SaaS Security: সফটওয়্যার-অ্যাজ-এ-সার্ভিস প্ল্যাটফর্মে কর্পোরেট ডেটার নিরাপত্তা নিশ্চিতকরণ!

SaaS security-র সবচেয়ে মৌলিক ধারণা হলো Shared Responsibility Model। সাধারণ ভুল ধারণা হলো, "আমি SaaS ব্যবহার করছি, তাই security vendor-এর দায়িত্ব।" এটি আংশিক সত্য, কিন্তু সম্পূর্ণ সত্য নয়।

SaaS provider সাধারণত দায়িত্ব নেয় underlying infrastructure-এর: physical security, host OS, network segmentation, application code, এবং service availability। তারা নিশ্চিত করে যে তাদের প্ল্যাটফর্ম patch up-to-date থাকে, perimeter সুরক্ষিত থাকে, এবং multi-tenancy isolation কার্যকর থাকে।

কিন্তু গ্রাহকের দায়িত্ব হলো: data classification এবং governance, user identity এবং access management, application configuration, third-party integration management, এবং সংবেদনশীল data-র শ্রেণিবিভাগ ও সুরক্ষা। SaaS provider আপনাকে শক্তিশালী টুল দিচ্ছে, কিন্তু সেগুলো সঠিকভাবে configure করার দায়িত্ব আপনার।

বাস্তব উদাহরণ—Capital One-এর ২০১৯-এর breach। Amazon Web Services-এর কোনো ত্রুটি ছিল না; বরং একটি misconfigured WAF এবং অতিরিক্ত IAM permission-এর কারণে ১০ কোটির বেশি গ্রাহকের data exposed হয়। SaaS-এর ক্ষেত্রেও একই pattern—অধিকাংশ breach platform-এর ত্রুটির কারণে নয়, বরং customer-এর configuration-এর কারণে।

প্রথম চ্যালেঞ্জ হলো visibility-র অভাব। অনেক প্রতিষ্ঠানই জানে না তাদের পরিবেশে আসলে কতগুলো SaaS অ্যাপ ব্যবহৃত হচ্ছে। "Shadow IT" বা "Shadow SaaS"—যেখানে কর্মীরা IT-র অনুমতি ছাড়াই বিভিন্ন SaaS service-এ sign up করে—এটি প্রায় সর্বজনীন ঘটনা। Marketing দল হয়তো একটি ছোট analytics tool ব্যবহার করছে, sales দল আরেকটি email automation, engineering আরেকটি code review platform—এদের কোনোটিরই centralized oversight নেই।

দ্বিতীয় চ্যালেঞ্জ হলো configuration complexity। Microsoft 365-এ হাজারের বেশি configuration setting আছে। Salesforce-এ আরও বেশি। প্রতিটি SaaS-এর নিজস্ব permission model, sharing setting, এবং security control আছে। কোনটি default-এ secure এবং কোনটি নয়, কোনটি ব্যবসার জন্য essential এবং কোনটি নিরাপত্তার জন্য hazardous—এই tradeoff বুঝতে গভীর expertise লাগে।

তৃতীয় চ্যালেঞ্জ হলো integration ও OAuth scope। আধুনিক SaaS ecosystem-এ অ্যাপগুলো একে অপরের সাথে integrate হয়। একটি কর্মী হয়তো তার Gmail-এ একটি third-party plugin install করেছেন, যা সব email পড়ার permission চেয়েছে। সেই plugin-এর vendor compromise হলে কর্মীর সব email-ই exposed। OAuth-এর granular permission system শক্তিশালী, কিন্তু monitor না করলে এটি বিশাল attack surface তৈরি করে।

চতুর্থ চ্যালেঞ্জ হলো user behavior এবং insider risk। External sharing, public links, guest user account, dormant account—এই সবই data leak-এর জন্য vector। একজন departing employee যদি তার OneDrive-এ company data রেখে যান, সেটি অজান্তেই long-term security হুমকি।

এই চ্যালেঞ্জ মোকাবিলায় উদ্ভব হয়েছে SSPM (SaaS Security Posture Management)-এর। CSPM (Cloud SPM) যেমন AWS, Azure, GCP-র জন্য কাজ করে, SSPM তেমনি SaaS অ্যাপ্লিকেশনের জন্য continuous monitoring এবং configuration assessment প্রদান করে।

প্রধান SSPM vendor-এর মধ্যে আছে Adaptive Shield, AppOmni, Obsidian Security, Wing Security, এবং Microsoft Defender for Cloud Apps। এরা সাধারণত API-based integration ব্যবহার করে প্রতিটি SaaS-এর configuration, user activity, এবং permission audit করে।

একটি SSPM tool যা যা করে: configuration drift detection (যেমন MFA disable হয়েছে কি না), excessive permission identification (কোন user-এর কাছে অতিরিক্ত access আছে), risky third-party integration tracking (কোন OAuth app কী scope claim করেছে), data sharing analysis (কোন file external-ভাবে shared), এবং compliance benchmarking (CIS, SOC 2, ISO 27001-এর সাথে alignment)।

SSPM শুধু dashboard নয়; এটি actionable alert ও remediation workflow প্রদান করে। যেমন—যদি কোনো admin তার MFA disable করে, তাহলে immediate alert; যদি কোনো sensitive folder publicly shared হয়, তাহলে auto-remediation।

SaaS security-র সবচেয়ে গুরুত্বপূর্ণ pillar হলো identity। যখন আপনার network perimeter আর নেই, তখন identity-ই নতুন perimeter।

প্রথম এবং সবচেয়ে important practice হলো SSO (Single Sign-On)-এর adoption। প্রতিটি SaaS app-এ আলাদা username/password থাকা মানে passwords reuse, weak passwords, এবং offboarding-এ ফাঁক-ফোকর। Okta, Azure AD, Google Workspace-এর মতো IdP ব্যবহার করে সমস্ত SaaS authentication centralize করা উচিত। SAML 2.0 বা OIDC-এর মাধ্যমে SSO integration আজকের enterprise-এ standard।

দ্বিতীয়ত, MFA। SSO থাকলেও MFA ছাড়া তা incomplete। FIDO2/WebAuthn-ভিত্তিক phishing-resistant MFA সবচেয়ে শক্তিশালী। SMS-based OTP-এর তুলনায় hardware key বা platform authenticator অনেক নিরাপদ।

তৃতীয়ত, lifecycle management। SCIM (System for Cross-domain Identity Management) protocol ব্যবহার করে user provisioning ও deprovisioning automate করা উচিত। কেউ চাকরি ছেড়ে গেলে IdP থেকে disable হলে সাথে সাথে সব SaaS app থেকেও access রহিত হবে।

চতুর্থত, least privilege principle। প্রতিটি SaaS-এ role-based access control (RBAC) ব্যবহার করতে হবে। সবাইকে admin বা power user বানানো বিপজ্জনক। সংবেদনশীল কাজের জন্য just-in-time privileged access ব্যবহার করা উচিত।

পঞ্চমত, Conditional Access। শুধু username/password match হলেই access দেওয়া যথেষ্ট নয়। User-এর device health, location, network risk score—এই context-এর ভিত্তিতে dynamic policy enforce করতে হবে। Azure AD Conditional Access বা Okta Adaptive MFA এই capability প্রদান করে।

SaaS-এ data চলে যাওয়ার পর সেই data-র control রাখা চ্যালেঞ্জিং। তবে কিছু effective control আছে।

Data Loss Prevention (DLP) policy SaaS platform-এ enable করা উচিত। Microsoft Purview, Google Workspace DLP, বা third-party tool যেমন Netskope, Zscaler—এরা content inspection করে credit card number, social security number, intellectual property leak prevent করতে পারে।

Encryption at rest সব major SaaS provider default-এ প্রদান করে। তবে customer-managed key (CMK) বা bring-your-own-key (BYOK) option ব্যবহার করলে আরও control পাওয়া যায়।

Data residency এবং sovereignty একটি growing concern। GDPR, এবং অন্যান্য regional regulation-এর কারণে নির্দিষ্ট data নির্দিষ্ট ভৌগোলিক সীমার মধ্যে রাখা প্রয়োজন হতে পারে। প্রধান SaaS provider-এ region selection option আছে।

Backup এবং recovery—এটি প্রায়শই overlook করা হয়। অনেকেই মনে করেন SaaS provider সব backup নিচ্ছে। বাস্তবে provider মূলত infrastructure-level backup নেয়, কিন্তু accidental deletion, ransomware, বা insider attack থেকে data recovery-র দায়িত্ব customer-এর। Spanning, Veeam, AvePoint-এর মতো SaaS backup solution এই gap পূরণ করে।

আধুনিক SaaS ecosystem-এ একটি core app-এর সাথে কয়েক ডজন third-party integration থাকতে পারে। Slack-এ Zapier, Salesforce-এ ZoomInfo, Google Workspace-এ DocuSign—এই integration-গুলো productivity বাড়ায়।

কিন্তু প্রতিটি integration একটি potential attack vector। OAuth app যদি broad scope claim করে (যেমন "read all your emails"), তাহলে সেই vendor compromise হলে সব ডেটা compromise।

প্রতিষ্ঠানের একটি OAuth app governance policy থাকা উচিত: কোন কোন app-কে enterprise-wide approve করা হবে, কোনগুলো block করা হবে, এবং কোন granular scope-গুলো allowed। Microsoft 365 এবং Google Workspace-এ admin consent workflow আছে—কর্মী যেকোনো app-কে data access দেওয়ার আগে admin-এর approval-এর জন্য পাঠাতে পারে।

OAuth token theft আরেকটি growing threat vector। Phishing campaign-এ malicious OAuth app install করানোর মাধ্যমে আক্রমণকারী credential বা MFA bypass করে data access পেতে পারে। User awareness training-এ এই threat-কে অন্তর্ভুক্ত করা জরুরি।

SaaS security কেবল prevent নয়, detect ও respond-এরও বিষয়। প্রতিটি SaaS app-এর audit log আছে। Microsoft 365-এ Unified Audit Log, Google Workspace-এ Admin Activity log, Salesforce-এ Event Monitoring—এই log-গুলো SIEM-এ ingest করতে হবে।

Splunk, Microsoft Sentinel, Elastic-এর মতো SIEM-এ SaaS log integrate করলে cross-platform correlation সম্ভব হয়। একই user-এর Salesforce-এ sudden bulk export, তার পরেই Box-এ unusual download—এই pattern human eye-এ ধরা কঠিন, কিন্তু SIEM-এর correlation rule সহজেই detect করতে পারে।

UEBA (User and Entity Behavior Analytics) আরেক ধাপ এগিয়ে। ML model ব্যবহার করে এটি প্রতিটি user-এর baseline behavior শেখে এবং deviation flag করে। কেউ যদি সাধারণত আমেরিকা থেকে login করেন এবং হঠাৎ রাত ৩টায় রাশিয়া থেকে massive data download শুরু করেন, তাহলে UEBA সেটি anomaly হিসেবে চিহ্নিত করবে।

SaaS adoption-এর সাথে compliance complexity বেড়েছে। SOC 2, ISO 27001, HIPAA, GDPR, PCI DSS—প্রতিটির নিজস্ব requirement আছে। SaaS vendor-এর compliance certification থাকা মানে customer-এর responsibility শেষ নয়; বরং shared responsibility model অনুযায়ী customer তার অংশ pull করছে কি না সেটি প্রমাণ করতে হয়।

Vendor risk management একটি গুরুত্বপূর্ণ practice। প্রতিটি SaaS vendor onboard করার আগে security questionnaire, SOC 2 report review, penetration testing report review করতে হয়। OneTrust, Vanta, Drata-র মতো GRC platform এই process automate করে।

Data Processing Agreement (DPA) এবং Business Associate Agreement (BAA) GDPR, HIPAA-এর under সংশ্লিষ্ট vendor-এর সাথে স্বাক্ষর করতে হয়।