ক্লাউড নিরাপত্তা টিপস তখনই কার্যকর হয়, যখন সেগুলো আক্রমণকারীদের কাজে লাগানো আসল দুর্বলতাগুলো চিহ্নিত করে: যেমন—একটি পাবলিক S3 বাকেট যা কেউ খেয়াল করেনি, বা ওয়াইল্ডকার্ডসহ একটি CI রানার। ডেস্কটপ AWS অনুমতি, বিল্ড লগে ফাঁস হওয়া কোনো গোপনীয় তথ্য, অথবা কোনো ক্ষতিকারক ডিপেন্ডেন্সি যা নীরবে ইনস্টল হয়ে গেছে pipeline বেশিরভাগ ক্লাউড নিরাপত্তা সংক্রান্ত ঘটনা অজানা হুমকির কারণে ঘটে না। এগুলো ঘটে পরিচিত দুর্বলতার কারণে, যেগুলোকে কখনো কার্যকর করা হয়নি, অগ্রাধিকার দেওয়া হয়নি বা সমাধান করা হয়নি।
এই নির্দেশিকায় পরিচয়, ডেটা, পরিকাঠামো, সফটওয়্যার সরবরাহ শৃঙ্খল—এই স্তর অনুযায়ী সাজানো ২০টি ব্যবহারিক ক্লাউড নিরাপত্তা টিপস রয়েছে। CI/CD pipelineনিরাপত্তা, সনাক্তকরণ এবং ঘটনার প্রতিক্রিয়া। আপনি একটি একক ক্লাউড অ্যাকাউন্ট সুরক্ষিত করছেন বা একাধিক দলের নিরাপত্তা নিশ্চিত করছেন, যাই হোক না কেন। ডেভসেকস pipelineএই নিয়ন্ত্রণগুলো প্রকৃতপক্ষে ঘটে যাওয়া লঙ্ঘনগুলো প্রতিরোধ করতে সাহায্য করে।
এত ক্লাউড নিরাপত্তা টিপস থাকা সত্ত্বেও কেন ক্লাউড নিরাপত্তা বারবার ব্যর্থ হচ্ছে
ক্লাউড নিরাপত্তা হলো এমন একগুচ্ছ নিয়ন্ত্রণ, নীতিমালা এবং টুল যা ক্লাউড পরিবেশে চলমান ডেটা, অ্যাপ্লিকেশন এবং অবকাঠামোকে সুরক্ষিত রাখে। এর আওতায় পরিচয়, নেটওয়ার্ক, ডেটা, অ্যাপ্লিকেশন কোড, নির্ভরতা, অবকাঠামোর কনফিগারেশন এবং নির্মাণ অন্তর্ভুক্ত। pipelines.
এমনকি অভিজ্ঞ দলগুলোর ক্ষেত্রেও এটি বারবার ব্যর্থ হওয়ার কারণ জ্ঞানের অভাব নয়। এর পেছনে তিনটি কাঠামোগত সমস্যা রয়েছে:
- গতি বনাম নিরাপত্তা। Pipelineদ্রুত কাজ করা হয়। যে নিয়ন্ত্রণগুলো বাধা সৃষ্টি করে, সেগুলো নিষ্ক্রিয় করে দেওয়া হয়। যে দলগুলো ক্লাউড নিরাপত্তা সঠিকভাবে বোঝে, তারা কোনো বাধা তৈরি করে না, বরং সরাসরি কর্মপ্রবাহের মধ্যেই এর প্রয়োগকে স্বয়ংক্রিয় করে তোলে।
- টুলের খণ্ডীকরণ। একটি টুলেই গোপনীয় তথ্য স্ক্যান করার সুবিধা। SCA অন্যটিতে, IaC তৃতীয়ত, কোনো সমন্বিত দৃষ্টিভঙ্গি না থাকায় বিভিন্ন স্তরের আওতার মধ্যে ফাঁক থেকে যায় এবং প্রাপ্ত ফলাফলগুলো কখনোই প্রকৃত ঝুঁকির সঙ্গে সম্পর্কযুক্ত হয় না।
- সতর্কতাজনিত ক্লান্তি। যেসব স্ক্যানার প্রতিদিন শত শত CVE খুঁজে বের করে, সেগুলো ইঞ্জিনিয়ারদেরকে গুরুত্বপূর্ণগুলোসহ প্রাপ্ত ফলাফল উপেক্ষা করতে প্রশিক্ষণ দেয়। অগ্রাধিকার দেওয়াটা ঐচ্ছিক নয়; নিরাপত্তা ব্যবস্থা আসলেই কাজ করবে কি না, তা এর উপরেই নির্ভর করে।
নিচের ক্লাউড নিরাপত্তা টিপসগুলো সেই ঘাটতিগুলো বাস্তবসম্মত উপায়ে পূরণ করার জন্য তৈরি করা হয়েছে। ক্লাউড নিরাপত্তাকে শুধুমাত্র রানটাইম-এর সমস্যা হিসেবে না দেখে, এগুলো কোড থেকে ক্লাউড পর্যন্ত সম্পূর্ণ ডেলিভারি পথটিকেই অন্তর্ভুক্ত করে।
ক্লাউড সুরক্ষার ২০টি পরামর্শ:
পরিচয় এবং অ্যাক্সেস ম্যানেজমেন্ট ক্লাউড নিরাপত্তা টিপস
১. সর্বত্র মাল্টি-ফ্যাক্টর অথেনটিকেশন সক্রিয় করুন
ক্লাউড সুরক্ষায় এমএফএ (MFA) এখনও পর্যন্ত সর্বোচ্চ রিটার্ন-অফ-ইনভেস্টমেন্ট (ROI) প্রদানকারী নিয়ন্ত্রণ ব্যবস্থা। এটি ক্রেডেনশিয়াল চুরির আক্রমণকে পুরোপুরি থামিয়ে দেয়, এবং আক্রমণকারীরা তা জানে। এমএফএ ছাড়া যেকোনো অ্যাকাউন্টই একটি সহজ লক্ষ্যবস্তু।
আপনার ক্লাউড পরিবেশে প্রতিটি ব্যবহারকারীর পরিচয়ের জন্য এমএফএ (MFA) বাধ্যতামূলক করুন: ডেভেলপার অ্যাকাউন্ট, অ্যাডমিন কনসোল, ক্লাউড প্রোভাইডার পোর্টাল। CI/CD dashboardবিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টগুলোর জন্য ফিশিং-প্রতিরোধী এমএফএ (হার্ডওয়্যার কী, পাসকী) ব্যবহার করুন। অথেনটিকেটর অ্যাপের মাধ্যমে সময়-ভিত্তিক কোড হলো ন্যূনতম আবশ্যকীয় শর্ত।
২. সর্বনিম্ন বিশেষাধিকার প্রয়োগ করুন, বিশেষত অ-মানবিক পরিচয়ের ক্ষেত্রে
সর্বনিম্ন সুবিধার নীতি মানুষের জন্য এটি বেশ বোধগম্য। দলগুলো যে অংশটি ধারাবাহিকভাবে এড়িয়ে যায় তা হলো অ-মানবিক পরিচয়: CI/CD সার্ভিস অ্যাকাউন্ট, ল্যাম্বডা ফাংশন, কন্টেইনার ওয়ার্কলোড, গিটহাব অ্যাকশন রানার।
এই আইডেন্টিটিগুলো ওয়াইল্ডকার্ড পারমিশন অর্জন করে, কারণ এগুলো একবার কনফিগার করা হয় এবং আর কখনো তাতে ফিরে যাওয়া হয় না। সাপ্লাই চেইন অ্যাটাকে আক্রমণকারীরা ঠিক এগুলোকেই টার্গেট করে, কারণ এগুলোর সিক্রেট, রিপোজিটরি, প্রোডাকশন রিসোর্স এবং ডাউনস্ট্রিম সিস্টেমে অ্যাক্সেস থাকে।
// Bad: wildcard S3 permissions on a Lambda function { "Action": "s3:*", "Resource": "*" } // Good: scoped to exactly what the function needs { "Action": ["s3:GetObject", "s3:PutObject"], "Resource": "arn:aws:s3:::my-app-bucket/uploads/*" } প্রতি তিন মাস অন্তর সার্ভিস অ্যাকাউন্টের অনুমতি নিরীক্ষা করুন। গত ৯০ দিনে অব্যবহৃত সবকিছু মুছে ফেলুন।
৩. দীর্ঘমেয়াদী ক্রেডেনশিয়ালগুলোকে স্বল্পমেয়াদী টোকেন দিয়ে প্রতিস্থাপন করুন
স্ট্যাটিক এপিআই কী এবং দীর্ঘস্থায়ী টোকেনগুলো ক্লাউড লঙ্ঘনের অন্যতম প্রধান কারণ। এগুলো commitরিপোজিটরিতে পাঠানো, CI লগে ফাঁস হওয়া, স্ল্যাকে কপি করা, এবং শেষে ভুলে যাওয়া। .env ফাইলগুলো তখন মাস বা বছর ধরে বৈধ থাকে।
যেখানে সম্ভব, সেগুলোকে স্বল্পস্থায়ী পরিচয়পত্র দিয়ে প্রতিস্থাপন করুন: AWS STS ভূমিকা গ্রহণ, জিসিপি ওয়ার্কলোড আইডেন্টিটি ফেডারেশন, গিটহাব অ্যাকশনস OIDCযখন স্থির ক্রেডেনশিয়াল অপরিহার্য হয়, তখন সেগুলোকে একটি সিক্রেটস ম্যানেজারে (Vault, AWS Secrets Manager, Azure Key Vault) সংরক্ষণ করুন এবং স্বয়ংক্রিয়ভাবে ঘোরানোর ব্যবস্থা করুন।
৪. উচ্চতর বিশেষাধিকারের জন্য জাস্ট-ইন-টাইম অ্যাক্সেস বাস্তবায়ন করুন
স্থায়ী অ্যাডমিন অ্যাক্সেস মানেই স্থায়ী ঝুঁকি। স্থায়ী উচ্চতর অনুমতির অর্থ হলো, প্রোডাকশনে পৌঁছানোর জন্য একটি মাত্র হ্যাক হওয়া পরিচয়ই যথেষ্ট।
JIT অ্যাক্সেস সিস্টেম (AWS IAM Identity Center, GCP Privileged Access Manager, Okta Access Requests) চাহিদা অনুযায়ী, নির্দিষ্ট সময়ের জন্য এবং সম্পূর্ণ অডিট লগ সহ উন্নত অ্যাক্সেস প্রদান করে। ডেভেলপাররা যখন যা প্রয়োজন, তখন তাই পান। আক্রমণকারীরা এখানে কোনো স্থায়ী লক্ষ্যবস্তু খুঁজে পায় না।
৫. সার্ভিস-টু-সার্ভিস যোগাযোগের ক্ষেত্রে জিরো ট্রাস্ট প্রয়োগ করুন
প্রচলিত পেরিমিটার মডেলগুলো ধরে নেয় যে নেটওয়ার্কের ভেতরের সবকিছুই বিশ্বস্ত। মাইক্রোসার্ভিস, কন্টেইনার এবং ডাইনামিক ওয়ার্কলোড সমৃদ্ধ ক্লাউড-নেটিভ পরিবেশ এই ধারণাটিকে বিপজ্জনক করে তোলে।
জিরো ট্রাস্ট এর অর্থ হলো, অনুরোধটি কোথা থেকে আসছে তা নির্বিশেষে প্রতিটি অনুরোধ প্রমাণীকৃত এবং অনুমোদিত। সার্ভিস-টু-সার্ভিস প্রমাণীকরণ (mTLS, সার্ভিস মেশ আইডেন্টিটি) বাস্তবায়ন করুন, ওয়ার্কলোড স্তরে নেটওয়ার্ক নীতি প্রয়োগ করুন এবং ডিফল্টরূপে অভ্যন্তরীণ ট্র্যাফিককে অবিশ্বস্ত হিসেবে গণ্য করুন।
ডেটা সুরক্ষা ক্লাউড নিরাপত্তা টিপস
৬. অভ্যন্তরীণ ট্র্যাফিক সহ সবকিছু এনক্রিপ্ট করুন।
স্থির অবস্থায় এনক্রিপশন (AES-256, পরিচালিত কেএমএস এখন standard অনুশীলন। বেশিরভাগ দলের যে ঘাটতিটি রয়েছে তা হলো অভ্যন্তরীণ ট্র্যাফিকের জন্য ট্রানজিটে এনক্রিপশন.
মাইক্রোসার্ভিস এবং কন্টেইনার-টু-কন্টেইনার কমিউনিকেশন সহ একটি VPC-তে, যে ট্র্যাফিক “ভেতরে” থাকে তা স্বাভাবিকভাবেই নিরাপদ নয়। অভ্যন্তরীণ সার্ভিস কমিউনিকেশনের জন্য মিউচুয়াল TLS (mTLS) প্রয়োগ করুন। প্রতিটি টিমের সঠিকভাবে কনফিগার করার উপর নির্ভর না করে, এটি স্বয়ংক্রিয়ভাবে কার্যকর করার জন্য একটি সার্ভিস মেশ (Istio, Linkerd) বা একটি জিরো-ট্রাস্ট নেটওয়ার্কিং লেয়ার ব্যবহার করুন।
৭. ফাঁস হওয়া গোপন তথ্য ছড়িয়ে পড়ার আগেই শনাক্ত করুন এবং তার প্রতিকার করুন।
গোপন commitএকটি রিপোজিটরিতে লিঙ্ক করা তথ্য গোপন থাকে না। গিটহাব কয়েক সেকেন্ডের মধ্যেই পাবলিক রিপোজিটরিগুলো ইনডেক্স করে ফেলে। ইন্টারনাল রিপোজিটরিগুলোও এর থেকে সুরক্ষিত নয়; একবার কোনো সিক্রেট গিট হিস্ট্রিতে চলে গেলে, এখন বা ভবিষ্যতে, রিপোজিটরিতে অ্যাক্সেস আছে এমন যে কেউ তা অ্যাক্সেস করতে পারে।
প্রতিরোধের স্তরগুলি গুরুত্বপূর্ণ (pre-commit hooksIDE প্লাগইনগুলো যথেষ্ট নয়। ঐতিহাসিক রিপোজিটরি সহ সমস্ত রিপোজিটরি জুড়ে আপনার অবিচ্ছিন্ন স্ক্যানিং প্রয়োজন। commits, CI/CD লগ, IaC ফাইল এবং কন্টেইনার ইমেজ। যখন কোনো গোপনীয় তথ্য শনাক্ত হয়, তখন তাৎক্ষণিক ব্যবস্থা নিতে হবে: তথ্য প্রত্যাহার, পরিবর্তন এবং প্রকাশ ও শনাক্তকরণের মধ্যবর্তী সময়ে এটি ব্যবহার করা হয়েছিল কিনা তা মূল্যায়ন করতে হবে।
৮. সংবেদনশীলতার ভিত্তিতে ডেটা শ্রেণীবদ্ধ করুন এবং নিয়ন্ত্রণ প্রয়োগ করুন
আপনার ক্লাউড পরিবেশে থাকা সমস্ত ডেটা উন্মুক্ত হলে একই ঝুঁকি বহন করে না। সবকিছুকে একই রকমভাবে বিবেচনা করার অর্থ হলো, কম ঝুঁকিপূর্ণ ডেটার জন্য নিয়ন্ত্রণে অতিরিক্ত বিনিয়োগ করা এবং প্রকৃত গুরুত্বপূর্ণ ডেটার সুরক্ষায় ঘাটতি রাখা।
সংবেদনশীলতা অনুসারে ডেটা শ্রেণীবদ্ধ করুন (সর্বজনীন, অভ্যন্তরীণ, গোপনীয়, সীমাবদ্ধ)। অ্যাক্সেস নিয়ন্ত্রণ এবং এনক্রিপশন প্রয়োগ করুন। standardপ্রতিটি স্তরের জন্য অডিট লগিংয়ের প্রয়োজনীয়তা নির্ধারণ করুন। যেখানে সম্ভব, শ্রেণিবিন্যাস স্বয়ংক্রিয় করুন, কারণ ম্যানুয়াল ট্যাগিং দীর্ঘস্থায়ী হয় না।
অবকাঠামো এবং কনফিগারেশন নিরাপত্তা
9. স্ক্যান IaC প্রতিটিতে Commitশুধু মোতায়েনের আগে নয়
ইনফ্রাস্ট্রাকচার অ্যাজ কোড হলো সেই জায়গা যেখানে ভুল কনফিগারেশন তৈরি হয়, প্রোডাকশনে নয়। একটি পাবলিক S3 বাকেট, একটি ওপেন সিকিউরিটি গ্রুপ, অথবা একটি IAM রোল যার সাথে *:* পারমিশন এমনি এমনি তৈরি হয় না। এর শুরুটা হয় টেরাফর্ম ফাইল বা কুবারনেটিস ম্যানিফেস্টের এমন একটি লাইন হিসেবে, যেটিকে কেউ ফ্ল্যাগ করেনি।
IaC স্ক্যানিং অবশ্যই প্রতিবার চালাতে হবে। pull requestকোড রিভিউ ওয়ার্কফ্লোতে প্রাপ্ত তথ্যগুলো সামনে আসে। Terraform, Kubernetes manifests, CloudFormation, Helm charts, Dockerfiles, এবং অন্যান্য ফাইল স্ক্যান করুন। CI/CD কনফিগারেশন।
# This fails immediately in Xygeni IaC scanning: resource "aws_s3_bucket" "data" { bucket = "company-data" acl = "public-read" # ← flagged: public access enabled } জাইজেনি IaC Security প্রতিটি সমর্থিত ফরম্যাট স্ক্যান করে commitপ্রাপ্ত ফলাফলগুলোকে নির্দিষ্ট রিসোর্সের সাথে সংযুক্ত করে এবং আপনার পিআর (PR) ওয়ার্কফ্লোর সাথে সমন্বিত হয়, যাতে ডেভেলপাররা তাদের নিজেদের কর্মস্থলেই ফিডব্যাক পান, আলাদাভাবে নয়। dashboard সেগুলো কখনো খোলে না। বিনামূল্যে ট্রায়াল শুরু করুন →
১০. নিরাপত্তা নীতিকে বিধি হিসেবে বিবেচনা করুন
ম্যানুয়াল নিরাপত্তা পর্যালোচনা বড় পরিসরে প্রয়োগ করা যায় না। কিন্তু পলিসি-অ্যাজ-কোড তা পারে।
নিরাপত্তা বিধিগুলোকে ভার্সনযুক্ত ও পরীক্ষাযোগ্য কোড হিসেবে প্রকাশ করতে OPA (Open Policy Agent) বা Kyverno-এর মতো টুল ব্যবহার করুন। সেগুলোকে প্রয়োগ করুন pipeline তাই একটি Kubernetes ডেপ্লয়মেন্টের স্তর সহ সুবিধাপ্রাপ্ত: সত্য অথবা রুট হিসেবে চলমান একটি কন্টেইনার প্রতিবার স্বয়ংক্রিয়ভাবে বিল্ডটি ব্যর্থ করে দেয়। যখন নীতিমালা কোডে থাকে, তখন যেকোনো ইঞ্জিনিয়ারিং আর্টিফ্যাক্টের মতোই সেগুলোর পর্যালোচনা ও উন্নতি করা হয়। যখন সেগুলো ডকুমেন্টেশনে থাকে, তখন সেগুলোর গতিপথ বদলে যায়।
১১. নিরাপদ কনফিগারেশন বেসলাইন প্রয়োগ করুন এবং বিচ্যুতির জন্য পর্যবেক্ষণ করুন।
ডিফল্ট কনফিগারেশনগুলো সুবিধার জন্য অপ্টিমাইজ করা হয়, নিরাপত্তার জন্য নয়। ক্লাউড পরিষেবা, কন্টেইনার রানটাইম এবং পরিচালিত কুবারনেটিস ক্লাস্টারগুলো এমন সেটিংস সহ আসে যা ব্যবহার করা সহজ এবং যার অপব্যবহার করাও সহজ।
থেকে শুরু করুন CIS আপনার ক্লাউড প্রোভাইডার, কন্টেইনার রানটাইম এবং ওএস-এর জন্য বেঞ্চমার্ক নির্ধারণ করুন। সেগুলোকে পলিসি-অ্যাজ-কোড হিসেবে এনকোড করুন, যাতে সেগুলো স্বয়ংক্রিয়ভাবে প্রয়োগ হয়। পরিবর্তনের জন্য ক্রমাগত পর্যবেক্ষণ করুন; চাপের মুখে দ্রুত পরিবর্তনের ফলে গত সপ্তাহের সঙ্গতিপূর্ণ কনফিগারেশনটি আজ আর সঙ্গতিপূর্ণ নাও থাকতে পারে।
১২. নেটওয়ার্ক বিভাজন এবং পার্শ্বীয় চলাচল সীমাবদ্ধ করা
ফ্ল্যাট নেটওয়ার্ক আর্কিটেকচারের অর্থ হলো, একজন আক্রমণকারী একবার একটি ওয়ার্কলোড হ্যাক করতে পারলে, সে অন্য সবকিছুতেও পৌঁছে যেতে পারে। নেটওয়ার্ক সেগমেন্টেশন এই আক্রমণের পরিধিকে সীমিত রাখে।
কার্যকারিতা এবং সংবেদনশীলতা অনুযায়ী আইসোলেশন জোন তৈরি করতে ভিপিসি (VPC), সাবনেট এবং সিকিউরিটি গ্রুপ ব্যবহার করুন। সার্ভিসগুলোর মধ্যে ইস্ট-ওয়েস্ট ট্র্যাফিক শুধুমাত্র প্রয়োজনীয় অংশে সীমাবদ্ধ রাখুন। ইগ্রেস ফিল্টারিং প্রয়োগ করুন, কারণ বেশিরভাগ হ্যাক হওয়া ওয়ার্কলোডকে আক্রমণকারীর-নিয়ন্ত্রিত সার্ভারে পৌঁছাতে হয়, এবং এটি শনাক্ত বা প্রতিরোধ করার জন্য ইগ্রেস কন্ট্রোল হলো আপনার অন্যতম সেরা সুযোগ।
সফটওয়্যার সাপ্লাই চেইন ক্লাউড নিরাপত্তা টিপস
কিছু সবচেয়ে গুরুত্বপূর্ণ ক্লাউড নিরাপত্তা টিপস এখন আর ক্লাউড প্রোভাইডার কনসোলের ভেতর থেকে শুরু হয় না। এগুলোর শুরু হয় আরও আগে, সফটওয়্যার সাপ্লাই চেইনের ভেতর থেকে। যেমন—নির্ভরশীলতা, CI/CD ওয়ার্কফ্লো, সিক্রেট, বিল্ড স্ক্রিপ্ট এবং আর্টিফ্যাক্ট—এগুলো সবই ডেপ্লয়মেন্টের আগে ক্লাউড ঝুঁকি তৈরি করতে পারে।
১৩. আপনার বিল্ডে অন্তর্ভুক্ত হওয়ার আগে প্রতিটি ডিপেন্ডেন্সি স্ক্যান করুন।
আধুনিক সাপ্লাই চেইন অ্যাটাকে ওপেন-সোর্স প্যাকেজগুলোই হলো সিস্টেমে প্রবেশের সবচেয়ে সাধারণ প্রাথমিক মাধ্যম। ২০২৪ সালের শাই-হুলুদ ক্যাম্পেইন ৮৩০টিরও বেশি এনপিএম (npm) প্যাকেজকে ক্ষতিগ্রস্ত করেছিল। এক্সজেড ইউটিলস (XZ Utils) ব্যাকডোরটি লক্ষ লক্ষ লিনাক্স সিস্টেমে এসএসএইচ (SSH) অথেনটিকেশনকে প্রায় অরক্ষিত করে ফেলেছিল। উভয় ক্ষেত্রেই, সাধারণ ডিপেন্ডেন্সি ইনস্টলেশন প্রক্রিয়ার মাধ্যমেই ক্ষতিকারক কোড সিস্টেমে প্রবেশ করেছিল।
মৌলিক SCA (সফটওয়্যার কম্পোজিশন অ্যানালাইসিস) এর কাঁচা CVE তালিকা যথেষ্ট নয়। আপনার আসলে যা প্রয়োজন:
- নাগালের বিশ্লেষণআপনার কোডে কি ঝুঁকিপূর্ণ ফাংশনটি আসলেই কল করা হচ্ছে?
- ম্যালওয়্যার সনাক্তকরণএই প্যাকেজটি কি ক্ষতিকর আচরণ, দুর্বোধ্য স্ক্রিপ্ট, অপ্রত্যাশিত নেটওয়ার্ক কল বা জীবনচক্র প্রদর্শন করে? hooks যেগুলো এক্সটার্নাল রানটাইম ইনস্টল করে?
- ইপিএসএস স্কোরিংএই CVE-টি যে শুধু তাত্ত্বিকভাবে নয়, বরং এই মুহূর্তে বাস্তবে সক্রিয়ভাবে ব্যবহৃত হচ্ছে, তার সম্ভাবনা কতটুকু?
14. লক ডাউন CI/CD Pipelines
CI/CD সিস্টেমগুলোর কাছে গোপনীয় তথ্য, ক্লাউড ক্রেডেনশিয়াল এবং প্রোডাকশন এনভায়রনমেন্টের অ্যাক্সেস থাকে। এছাড়াও, যে প্রোডাকশন সিস্টেমগুলোতে এগুলো ডেপ্লয় করা হয়, সেগুলোর তুলনায় এগুলো সাধারণত কম সুরক্ষিত থাকে।
প্রয়োগ করার জন্য নিয়ন্ত্রণ:
- যেকোনো পরিবর্তনের জন্য কোড পর্যালোচনার প্রয়োজন pipeline কনফিগারেশন ফাইল (.github/workflows/, জেনকিন্সফাইল, ইত্যাদি)
- সেলফ-হোস্টেড রানারদের অনুমোদিত রিপোজিটরিগুলিতে সীমাবদ্ধ করুন, অপরীক্ষিত রানার অ্যাক্সেস ক্রেডেনশিয়াল চুরির একটি সরাসরি পথ।
- কখনই গোপনীয় তথ্য প্লেইনটেক্সট এনভায়রনমেন্ট ভেরিয়েবল হিসেবে পাস করবেন না; একটি সিক্রেটস ম্যানেজার ইন্টিগ্রেশন ব্যবহার করুন।
- নিরীক্ষা pipeline অপ্রত্যাশিত কমান্ড, অস্বাভাবিক নেটওয়ার্ক কল, বা অপ্রত্যাশিত সময়ে কার্যকর করার লগ।
জাইজেনি CI/CD নিরাপত্তা প্রয়োগ guardrails সরাসরি আপনার মধ্যে pipeline অনিরাপদ বিল্ড ব্লক করা, ইনজেক্টেড ওয়ার্কফ্লো শনাক্ত করা, এবং নিশ্চিত করা pipeline প্রতিটি পর্যায়ে সততা। একটি ডেমো বুক করুন →
১৫. বিল্ডের অখণ্ডতা যাচাই করুন এবং আর্টিফ্যাক্টগুলিতে স্বাক্ষর করুন
যদি কোনো আক্রমণকারী বিল্ড স্ক্রিপ্টে কোড প্রবেশ করাতে পারে, কম্পাইলেশনের পরে কোনো আর্টিফ্যাক্ট পরিবর্তন করতে পারে, অথবা একটি CI রানারকে হ্যাক করতে পারে, তাহলে আপনার সোর্স কোড যতই ত্রুটিমুক্ত হোক না কেন, আপনার সফটওয়্যার সাপ্লাই চেইন তাদের নিয়ন্ত্রণে চলে আসে।
বিল্ড ইন্টিগ্রিটি নিয়ন্ত্রণ প্রয়োগ করুন:
- সমস্ত ডিপেন্ডেন্সি ভার্সন এবং বেস ইমেজকে ট্যাগের পরিবর্তে সঠিক ডাইজেস্টের সাথে পিন করুন।
- ডিপ্লয়মেন্টের আগে বিল্ড আর্টিফ্যাক্টগুলিতে স্বাক্ষর করুন এবং স্বাক্ষরগুলি যাচাই করুন।
- অপ্রত্যাশিত পরিবর্তনের জন্য পর্যবেক্ষণ করুন CI/CD শাই-হুলুদের মতো আক্রমণে ওয়ার্কফ্লো ফাইল এবং ইনজেক্টেড ওয়ার্কফ্লো ছিল মূল নির্দেশক।
- কী, কোন উৎস থেকে এবং কার দ্বারা নির্মিত হয়েছে, তা ক্রিপ্টোগ্রাফিকভাবে প্রমাণ করার জন্য SLSA অ্যাটেস্টেশন প্রয়োগ করুন। pipeline
হুমকি সনাক্তকরণ এবং ঘটনা প্রতিক্রিয়া
১৬. লগিং কেন্দ্রীভূত করুন এবং সম্পূর্ণ স্ট্যাক জুড়ে দৃশ্যমানতা তৈরি করুন।
যা দেখা যায় না, তা শনাক্তও করা যায় না। বেশিরভাগ ক্লাউড নিরাপত্তা পর্যবেক্ষণ রানটাইম, ক্লাউডট্রেইল, ভিপিসি ফ্লো লগ এবং গার্ডডিউটির উপর মনোযোগ দেয়। এগুলো প্রয়োজনীয়, কিন্তু যথেষ্ট নয়।
শাই-হুলুদ এবং সোলারউইন্ডসের মতো আক্রমণগুলো আংশিকভাবে সফল হয়েছিল কারণ নির্মাণ প্রক্রিয়ার মধ্যেই আপোসটি ঘটেছিল। pipelineপ্রোডাকশন মনিটরিং-এ কোনো কিছু পৌঁছানোর অনেক আগেই। সম্পূর্ণ দৃশ্যমানতার জন্য সোর্স কোডের পরিবর্তন, বিল্ড ও আর্টিফ্যাক্ট লেয়ার, ক্লাউড রানটাইম এবং এপিআই কার্যকলাপ জুড়ে কভারেজ প্রয়োজন।
১৭. শুধু তীব্রতার ভিত্তিতে নয়, ব্যবহারযোগ্যতা অনুসারে প্রাপ্ত ফলাফলকে অগ্রাধিকার দিন।
সপ্তাহে ৫০০টি ত্রুটি খুঁজে পাওয়া একটি স্ক্যানার দলগুলোকে গুরুতর ত্রুটিগুলোসহ অন্যান্য ত্রুটি উপেক্ষা করতে প্রশিক্ষণ দেয়। কার্যকর নিরাপত্তা কর্মসূচি এবং শুধু কাগজে-কলমে থাকা কর্মসূচির মধ্যে অগ্রাধিকার নির্ধারণই পার্থক্য গড়ে দেয়।
কার্যকরী অগ্রাধিকার নির্ধারণে নিম্নলিখিত বিষয়গুলো সমন্বিত করা হয়: নাগালের মধ্যে থাকা (ঝুঁকিপূর্ণ কোডটি কি আসলেই কার্যকর করা হয়?), ঝুঁকির মাত্রা (পরিষেবাটি কি ইন্টারনেট-মুখী?), EPSS স্কোর (সক্রিয় শোষণের সম্ভাবনা), এবং ব্যবসায়িক প্রেক্ষাপট (প্রোডাকশন বনাম ডেভ এনভায়রনমেন্ট)।
Xygeni ASPM সমস্ত অনুসন্ধানকে একত্রিত করে SAST, SCA, IaCগোপনীয়তা এবং pipeline security একটি সমন্বিত ঝুঁকি চিত্রে, প্রাসঙ্গিক অগ্রাধিকার সহ যা আপনার দলকে স্পষ্টভাবে বলে দেয় প্রথমে কী সমাধান করতে হবে। একটি ডেমো বুক করুন →
১৮. আচরণের ভিত্তি স্থাপন করুন এবং বিচ্যুতির ক্ষেত্রে সতর্ক করুন
পরিচিত ক্ষতিকর সিগনেচারগুলো পরিচিত হুমকি শনাক্ত করে। আচরণগত অসঙ্গতি শনাক্তকরণ অপরিচিত হুমকি, জিরো-ডে, অভিনব আক্রমণের ধরণ এবং অভ্যন্তরীণ হুমকি শনাক্ত করে।
আপনার জন্য CI/CD বিশেষত পরিবেশের জন্য, সাধারণ বিল্ডের সময়কাল, স্বাভাবিক প্যাকেজ ইনস্টলেশনের ধরণ, বিল্ড চলাকালীন প্রত্যাশিত নেটওয়ার্ক গন্তব্য এবং এর জন্য বেসলাইন স্থাপন করুন। standard গোপনীয় তথ্যে প্রবেশের ধরণ। এই মূল ভিত্তি থেকে বিচ্যুতিই হলো আপনার জন্য প্রথম সতর্ক সংকেত, এবং এটি এমন একটি স্তর যেখানে বেশিরভাগ দলেরই কোনো ধারণা থাকে না।
১৯. ক্লাউড-নির্দিষ্ট ইনসিডেন্ট সিনারিওগুলির জন্য রানবুক সংজ্ঞায়িত করুন
সাধারণ ইনসিডেন্ট রেসপন্স প্ল্যানগুলোতে ক্লাউড-নির্দিষ্ট পরিস্থিতিগুলো বিবেচনা করা হয় না: যেমন—একটি আপোসকৃত প্যাকেজ যা ইতিমধ্যেই ৪০টি সার্ভিসে ইনস্টল করা আছে, একটি ক্ষতিকারক প্রি-ইনস্টল স্ক্রিপ্ট দ্বারা ক্রেডেনশিয়াল চুরি হওয়া একটি CI রানার, অথবা এমন একটি বিল্ড আর্টিফ্যাক্ট যা গত ৭২ ঘণ্টার মধ্যে বিকৃত করা হয়ে থাকতে পারে।
এর জন্য নির্দিষ্ট রানবুক তৈরি করুন: আপোসকৃত নির্ভরতা, pipeline ক্রেডেনশিয়াল চুরি, ভুল কনফিগারেশনের কারণে ডেটা ফাঁস, এবং ক্ষতিকারক CI ওয়ার্কফ্লো ইনজেকশন। প্রতিটি রানবুকে অবশ্যই সংজ্ঞায়িত করতে হবে যে রেসপন্সটির মালিক কে, কী তাৎক্ষণিকভাবে বাতিল করা হবে, এবং এর প্রভাবের ব্যাপ্তি নির্ধারণের জন্য কী ধরনের ফরেনসিক প্রয়োজন।
২০. টেবিলটপ এক্সার চালানcisহ্যাঁ, বছরে কমপক্ষে দুইবার
যে রানবুক পরীক্ষা করা হয়নি তা একটি অনুমান। টেবিলটপ এক্সারcisআক্রমণকারীর আগেই আপনার প্রতিরোধ পরিকল্পনার দুর্বলতাগুলো খুঁজে বের করুন। লক্ষ্য নিখুঁতভাবে কর্মপন্থা অনুসরণ করা নয়, বরং কীসের অভাব রয়েছে তা খুঁজে বের করা।
কমপক্ষে দুটি ব্যায়াম করুন।cisপ্রতি বছর বিভিন্ন ধরনের পরিস্থিতি অনুকরণ করে: সাপ্লাই চেইন লঙ্ঘন, ভুল কনফিগারেশনের কারণে ডেটা ফাঁস, এবং একটি লঙ্ঘিত সিআই রানার। যে দলগুলো প্রকৃতপক্ষে সাড়া দেবে, যেমন নিরাপত্তা, ডেভঅপস, এবং অন-কল ডেভেলপার, তাদের অন্তর্ভুক্ত করুন।
ক্লাউড নিরাপত্তা টিপস চেকলিস্ট: দ্রুত নির্দেশিকা
| স্তর | মূল নিয়ন্ত্রণ |
|---|---|
| পরিচয় | সর্বত্র এমএফএ, ন্যূনতম সুবিধা, স্বল্পস্থায়ী পরিচয়পত্র, জেআইটি অ্যাক্সেস |
| উপাত্ত | সংরক্ষিত ও স্থানান্তরিত অবস্থায় এনক্রিপশন, গোপনীয় তথ্য স্ক্যানিং এবং স্বয়ংক্রিয় বাতিলকরণ, ডেটা শ্রেণিবিন্যাস |
| পরিকাঠামো | IaC স্ক্যানিং চলছে commitনীতি-হিসেবে-কোড, CIS বেসলাইন প্রয়োগ, নেটওয়ার্ক বিভাজন |
| সাপ্লাই চেইন | SCA নাগালের মধ্যে থাকা এবং ম্যালওয়্যার সনাক্তকরণের সাথে, CI/CD হার্ডেনিং, বিল্ড ইন্টিগ্রিটি এবং এসএলএসএ |
| সনাক্তকরণ | কেন্দ্রীভূত লগিং, EPSS-ভিত্তিক অগ্রাধিকার নির্ধারণ, আচরণগত অসঙ্গতি সনাক্তকরণ |
| প্রতিক্রিয়া | ক্লাউড-নির্দিষ্ট রানবুক, টেবিলটপ এক্সারcisহ্যাঁ, নথিভুক্ত বিস্ফোরণ-ব্যাসার্ধ মূল্যায়ন |
জাইজেনি কীভাবে ফুল স্ট্যাক জুড়ে ক্লাউড সিকিউরিটি টিপস প্রয়োগ করতে সাহায্য করে
ক্লাউড নিরাপত্তার পরামর্শগুলো তখনই কার্যকর হয়, যখন টিমগুলো সম্পূর্ণ সফটওয়্যার ডেলিভারি লাইফসাইকেল জুড়ে সেগুলোকে ধারাবাহিকভাবে প্রয়োগ করতে পারে। বেশিরভাগ টুল একটি স্তরকে কভার করে: রানটাইম, কোড, ডিপেন্ডেন্সি, সিক্রেটস, অথবা CI/CDকিন্তু প্রকৃত আক্রমণ বিভিন্ন স্তর ভেদ করে ছড়িয়ে পড়ে।
জাইজেনি প্রথম গিট পুশ থেকে প্রোডাকশন পর্যন্ত সমন্বিত সনাক্তকরণ, অগ্রাধিকার নির্ধারণ এবং প্রতিকারের মাধ্যমে এই স্তরগুলোকে সংযুক্ত করে।
| স্তর | জাইজেনি সক্ষমতা | এটি কী প্রতিরোধ করে |
|---|---|---|
| সোর্স কোড | SAST + এআই প্রতিকার | ইনজেকশন, প্রমাণীকরণ ব্যর্থতা, অনিরাপদ ডিজাইন |
| নির্ভরতা | SCA + ম্যালওয়্যার সনাক্তকরণ + ইপিএসএস | সরবরাহ শৃঙ্খলে আপস, ঝুঁকিপূর্ণ প্যাকেজ |
| অন্ধিসন্ধি | গোপনীয়তা সুরক্ষা + স্বয়ংক্রিয় বাতিলকরণ | ক্রেডেনশিয়াল এক্সপোজার, দীর্ঘস্থায়ী টোকেন ঝুঁকি |
| IaC এবং কনফিগারেশন | IaC Security | উৎপাদনে পৌঁছানোর আগে ভুল কনফিগারেশন |
| CI/CD Pipeline | CI/CD নিরাপত্তা + অসঙ্গতি সনাক্তকরণ | Pipeline ইনজেকশন, দৌড়বিদের সাথে আপোস |
| নিদর্শন তৈরি করুন | Build Security + SLSA provenance | বিকৃত নিদর্শন, স্বাক্ষরবিহীন প্রকাশনা |
| ঝুঁকির অবস্থান | ASPM | একীভূত দৃশ্য, আন্তঃস্তর অগ্রাধিকার |
এর ফলে: নিরাপত্তা দলগুলো অপ্রয়োজনীয় তথ্যের পরিবর্তে সঠিক সংকেত পায়। ডেভেলপাররা তাদের কাজের জায়গাতেই ফিডব্যাক পায়, এমন কোনো আলাদা টুলে নয় যা তারা কখনো খোলেই না। এবং নিরাপত্তা ডেলিভারি প্রক্রিয়ার একটি অংশ হয়ে ওঠে, এটিকে ধীর করে দেওয়ার মতো কোনো বাধা থাকে না।
সর্বশেষ ভাবনা
ক্লাউড নিরাপত্তার পরামর্শ তালিকাভুক্ত করা সহজ, কিন্তু তা কার্যকর করা আরও কঠিন। যে দলগুলো প্রকৃত ক্লাউড ঝুঁকি হ্রাস করে, তারা ম্যানুয়াল পর্যালোচনা, বিক্ষিপ্ত টুল বা শুধুমাত্র ঝুঁকির তীব্রতার উপর ভিত্তি করে অগ্রাধিকার নির্ধারণের উপর নির্ভর করে না। পরিবর্তে, তারা অভ্যন্তরীণ নিরাপত্তা নিয়ন্ত্রণগুলোকে স্বয়ংক্রিয় করে তোলে। pipelineদুর্বলতার ভিত্তিতে অগ্রাধিকার দিন, এবং সম্পূর্ণ সফটওয়্যার সরবরাহ শৃঙ্খলকে ক্লাউড আক্রমণের ক্ষেত্র হিসেবে বিবেচনা করুন।
এর অর্থ শুধু রানটাইম পরিকাঠামো সুরক্ষিত করাই নয়। এর অর্থ হলো সোর্স কোড, নির্ভরতা, গোপনীয় তথ্য রক্ষা করা। IaC, CI/CD ওয়ার্কফ্লো, বিল্ড আর্টিফ্যাক্ট এবং অ্যাপ্লিকেশনের ঝুঁকি পরিস্থিতি একসাথে।
আপনার বর্তমান টুলগুলো যদি এই স্তরগুলোর মধ্যে কোনো ফাঁক রেখে দেয়, তাহলে Xygeni কোড থেকে ক্লাউড পর্যন্ত সম্পূর্ণ পথ জুড়ে সমন্বিত সনাক্তকরণ, অগ্রাধিকার নির্ধারণ এবং প্রতিকারের মাধ্যমে সেই ফাঁকগুলো পূরণ করতে সাহায্য করে।
???? আপনার 7 দিনের বিনামূল্যে ট্রায়াল শুরু করুন কোনো ক্রেডিট কার্ডের প্রয়োজন নেই, কয়েক মিনিটের মধ্যেই স্ক্যানের ফলাফল পাওয়া যায়।
???? একটি ডেমো বুক করুন এবং দেখুন কীভাবে Xygeni আপনার নির্দিষ্ট ক্লাউডের সাথে ম্যাপ করে এবং pipeline সেটআপ
লেখক সম্পর্কে
সহ-প্রতিষ্ঠাতা এবং সিটিও
ফাতিমা Said AppSec, DevSecOps এবং এর জন্য ডেভেলপার-কেন্দ্রিক কন্টেন্ট তৈরিতে বিশেষায়িত। software supply chain securityতিনি জটিল নিরাপত্তা সংকেতগুলোকে সুস্পষ্ট ও কার্যকর নির্দেশনায় রূপান্তরিত করেন, যা দলগুলোকে দ্রুত অগ্রাধিকার নির্ধারণ করতে, অপ্রয়োজনীয় তথ্য কমাতে এবং আরও নিরাপদ কোড সরবরাহ করতে সাহায্য করে।




