একটি বাস্তবমুখী বিবেচনা: কিভাবে জে চৌধ্রি ও Zscaler ক্লাউড সিকিউরিটি, জিরো ট্রাস্ট, এবং পার্টনার বিতরণ ব্যবহার করে শীর্ষস্থানীয় এন্টারপ্রাইজ সিকিউরিটি কোম্পানি তৈরি করেছেন।
এটি জে চৌধ্রির জীবনী নয়। এটি একটি বাস্তবমুখী গল্প যে কিভাবে Zscaler এন্টারপ্রাইজ নিরাপত্তাকে পুনর্গঠন করতে সাহায্য করেছে—এবং কেন তাদের প্রযুক্তিগত ও বাণিজ্যিক সিদ্ধান্তগুলো গুরুত্বপূর্ণ ছিল।
আপনি সামান্তরিকভাবে দুটি জিনিস শিখবেন:
আধুনিক এন্টারপ্রাইজ নিরাপত্তা হলো নিয়ন্ত্রণগুলোর সেট যা কর্মচারীদের ইন্টারনেট ও অভ্যন্তরীণ অ্যাপ নিরাপদে ব্যবহারের অনুমতি দেয়, এমন কোনো ধারণা না রেখেই যে কিছুই নিরাপদ কারণ সেটা কর্পোরেট নেটওয়ার্কের “ভিতরে” আছে। এটা বড় দেয়াল তৈরির চেয়েও কম এবং প্রতিবারই পরীক্ষা করার ওপর বেশি নির্ভর করে—কে সংযুক্ত হচ্ছে, কি-তে সংযুক্ত হচ্ছে, এবং অবশ্যই সেই সংযোগ অনুমোদিত কি না।
শেষে, আপনি একটি বাক্যে Zscaler-এর মূল বাজেট ব্যাখ্যা করতে পারবেন, VPN-যুগের চিন্তা কোথায় জিরো ট্রাস্ট বদলায় তা চিনতে পারবেন, এবং বুঝতে পারবেন কেন বিতরণ কৌশল প্রোডাক্ট ডিজাইনের মতোই গুরুত্বপূর্ণ হতে পারে।
জে চৌধ্রি একজন সিরিয়াল উদ্যোক্তা, সবচেয়ে পরিচিত Zscaler-এর প্রতিষ্ঠাতা ও সিইও হিসেবে—একটি কোম্পানি যা এন্টারপ্রাইজ নিরাপত্তাকে “কর্পোরেট নেটওয়ার্ককে রক্ষা করা” থেকে “ব্যবহারকারী ও অ্যাপকে যেখানেই তারা আছে সেখানে নিরাপদ রাখা” এ নিয়ে এসেছে। Zscaler-এর আগে তিনি একাধিক সিকিউরিটি স্টার্টআপ তৈরি ও বিক্রি করেছেন, যার ফলে তাঁকে আক্রমণকারীর আচরণ ও এন্টারপ্রাইজ আইটি কীভাবে দ্রুত বদলাচ্ছে তার সামনে-সিট ভিউ মিলেছে।
চৌধ্রির ফোকাস সোজা ছিল: কাজ ও অ্যাপ যখন কর্পোরেট নেটওয়ার্ক থেকে পু_public ইন্টারনেট ও ক্লাউড সার্ভিসের দিকে সরে যায়, তখন সবকিছুকে কেন্দ্রীয় ডেটা সেন্টারের মাধ্যমে রুট করে পরিদর্শন করার পুরনো মডেল ভেঙে পড়তে শুরু করে।
এই পরিবর্তন আইটি টিমগুলির জন্য এক ব্যথাদায়ক ট্রেড-অফ তৈরি করল:
Zscaler-এর প্রতিষ্ঠা তত্ত্ব ছিল যে নিরাপত্তা বিল্ডিংকে অনুসরণ করা উচিত নয়—নিরাপত্তা ব্যবহারকারীকে অনুসরণ করবে।
যা নজরকাড়া তা হলো কীভাবে প্রতিষ্ঠাতার নেতৃত্বাধীন পণ্য দৃষ্টি কোম্পানির কৌশলকে প্রথম থেকেই প্রভাবিত করেছিল:
এটি কোনো মার্কেটিং টুইক ছিল না; এটি পণ্য সিদ্ধান্ত, অংশীদারিত্ব, এবং কনজার্ভেটিভ এন্টারপ্রাইজ ক্রেতাদের কাছে Zscaler কীভাবে “কেন” ব্যাখ্যা করল তা পরিচালনা করেছিল। সময়ের সাথে, সেই স্পষ্টতা “ক্লাউড-ডেলিভার্ড সিকিউরিটি” এবং “জিরো ট্রাস্ট” কে ধারণা থেকে বাজেট লাইনে পরিণত করতে সাহায্য করেছিল—যা বড় কোম্পানিগুলো কিনতে, স্থাপন করতে ও স্ট্যান্ডার্ডাইজ করতে পারে।
বছরের পর বছর এন্টারপ্রাইজ নিরাপত্তা একটি সহজ ধারণার ওপর তৈরি ছিল: “ভালো জিনিস”কে কর্পোরেট নেটওয়ার্কের ভিতরে রাখো এবং তার চারপাশে একটা প্রাচীর দাও। সেই প্রাচীর সাধারণত অন‑প্রেম অ্যাপ্লায়েন্সের স্ট্যাক—ফায়ারওয়াল, ওয়েব প্রক্সি, ইনট্রুশন প্রিভেনশন—কয়েকটি ডেটা সেন্টারে বসে। রিমোট কর্মীরা VPN দিয়ে ঢুকত, যা কার্যত অভ্যন্তরীণ নেটওয়ার্ককে যেখানে যে তারা আছে সেখানে বাড়িয়ে দিত।
যখন বেশিরভাগ অ্যাপ কোম্পানির ডেটা সেন্টারে ছিল, এটি মোটামুটি কাজ করত। ওয়েব ট্রাফিক ও অ্যাপ ট্রাফিক একই সংকীর্ণ রাস্তা দিয়ে চলত, যেখানে সিকিউরিটি টিমগুলো পরিদর্শন, লগিং ও ব্লক করতে পারত।
কিন্তু মডেলটি দুটি জিনিস ধরে নিয়েছিল যেগুলো অমীমাংসিত হয়ে উঠল:
কর্মচারীরা আরও মোবাইল হয়ে উঠলে ও SaaS গ্রহণ দ্রুততর হলে ট্রাফিক প্যাটার্ন উল্টে গেলো। কফি শপে থাকা মানুষদের দ্রুত Office 365, Salesforce ও ডজনখানেক ব্রাউজার-ভিত্তিক টুলে অ্যাক্সেস লাগতো—প্রায়ই কখনই কর্পোরেট ডেটা সেন্টারের স্পর্শও ছাড়াতো না।
নীতিমালা বজায় রাখতে অনেক কোম্পানি “ব্যাকহলিং” করেছিল: একটি ব্যবহারকারীর ইন্টারনেট ও SaaS অনুরোধ সদর দফতরে পাঠাও, পরিদর্শন করো, তারপর আবার বাইরে পাঠাও। ফলাফল অনুমানযোগ্য ছিল: ধীর পারফরম্যান্স, অসন্তুষ্ট ব্যবহারকারী, এবং নিয়ন্ত্রণে ছিদ্র ছেড়ে দেওয়ার চাপ।
জটিলতা বেড়েছে (আরও অ্যাপ্লায়েন্স, আরও নিয়ম, আরও ব্যতিক্রম)। VPN ওভারলোড হয়ে ঝুঁকিপূর্ণ হয়ে উঠল যখন তা বিস্তৃত নেটওয়ার্ক অ্যাক্সেস দেয়। প্রতিটি নতুন শাখা বা অধিগ্রহণ মানে ছিল আরেকটা হার্ডওয়্যার রোলআউট, আরও ক্ষমতা পরিকল্পনা, এবং ভঙ্গুর আর্কিটেকচারের চাপ।
সেই ফাঁক—নিরাপত্তা কঞ্জিস্টেন্ট করতে হবে কিন্তু সবকিছুই ভৌত পারিমিটারের মধ্য দিয়ে নিতে হবে না—ই তৈরি করল ক্লাউড-ডেলিভার্ড সিকিউরিটির সুযোগ, যা ব্যবহারকারী ও অ্যাপকে অনুসরণ করতে পারে, বিল্ডিংকে নয়।
Zscaler-এর সংজ্ঞায়িত বাজেট বলা সহজ কিন্তু বাস্তবে কঠিন ছিল: নিরাপত্তাকে একটি ক্লাউড সার্ভিস হিসেবে দিন, ব্যবহারকারীর কাছাকাছি অবস্থান করে—কোম্পানির নেটওয়ার্কের ভিতরে বসানো বক্সগুলোর বদলে।
এই প্রসঙ্গে, “ক্লাউড সিকিউরিটি” কেবল ক্লাউড সার্ভারগুলি রক্ষা করা নয়। এর মানে সিকিউরিটি নিজেই ক্লাউডে চলে—তাই একটি শাখা অফিসে, বাড়িতে বা মোবাইলে থাকা ব্যবহারকারী নিকটস্থ সিকিউরিটি পয়েন্ট-অফ-প্রেজেন্স (PoP)-এ সংযুক্ত হয়, এবং সেখানে নীতি প্রয়োগ করা হয়।
“ইনলাইনিং” এমনকি ট্রাফিককে গন্তব্যে যাওয়ার পথে একটি সিকিউরিটি চেকপয়েন্টের মাধ্যমে রুট করা।
যখন একজন কর্মচারী কোনো ওয়েবসাইট বা ক্লাউড অ্যাপে যায়, তাদের সংযোগ প্রথমে সার্ভিসের মাধ্যমে স্টিয়ার করা হয়। সার্ভিস পলিসি অনুযায়ী যা যায় তা পরিদর্শন করে, ঝুঁকিপূর্ণ গন্তব্য ব্লক করে, থ্রেট স্ক্যান করে, তারপর অনুমোদিত ট্রাফিক ফরওয়ার্ড করে। লক্ষ্য হল ব্যবহারকারীদের কর্পোরেট-র্যাঙ্কের সুরক্ষা পেতে “কর্পোরেট নেটওয়ার্কে” থাকা লাগবে না—নিরাপত্তা ব্যবহারকারীর সঙ্গে যায়।
ক্লাউড-ডেলিভার্ড সিকিউরিটি আইটি ও সিকিউরিটি টিমদের জন্য দিন-প্রতি-দিন বাস্তবতা বদলে দেয়:
এই মডেলটি সেইভাবে মেলে কিভাবে কোম্পানিগুলো এখন কাজ করে: ট্রাফিক প্রায়শই সরাসরি SaaS ও পাবলিক ইন্টারনেটে যায়, সদর দফতরে ফিরিয়ে না নিয়ে।
তৃতীয় পক্ষকে ইনলাইন রাখা বাস্তব উদ্বেগ তোলে যা টিমগুলিকে মূল্যায়ন করতে হবে:
মূল বাজেট তাই কেবল টেকনিক্যাল নয়—এটি একটি অপারেশনাল আস্থা যে একটি ক্লাউড প্রদানকারী নীতিপালন নির্ভরযোগ্যভাবে, স্বচ্ছভাবে এবং বিশ্বব্যাপী স্কেলে করতে পারে।
জিরো ট্রাস্ট একটি সাধারণ নীতি: কিছুই নিরাপদ ধরে নেবেন না শুধু কারণ তা “কোম্পানির নেটওয়ার্ক”-এর ভিতরে আছে। বরং প্রতিবার প্রয়োজন হলে সর্বদা যাচাই করুন ব্যবহারকারী কে, তাদের ডিভাইস কী অবস্থা, এবং তারা নির্দিষ্ট অ্যাপ বা ডেটা অ্যাক্সেস করতে পারা উচিত কি না।
প্রচলিত VPN চিন্তা এমন—একজনকে একটি ব্যাজ দেওয়া যা একবার বারান্দার ভিতরে এলে পুরো বিল্ডিং খুলে দেয়। VPN সংযোগ হওয়ার পরে অনেক সিস্টেম ওই ব্যবহারকারীকে “ইন্টারনাল” ধরে নেয়, যা অনিচ্ছাকৃতভাবে বেশি প্রকাশ করতে পারে।
জিরো ট্রাস্ট ওই মডেলটি উল্টে দেয়। এটি যেন কাউকে একটি রুম-এর জন্য একটি কাজ-এর জন্য অনুমতি দেয়ার মত। আপনি বিস্তৃতভাবে “নেটওয়ার্কে যোগ দেবেন না”; আপনাকে শুধু ঐ অ্যাপ-এ পৌঁছতে দেওয়া হবে যা আপনার জন্য অনুমোদিত।
একজন কন্ট্রাক্টরকে দুই মাসের জন্য একটি প্রজেক্ট ম্যানেজমেন্ট টুলে অ্যাক্সেস লাগল। জিরো ট্রাস্টে, তাকে সেই একমাত্র অ্যাপের জন্য অনুমোদন দেয়া যায়—ভুলবশত পে-রোল সিস্টেম বা অভ্যন্তরীণ অ্যাডমিন টুলে পথ না দিয়ে।
একজন কর্মচারী BYOD (নিজের ল্যাপটপ) ব্যবহার করে ভ্রমণে আছে। জিরো ট্রাস্ট নীতিগুলি আরও শক্ত লগইন চেক প্রয়োজন করতে পারে বা ব্লক করতে পারে যদি ডিভাইসটি আপডেটেড না হয়, এনক্রিপটেড না হয়, বা কমপ্রোমাইজের লক্ষণ দেখায়।
রিমোট কাজ সুরক্ষিত করা সহজ হয় কারণ নিরাপত্তা সিদ্ধান্ত ব্যবহারকারী ও অ্যাপকে অনুসরণ করে—নেই একটি ভৌত অফিস নেটওয়ার্কের ওপর।
জিরো ট্রাস্ট কোনো একক প্রোডাক্ট নয় যা কিনে "টর্ন অন" করে দেওয়া যায়। এটা একটি নিরাপত্তা পদ্ধতি যাকে টুল ও নীতির মাধ্যমে বাস্তবায়ন করা হয়।
এটি মানে “কেহকেই বিশ্বাস করবেন না” কঠোরভাবে নয়। বাস্তবে, এর মানে হল আস্থা ধারাবাহিকভাবে অর্জিত হয়—পরিচয় যাচাই, ডিভাইস পোস্টার ও লিস্ট-প্রিভিলেজের মাধ্যমে—তাই ভুল ও ব্রিচ দ্রুত ছড়ায় না।
Zscaler বোঝা সহজতর একটি ক্লাউড “কন্ট্রোল পয়েন্ট” হিসেবে যা মানুষ ও তাদের পৌঁছাতে চাওয়া কিছুর মধ্যবর্তী অংশে বসে। কর্পোরেট নেটওয়ার্ক বাউন্ডারি বিশ্বাস করার বদলে, এটি প্রতিটি সংযোগকে মূল্যায়ন করে—কে ব্যবহারকারী, পরিস্থিতি কেমন—তারপর উপযুক্ত নীতি প্রয়োগ করে।
অधिकাংশ ডেপ্লয়মেন্ট চারটি সরল অংশ দিয়ে বর্ণনা করা যায়:
ভাবগতভাবে, Zscaler ট্রাফিককে দুই লাইনে ভাগ করে:
এই বিভাজন গুরুত্বপূর্ণ: এক লাইনের কাজই নিরাপদ ইন্টারনেট ব্যবহার নিশ্চিত করা; অন্যটি সুনির্দিষ্টভাবে অভ্যন্তরীণ সিস্টেমে অ্যাক্সেস দেয়।
দ্বিনির উপর ভিত্তি করে সিদ্ধান্ত নেওয়া হয়, না যে কোন অফিস আইপি ঠিকানা ট্রাস্ট করা হচ্ছে। সিগন্যালগুলো হতে পারে ব্যবহারকারী কে, ডিভাইসের স্বাস্থ্য (ম্যানেজড বনাম আনম্যা-জড, প্যাচড বনাম আউটডেটেড), এবং কোথায়/কিভাবে সংযুক্ত হচ্ছে।
ভালভাবে করলে, এই পদ্ধতি আক্রমণের উন্মুক্ত সারফেস কমায়, ল্যাটারাল মুভমেন্ট সীমিত করে যদি কিছু ভুল হয়, এবং অ্যাক্সেস কন্ট্রোলকে একটি সহজ, সঙ্গত নীতি মডেলে রূপান্তর করে—বিশেষ করে রিমোট ও ক্লাউড-ফার্স্ট অ্যাপ স্ট্যাকে।
“এন্টারপ্রাইজ সিকিউরিটি” বললে অনেকেই অভ্যন্তরীণ অ্যাপ ও নেটওয়ার্ককেই কল্পনা করে। কিন্তু ঝুঁকির বড় অংশ খোলা ইন্টারনেট পাশেই থাকে: কর্মীরা নিউজ সাইট ব্রাউজ করছে, ইমেলে লিংকে ক্লিক করছে, ব্রাউজার-ভিত্তিক টুল ব্যবহার করছে, বা ওয়েব অ্যাপে ফাইল আপলোড করছে।
একটি Secure Web Gateway (SWG) হল সেই ক্যাটেগরি যা দৈনন্দিন ইন্টারনেট অ্যাক্সেসকে নিরাপদ করে—প্রতিটি ব্যবহারকারীর ট্রাফিককে একক কার্যালয়ের মাধ্যমে ফিরিয়ে না নিয়ে।
সরাসরি বলতে গেলে, একটি SWG ব্যবহারকারী ও পাবলিক ওয়েবের মধ্যে একটি নিয়ন্ত্রিত চেকপয়েন্ট হিসেবে কাজ করে। ডিভাইস যে কিছু পৌঁছে সেটাকে বিশ্বাস করার বদলে গেটওয়ে নীতি ও পরিদর্শন প্রয়োগ করে যাতে প্রতিষ্ঠানগুলো ক্ষতিকর সাইট, ঝুঁকিপূর্ণ ডাউনলোড ও অনিচ্ছাকৃত ডেটা লিকেজ কমাতে পারে।
সাধারণ সুরক্ষাগুলি:
গতিশীলতা তখন এসেছে যখন কাজ স্থির অফিস থেকে SaaS, ব্রাউজার ও মোবাইলের দিকে সরে গেল। ব্যবহারকারীরা যেখানে-ই থাকুক এবং অ্যাপগুলো যেখানে-ই থাকুক, একটি একক কর্পোরেট পারিমিটারের মাধ্যমে ট্রাফিক ফিরিয়ে পাঠানো লেটেন্সি বাড়ায় ও ব্লাইন্ড স্পট তৈরি করে।
ক্লাউড-ডেলিভারড SWG নতুন বাস্তবতার সঙ্গে মিলে: নীতি ব্যবহারকারীকে অনুসরণ করে, ট্রাফিক যেখানে সংযুক্ত হয় সেখানে কাছাকাছি পরিদর্শন করা যায়, এবং সিকিউরিটি টিমরা সদর দফতর, শাখা ও রিমোট কাজের জন্য সঙ্গত নিয়ন্ত্রণ পায়—ইন্টারনেটকে ব্যতিক্রম হিসেবে না দেখে।
VPN তৈরি হয়েছিল সেই সময়ে যখন “নেটওয়ার্কে থাকা” মানে ছিল “অ্যাপগুলোতে পৌঁছানো।” সেই মানসিক মডেল ভেঙে পড়ে যখন অ্যাপগুলো একাধিক ক্লাউডে, SaaS-এ ও কিছু অন-প্রেম সিস্টেমে ছড়িয়ে যায়।
অ্যাপ-সেন্ট্রিক অ্যাক্সেস ডিফল্ট উল্টে দেয়। ব্যবহারকারীকে অভ্যন্তরীণ নেটওয়ার্কে (এবং তারপর বিভাগীয় সেগমেন্টেশনের ওপর নির্ভর করে) নামিয়ে দেওয়ার বদলে, ব্যবহারকারী শুধুমাত্র একটি নির্দিষ্ট অ্যাপের সাথে সংযুক্ত হয়।
ভাবগতভাবে এটি একটি ব্রোকারড সংযোগের মত কাজ করে: ব্যবহারকারী প্রমাণ করে কে তারা এবং কোন অ্যাপ অনুমোদিত, তারপর ঐ অ্যাপের জন্য একটি ছোট, নিয়ন্ত্রিত পথ তৈরি হয়—ইন্টারনাল IP রেঞ্জ ইন্টারনেটে প্রকাশ না করে এবং ব্যবহারকারীকে বিস্তৃত “ইন্টারনাল” দৃশ্যমানতা না দিয়ে।
নেটওয়ার্ক সেগমেন্টেশন শক্তিশালী, কিন্তু বাস্তব সংস্থাে তা ভঙ্গুর হতে পারে: অধিগ্রহণ, ফ্ল্যাট VLAN, লেগ্যাসি অ্যাপস, ও এক্সেপশন জমতে থাকে। অ্যাপ সেগমেন্টেশন ব্যাবসায়িক উদ্দেশ্যের সঙ্গে সহজে মানানসই কারণ এটি অ্যাপ্লিকেশন ভিত্তিক:
এটি আভাস কমায় এবং অ্যাক্সেস নীতিগুলোকে পাঠযোগ্য করে তোলে: আপনি সেগুলো অ্যাপ ও ব্যবহারকারী গ্রুপ অনুসারে অডিট করতে পারেন, রুট ও সাবনেট ট্রেস করার বদলে।
অধিকাংশ টিম একরাতে VPN প্রতিস্থাপন করে না। একটি বাস্তবসম্মত রোলআউট প্রায়ই এ রকম দেখায়:
যখন অ্যাপ-সেন্ট্রিক অ্যাক্সেস ভালভাবে করা হয়, লাভ দ্রুত দেখা যায়: VPN-সংক্রান্ত সাপোর্ট টিকিট কমে, অ্যাক্সেস নীতিগুলো স্পষ্ট হয় যা সিকিউরিটি ও IT ব্যাখ্যা করতে পারে, এবং ব্যবহারকারীর অভিজ্ঞতা মসৃণ হয়—বিশেষ করে রিমোট ও হাইব্রিড কর্মীদের জন্য যারা চান অ্যাপটি কাজ করুক “নেটওয়ার্কে সংযোগ” না করেও।
দারুণ সিকিউরিটি প্রোডাক্ট স্বয়ংক্রিয়ভাবে এন্টারপ্রাইজ স্ট্যান্ডার্ড হয়ে ওঠে না। বাস্তবে, নিরাপত্তায় “বিতরণ” মানে হলো সেই রুটগুলোর সেট যার মাধ্যমে ভেন্ডর বড় সংস্থাগুলোর কাছে পৌঁছায়, জিতেএবং সফলভাবে ডেপ্লয় করে—অনেক সময় অন্য কোম্পানিগুলোর মাধ্যমে।
নিরাপত্তায় বিতরণ সাধারনত অন্তর্ভুক্ত করে:
এগুলো বিকল্প নয়—এগুলো সেই পাইপলাইন যা ভেন্ডরকে বাজেট, সিদ্ধান্তগ্রহণকারী, ও বাস্তবায়ন ক্ষমতার সঙ্গে যুক্ত করে।
বড় এন্টারপ্রাইজ সতর্কতার সঙ্গে কেনে। পার্টনাররা দেয়:
Zscaler এর মতো একটি প্ল্যাটফর্মের গ্রহণ সাধারণত নির্ভর করে বাস্তব-মজা মাইগ্রেশন কাজের উপর—পুরনো VPN প্যাটার্ন থেকে ব্যবহারকারীদের সরানো, পরিচয় ইন্টিগ্রেশন, ও নীতি টিউন করা। পার্টনাররা সেই পরিবর্তনটিকে ব্যবস্থাযোগ্য করে তুলতে পারে।
ক্লাউড ডেলিভারি এককালীন ইনস্টল থেকে সাবস্ক্রিপশন, এক্সপ্যানশন, ও রিনিউয়াল-এ ব্যবসা বদলে দেয়। এটি বিতরণকে বদলে দেয়: পার্টনাররা কেবল “ডিল ক্লোজার” নয়—তারা চলমান রোলআউট পার্টনার হতে পারে, দুর্ধর্ষ প্রোগ্রাম থাকলে গ্রাহকের আউটকামগুলোর সঙ্গে তাদের প্রণোদন মিলতে পারে।
পার্টনার প্রণোদনা, পার্টনার এনেবলমেন্ট (ট্রেনিং, প্লেবুক, কো-সেলিং সাপোর্ট) এর গুণ ও কন্ট্রাক্ট সাইন হওয়ার পরে কাস্টমার সাকসেস হ্যান্ডঅফ কত পরিষ্কার তা ঘনিষ্ঠভাবে দেখুন। অনেক ডেপ্লয়মেন্ট ব্যর্থ হয় না কারণ পণ্য দুর্বল ছিল—বরং মালিকানা ভেন্ডর, পার্টনার ও কাস্টমারের মাঝেই অনিশ্চিত হয়ে পড়ে।
সিকিউরিটি কেনাকাটা সাধারণত “আমরা ভালো সিকিউরিটি চাই” দিয়ে শুরু করে না। এটা প্রায়ই একটি নেটওয়ার্ক পরিবর্তনের সাথে শুরু হয় যা পুরনো অনুমান ভেঙে দেয়: আরও অ্যাপ SaaS-এ চলে গেছে, শাখা SD-WAN করছে, বা রিমোট কাজ স্থায়ী হয়ে গেছে। যখন ট্রাফিক আর কেন্দ্রীয় অফিস দিয়ে প্রবাহিত হয় না, “সবার কিছুই সদর দফতরে রক্ষা” মডেল ধীরে ধীরে ধীর সংযোগ, জটিল এক্সেপশন ও ব্লাইন্ড স্পট তৈরি করে।
Zscaler প্রায়শই SASE ও SSE-এর একই কথোপকথনে উল্লেখ করা হয় কারণ ঐ লেবেলগুলো বর্ণনা করে কিভাবে সিকিউরিটি ডেলিভার করা হচ্ছে:
বাস্তব “লাভ অনুবাদ” আকরোনিম নয়—এটি সরল অপারেশনাল সুবিধা: কম অন-প্রেম বক্স, সহজ নীতি আপডেট, এবং ডেটা সেন্টারের মাধ্যমে ট্রাফিক হেয়ারপিন না করে সরাসরি অ্যাপ অ্যাক্সেস।
একটি কোম্পানি সাধারণত SSE/SASE-স্টাইল পদ্ধতি মূল্যায়ন করে যখন:
এই ট্রিগারগুলো দেখা গেলে, ক্যাটেগরি স্বাভাবিকভাবেই “আসবে”—কারণ নেটওয়ার্ক ইতোমধ্যেই বদলে গেছে।
একটি জিরো ট্রাস্ট প্ল্যাটফর্ম কেনা সাধারণত সহজ অংশ। ময়লা নেটওয়ার্ক, উত্তরাধিকারসূত্রে থাকা অ্যাপ, এবং বাস্তব মানুষদের মধ্যে এটি কাজ করানোই প্রকল্পগুলিকে সফল বা স্থবির করে।
লেগ্যাসি অ্যাপস বারবার সমস্যা। পুরনো সিস্টেমগুলো ধরে নেয় “নেটওয়ার্কের ভিতরে = বিশ্বাসযোগ্য”, হার্ড-কোডেড IP allowlist-এ নির্ভর করে, বা ট্রাফিক পরিদর্শন হলে ভেঙে পড়ে।
অন্য ঘর্ষণস্থানগুলো মানবিক: পরিবর্তন ব্যবস্থাপনা, নীতি পুনরায় ডিজাইন, এবং “কো কন্ট্রোল করে” বিতর্ক। বিস্তৃত নেটওয়ার্ক অ্যাক্সেস থেকে নির্দিষ্ট, অ্যাপ-স্তরের নিয়মে সরে যাওয়া দলের কাছে বাস্তবে কিভাবে কাজ হয় তা ডকুমেন্ট করার দাবি করে—এবং তা অনেক সময় দীর্ঘদিন উপেক্ষিত ফাঁকগুলিকে উদঘাটন করে।
রোলআউট ভালো হয় যখন সিকিউরিটি একা কাজ করে না। প্রত্যাশা রাখুন যে সমন্বয় হবে:
কম-ঝুঁকিপূর্ণ গ্রুপ (যেমন একটি নির্দিষ্ট বিভাগ বা কন্ট্রাক্টরের একটি সাবসেট) দিয়ে শুরু করুন এবং আগেই সফলতার মেট্রিক নির্ধারণ করুন: VPN টিকিট কমা, দ্রুত অ্যাপ অ্যাক্সেস, প্রকাশ্য আক্রমণের উন্মুক্ত স্থান কমানো, বা দৃশ্যমানতা বাড়া।
পাইলট ইটারেশনে চালান: এক ধরণের অ্যাপ এক সময়ে মাইগ্রেট করুন, নীতি টিউন করুন, তারপর সম্প্রসারণ করুন। লক্ষ্য হলো দ্রুত শেখা সত্ত্বেও পুরো কোম্পানিকে পরীক্ষার মাঠ করা না।
প্রথম দিন থেকেই লগিং ও ট্রাবলশুটিং পরিকল্পনা করুন: লগ কোথায় থাকবে, কে কুয়েরি করতে পারে, কতক্ষণ রাখা হবে, এবং অ্যালার্ট কীভাবে ইনসিডেন্ট রেসপন্সে যায়। যদি ব্যবহারকারীরা “অ্যাপ ব্লক হয়েছে” সময়ে সাহায্য না পায়, আস্থা দ্রুত নেমে যায়—যদিও নিরাপত্তা মডেল সাউন্ড।
এখানে একটি প্রায়ই অবহেলিত ত্বরান্বিতকরণ হল অভ্যন্তরীণ টুলিং: এক্সেপশন অনুরোধ, অ্যাক্সেস রিভিউ, অ্যাপ ইনভেন্টরি, রোলআউট ট্র্যাকিং, ও রিপোর্টিংয়ের জন্য সরল পোর্টাল। টিমগুলো প্রায়ই এই হালকা “গ্লু অ্যাপ” নিজে বানায় যেন ভেন্ডারের রোডম্যাপের অপেক্ষায় না থাকতে হয়। Koder.ai এর মত প্ল্যাটফর্ম টিমগুলোকে চ্যাট-চালিত ওয়ার্কফ্লো দিয়ে দ্রুত React-ভিত্তিক ড্যাশবোর্ড, Go/PostgreSQL ব্যাকএন্ড সহ অভ্যন্তরীণ ওয়েব টুল দ্রুত প্রোটোটাইপ ও শিপ করতে সাহায্য করে—যখন নীতিমালা ও প্রক্রিয়াগুলো পরিণত হয় এবং দ্রুত পুনরাবৃত্তির দরকার পড়ে।
নিরাপত্তা কন্ট্রোলগুলোকে আপনার নিজের মালিকানাধীন অ্যাপ্লায়েন্স থেকে ক্লাউড-ডেলিভার্ড প্ল্যাটফর্মে নেওয়া অপারেশন সহজ করতে পারে—কিন্তু এটি সেই নতুন ব্যর্থতা মোডগুলোর ওপর আপনার বাজেটকেও বদলে দেয়। ভালো সিদ্ধান্ত কেবল “জিরো ট্রাস্ট বনাম লেগ্যাসি” নয়; বরং নতুন ব্যর্থতার ধরণগুলো বোঝা।
যদি একটি প্ল্যাটফর্ম ওয়েব সিকিউরিটি, প্রাইভেট অ্যাপ অ্যাক্সেস, নীতি প্রয়োগ, ও লগিং সব সরবরাহ করে, আপনি টুল স্প্রল কমান—কিন্তু একই সাথে ঝুঁকি কনসেনট্রেট করেন। একটি চুক্তি বিতর্ক, মূল্য নীতি পরিবর্তন, বা পণ্য ফাঁক বড় বিস্তারে প্রভাব ফেলতে পারে যতক্ষণ পর্যন্ত সেই অংশগুলো বিতরণ করা ছিল।
ক্লাউড সিকিউরিটি ব্যবহারকারীদের ও অ্যাপের মধ্যে একটি অতিরিক্ত হপ যোগ করে। যখন তা ভালভাবে কাজ করে, ব্যবহারকারী কমই লক্ষ্য করে। যখন কোনো আঞ্চলিক আউটেজ, রাউটিং সমস্যা বা ক্যাপাসিটি সমস্যা হয়, “নিরাপত্তা” মনে হতে পারে “ইন্টারনেট ডাউন”। এটা কোনো একক ভেন্ডরের বিষয় নয়—এটি সর্বদা-অন কানেক্টিভিটির ওপর নির্ভর করার সাধারণ সমস্যা।
জিরো ট্রাস্ট কোনো জাদুকরী ঢাল নয়। খারাপভাবে স্কোপ করা নীতি (অত্যাধিক উদার, অত্যন্ত কড়া, বা গ্রুপগুলোর মধ্যে অসামঞ্জস্য) হয়তো এক্সপোজার বাড়ায় বা কাজ বিঘ্নিত করে। যত বেশি নমনীয় পলিসি ইঞ্জিন, তত বেশি শৃঙ্খলা দরকার।
ধাপে ধাপে রোলআউট সাহায্য করে: একটা স্পষ্ট ইউস কেস দিয়ে শুরু করুন (উদাহরণ: ব্যবহারকারীদের ইন্টারনেট অ্যাক্সেস), লেটেন্সি ও অ্যাক্সেস আউটকাম পরিমাপ করুন, তারপর সম্প্রসারণ করুন। নীতিগুলো সরল ভাষায় ডিফাইন করুন, মনিটরিং ও অ্যালার্টিং প্রথম দিন থেকেই বাস্তবায়ন করুন, এবং রিডান্ডেন্সি পরিকল্পনা করুন (মাল্টি-রিজিয়ন রাউটিং, ব্রেক-গ্লাস অ্যাক্সেস, ডকুমেন্টেড ফলব্যাক)।
আপনি কোন ডেটা টাইপগুলো রক্ষা করছেন তা জানুন (নিয়ন্ত্রিত বনাম সাধারণ), কন্ট্রোলগুলোকে কমপ্লায়েন্স চাহিদার সাথে সারিবদ্ধ করুন, এবং পুনরাবৃত্ত এক্সেস রিভিউ নির্ধারণ করুন। লক্ষ্য ভয়-ভিত্তিক কেনাকাটা নয়—বরং নিশ্চিত করা যে নতুন মডেলটি নিরাপদ ও পূর্বানুমেয়ভাবে ব্যর্থ হয়।
Zscaler-এর পুনরাবৃত্ত পাঠ হল ফোকাস: নিরাপত্তা প্রয়োগ ক্লাউডে সরান এবং অ্যাক্সেসকে পরিচয়-চালিত করুন। যখন ভেন্ডর বা নির্মাতা মূল্যায়ন করছেন, একটি সরল প্রশ্ন জিজ্ঞাসা করুন: “একটি আর্কিটেকচরাল বাজেট কি আছে যা সবকিছু সহজ করে দেয়?” যদি উত্তর হয় “অন্তর্ভুক্ত উপর নির্ভর করে,” তাহলে পরে জটিলতা খরচ, রোলআউট সময় এবং এক্সেপশন হিসেবে প্রদর্শিত হবে।
“জিরো ট্রাস্ট” কাজ করেছিল কারণ এটি একটি ব্যবহারিক প্রতিশ্রুতি অনুবাদ করেছিল: কম প্রতিবন্ধী বিশ্বাস, কম নেটওয়ার্ক প্লাম্বিং, এবং যখন অ্যাপ অফ-প্রেম চলে যায় তখন ভালো কন্ট্রোল। টিমগুলোর জন্য এই অর্থ: বাজবড না, আউটকাম কিনুন। আপনার কাঙ্ক্ষিত আউটকামগুলো লিখে রাখুন (উদাহরণ: “কোন ইনবাউন্ড অ্যাক্সেস নেই,” “অ্যাপগুলোর জন্য লিস্ট-প্রিভিলেজ,” “রিমোট ব্যবহারকারীদের জন্য সঙ্গত নীতি”) এবং প্রতিটিকে পরীক্ষার উপযোগী কনক্রিট ক্যাপাবিলিটিতে ম্যাপ করুন।
এন্টারপ্রাইজ নিরাপত্তা বিশ্বাস নেটওয়ার্কের মাধ্যমে ছড়ায়: রিসেলার, GSI, MSP, ও ক্লাউড মার্কেটপ্লেস। প্রতিষ্ঠাতারা এটি অনুকরণ করতে পারে পার্টনার-রেডি পণ্য প্রথম থেকেই গড়ে—স্পষ্ট প্যাকেজিং, পূর্বানুমেয় মার্জিন, ডেপ্লয়মেন্ট প্লেবুক, এবং ভাগ করা মেট্রিকস। সিকিউরিটি লিডাররাও পার্টনার ব্যবহার করতে পারেন: পরিবর্তন ব্যবস্থাপনা, পরিচয় ইন্টিগ্রেশন, ও ধাপে ধাপে মাইগ্রেশনগুলো পার্টনারদের কাজে দিন, সবকিছু নিজে শেখানোর চেষ্টা না করে।
একটি উচ্চ-ভলিউম ইউস কেস দিয়ে শুরু করুন (সাধারণত ইন্টারনেট অ্যাক্সেস বা একটি ক্রিটিক্যাল অ্যাপ), আগে/পরে পরিমাপ করুন, এবং সম্প্রসারণ করুন।
কী রোলআউট প্রশ্নগুলো:
শুধু “সিকিউরিটি” বিক্রি করবেন না—একটি মাইগ্রেশন পথ বিক্রি করুন। জয়ী গল্প সাধারণত হয়: ব্যথা → সবচেয়ে সহজ প্রথম ধাপ → পরিমাপযোগ্য জয় → সম্প্রসারণ। অনবোর্ডিং ও রিপোর্টিং গড়ে তুলুন যা 30–60 দিনে মান দৃশ্যমান করে।
উদ্যোক্তাদের জন্য এক প্যাটার্ন হল মূল পণ্যের সঙ্গে কিছু দ্রুত-তৈরি সঙ্গী অ্যাপ (অ্যাসেসমেন্ট ওয়ার্কফ্লো, মাইগ্রেশন ট্র্যাকার, ROI ক্যালকুলেটর, পার্টনার পোর্টাল) যোগ করা। যদি আপনি এগুলো তৈরি করতে চান বড় পুরনো ডেভ পাইপলাইন না গড়েই, Koder.ai-এর মত প্ল্যাটফর্ম চ্যাট-চালিত কন্টেক্সট থেকে ফুল-স্ট্যাক অ্যাপ তৈরি করতে ডিজাইন করা—অভ্যন্তরীণ বা গ্রাহক-সম্মুখীন টুল দ্রুত প্রোডাকশনে আনতে এবং আপনার বিতরণ মোশন অনুযায়ী পুনরাবৃত্তি করতে সুবিধা করে।
If you want to go deeper, see /blog/zero-trust-basics and /blog/sase-vs-sse-overview. For packaging ideas, visit /pricing.
জিরো ট্রাস্ট এমন একটি পদ্ধতি যেখানে প্রতিটি অনুরোধের ভিত্তিতে অ্যাক্সেস সিদ্ধান্ত নেওয়া হয়—পরিচয়, ডিভাইসের অবস্থা, এবং প্রসঙ্গ দেখে—এর পিছনে ধরার যে সেটা “নেটওয়ার্কের ভিতরে” আছে বলে নিরাপদ বলে ধরে নেওয়া হয় না। ব্যবহারিকভাবে এর মানে হল:
একটি প্রচলিত VPN প্রায়ই ব্যবহারকারীকে “নেটওয়ার্কে” স্থাপন করে, যা অনিচ্ছাকৃতভাবে প্রয়োজনের বাইরে অন্যান্য সিস্টেম উন্মুক্ত করতে পারে। অ্যাপ-সেন্ট্রিক অ্যাক্সেস মডেলটি উল্টে দেয়:
“ইনলাইন” মানে ট্রাফিকটি ইন্টারনেট বা ক্লাউড অ্যাপে পৌঁছার আগে একটি সিকিউরিটি চেকপয়েন্টের মধ্য দিয়ে পাঠানো হয়। ক্লাউড-ডেলিভার্ড মডেলে, সেই চেকপয়েন্ট নিকটস্থ পয়েন্ট-অফ-প্রেজেন্স (PoP)-এ থাকে, যার ফলে প্রদানকারী করতে পারে:
লক্ষ্য হল কনসিস্টেন্ট সিকিউরিটি দেওয়া—কিন্তু সব ট্রাফিককে হেডকোয়ার্টারের মাধ্যমে ফিরিয়ে না নেওয়া।
ব্যাকহলিং (backhauling) দূরবর্তী ব্যবহারকারীর ওয়েব ও SaaS ট্রাফিককে কেন্দ্রিয় ডেটা সেন্টারে পাঠিয়ে, পরিদর্শন করে আবার ইন্টারনেটে পাঠায়। এটি সাধারণত ব্যর্থ হয় কারণ:
একটি Secure Web Gateway (SWG) ব্যবহারকারীদের ইন্টারনেট ব্রাউজিং ও SaaS অ্যাপ ব্যবহারের সময় সুরক্ষা দেয়। সাধারণ SWG সক্ষমতাগুলি:
এটি বিশেষভাবে দরকারি যখন অধিকাংশ ট্রাফিক ইন্টারনেট-মুখী এবং ব্যবহারকারীরা একটি একক কর্পোরেট ফায়ারওয়ালের পেছনে নেই।
ক্লাউড-ডেলিভার্ড সিকিউরিটি অপারেশন সহজ করতে পারে, কিন্তু একই সাথে আপনার নির্ভরতার ধরন বদলে দেয়। মূল্যায়ন করার জন্য মূল ট্রেড-অফ:
একটি কম-ঝুঁকিপূর্ণ পাইলট সাধারণত তখনই সফল হয় যখন সেটি সুনির্দিষ্ট ও পরিমাপযোগ্য:
লক্ষ্য হলো দ্রুত শেখা, পুরো কোম্পানিকে টেস্ট এনভায়রনমেন্ট বানানো নয়।
মিসকনফিগারেশন এখনো শীর্ষ ঝুঁকি কারণ “নেটওয়ার্ক অ্যাক্সেস” থেকে “অ্যাপ/নীতি অ্যাক্সেস” এ পরিবর্তন দলের কাছ থেকে স্পষ্ট নিয়তের প্রয়োজন করে। ঝুঁকি কমানোর জন্য:
SSE হচ্ছে ক্লাউড-ডেলিভার্ড সিকিউরিটি কন্ট্রোল (যেমন SWG, প্রাইভেট অ্যাপ অ্যাক্সেস) যেগুলো এজ-এ দিয়ে ইউজারকে সঙ্গত সুরক্ষা দেয়। SASE সেই ধারণার সঙ্গে নেটওয়ার্কিং পক্ষ (প্রায়শই SD-WAN) যুক্ত করে—তাই কানেক্টিভিটি ও সিকিউরিটি একসঙ্গে ডিজাইন হয়।
অর্থাৎ কেনার দিক থেকে:
বড় প্রতিষ্ঠানগুলো প্রায়শই পার্টনারদের মারফত কেনাকাটা করে এবং বাস্তবায়নের সক্ষমতা প্রয়োজন হয়। চ্যানেল পার্টনার, SIs এবং MSPs সাহায্য করে:
একটি শক্ত পার্টনার ইকোসিস্টেম নির্ধারণ করতে পারে যে একটি প্ল্যাটফর্ম স্ট্যান্ডার্ড হবে নাকি ছোট ডেপ্লয়মেন্টেই আটকে যাবে।
