Machine Identities: কর্পোরেট নেটওয়ার্কে নন-হিউম্যান আইডেন্টিটি এবং তাদের নিরাপত্তা!

Machine Identity বলতে বোঝায় যেকোনো Non-Human Entity-এর Digital Identity যা একটি System, Service বা Application-এ Authenticate করতে ব্যবহৃত হয়। এর মধ্যে রয়েছে Server, Workstation, IoT Device, Virtual Machine, Container, Kubernetes Pod, Lambda Function, এবং Software Process। প্রতিটি Machine Identity-এর সাথে Cryptographic Credential যুক্ত থাকে যেমন X.509 Certificate, API Key, JWT Token, বা Symmetric Secret।

Human Identity এবং Machine Identity-এর মধ্যে মৌলিক পার্থক্য আছে। Human-এর জন্য MFA, Biometric, এবং Behavioral Analytics কাজ করে, কিন্তু Machine-এর ক্ষেত্রে এগুলোর অধিকাংশই প্রযোজ্য নয়। Machine 24/7 চলে, স্বাচ্ছন্দ্যে Credential Rotate করতে পারে না (যদি না সঠিকভাবে Automate করা হয়), এবং প্রায়ই Hardcoded Secret-এর উপর নির্ভর করে। এই বৈশিষ্ট্যগুলো Machine Identity-কে আক্রমণকারীদের প্রিয় লক্ষ্যে পরিণত করেছে।

বাস্তব পরিসংখ্যান দেখায় যে 2023 সালে শনাক্ত হওয়া Data Breach-এর প্রায় 80% কোনো না কোনোভাবে Credential Compromise-এর সাথে জড়িত ছিল, এবং এর মধ্যে উল্লেখযোগ্য অংশ ছিল Machine Identity। GitHub-এ প্রতিদিন হাজারো API Key এবং Secret অসাবধানতাবশত Public Repository-তে Commit করা হয়। TruffleHog এবং GitGuardian-এর মতো Tool এই Leak ক্রমাগত শনাক্ত করছে।

প্রথম প্রধান প্রকার হলো Service Account, যা একটি Operating System বা Directory Service-এ থাকে। Active Directory-এর ক্ষেত্রে Standard Service Account, Group Managed Service Account বা gMSA, এবং Managed Service Account বা MSA রয়েছে। gMSA Microsoft-এর সবচেয়ে আধুনিক সমাধান, যা স্বয়ংক্রিয় Password Rotation সরবরাহ করে এবং একাধিক Server-এ ব্যবহার করা যায়।

দ্বিতীয় প্রকার হলো Certificate-Based Identity। X.509 Certificate ব্যবহৃত হয় TLS Communication, Code Signing, Client Authentication, এবং Document Signing-এ। Certificate Authority বা CA এই Certificate Issue করে এবং তাদের Lifecycle ব্যবস্থাপনা একটি জটিল কাজ। Expired Certificate Production Outage তৈরি করে - 2024 সালে একটি বৃহৎ Cloud Provider-এর Certificate Expire হওয়ায় বিশ্বব্যাপী Service ব্যাহত হয়েছিল।

তৃতীয় প্রকার হলো Cloud Workload Identity। AWS IAM Role, Azure Managed Identity, এবং GCP Service Account এই বিভাগে পড়ে। এগুলোর সুবিধা হলো এদের সাথে কোনো Long-Lived Secret থাকে না - Short-Lived Token Dynamic-ভাবে Generate হয়। এই পদ্ধতি Hardcoded Credential-এর সমস্যা সমাধান করে।

চতুর্থ প্রকার হলো API Key এবং OAuth Token। REST API, GraphQL Endpoint, এবং SaaS Integration-এ এগুলো ব্যাপকভাবে ব্যবহৃত হয়। Stripe, Twilio, OpenAI, এবং Snowflake-এর মতো Service API Key-এর মাধ্যমে Authentication পরিচালনা করে। এই Key-গুলো প্রায়ই দীর্ঘস্থায়ী হয় এবং Strong Rotation Policy ছাড়া বিপজ্জনক।

পঞ্চম প্রকার হলো SSH Key, যা Server এবং Git Repository Access-এর জন্য ব্যবহৃত হয়। Enterprise পরিবেশে হাজারো SSH Key থাকতে পারে, যাদের অধিকাংশই কখনো Rotate করা হয় না। SSH Key-এর জন্য Certificate-Based Authentication (CA-Signed SSH Certificate) একটি আধুনিক সমাধান।

Machine Identity-এর জীবনচক্র চারটি প্রধান পর্যায়ে বিভক্ত - Provisioning, Distribution, Rotation, এবং Revocation। Provisioning হলো একটি নতুন Identity তৈরির প্রক্রিয়া। এতে Cryptographic Key Generate করা, Certificate Issue করা, এবং প্রাসঙ্গিক Permission Assign করা অন্তর্ভুক্ত। এই পর্যায়ে Least Privilege Principle অনুসরণ করা অত্যন্ত গুরুত্বপূর্ণ।

Distribution হলো Credential-কে Target System-এ পৌঁছে দেওয়ার প্রক্রিয়া। এটি সবচেয়ে ঝুঁকিপূর্ণ পর্যায়, কারণ Credential যদি Plaintext-এ Configuration File বা Environment Variable-এ থাকে, তাহলে আক্রমণকারীর কাছে সহজলভ্য হয়ে যায়। আধুনিক পদ্ধতিতে Secret Management Tool যেমন HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, বা CyberArk Conjur ব্যবহার করা হয়।

Rotation হলো Credential পর্যায়ক্রমিক পরিবর্তন। PCI DSS, SOC 2, এবং NIST Guideline-এ নিয়মিত Rotation বাধ্যতামূলক। তবে বাস্তবে অনেক Machine Identity বছরের পর বছর Rotate ছাড়াই থাকে, কারণ Manual Rotation Downtime-এর ঝুঁকি বহন করে। Automated Rotation এবং Dynamic Secret এই সমস্যার আধুনিক সমাধান।

Revocation হলো Identity-কে অকার্যকর করার প্রক্রিয়া যখন এটি আর প্রয়োজন নেই। ছাঁটাই হওয়া কর্মচারীর Service Account, Decommissioned Server-এর Certificate, এবং পুরানো API Key-এর Revocation প্রায়ই উপেক্ষিত হয়। Orphaned Identity আক্রমণকারীদের জন্য একটি সোনার সুযোগ।

2020 সালের SolarWinds Sunburst Attack Machine Identity Compromise-এর একটি ক্লাসিক উদাহরণ। আক্রমণকারীরা SolarWinds-এর Build System-এ অনুপ্রবেশ করে Orion Software-এ Backdoor ইনজেক্ট করে। এই Compromised Software বৈধ Code Signing Certificate দিয়ে Sign করা ছিল, যা প্রায় 18,000 প্রতিষ্ঠানে স্থাপিত হয়। এখানে Code Signing Certificate এবং Build System Service Account-এর Compromise বিধ্বংসী প্রভাব তৈরি করেছিল।

2021 সালের Codecov Bash Uploader Attack-এ আক্রমণকারীরা Codecov-এর Docker Image তৈরির প্রক্রিয়ায় Vulnerable একটি Hardcoded Credential খুঁজে পায় এবং সেটি ব্যবহার করে Bash Uploader Script Modify করে। এই Script হাজারো CI/CD Pipeline-এ ব্যবহৃত হত, এবং Modified Version Environment Variable Exfiltrate করত, যাতে অসংখ্য Cloud Credential ছিল।

2024 সালের Snowflake Breach-এ আক্রমণকারীরা Stealer Malware-এর মাধ্যমে Snowflake Customer-এর কর্মচারীদের Workstation থেকে Snowflake Credential চুরি করে। এই Account-গুলোতে MFA সক্রিয় ছিল না এবং Service Account Configuration দুর্বল ছিল। AT&T, Ticketmaster, Santander এবং অন্যান্য বড় প্রতিষ্ঠানের ডেটা ফাঁস হয়।

আরেকটি উল্লেখযোগ্য উদাহরণ হলো 2023 সালের MOVEit Transfer Vulnerability, যেখানে Cl0p Ransomware Group SQL Injection-এর মাধ্যমে Machine-to-Machine Credential চুরি করে এবং সেগুলো ব্যবহার করে শত শত প্রতিষ্ঠানের ডেটা Exfiltrate করে। এখানে File Transfer Service-এর Underlying Database Credential-এর দুর্বল সুরক্ষা মূল কারণ ছিল।

Machine Identity-এর জটিলতা মোকাবেলায় একটি নতুন বাজার শ্রেণি গড়ে উঠেছে - Non-Human Identity Management বা NHIM। Astrix Security, Entro Security, Oasis Security, এবং Token Security-এর মতো Vendor এই ক্ষেত্রে কাজ করছে। CyberArk-এর Conjur, HashiCorp-এর Vault, এবং BeyondTrust-ও NHIM-এর সাথে Integration বাড়াচ্ছে।

NHIM সমাধান কয়েকটি মূল বৈশিষ্ট্য সরবরাহ করে। প্রথমত, Discovery - Cloud, SaaS, এবং On-Premise পরিবেশে সমস্ত Machine Identity শনাক্ত করা। এর মধ্যে Shadow Identity অন্তর্ভুক্ত, যা কোনো Centralized System-এ Documented নয়। দ্বিতীয়ত, Posture Assessment - প্রতিটি Identity-এর Permission, Last Used, Rotation Status মূল্যায়ন করা।

তৃতীয়ত, Lifecycle Automation - Provisioning থেকে Revocation পর্যন্ত পুরো প্রক্রিয়া Automate করা। চতুর্থত, Anomaly Detection - একটি Service Account অস্বাভাবিক জায়গা থেকে Authenticate করলে বা অপ্রত্যাশিত API Call করলে Alert তৈরি করা। পঞ্চমত, Compliance Reporting - Regulatory Requirement পূরণ এবং Audit-এর জন্য প্রস্তুতি।

Zero Trust Architecture-এ Machine Identity একটি কেন্দ্রীয় ভূমিকা পালন করে। প্রতিটি Workload-এর জন্য একটি Strong, Cryptographically Verifiable Identity প্রয়োজন। SPIFFE বা Secure Production Identity Framework For Everyone এবং এর Implementation SPIRE একটি Open Source Standard সরবরাহ করে যা এই দিকে কাজ করে।

SPIFFE-এ প্রতিটি Workload-কে একটি Unique SPIFFE ID দেওয়া হয়, যা একটি URI Format-এ থাকে। এই Identity SPIFFE Verifiable Identity Document বা SVID-এর মাধ্যমে প্রকাশিত হয়, যা X.509 Certificate বা JWT হতে পারে। SVID Short-Lived হয় (মিনিট পর্যায়ের) এবং স্বয়ংক্রিয়ভাবে Rotate হয়।

Kubernetes-এর Service Account এবং Pod Identity-ও Machine Identity-এর গুরুত্বপূর্ণ উদাহরণ। Azure Workload Identity, AWS IAM Roles for Service Accounts বা IRSA, এবং GCP Workload Identity Federation Kubernetes Pod-কে Cloud Resource Access-এর জন্য Native Identity সরবরাহ করে। এই পদ্ধতিতে Long-Lived Cloud Credential-কে Pod-এ Mount করার প্রয়োজন হয় না।

Machine Identity Security উন্নত করার জন্য কয়েকটি Best Practice অপরিহার্য। প্রথমত, Comprehensive Discovery - কোন Identity বিদ্যমান তা জানা ছাড়া সুরক্ষা অসম্ভব। CSPM, CIEM, এবং NHIM Tool ব্যবহার করে নিয়মিত Inventory তৈরি করা।

দ্বিতীয়ত, Centralized Secret Management - কোনো Hardcoded Secret কোডে বা Config File-এ থাকা উচিত নয়। সমস্ত Secret একটি Vault-এ সংরক্ষণ করা এবং Runtime-এ Retrieve করা। Application-এর Identity যাচাইয়ের পর Vault Short-Lived Token সরবরাহ করে।

তৃতীয়ত, Least Privilege Enforcement - প্রতিটি Machine Identity-কে শুধু প্রয়োজনীয় Permission দেওয়া। অতিরিক্ত Permission আক্রমণের প্রভাব বাড়িয়ে দেয়। Periodic Access Review পরিচালনা করা এবং Unused Permission Revoke করা।

চতুর্থত, Automated Rotation - সমস্ত Long-Lived Credential নিয়মিতভাবে Rotate করা। Dynamic Secret ব্যবহার করা যেখানে সম্ভব। AWS RDS-এর Master Credential, Database User Credential, এবং API Key-এর Automated Rotation একটি বাধ্যতামূলক অনুশীলন।

পঞ্চমত, Monitoring এবং Anomaly Detection - প্রতিটি Machine Identity-এর Behavioral Baseline তৈরি করা এবং Deviation শনাক্ত করা। একটি Service Account যদি হঠাৎ একটি নতুন IP থেকে Login করে বা অস্বাভাবিক API Call করে, তাহলে Alert তৈরি হওয়া উচিত।

ষষ্ঠত, Code Scanning - CI/CD Pipeline-এ Secret Scanning Integrate করা যাতে Secret কখনই Source Code-এ Commit না হয়। GitGuardian, TruffleHog, এবং GitHub Advanced Security এই কাজে সাহায্য করে। Pre-Commit Hook এবং Branch Protection Rule এই সুরক্ষা শক্তিশালী করে।