জিরো ট্রাস্ট কী? বাজওয়ার্ড নাকি নতুন সিকিউরিটি প্রযুক্তি? জিরো ট্রাস্ট সহজে বোঝার আলোচনা

ভূমিকা

“জিরো ট্রাস্ট” শব্দটি শোরগোল তুলছে বেশ কিছুদিন। SASE, ZTNA, IAM শক্তিশালীকরণ—সবকিছুকে যেন নতুন যুগের জাদুকরী সমাধান হিসেবে তুলে ধরা হয়। কিন্তু মাঠের প্রকৌশলীরা প্রায়ই শীতল চোখে দেখেন—“শেষ পর্যন্ত শুধু অথেন্টিকেশনই তো শক্ত করা হচ্ছে, তাই না?”

আসলেই জিরো ট্রাস্ট কি নতুন সিকিউরিটি প্যারাডাইম, নাকি কেবল বাজওয়ার্ড? এই প্রবন্ধে আমি তার প্রকৃতি সমালোচনামূলকভাবে বিশ্লেষণ করতে চাই।

সীমানা-ভিত্তিক সিকিউরিটির পূর্বধারণা

প্রথমে প্রচলিত সিকিউরিটি মডেল ফিরে দেখি। IPv4 যুগের LAN-এ প্রাইভেট অ্যাড্রেস স্পেস ও NAT-এর সুরক্ষায় বাইরের কেউ সরাসরি ঢুকতে পারত না। তার সাথে ফায়ারওয়াল “বাইরে থেকে ভেতরে” যোগাযোগ আটকে দিত, ফলে সীমান্ত রক্ষা করলেই ভিতরে নিরাপদ—এই ধারণা দীর্ঘ সময় ধরে কার্যকর ছিল।

এই মডেল অত্যন্ত শক্তিশালী ছিল এবং ৯০-এর দশক থেকে ২০১০-এর দশক পর্যন্ত ইন্টারনেট ব্যবহারের নিরাপত্তা ধরে রেখেছিল। “VPN দিয়ে অফিসে ঢুকলেই ফ্রি পাস” — এটাই সীমান্তভিত্তিক সিকিউরিটির আদর্শ ছবি ছিল।

জিরো ট্রাস্ট আলোচনায় আসার পটভূমি

তবে পরিস্থিতি বদলেছে।

ক্লাউড ও মোবাইলের বিস্তার

কর্মীরা বাসা বা ক্যাফে থেকে SaaS ব্যবহার করতে শুরু করেছেন, ফলে সীমা অস্পষ্ট হয়েছে।

অভ্যন্তরীণ অপব্যবহার ও ম্যালওয়্যার প্রসার

একবার অনুপ্রবেশ ঘটলে LAN-কে “বিশ্বাসের দ্বীপ” ধরে পুরো নেটওয়ার্ক নিরস্ত্র হয়ে যেত।

Google BeyondCorp-এর প্রভাব

Google উপস্থাপিত BeyondCorp মডেলকে “সীমানা ভেঙে দেওয়া নতুন সিকিউরিটি” হিসেবে ব্যাপক মনোযোগ দেওয়া হলো।

এভাবেই “জিরো ট্রাস্ট” নামের পতাকা তুলে ধরা হল। শব্দটির প্রভাব ছিল প্রবল; “কাউকে বিশ্বাস করো না” স্লোগান ব্যবস্থাপনা স্তরেও তীব্র সাড়া ফেলল।

জিরো ট্রাস্ট ঘিরে ভুল ধারণা

বাস্তবে, NIST বা CISA-এর মতো সংগঠন কোথাও “সীমা পুরো বাতিল করো” বলেনি। তারা বলছে “রূপান্তর ধাপে ধাপে হবে, অধিকাংশ সংগঠন সীমান্তভিত্তিক ও জিরো ট্রাস্টের হাইব্রিড থাকবে”—এটাই বাস্তবিক দৃষ্টিভঙ্গি।

তাহলে “সর্বশক্তিমান” ধারণা কোথা থেকে এলো?

• বিক্রেতারা নিজেদের পণ্যপুঞ্জকে “জিরো ট্রাস্ট বাস্তবায়নের অপরিহার্য উপাদান” হিসেবে বিক্রি করতে চেয়েছে।
• Google-এর উদাহরণকে “সবাই নকল করতে পারবে এমন সর্বজনীন মডেল” বলে ভুল বোঝা হয়েছে।
• কোনো ঘটনা ঘটার পর “জিরো ট্রাস্ট থাকলে ঠেকানো যেত” এমন পশ্চাদ্বর্তী যুক্তি হিসেবে শব্দটি ব্যবহার করা হয়েছে।

অর্থাৎ চিন্তাধারা হিসেবে জিরো ট্রাস্টের যুক্তি আছে, কিন্তু চলতি শব্দ হিসেবে এটি বারবার অতিরঞ্জিত হয়েছে।

“সীমা লাগবে না” যুক্তির ফাঁকফোকর: রিচ ক্লায়েন্ট থাকলে সীমা অপরিহার্য

এখানে একটি গুরুত্বপূর্ণ বিতর্ক আছে। ধরা যাক সবাই সিঙ্ক্লায়েন্ট ব্যবহার করছে, যেখানে ডিভাইসে কোনো ডেটা থাকে না—এক্ষেত্রে জিরো ট্রাস্ট ডিজাইনের সাথে ভাল যায়। কিন্তু বাস্তবে প্রতিষ্ঠানগুলো এখনও রিচ ক্লায়েন্ট (ফুল ফিচারড পিসি) দিয়েই কাজ চালায়।

রিচ ক্লায়েন্টে লোকালি অ্যাপ ও ডেটা থাকে, তাই ডিভাইস আক্রান্ত হলে বৈধ অথেন্টিকেশন থাকলেও ভিতরে ছড়িয়ে পড়ে। সেই ল্যাটারাল মুভমেন্ট ঠেকাতে শেষ পর্যন্ত ফায়ারওয়াল বা সেগমেন্টেশন—অর্থাৎ সীমান্ত নিয়ন্ত্রণই প্রয়োজন।

সুতরাং “জিরো ট্রাস্ট = সীমা অপ্রয়োজনীয়” এই বোঝাপড়া ভুল; মূল নকশার প্রশ্ন হলো সীমান্তের পুরুত্ব কীভাবে সর্বোত্তম করা যায়।

তাহলে জিরো ট্রাস্ট আসলে কী?

সবকিছু গুছিয়ে দেখলে, জিরো ট্রাস্টের সারবস্তু অত্যন্ত সরল।

• ভুলভাবে গঠিত ইমেজ

  • “জাদুকরী নতুন প্রযুক্তি”
  • “সীমান্ত পুরো বাতিল করা বিপ্লব”
  • “সকল সমস্যার সমাধান”

• বাস্তবিক বিষয়বস্তু

  • “LAN-এর ভিতরে থাকলেই নিজে থেকেই নিরাপদ” এমন মিষ্টি পূর্বধারণা বাদ দেওয়া
  • অথেন্টিকেশন, অনুমোদন, ডিভাইস যাচাই, লগ মনিটরিংসহ বিদ্যমান প্রযুক্তিগুলো মিলিয়ে “ভিতরে আছি বলেই বিশ্বাসযোগ্য” এই পূর্বধারণা সরিয়ে ফেলা সিকিউরিটি অপারেশন ডিজাইন করা

উপাদান প্রযুক্তিগুলো নতুন কিছু নয়।

• MFA (মাল্টি-ফ্যাক্টর অথেন্টিকেশন)
• SAML বা OAuth-ভিত্তিক অথেন্টিকেশন সংযুক্তি
• MDM (মোবাইল ডিভাইস ম্যানেজমেন্ট)
• EDR (এন্ডপয়েন্ট ডিটেকশন অ্যান্ড রেসপন্স)
• CASB (ক্লাউড অ্যাক্সেস সিকিউরিটি ব্রোকার)
• SASE (ক্লাউড-ভিত্তিক নেটওয়ার্ক ও সিকিউরিটির সমন্বিত প্ল্যাটফর্ম)

এসব আগে থেকেই ছিল। জিরো ট্রাস্ট সেগুলিকে একত্র করে একটি পতাকার নিচে উপস্থাপন করেছে মাত্র।

উপসংহার: জিরো ট্রাস্টের প্রকৃত মূল্য

জিরো ট্রাস্ট কি বাজওয়ার্ড? প্রযুক্তি? উত্তর হলো “এটি চিন্তাধারাকে প্যাকেজ করা বাজওয়ার্ড, তবে পূর্বধারণা পুনর্মূল্যায়নের দিক থেকে মূল্যবান।”

“জিরো ট্রাস্ট কী?” জিজ্ঞেস করা হলে আমি এভাবে বলতে চাই।

সীমান্তভিত্তিক সিকিউরিটি (যেমন LAN) ভিতরে থাকলেই নিরাপদ—এই ধারণা ত্যাগ করে, বিদ্যমান প্রযুক্তিগুলো একত্র করে “বিশ্বাসের পূর্বধারণা বাদ দেওয়া” সিকিউরিটি অপারেশন নকশা বাস্তবায়ন করা। এবং বাস্তবে সেটি ছাড়া আর উপায়ও নেই।

এটি জাদুকরী নতুন প্রযুক্তি বা নতুন পণ্যের গুচ্ছ নয়। কিন্তু অতিরঞ্জিত গল্প ছেঁটে ফেললে যে “ডিজাইন থিংকিং” বাকি থাকে, তার মূল্য অবশ্যই আছে।

FAQ（প্রায় জিজ্ঞেস করা প্রশ্ন）

Q: জিরো ট্রাস্ট আর VPN-এর পার্থক্য কী? A: VPN হলো “সীমান্তে প্রবেশের চাবি”; একবার ঢুকলে ভিতরে সবাইকে বিশ্বাস করা হয়। জিরো ট্রাস্টে ভেতরে থাকলেও ধারাবাহিক অথেন্টিকেশন ও মনিটরিং চলে।

Q: জিরো ট্রাস্ট কি বিদ্যমান ফায়ারওয়াল অপ্রয়োজনীয় করে দেয়? A: না। বিশেষ করে রিচ ক্লায়েন্ট আক্রান্ত হলে বা ল্যাটারাল মুভমেন্ট ঠেকাতে সীমান্ত নিয়ন্ত্রণ এখনও জরুরি।

Q: ক্ষুদ্র বা মাঝারি প্রতিষ্ঠানও কি জিরো ট্রাস্ট নিতে পারে? A: ধাপে ধাপে সম্ভব। MFA চালু করা বা লগ পর্যবেক্ষণ জোরদারের মতো অংশবিশেষ উদ্যোগ দিয়ে শুরু করা যায়।

Q: জিরো ট্রাস্ট কি নতুন প্রযুক্তি? A: প্রযুক্তি নিজে নতুন নয়। বিদ্যমান প্রযুক্তিকে পুনর্গঠন করে চিন্তাধারার নাম দেওয়া হয়েছে।

সম্পর্কিত লিংক

• NIST Zero Trust Architecture
• CISA Zero Trust Maturity Model
• Google BeyondCorp