Trust Maturity Model অনুযায়ী ফেডারেল সংস্থাগুলো তাদের ক্লাউড পরিষেবা পরিবর্তন করছে। এই পরিবর্তন ক্লাউড প্রদানকারীদের জন্য নতুন প্রয়োজনীয়তা তৈরি করছে।

যেসব প্রতিষ্ঠান FedRAMP অনুমোদন পেতে চায়, তাদের জন্য কয়েকটি পরামর্শ অপরিহার্য। প্রথমেই একটি অভিজ্ঞ FedRAMP কনসালট্যান্ট নিয়োগ করুন যিনি আপনার গ্যাপ বিশ্লেষণ এবং রোডম্যাপ তৈরিতে সাহায্য করবেন। NIST 800-53 এর সম্পূর্ণ ক্যাটালগ অধ্যয়ন করুন এবং প্রতিটি নিয়ন্ত্রণের বাস্তবায়ন পরিকল্পনা তৈরি করুন।

প্রকৃত প্রকৌশল কাজ শুরু করার আগে স্থাপনার পরিবেশ আলাদা রাখুন—সরকারি কাজের জন্য একটি পৃথক টেন্যান্ট বা একাউন্ট ব্যবহার করুন। এনক্রিপশন সর্বত্র, ডেটা স্থানান্তরে এবং বিশ্রামে, FIPS 140-2 অনুমোদিত মডিউল দিয়ে নিশ্চিত করুন। লগিং এবং মনিটরিং স্থাপন করুন যা প্রতিটি নিরাপত্তা ইভেন্ট রেকর্ড করে এবং ১ বছর সংরক্ষণ করে।

সরকারি কাজের জন্য একটি পৃথক DevSecOps পাইপলাইন তৈরি করুন যেখানে প্রতিটি কোড পরিবর্তন স্বয়ংক্রিয়ভাবে নিরাপত্তা স্ক্যান হয়। কর্মীদের নিরাপত্তা ছাড়পত্র ব্যবস্থাপনা করুন কারণ High Impact পরিষেবায় Background Check বাধ্যতামূলক। নিয়মিত Tabletop Exercise এবং Incident Response মহড়া চালান। POAM ট্র্যাকিং সিস্টেমে বিনিয়োগ করুন কারণ ক্রমাগত পর্যবেক্ষণ পর্যায়ে এটি একটি প্রধান উপাদান।