paint-brush
কিভাবে একটি SaaS বৈশিষ্ট্য হিসাবে বিল্ড-ইন নিরাপত্তা: একটি গাইডদ্বারা@ockam
3,860 পড়া
3,860 পড়া

কিভাবে একটি SaaS বৈশিষ্ট্য হিসাবে বিল্ড-ইন নিরাপত্তা: একটি গাইড

দ্বারা Ockam10m2024/08/07
Read on Terminal Reader

অতিদীর্ঘ; পড়তে

এই পোস্টে আমি আপনাকে দেখাতে যাচ্ছি কিভাবে একটি SaaS প্ল্যাটফর্মে এবং থেকে আরও দানাদার এবং আরও নিরাপদ সংযোগ প্রদান করা যায়। যাদুটি কীভাবে কাজ করে তা ব্যাখ্যা করার জন্য আমি পর্দার পিছনে কী ঘটছে তা গভীরভাবে খনন করব। শেষ ফলাফল হল একটি সামগ্রিক সমাধান যা SaaS প্ল্যাটফর্মের একটি প্রাকৃতিক এক্সটেনশনের মতো দেখায় এবং অনুভব করে।
featured image - কিভাবে একটি SaaS বৈশিষ্ট্য হিসাবে বিল্ড-ইন নিরাপত্তা: একটি গাইড
Ockam HackerNoon profile picture
0-item
1-item
2-item

এই পোস্টে, আমি আপনাকে দেখাতে যাচ্ছি কিভাবে একটি SaaS প্ল্যাটফর্মে এবং থেকে আরও দানাদার এবং আরও নিরাপদ সংযোগ প্রদান করা যায়। শেষ ফলাফল হল একটি সামগ্রিক সমাধান যা SaaS প্ল্যাটফর্মের একটি প্রাকৃতিক এক্সটেনশনের মতো দেখায় এবং অনুভব করে এবং হয় এন্টারপ্রাইজ-কেন্দ্রিক পরিকল্পনাগুলির জন্য একটি বৈশিষ্ট্য হিসাবে বা আপনার সমস্ত গ্রাহকদের জন্য একটি প্রতিযোগিতামূলক পার্থক্যকারী হিসাবে অফার করা হয়। ডেমো চালানোর জন্য মোট সময় মাত্র কয়েক মিনিট। যাদুটি কীভাবে কাজ করে তা ব্যাখ্যা করার জন্য আমি পর্দার পিছনে কী ঘটছে তা গভীরভাবে খনন করব।


প্রথমে, আমি কেন এই নির্দিষ্ট প্রয়োজনীয়তা দেখা দেয় তার কিছু পটভূমি দিই এবং প্রথাগত বাস্তবায়নের ত্রুটিগুলি তুলে ধরি। কারণ সেই পুরনো পন্থাগুলো আর কাজ করে না।


আপনি একটি বৈশিষ্ট্য হিসাবে নিরাপত্তা চিন্তা শুরু করতে হবে. আপনি যদি ইঞ্জিনিয়ারিংয়ের একজন ভিপি হন, আপনি যদি একজন পণ্য পরিচালক হন, পণ্যের মালিক হন, নিরাপত্তার জন্য সময় দিন, আপনার ডেভেলপারদের আরও ভাল, আরও নিরাপদ অবকাঠামো তৈরি করতে দিন।

জোয়েল স্পোলস্কি , স্ট্যাক ওভারফ্লো-এর প্রতিষ্ঠাতা


আসন্ন দশকে সবচেয়ে সফল পণ্যগুলি হবে সেইগুলি যেগুলি উপলব্ধি করে যে স্থিতাবস্থার পদ্ধতিগুলি আর যথেষ্ট ভাল নয়৷ এর জন্য আপনার জোয়েলের কথা নেওয়ার দরকার নেই; Apple থেকে সম্প্রতি ঘোষিত প্রাইভেট ক্লাউড কম্পিউটের বিশদ বিবরণ পড়ুন। গত দুই দশকে সবচেয়ে সফল কোম্পানিগুলির মধ্যে একটি স্পষ্ট বিবৃতি দিচ্ছে যে নিরাপত্তা, গোপনীয়তা এবং বিশ্বাস একটি মূল পার্থক্যকারী হবে।


এমনকি তারা আলোচনা করে যে কীভাবে TLS-এর মতো প্রোটোকলের বর্তমান ব্যবহার গ্রাহকদের আশা করা উচিত তা শেষ থেকে শেষ নিরাপত্তা এবং গোপনীয়তার গ্যারান্টি প্রদান করতে পারে না।


আমি অনেক বছর আগে সিস্টেমগুলিকে একে অপরের সাথে সংযোগ করার জন্য কাজ করেছি, আমার কর্মজীবনের প্রাথমিক পর্যায়ে একটি শ্রম-নিবিড় কাজ। আমাদের কোম্পানি ক্রমবর্ধমান ছিল, এবং আমরা বর্তমান বিল্ডিংয়ের সার্ভার রুমটিকে নতুন বিল্ডিংয়ে যে সিস্টেমটি ইনস্টল করেছি তার সাথে প্যাচ করব। নতুন অফিসটি রাস্তার নিচে কয়েকটি ব্লকে ছিল, এবং আমরা একটি ডেডিকেটেড লাইন ইনস্টল করার জন্য স্থানীয় টেলিকোর সাথে কাজ করছিলাম।


সেই সময়ে, দুটি পৃথক নেটওয়ার্ক সংযুক্ত করার একটি সুস্পষ্ট এবং শারীরিকভাবে বাস্তবতা ছিল।


আমরা সবাই সেই দিনগুলি থেকে এগিয়ে চলেছি। এখন, আধুনিক প্রযুক্তির স্ট্যাকগুলি আরও জটিল; বিশ্বজুড়ে ছড়িয়ে থাকা আন্তঃসংযুক্ত অ্যাপগুলির একটি সিরিজ, 'সেরা জাত' পণ্য সংস্থাগুলি দ্বারা ক্লাউডে চালিত৷ কয়েক দশক ধরে, আমরা বিকশিত হয়েছি। আজ, এটি বিরল যে দুটি পৃথক কোম্পানি আসলে তাদের সম্পূর্ণ নেটওয়ার্কগুলি একে অপরের সাথে সংযুক্ত করতে চায়—এটি প্রতিটি নেটওয়ার্কের মধ্যে নির্দিষ্ট অ্যাপ এবং কাজের চাপ যা যোগাযোগ করতে হবে।


তবুও, আমরা আমাদের সিস্টেমগুলিকে "নিরাপদভাবে" সংযুক্ত করার উপায় হিসাবে পুরানো পন্থাগুলি ব্যবহার করা অব্যাহত রেখেছি।


তারের প্রকৃত চলমান বিমূর্ত করা হয়েছে, কিন্তু আমরা কার্যত একই জিনিস করছি। এই পুরানো পন্থাগুলি আপনাকে অগণিত সংখ্যক নেটওয়ার্কের কাছে ট্রানজিটিভভাবে প্রকাশ করে, যা শোষণের জন্য একটি বিশাল আক্রমণের পৃষ্ঠ।

একটি প্রাইভেট সিস্টেমের সাথে সংযোগ করার প্রয়োজন

লোকেরা যখন "ক্লাউড" বা "অন-প্রেম" বলে তখন যা বোঝায় তা বিগত দশকগুলিতে অস্পষ্ট হয়ে গেছে। কোনো বিভ্রান্তি এড়াতে, আমি আমাদের জন্য একটি অনুমানমূলক দৃশ্যকল্প তৈরি করব:


  • ইনিটেক প্ল্যাটফর্ম: এটি একটি SaaS প্ল্যাটফর্ম যা আপনি পরিচালনা করেন। এটি স্থিতিস্থাপক এবং পরিমাপযোগ্য এবং প্রধান ক্লাউড সরবরাহকারীদের মধ্যে একটিতে হোস্ট করা হয়েছে। গ্রাহকরা তাদের DevOps প্রক্রিয়াগুলিকে উন্নত করতে প্ল্যাটফর্মটি কেনেন কারণ এটি একগুচ্ছ দরকারী মেট্রিক্সের উপর দৃশ্যমানতা প্রদান করে এবং তাদের উন্নয়ন কর্মপ্রবাহে সরাসরি কার্যকর প্রতিক্রিয়া প্রদান করে।


  • ACME Corp: এটি ইনিটেকের একটি বড় গ্রাহক যাকে আপনি সমর্থন করতে চান। তারা বিভিন্ন স্থানে প্রচুর পরিকাঠামো চালায়। এটি কি তাদের নিজস্ব ডেটা সেন্টারের ভিতরে থাকার ক্লাসিক অর্থে "অন-প্রেম"? এটি কি তাদের নিজস্ব ভিপিসির মধ্যে একটি প্রধান ক্লাউড প্রদানকারীতে রয়েছে? এটা কোন ব্যাপার না! গ্রাহক সিস্টেমগুলি এক বা একাধিক নেটওয়ার্কে চলছে যা Initech নিয়ন্ত্রণ করে না, যেগুলিতে আমাদের অ্যাক্সেস নেই এবং যেগুলি সর্বজনীন ইন্টারনেট থেকে সরাসরি অ্যাক্সেসযোগ্য নয়৷

বিকাশকারী কর্মপ্রবাহে সক্রিয় নিযুক্তি

ইনিটেক প্ল্যাটফর্মের প্রাথমিক সংস্করণ তৈরিতে, পণ্য-বাজারে উপযুক্ত প্রমাণ করার জন্য অনেক সম্ভাব্য গ্রাহকদের সাথে কাজ করতে হবে। এটি প্রধান সংস্করণ নিয়ন্ত্রণ সিস্টেম প্রদানকারীদের (উদাহরণস্বরূপ, GitHub, GitLab, Bitbucket, ইত্যাদি) পাবলিক APIগুলির সাথে একীভূত হবে, ইভেন্টগুলিতে প্রতিক্রিয়া জানাতে কমিট/ওয়েবহুকগুলি ব্যবহার করুন, ফলাফলগুলিকে কার্যপ্রবাহে ঠেলে দেবেন এবং সবকিছু প্রত্যাশিতভাবে কাজ করবে৷


যখন পণ্যটি প্যাসিভ থাকে এবং ACME কর্পোরেশনের কারো দ্বারা শুরু করা ইভেন্টে সহজভাবে প্রতিক্রিয়া দেখায় তখন এটি দুর্দান্ত। অনেক পরিষেবা বিশ্বে বাহ্যিক পরিবর্তনগুলি মূল্যায়ন করে এবং তাদের গ্রাহকদের জন্য ড্রাইভিং উন্নতিতে সক্রিয় হয়ে মূল্য প্রদান করতে চায়।


অনেক নির্ভরতা বা নিরাপত্তা স্ক্যানিং পরিষেবার কথা চিন্তা করুন - যদি একটি নতুন দুর্বলতা প্রকাশ থাকে, তারা যত তাড়াতাড়ি সম্ভব সমস্ত প্রভাবিত সংগ্রহস্থলগুলিতে একটি টান/একত্রীকরণ অনুরোধ তৈরি করতে চায়। সর্বজনীন API সহ সম্পূর্ণরূপে পরিচালিত VCS পরিষেবাগুলি এটি সক্ষম করার উপায় প্রদান করে, তবে, এই পণ্যগুলির স্ব-হোস্ট করা সংস্করণগুলিতে সর্বজনীনভাবে অ্যাক্সেসযোগ্য API নেই৷


যে গ্রাহকরা এই সিস্টেমগুলিকে স্ব-হোস্ট করতে বেছে নেয় তারা সাধারণত বড় উদ্যোগের দিকে ঝুঁকে পড়ে, তাই এখন আমরা কিছু কঠিন সিদ্ধান্তের মুখোমুখি হচ্ছি: ইনিটেক কি এই উচ্চ-মূল্যের গ্রাহকদের কাছে তাদের পণ্য বিক্রি করতে অক্ষম? গ্রাহকদের কি এমন পণ্যের একটি সংক্ষিপ্ত সংস্করণ কিনতে হবে যা সবচেয়ে মূল্যবান বৈশিষ্ট্যগুলির একটি অনুপস্থিত? নাকি আমরা তাদের নিরাপত্তা ও নেটওয়ার্কিং ভঙ্গির কিছু দিক পুনরায় মূল্যায়ন করতে বলি যাতে ইনিটেক অ্যাক্সেস দেওয়া যায়?

ব্যক্তিগত তথ্য অ্যাক্সেস

Initech এর কাস্টম রিপোর্টিং সমাধান প্রদর্শন করার জন্য একটি ডাটাবেস অনুসন্ধান করতে হবে। এটি এমন একটি সমস্যা নয় যা ইনিটেকের জন্য অনন্য কারণ প্রায় প্রতিটি গ্রাহক ডেটা প্ল্যাটফর্ম (সিডিপি) বা ভিজ্যুয়ালাইজেশন টুলের একই সমস্যা রয়েছে: গ্রাহকরা তাদের ব্যক্তিগত ডেটা সর্বজনীন ইন্টারনেট থেকে অ্যাক্সেসযোগ্য করতে চান না, তাই এটি সাধারণত হবে একটি ব্যক্তিগত সাবনেটে ডাটাবেস।

আমাদের বর্তমান পদ্ধতির সমস্যা

আমি আগেই বলেছি, আধুনিক প্রযুক্তির স্ট্যাকগুলি আন্তঃসংযুক্ত অ্যাপগুলির একটি সিরিজে বিকশিত হয়েছে। যাইহোক, আমরা যেভাবে এই অ্যাপগুলিকে সংযুক্ত করেছি কয়েক দশক আগে আমরা যেভাবে নেটওয়ার্কগুলি সংযুক্ত করেছি তার থেকে সামান্য পরিবর্তন হয়েছে৷ যদিও এই পন্থাগুলি সুবিধাজনক এবং পরিচিত, তবে আমাদের আজকের ব্যবহারের ক্ষেত্রে এগুলি কখনই ডিজাইন করা হয়নি।


তারা পরিবর্তে চেষ্টা করছে যেভাবে জিনিসগুলি কাজ করত সেই উপায়ে ছোটখাটো পরিবর্তনগুলিকে সম্ভব করার চেষ্টা করছে এবং আজকে আমাদের কীভাবে কাজ করার দরকার আছে তার কাছাকাছি যেতে।

পাবলিক ইন্টারনেটে সিস্টেম স্থাপন করা

বেশিরভাগ প্রাইভেট সিস্টেমের ডিফল্ট ডিপ্লয়মেন্ট অপশন হল সেগুলিকে একটি প্রাইভেট নেটওয়ার্কে, একটি প্রাইভেট সাবনেট সহ, কোনো পাবলিক আইপি অ্যাড্রেস ছাড়াই। এই জন্য খুব ভাল কারণ আছে! এই ব্যক্তিগত সিস্টেমের সাথে সংযোগ করার জন্য Initech-এর জন্য সবচেয়ে সহজ বিকল্প হল ACME Corp-কে একটি সর্বজনীন IP ঠিকানা বা হোস্টনাম প্রদান করতে বলা যা ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হতে পারে।


এইটা খারাপ।


প্রাথমিকভাবে পৃথিবী থেকে সংযোগ বিচ্ছিন্ন একটি ব্যক্তিগত নেটওয়ার্কে একটি সিস্টেম স্থাপন করার সমস্ত ভাল কারণ অবিলম্বে অদৃশ্য হয়ে যায়। এই সিস্টেমটি এখন সমগ্র পাবলিক ইন্টারনেটের মাধ্যমে পৌঁছানো যায়, যা হাজার হাজার হ্যাকারকে ক্রমাগত চেষ্টা করতে এবং সিস্টেমে প্রবেশ করতে বা সহজভাবে এটি করতে বাধ্য করে। আপনি একটি একক ফাঁস শংসাপত্র, CVE, বা অন্য সমস্যা মালিকানা থেকে দূরে।


বিপরীত প্রক্সি

আরেকটি পদ্ধতি হল সিস্টেমের সামনে একটি বিপরীত প্রক্সি রাখা। আমি শুধু nginx এবং HA প্রক্সির মতো কিছু নিয়ে কথা বলছি না; হোস্ট করা বা পরিচালিত পরিষেবাগুলির একটি সম্পূর্ণ বিভাগ রয়েছে যা এই বিবরণের সাথেও মানানসই।


এটির সুবিধা রয়েছে যে ACME Corp আর সরাসরি পাবলিক ইন্টারনেটে একটি ব্যক্তিগত সিস্টেম স্থাপন করছে না। বিপরীত প্রক্সি সম্ভাব্য DoS আক্রমণ প্রশমিত করতে হার-সীমা বা ফাইন-টিউন অ্যাক্সেস সীমাবদ্ধতার ক্ষমতাও যোগ করে। এটি গভীরতার উন্নতিতে একটি প্রতিরক্ষা, কিন্তু ACME Corp এখনও সমগ্র পাবলিক ইন্টারনেটে পৌঁছানোর এবং প্রক্সি আক্রমণ করার চেষ্টা করার অনুমতি দিচ্ছে।


যদি এটি আপস করা হয়, তাহলে এটি একটি প্রক্সি যা করে তা করবে: ট্রাফিককে উদ্দেশ্যমূলক গন্তব্যে যেতে দিন।


আইপি মঞ্জুরি তালিকা

Initech-এর জন্য একটি ক্রমবর্ধমান উন্নতি হল আইপিগুলির একটি তালিকা প্রদান করা যা তারা অনুরোধ পাঠাবে এবং ACME Corp তাদের ফায়ারওয়াল এবং রাউটিং নিয়মগুলি পরিচালনা করবে যাতে শুধুমাত্র সেই আইপি ঠিকানাগুলি থেকে অনুরোধ করার অনুমতি দেওয়া যায়। যদিও এটি খুব একটা উন্নতি নয়।



Initech-এ, আপনি আপনার বর্তমান অ্যাপ ইন্সট্যান্স এবং আইপি অ্যাড্রেসগুলির সাথে একটি শক্ত সংযোগ রাখতে চাইবেন না; আপনি ক্রমাগত নতুন IP ঠিকানা গ্রাহকদের অবহিত করার প্রয়োজন ছাড়াই প্রয়োজন অনুযায়ী পরিকাঠামো স্কেল করতে সক্ষম হতে নমনীয়তা চাইবেন।


সুতরাং, আইপি ঠিকানাগুলি সম্ভবত একটি NAT গেটওয়ে বা প্রক্সি সার্ভারের অন্তর্গত হবে। ACME Corp অনুমান করতে পারে যে শুধুমাত্র এক বা দুটি উৎস আইপি ঠিকানায় অ্যাক্সেস লক করার অর্থ হল শুধুমাত্র এক বা দুটি দূরবর্তী মেশিনের তাদের নেটওয়ার্কে অ্যাক্সেস রয়েছে।


বাস্তবতা হল যে দূরবর্তী নেটওয়ার্কে যেকোন কিছু যা NAT গেটওয়ে বা প্রক্সির মাধ্যমে অনুরোধ পাঠাতে পারে সেগুলিকে এখন ACME Corp নেটওয়ার্কেও অ্যাক্সেস দেওয়া হবে। এটি একটি একক অ্যাপ বা মেশিনকে অনুমতি দিচ্ছে না; আপনি একটি সম্পূর্ণ দূরবর্তী নেটওয়ার্কের অনুমতি দিয়েছেন৷


যদিও আরও বেশি বিষয় হল যে আইপি সোর্স অ্যাড্রেসগুলি তুচ্ছভাবে জালিয়াতি করা হয়। একজন সম্ভাব্য আক্রমণকারী একটি সুগঠিত অনুরোধ তৈরি করতে, উত্স ঠিকানাটি ফাঁকি দিতে এবং ACME কর্প নেটওয়ার্কে ডেটা বা নির্দেশাবলী পাঠাতে সক্ষম হবে। SaaS বিক্রেতা, Initech অন্তর্ভুক্ত, এছাড়াও অনিবার্যভাবে বর্তমান আইপি ঠিকানাগুলির তালিকা নথিভুক্ত করতে হবে যাতে চেষ্টা করার এবং ছদ্মবেশী করার জন্য আইপিগুলির একটি প্রস্তুত তালিকা রয়েছে৷


আইপি ফিল্টারিং সম্পর্কে আপনার পদ্ধতি যত বেশি পরিশীলিত হবে একজন আক্রমণকারীকে এটিকে আপোস করার জন্য তত বেশি পরিশীলিত হতে হবে, কিন্তু সেগুলির কোনটিই নিখুঁত নয়। আমি অতীতে লোকেদের দাবি শুনেছি যে আইপি স্পুফিং শুধুমাত্র DDoS আক্রমণের জন্য কারণ বেশিরভাগ ক্ষেত্রে, আক্রমণকারী প্রতিক্রিয়া পেতে পারে না এবং তাই তারা কার্যকর কিছু করতে পারে না।


আমরা যে সিস্টেমগুলি সংযুক্ত করছি সেগুলি সম্পর্কে চিন্তা করুন - আপনি কতটা আত্মবিশ্বাসী যে সেখানে শূন্য ফায়ার-এন্ড-ফোর্গেট API কল রয়েছে যা দায়িত্বের সাথে মূল্যবান ডেটা তৈরি/আপডেট/নষ্ট করবে না? ভালো নিরাপত্তা শুধু ডেটার এক্সপোজার রোধ করার চেয়ে আরও বেশি কিছু, এটি এটিকে রক্ষা করা এবং এর অখণ্ডতার গ্যারান্টি দেওয়ার বিষয়েও।


আপনি যদি একটি মূল্যবান টার্গেট হন, যেমন একটি বড় আর্থিক প্রতিষ্ঠান, আক্রমণকারীদের MitM আক্রমণ শুরু করতে এবং comms ফ্লোকে বাধা দিতে এই ধরনের পন্থা ব্যবহার করার অনুপ্রেরণা থাকে। যদি আপনার গ্রাহক এবং সম্ভাবনা এবং মূল্যবান লক্ষ্য, এটি আপনাকে একটি মূল্যবান লক্ষ্য করে তোলে।

ভার্চুয়াল প্রাইভেট নেটওয়ার্ক (ভিপিএন)

ভিপিএন হল অনেক কোম্পানিতে একটি সাধারণ সমাধান যাতে কর্মচারীরা অফিসের বাইরে থাকে তখন তারা "কর্পোরেট নেটওয়ার্ক" এর সাথে সংযোগ করতে পারে। এগুলি অন্যান্য সিস্টেমকে একটি বিদ্যমান নেটওয়ার্কের সাথে সংযোগ করার অনুমতি দেওয়ার জন্যও ব্যবহৃত হয়।


আমরা এখানে যে ব্যবহারের ক্ষেত্রে কথা বলছি তা ভিন্ন। এটি দুটি পৃথক কোম্পানি, একটি SaaS পণ্য এবং তাদের গ্রাহক(গুলি), একে অপরের সাথে যোগাযোগ করতে সক্ষম হওয়া সম্পর্কে।


এই অনেক ক্ষেত্রে, সংযোগের প্রতিটি প্রান্তে শুধুমাত্র একটি সিস্টেম রয়েছে যা একে অপরের সাথে কথা বলতে সক্ষম হওয়া উচিত। পরিবর্তে, আমরা এমন একটি টুলের জন্য পৌঁছাই যা সম্পূর্ণ নেটওয়ার্ক সংযোগ করার জন্য ডিজাইন করা হয়েছে। এটি একটি কোম্পানির রাউটার থেকে অন্য কোম্পানির রাউটারে ভার্চুয়াল প্যাচ লিড চালানোর মতো।


যদি আমি আপনাকে এটির ভৌত সংস্করণটি করতে বলি, আপনার উত্পাদন পরিবেশ থেকে সরাসরি অন্য কোম্পানির উত্পাদন পরিবেশে একটি কেবল প্লাগ করতে, আপনি সম্ভবত এটিকে কিছুটা বিরতি দেবেন। অনেকটা বিরতি। এবং সঙ্গত কারণে। কিন্তু ভিপিএনগুলি "ভার্চুয়াল" এবং "প্রাইভেট" এবং এত সহজ (একটি কেবল চালানোর সাথে সম্পর্কিত) এবং তাই সর্বব্যাপী আমরা এটিকে ততটা চিন্তা করি না।


আপনাকে যদি প্রতিটি নেটওয়ার্কে একটি জিনিস সংযুক্ত করতে হয় তবে আপনি একটি খুব সূক্ষ্ম কাজ করার জন্য একটি খুব ভোঁতা যন্ত্র ব্যবহার করেছেন।


আপনি এখনও একটি VPN ব্যবহার করে সুনির্দিষ্ট কাজটি করতে পারেন, তবে নেটওয়ার্ক-স্তরের নিয়ন্ত্রণ এবং রাউটিং নিয়মগুলির স্তর রয়েছে যা আপনাকে নিশ্চিত করতে হবে যে প্রতিটি নেটওয়ার্কে আপনি যে দরজাটি খুলতে চান তার সমস্ত দরজা বন্ধ করার জন্য রয়েছে। এটি কীভাবে আমাদের কাছে এমন সরঞ্জাম এবং পদ্ধতি রয়েছে যা তাদের জন্য ডিজাইন করা হয়েছে তার জন্য দুর্দান্ত, তবে আমরা কীভাবে সেগুলিকে আমাদের বিকশিত চাহিদাগুলির সাথে কাজ করতে বাধ্য করতে তাদের ব্যবহার করি তার জন্য আমরা ক্রমবর্ধমান পদক্ষেপ নিচ্ছি।


এটি নিরাপদে করার অর্থ আরও জটিলতার মধ্যে স্তর স্থাপন করা এবং আশা করা যে আমরা সেই সমস্ত স্তরগুলির সমস্ত বিশদ সঠিকভাবে, সব সময় পেয়ে যাব। এটি ভুল করা মূল উদ্দেশ্যের বাইরে ট্রানজিটিভ অ্যাক্সেসের ঝুঁকি বহন করে।


আপনি নেটওয়ার্ক বিশ্বাস করতে পারবেন না

আমি যদি আপনাকে বলি যে আপনি আপনার সুরক্ষা প্রোগ্রামে কত সময়, মানুষ এবং অর্থ বিনিয়োগ করেন না কেন, আপনার নেটওয়ার্ক প্রায় নিশ্চিতভাবে একটি সহজে শোষণযোগ্য সুরক্ষা গর্তের মুখোমুখি হয়? …


শিল্প তথ্য দেখায় যে বিশ্বের বৃহত্তম উদ্যোগগুলির 1% এরও কম এই নতুন এবং উদীয়মান হুমকি থেকে তাদের নেটওয়ার্ক রক্ষা করার জন্য এখনও কোন পদক্ষেপ নিতে পারেনি …


ইতিহাস আমাদের শিখিয়েছে যে সঠিক কাজটি করতে হবে সবচেয়ে সহজ জিনিস। এটি সফ্টওয়্যার বিকাশকারীদের জন্য এবং ইচ্ছাকৃতভাবে দূষিত উপাদান থেকে রক্ষা করার জন্য বিশেষভাবে গুরুত্বপূর্ণ। নিরাপত্তা প্রযুক্তির জন্য এই ধীর অবলম্বন বক্ররেখা … কার্যকরভাবে খারাপ অভিনেতাদের সম্ভাবনা দেখতে, উদ্ভাবন করতে এবং সাইবার অপরাধের চমকপ্রদ বৃদ্ধি চালাতে সক্ষম করেছে


মিচেল জনসন , সোনাটাইপ


এই পদ্ধতিগুলির প্রতিটির সমস্যা হল যে এটি নিরাপদ বলে ধরে নিতে অনেকগুলি অতিরিক্ত অনুমান প্রয়োজন: ইন্টারনেটে কেউ আপনাকে আপস করার চেষ্টা করবে না, আপনি অনুরোধের উৎস আইপিকে বিশ্বাস করতে পারেন, যে দূরবর্তী নেটওয়ার্কটি শুধুমাত্র ভাল অভিনেতাদের দ্বারা গঠিত। , যে এই অনুমানগুলি এখন এবং অনির্দিষ্টকালের জন্য ভবিষ্যতে সত্য হতে থাকবে... এবং এই সমস্ত অনুমানগুলি আপনার সাথে সংযুক্ত প্রতিটি নেটওয়ার্কের ক্ষেত্রেও সত্য, এবং যেকোন নেটওয়ার্কের সাথে তারা সংযুক্ত হয়েছে, এবং যেকোনো নেটওয়ার্ক...


ACME Corp এর দৃষ্টিকোণ থেকে এটি কেমন হতে পারে তা একবার দেখুন:



এটা শুধু দুটি নেটওয়ার্ক এবং দুটি কোম্পানি এখন একে অপরের সাথে সংযুক্ত নয়; এটা অনেক নেটওয়ার্ক. প্রতিটি SaaS বিক্রেতার তাদের নিজস্ব পরিষেবার সেট থাকবে যা তারা ব্যবহার করে যা এটিকে আরও গুণ করে। আপনি কেবল নেটওয়ার্ককে বিশ্বাস করতে পারবেন না, আপনি অন্য কাউকেও বিশ্বাস করতে পারবেন না। এই ছবিতে যে কোনো অংশগ্রহণকারী শুধুমাত্র একটি নেটওয়ার্ক ভুল কনফিগারেশন বা আপস নির্ভরতা নেটওয়ার্ক(গুলি) মাধ্যমে সেই ঝুঁকি প্রেরণ করা থেকে দূরে।


এবং এই ছবিটি এই সমস্যার একটি ফ্র্যাক্টালের সবচেয়ে জুম-ইন উদাহরণ! জুম আউট করুন, এবং প্রতিটি বিক্রেতা তাদের নিজস্ব গ্রাহকদের সাথে, তাদের নিজস্ব বিক্রেতাদের সাথে, তাদের নিজস্ব গ্রাহকদের সাথে সংযুক্ত থাকে... ঝুঁকির পৃষ্ঠের ক্ষেত্রটি দ্রুত বৃদ্ধি পায়।

সুতরাং, এর সমাধান করা যাক!


আমরা কয়েক মিনিটের মধ্যে আমাদের পণ্যের একটি বৈশিষ্ট্য হিসাবে নিরাপত্তা তৈরি করতে পারি! আমরা একটি আরো ফোকাসড এবং দানাদার সমাধান প্রদান করে নিরাপত্তা বার বাড়াব। আমরা ACME Corp-এর মতো গ্রাহকদের নেটওয়ার্ক-স্তরের পরিবর্তন করতে বলে তাদের উপর সমস্যাগুলি ঠেলে দেওয়া বন্ধ করতে যাচ্ছি।


পরিবর্তে, আমরা একটি অ্যাপ্লিকেশন-স্তরের উদ্বেগ পর্যন্ত সুরক্ষিত সংযোগ স্থানান্তর করতে যাচ্ছি এবং ইনিটেক প্ল্যাটফর্মকে প্রয়োজনীয় নির্দিষ্ট স্থানে প্রসারিত করে একটি সামগ্রিক পণ্যের অভিজ্ঞতা প্রদান করতে যাচ্ছি।


ACME কর্পোরেশন দ্বারা পরিচালিত একটি স্ব-হোস্টেড GitHub এন্টারপ্রাইজ সার্ভারের সাথে কিভাবে Initech Platform একটি সংযোগ স্থাপন করতে পারে সে সম্পর্কে এখানে উদাহরণ দেওয়া হচ্ছে। চূড়ান্ত ফলাফলটি দেখতে এরকম হবে:


সমস্ত প্রয়োজনীয় টুকরা স্পিন আপ করতে মাত্র কয়েক মিনিট সময় লাগে! এটি কীভাবে করবেন তা শিখতে, একটি স্ব-হোস্টেড এজেন্টের ভিত্তি তৈরির জন্য আমাদের কোড ট্যুরটি দেখুন।