Network Segmentation: নেটওয়ার্ক বিভাজনের মাধ্যমে সাইবার আক্রমণের প্রভাব সীমিত করার উপায়!

Network Segmentation হলো একটি large network-কে ছোট ছোট subsection বা segment-এ বিভক্ত করার প্রক্রিয়া। প্রতিটি segment একটি আলাদা security zone হিসেবে কাজ করে এবং তাদের মধ্যে traffic flow strictly controlled থাকে। এই ধারণার মূল উদ্দেশ্য হলো একটি segment compromise হলে আক্রমণকারী যেন সহজে অন্য segment-এ লateral movement করতে না পারে।

Segmentation-এর কয়েকটি ব্যবসায়িক ও কারিগরি benefit রয়েছে। প্রথমত, breach impact কমে। একটি compromised segment-এর মধ্যেই attack contained থাকে। দ্বিতীয়ত, compliance সহজ হয়। PCI-DSS-এর মতো standard cardholder data environment-কে আলাদা segment-এ রাখা বাধ্যতামূলক। তৃতীয়ত, network performance বাড়ে কারণ broadcast traffic কমে। চতুর্থত, troubleshooting সহজ হয় কারণ problem isolated থাকে।

Network Segmentation বনাম Microsegmentation - এই দুটি term প্রায়শই বিভ্রান্তি সৃষ্টি করে। Traditional segmentation typically VLAN বা subnet level-এ হয়, অর্থাৎ relatively coarse-grained। Microsegmentation আরও fine-grained, individual workload বা application level-এ। Modern data center এবং cloud environment-এ microsegmentation increasingly জনপ্রিয়।

Network Segmentation-এর ধারণা Zero Trust architecture-এর সাথে গভীরভাবে যুক্ত। Zero Trust বলে "never trust, always verify" - segmentation এই principle-এর প্রায়োগিক রূপ। প্রতিটি inter-segment communication-কে treated as potentially untrusted।

Network Segmentation বিভিন্ন কৌশলে implement করা যায়। প্রথম এবং সবচেয়ে পুরোনো কৌশল হলো Physical Segmentation। সম্পূর্ণ আলাদা physical network তৈরি করা - আলাদা switch, cable, এমনকি building। এটি সবচেয়ে secure কিন্তু costly এবং inflexible।

দ্বিতীয় কৌশল হলো VLAN (Virtual LAN)-based Segmentation। একই physical switch-এ multiple logical network তৈরি করা হয় 802.1Q tagging-এর মাধ্যমে। এটি cost-effective এবং flexible, তবে VLAN hopping-এর মতো attack-এর সম্ভাবনা থাকে যদি properly configured না হয়।

তৃতীয় কৌশল হলো Subnet-based Segmentation। IP subnet-এর মাধ্যমে network আলাদা করা হয় এবং router/firewall দিয়ে inter-subnet traffic control করা হয়। এটি routing-based, তাই Layer 3 control সম্ভব।

চতুর্থ কৌশল হলো Firewall-based Segmentation। Internal firewall ব্যবহার করে segment-এর মধ্যে কঠোর traffic control। Next-Generation Firewall (NGFW) application-layer filtering সম্ভব করে।

পঞ্চম কৌশল হলো Software-Defined Networking (SDN)। SDN traditional networking-এর control plane এবং data plane আলাদা করে, যা dynamic এবং programmable segmentation সম্ভব করে। Cisco ACI, VMware NSX-এর মতো platform এই কাজে ব্যবহৃত হয়।

ষষ্ঠ কৌশল হলো Host-based Microsegmentation। প্রতিটি workload-এ একটি tiny firewall চলে যা শুধু সেই workload-এর জন্য policy enforce করে। Illumio, Guardicore (এখন Akamai), VMware NSX এই category-তে পড়ে।

Network segmentation design-এ কয়েকটি common pattern অনুসরণ করা হয়। সবচেয়ে classic হলো DMZ (Demilitarized Zone) architecture। Internet-facing service-গুলোকে একটি আলাদা zone-এ রাখা হয় যা internal network থেকে সম্পূর্ণ আলাদা। DMZ-এর সাথে internal network-এর communication strictly controlled।

দ্বিতীয় pattern হলো Three-Tier Architecture। Presentation tier (web server), application tier (app server), এবং data tier (database) আলাদা segment-এ থাকে। প্রতিটি tier-এ communication শুধু adjacent tier-এর সাথে allowed।

তৃতীয় pattern হলো Purdue Model, যা ICS/OT environment-এর জন্য standard। Level 0 (physical process) থেকে Level 5 (corporate network) পর্যন্ত ৬টি level-এ network বিভক্ত। প্রতিটি level কঠোরভাবে আলাদা।

চতুর্থ pattern হলো User Network Segmentation। কর্মচারীদের role অনুযায়ী আলাদা segment - HR, Finance, IT, Guest। এটি data exposure minimize করে।

পঞ্চম pattern হলো Device-based Segmentation। Workstation, server, printer, IoT device, mobile device সব আলাদা segment-এ। বিশেষ করে IoT-এর প্রসারের সাথে এটি গুরুত্বপূর্ণ।

ষষ্ঠ pattern হলো Tier-0/Tier-1/Tier-2 model, যা specifically Active Directory environment-এর জন্য। Tier-0 (domain controller, AD admin) সবচেয়ে sensitive, এদের সম্পূর্ণ isolated রাখা হয়।

Network Segmentation-এর প্রয়োজনীয়তা বিভিন্ন বাস্তব ঘটনায় প্রমাণিত হয়েছে। Target Corporation-এর ২০১৩ সালের breach এর একটি দৃষ্টান্ত। আক্রমণকারীরা একটি third-party HVAC vendor-এর credential ব্যবহার করে network-এ ঢুকেছিল এবং সেখান থেকে POS system-এ pivot করেছিল। যদি proper segmentation থাকত, HVAC system এবং payment processing system-এর মধ্যে কোনো direct connectivity থাকত না।

২০১৭ সালের NotPetya attack ইউক্রেন থেকে শুরু হয়ে Maersk, Merck, FedEx-এর মতো multinational কোম্পানিতে ছড়িয়ে পড়েছিল। Flat network architecture-এর কারণে এই malware কোম্পানির পুরো network-এ rapidly propagate করতে পেরেছিল। Maersk-এর প্রায় ৪৯,০০০ laptop এবং ১,২০০ application affected হয়েছিল।

Colonial Pipeline-এর ২০২১ সালের ransomware attack-ও segmentation-এর অভাবে আরও ক্ষতিকর হয়েছিল। Corporate IT network compromise হওয়ায় তারা precautionary measure হিসেবে OT network-ও shut down করতে বাধ্য হয়েছিল কারণ proper segmentation নিশ্চিত করা যায়নি যে OT safe।

বাংলাদেশের প্রেক্ষাপটে, Bangladesh Bank-এর ২০১৬ সালের heist-এও network segmentation-এর দুর্বলতা একটি বড় ভূমিকা পালন করেছিল। SWIFT terminal-এর সাথে general corporate network-এর undue connectivity attack-কে সম্ভব করেছিল।

বিপরীত একটি positive example হলো Microsoft-এর internal network। তারা strict Tier-0/1/2 segmentation এবং Privileged Access Workstation (PAW) ব্যবহার করে, যা advanced attack থেকেও তাদের অনেকাংশে রক্ষা করেছে।

Network Segmentation theory-তে সহজ মনে হলেও practical implementation চ্যালেঞ্জিং। প্রথম চ্যালেঞ্জ হলো legacy system। অনেক পুরোনো application এমনভাবে designed যে তারা wide network access প্রয়োজন। এদের segmentation-এ ফিট করানো কঠিন।

দ্বিতীয় চ্যালেঞ্জ হলো operational complexity। সব inter-segment communication firewall rule দিয়ে control করতে হয়, যার সংখ্যা হাজার হাজার হতে পারে। Rule management একটি ongoing burden।

তৃতীয় চ্যালেঞ্জ হলো performance impact। প্রতিটি inter-segment traffic firewall দিয়ে যায়, যা latency বাড়ায়। High-performance environment-এ এটি গুরুত্বপূর্ণ consideration।

চতুর্থ চ্যালেঞ্জ হলো application discovery। সঠিক segmentation policy তৈরির জন্য প্রতিটি application-এর communication pattern বুঝতে হবে। Large enterprise-এ এটি ব্যাপক effort।

পঞ্চম চ্যালেঞ্জ হলো cultural resistance। User-রা প্রায়ই segmentation-কে productivity barrier মনে করেন। Change management গুরুত্বপূর্ণ।

ষষ্ঠ চ্যালেঞ্জ হলো cloud environment। Hybrid এবং multi-cloud setup-এ consistent segmentation policy maintain করা জটিল।

Effective Network Segmentation-এর জন্য কয়েকটি best practice অনুসরণ করতে হবে। প্রথমত, business-driven approach নিন। প্রতিটি segment-এর behind একটি clear business এবং security rationale থাকতে হবে।

দ্বিতীয়ত, asset inventory complete করুন। কী আছে তা না জানলে কী protect করবেন বুঝবেন না। Network discovery tool যেমন Forescout, Tenable, Lansweeper এই কাজে সহায়ক।

তৃতীয়ত, application dependency mapping করুন। কোন application কোন service-এর সাথে communicate করে - এটি ম্যাপ করা ছাড়া policy design সম্ভব নয়। Cisco SecureWorkload (পূর্বে Tetration), Illumio, এবং AppDynamics এই কাজে ব্যবহৃত হয়।

চতুর্থত, gradual rollout strategy নিন। Big bang approach disaster-এ শেষ হতে পারে। Phased implementation, pilot project, এবং continuous tuning approach নিন।

পঞ্চমত, "default deny" policy implement করুন। যা explicitly allowed নয়, তা blocked। এটি Zero Trust principle-এর কেন্দ্রীয় ধারণা।

ষষ্ঠত, automation ব্যবহার করুন। Manual rule management scale করে না। Infrastructure as Code, policy as code এবং automated workflow অপরিহার্য।

সপ্তমত, continuous monitoring। Segmentation policy effective থাকছে কিনা, কোনো unauthorized flow হচ্ছে কিনা - এসব নিয়মিত verify করতে হবে।

অষ্টমত, regular testing। Segmentation effectiveness assess করতে penetration testing এবং purple team exercise নিয়মিত করতে হবে।

নবমত, document everything। Segment definition, policy rationale, exception, এবং review schedule সব documented থাকা প্রয়োজন।

দশমত, governance establish করুন। কে নতুন segment তৈরি করতে পারবে, কে policy change করতে পারবে, কীভাবে exception handle হবে - clear governance প্রয়োজন।