ক্লাউডে NIST সম্মতি অর্জন: কৌশল এবং বিবেচনা
ডিজিটাল স্পেসে সম্মতির ভার্চুয়াল গোলকধাঁধাটি নেভিগেট করা একটি বাস্তব চ্যালেঞ্জ যা আধুনিক সংস্থাগুলির মুখোমুখি হয়, বিশেষ করে ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) সাইবার সিকিউরিটি ফ্রেমওয়ার্ক.
এই পরিচায়ক নির্দেশিকা আপনাকে NIST সম্পর্কে আরও ভালভাবে বুঝতে সাহায্য করবে সাইবার নিরাপত্তা ফ্রেমওয়ার্ক এবং কিভাবে ক্লাউডে NIST সম্মতি অর্জন করা যায়। এর মধ্যে ঝাঁপ দেওয়া যাক.
NIST সাইবারসিকিউরিটি ফ্রেমওয়ার্ক কি?
NIST সাইবারসিকিউরিটি ফ্রেমওয়ার্ক সংস্থাগুলিকে তাদের সাইবারসিকিউরিটি রিস্ক ম্যানেজমেন্ট প্রোগ্রামগুলি বিকাশ এবং উন্নত করার জন্য একটি রূপরেখা প্রদান করে৷ এটি নমনীয় হতে বোঝানো হয়েছে, যার মধ্যে রয়েছে বিভিন্ন ধরনের অ্যাপ্লিকেশন এবং প্রতিটি প্রতিষ্ঠানের অনন্য সাইবার নিরাপত্তার প্রয়োজনীয়তা পূরণ করার পদ্ধতি।
ফ্রেমওয়ার্কটি তিনটি অংশ নিয়ে গঠিত - মূল, বাস্তবায়ন স্তর এবং প্রোফাইল। এখানে প্রতিটির একটি ওভারভিউ রয়েছে:
ফ্রেমওয়ার্ক কোর
ফ্রেমওয়ার্ক কোর সাইবার নিরাপত্তা ঝুঁকি পরিচালনার জন্য একটি কার্যকর কাঠামো প্রদান করার জন্য পাঁচটি প্রাথমিক ফাংশন অন্তর্ভুক্ত করে:
- শনাক্ত করা: একটি উন্নয়নশীল এবং প্রয়োগ জড়িত সাইবার নিরাপত্তা নীতি এটি সংস্থার সাইবার নিরাপত্তা ঝুঁকি, সাইবার আক্রমণ প্রতিরোধ ও পরিচালনার কৌশল এবং সংস্থার সংবেদনশীল ডেটাতে অ্যাক্সেস সহ ব্যক্তিদের ভূমিকা ও দায়িত্বের রূপরেখা দেয়৷
- রক্ষা করুন: সাইবার নিরাপত্তা আক্রমণের ঝুঁকি কমাতে একটি ব্যাপক সুরক্ষা পরিকল্পনা তৈরি এবং নিয়মিত বাস্তবায়নের সাথে জড়িত। এর মধ্যে প্রায়ই সাইবার নিরাপত্তা প্রশিক্ষণ, কঠোর অ্যাক্সেস নিয়ন্ত্রণ, এনক্রিপশন, অনুপ্রবেশ পরীক্ষা, এবং সফ্টওয়্যার আপডেট করা।
- সনাক্ত করুন: সাইবার নিরাপত্তা আক্রমণকে যত দ্রুত সম্ভব শনাক্ত করার জন্য যথাযথ ক্রিয়াকলাপ বিকাশ এবং নিয়মিত প্রয়োগ করা জড়িত।
- সাড়া দিন: সাইবার সিকিউরিটি অ্যাটাকের ক্ষেত্রে নেওয়া পদক্ষেপগুলির রূপরেখা দিয়ে একটি ব্যাপক পরিকল্পনা তৈরি করা জড়িত।
- পুনরুদ্ধার: ঘটনার দ্বারা যা প্রভাবিত হয়েছিল তা পুনরুদ্ধার করতে, নিরাপত্তা অনুশীলনের উন্নতি করতে এবং সাইবার নিরাপত্তা আক্রমণের বিরুদ্ধে সুরক্ষা চালিয়ে যাওয়ার জন্য উপযুক্ত কার্যক্রমগুলি বিকাশ ও বাস্তবায়ন জড়িত।
এই ফাংশনগুলির মধ্যে রয়েছে বিভাগগুলি যা সাইবার নিরাপত্তা ক্রিয়াকলাপগুলিকে নির্দিষ্ট করে, উপশ্রেণিগুলি যা ক্রিয়াকলাপগুলিকে সুনির্দিষ্ট ফলাফলগুলিতে বিভক্ত করে এবং তথ্যমূলক রেফারেন্সগুলি যা প্রতিটি উপশ্রেণীর জন্য ব্যবহারিক উদাহরণ প্রদান করে৷
ফ্রেমওয়ার্ক বাস্তবায়নের স্তর
ফ্রেমওয়ার্ক বাস্তবায়নের স্তরগুলি নির্দেশ করে যে কীভাবে একটি সংস্থা সাইবার নিরাপত্তা ঝুঁকিগুলিকে দেখে এবং পরিচালনা করে। চারটি স্তর রয়েছে:
- স্তর 1: আংশিক: সামান্য সচেতনতা এবং কেস-বাই-কেস ভিত্তিতে সাইবার নিরাপত্তা ঝুঁকি ব্যবস্থাপনা প্রয়োগ করে।
- স্তর 2: ঝুঁকি সম্পর্কে অবহিত: সাইবার নিরাপত্তা ঝুঁকি সচেতনতা এবং ব্যবস্থাপনা অনুশীলন বিদ্যমান কিন্তু মানসম্মত নয়।
- স্তর 3: পুনরাবৃত্তিযোগ্য: আনুষ্ঠানিক কোম্পানি-ব্যাপী ঝুঁকি ব্যবস্থাপনা নীতি এবং ব্যবসার প্রয়োজনীয়তা এবং হুমকির ল্যান্ডস্কেপের পরিবর্তনের উপর ভিত্তি করে নিয়মিত তাদের আপডেট করে।
- স্তর 4: অভিযোজিত: সক্রিয়ভাবে হুমকি সনাক্ত করে এবং ভবিষ্যদ্বাণী করে এবং সংগঠনের অতীত এবং বর্তমান কার্যক্রম এবং সাইবার নিরাপত্তা হুমকি, প্রযুক্তি এবং অনুশীলনের বিকাশের উপর ভিত্তি করে সাইবার নিরাপত্তা অনুশীলন উন্নত করে।
ফ্রেমওয়ার্ক প্রোফাইল
ফ্রেমওয়ার্ক প্রোফাইল তার ব্যবসায়িক উদ্দেশ্য, সাইবার নিরাপত্তা ঝুঁকি সহনশীলতা এবং সংস্থানগুলির সাথে একটি সংস্থার ফ্রেমওয়ার্ক কোর প্রান্তিককরণের রূপরেখা দেয়৷ বর্তমান এবং টার্গেট সাইবারসিকিউরিটি ম্যানেজমেন্ট স্টেট বর্ণনা করতে প্রোফাইল ব্যবহার করা যেতে পারে।
বর্তমান প্রোফাইলটি ব্যাখ্যা করে যে কীভাবে একটি সংস্থা বর্তমানে সাইবার নিরাপত্তা ঝুঁকিগুলি পরিচালনা করছে, যখন লক্ষ্য প্রোফাইলের বিশদ ফলাফলগুলি একটি সংস্থাকে সাইবার নিরাপত্তা ঝুঁকি ব্যবস্থাপনা লক্ষ্য অর্জন করতে হবে।
ক্লাউড বনাম অন-প্রিমাইজ সিস্টেমে NIST সম্মতি
যদিও NIST সাইবারসিকিউরিটি ফ্রেমওয়ার্ক সমস্ত প্রযুক্তিতে প্রয়োগ করা যেতে পারে, ক্লাউড কম্পিউটিং অনন্য. ক্লাউডে NIST সম্মতি প্রথাগত অন-প্রিমিস অবকাঠামো থেকে আলাদা হওয়ার কয়েকটি কারণ অন্বেষণ করা যাক:
নিরাপত্তার দায়িত্ব
ঐতিহ্যগত অন-প্রিমিস সিস্টেমের সাথে, ব্যবহারকারী সমস্ত নিরাপত্তার জন্য দায়ী। ক্লাউড কম্পিউটিং-এ, ক্লাউড পরিষেবা প্রদানকারী (সিএসপি) এবং ব্যবহারকারীর মধ্যে নিরাপত্তার দায়িত্ব ভাগ করা হয়।
সুতরাং, যদিও CSP ক্লাউডের "নিরাপত্তার" জন্য দায়ী (যেমন, ফিজিক্যাল সার্ভার, অবকাঠামো), ব্যবহারকারী ক্লাউডের "ইন" নিরাপত্তার জন্য দায়ী (যেমন, ডেটা, অ্যাপ্লিকেশন, অ্যাক্সেস ম্যানেজমেন্ট)।
এটি NIST ফ্রেমওয়ার্কের কাঠামোকে পরিবর্তন করে, কারণ এটির জন্য একটি পরিকল্পনার প্রয়োজন যা উভয় পক্ষকে বিবেচনায় নেয় এবং CSP-এর নিরাপত্তা ব্যবস্থাপনা এবং সিস্টেম এবং NIST সম্মতি বজায় রাখার ক্ষমতার উপর আস্থা রাখে।
ডেটা অবস্থান
ঐতিহ্যগত অন-প্রিমিস সিস্টেমে, সংস্থার ডেটা কোথায় সংরক্ষণ করা হয় তার উপর সম্পূর্ণ নিয়ন্ত্রণ থাকে। বিপরীতে, ক্লাউড ডেটা বিশ্বব্যাপী বিভিন্ন স্থানে সংরক্ষণ করা যেতে পারে, যা স্থানীয় আইন ও প্রবিধানের উপর ভিত্তি করে বিভিন্ন সম্মতির প্রয়োজনীয়তার দিকে পরিচালিত করে। ক্লাউডে NIST সম্মতি বজায় রাখার সময় সংস্থাগুলিকে অবশ্যই এটি বিবেচনায় নিতে হবে।
পরিমাপযোগ্যতা এবং স্থিতিস্থাপকতা
ক্লাউড এনভায়রনমেন্টগুলি অত্যন্ত পরিমাপযোগ্য এবং স্থিতিস্থাপক হতে ডিজাইন করা হয়েছে। ক্লাউডের গতিশীল প্রকৃতির মানে হল যে নিরাপত্তা নিয়ন্ত্রণ এবং নীতিগুলিও নমনীয় এবং স্বয়ংক্রিয় হওয়া দরকার, ক্লাউডে NIST সম্মতি আরও জটিল কাজ করে তোলে।
বহু মালিকানা
ক্লাউডে, সিএসপি একই সার্ভারে অনেক প্রতিষ্ঠান (মাল্টিটেনেন্সি) থেকে ডেটা সঞ্চয় করতে পারে। যদিও এটি সর্বজনীন ক্লাউড সার্ভারগুলির জন্য সাধারণ অভ্যাস, এটি নিরাপত্তা এবং সম্মতি বজায় রাখার জন্য অতিরিক্ত ঝুঁকি এবং জটিলতার পরিচয় দেয়।
ক্লাউড সার্ভিস মডেল
ব্যবহৃত ক্লাউড পরিষেবা মডেলের প্রকারের উপর নির্ভর করে সুরক্ষা দায়িত্বের বিভাজন পরিবর্তিত হয় - পরিষেবা হিসাবে পরিকাঠামো (IaaS), পরিষেবা হিসাবে প্ল্যাটফর্ম (PaaS), বা পরিষেবা হিসাবে সফ্টওয়্যার (SaaS)৷ এটি সংস্থা কীভাবে ফ্রেমওয়ার্ক বাস্তবায়ন করে তা প্রভাবিত করে।
ক্লাউডে NIST সম্মতি অর্জনের কৌশল
ক্লাউড কম্পিউটিং এর স্বতন্ত্রতা দেওয়া, সংস্থাগুলিকে NIST সম্মতি অর্জনের জন্য নির্দিষ্ট ব্যবস্থা প্রয়োগ করতে হবে। আপনার সংস্থাকে NIST সাইবারসিকিউরিটি ফ্রেমওয়ার্কের সাথে সম্মতি বজায় রাখতে এবং বজায় রাখতে সহায়তা করার জন্য এখানে কৌশলগুলির একটি তালিকা রয়েছে:
1. আপনার দায়িত্ব বুঝুন
সিএসপি এবং আপনার নিজের দায়িত্বের মধ্যে পার্থক্য করুন। সাধারণত, আপনি আপনার ডেটা, ব্যবহারকারীর অ্যাক্সেস এবং অ্যাপ্লিকেশনগুলি পরিচালনা করার সময় সিএসপিগুলি ক্লাউড অবকাঠামোর সুরক্ষা পরিচালনা করে।
2. নিয়মিত নিরাপত্তা মূল্যায়ন পরিচালনা করুন
সম্ভাব্য শনাক্ত করতে পর্যায়ক্রমে আপনার ক্লাউড নিরাপত্তা মূল্যায়ন করুন দুর্বলতা. ব্যবহার করুন সরঞ্জাম আপনার CSP দ্বারা প্রদত্ত এবং একটি নিরপেক্ষ দৃষ্টিভঙ্গির জন্য তৃতীয় পক্ষের অডিটিং বিবেচনা করুন।
3. আপনার ডেটা সুরক্ষিত করুন
বিশ্রামে এবং ট্রানজিটে ডেটার জন্য শক্তিশালী এনক্রিপশন প্রোটোকল নিয়োগ করুন। অননুমোদিত অ্যাক্সেস এড়াতে সঠিক কী ব্যবস্থাপনা অপরিহার্য। আপনারও উচিত VPN সেট আপ করুন এবং আপনার নেটওয়ার্ক সুরক্ষা বাড়াতে ফায়ারওয়াল।
4. রোবাস্ট আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট (IAM) প্রোটোকল বাস্তবায়ন করুন
IAM সিস্টেম, যেমন মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA), আপনাকে জানার প্রয়োজনের ভিত্তিতে অ্যাক্সেস দেওয়ার অনুমতি দেয় এবং অননুমোদিত ব্যবহারকারীদের আপনার সফ্টওয়্যার এবং ডিভাইসগুলিতে প্রবেশ করতে বাধা দেয়।
5. ক্রমাগত আপনার সাইবার নিরাপত্তা ঝুঁকি নিরীক্ষণ করুন
লেভারেজ নিরাপত্তা তথ্য ও ইভেন্ট ম্যানেজমেন্ট (SIEM) সিস্টেম এবং চলমান পর্যবেক্ষণের জন্য অনুপ্রবেশ সনাক্তকরণ সিস্টেম (আইডিএস)। এই সরঞ্জামগুলি আপনাকে যেকোনো সতর্কতা বা লঙ্ঘনের সাথে সাথে প্রতিক্রিয়া জানাতে দেয়।
6. একটি ঘটনা প্রতিক্রিয়া পরিকল্পনা বিকাশ
একটি সু-সংজ্ঞায়িত ঘটনা প্রতিক্রিয়া পরিকল্পনা তৈরি করুন এবং নিশ্চিত করুন যে আপনার দল প্রক্রিয়াটির সাথে পরিচিত। এর কার্যকারিতা নিশ্চিত করার জন্য পরিকল্পনাটি নিয়মিত পর্যালোচনা এবং পরীক্ষা করুন।
7. নিয়মিত অডিট এবং পর্যালোচনা পরিচালনা করুন
আচার নিয়মিত নিরাপত্তা নিরীক্ষা NIST মানগুলির বিরুদ্ধে এবং সেই অনুযায়ী আপনার নীতি এবং পদ্ধতিগুলি সামঞ্জস্য করুন৷ এটি নিশ্চিত করবে যে আপনার নিরাপত্তা ব্যবস্থা বর্তমান এবং কার্যকর।
8. আপনার কর্মীদের প্রশিক্ষণ দিন
ক্লাউড নিরাপত্তার সর্বোত্তম অনুশীলন এবং NIST সম্মতির গুরুত্ব সম্পর্কে প্রয়োজনীয় জ্ঞান এবং দক্ষতা দিয়ে আপনার দলকে সজ্জিত করুন।
9. নিয়মিত আপনার CSP এর সাথে সহযোগিতা করুন
নিয়মিতভাবে আপনার সিএসপির সাথে তাদের নিরাপত্তা অনুশীলন সম্পর্কে যোগাযোগ করুন এবং তাদের যে কোনো অতিরিক্ত নিরাপত্তা অফার বিবেচনা করুন।
10. সমস্ত ক্লাউড নিরাপত্তা রেকর্ড নথিভুক্ত করুন
সমস্ত ক্লাউড নিরাপত্তা-সম্পর্কিত নীতি, প্রক্রিয়া এবং পদ্ধতির সূক্ষ্ম রেকর্ড রাখুন। এটি নিরীক্ষার সময় NIST সম্মতি প্রদর্শনে সহায়তা করতে পারে।
ক্লাউডে NIST সম্মতির জন্য HailBytes ব্যবহার করা
যদিও NIST সাইবারসিকিউরিটি ফ্রেমওয়ার্ক মেনে চলা সাইবার নিরাপত্তা ঝুঁকির বিরুদ্ধে সুরক্ষা এবং পরিচালনা করার একটি চমৎকার উপায়, ক্লাউডে NIST সম্মতি অর্জন করা জটিল হতে পারে। সৌভাগ্যবশত, আপনাকে একা ক্লাউড সাইবারসিকিউরিটি এবং এনআইএসটি সম্মতির জটিলতা মোকাবেলা করতে হবে না।
ক্লাউড নিরাপত্তা পরিকাঠামো বিশেষজ্ঞ হিসাবে, হেলবাইটস আপনার সংস্থাকে NIST সম্মতি অর্জন এবং বজায় রাখতে সাহায্য করার জন্য এখানে। আমরা আপনার সাইবার নিরাপত্তা ভঙ্গি শক্তিশালী করার জন্য সরঞ্জাম, পরিষেবা এবং প্রশিক্ষণ প্রদান করি।
আমাদের লক্ষ্য হল ওপেন সোর্স নিরাপত্তা সফ্টওয়্যার সেট আপ করা সহজ এবং অনুপ্রবেশ করা কঠিন। HailBytes এর একটি অ্যারে অফার করে AWS-এ সাইবার নিরাপত্তা পণ্য আপনার প্রতিষ্ঠানকে তার ক্লাউড নিরাপত্তা উন্নত করতে সাহায্য করতে। আমরা আপনাকে এবং আপনার টিমকে নিরাপত্তা পরিকাঠামো এবং ঝুঁকি ব্যবস্থাপনা সম্পর্কে একটি শক্তিশালী বোঝাপড়া গড়ে তুলতে সাহায্য করার জন্য বিনামূল্যে সাইবার নিরাপত্তা শিক্ষার সংস্থানও প্রদান করি।
লেখক
Zach Norton হল Pentest-Tools.com-এর একজন ডিজিটাল মার্কেটিং বিশেষজ্ঞ এবং বিশেষজ্ঞ লেখক, সাইবার নিরাপত্তা, লেখালেখি এবং বিষয়বস্তু তৈরিতে কয়েক বছরের অভিজ্ঞতা রয়েছে৷
