কনটেন্টে যান

ক্লাউড কম্পিউটিং, ডাটা রেসিডেন্সি, তথ্যের নিরাপত্তা

ক্লাউড এবং নিরাপত্তা

It’s a myth that moving to the cloud means compromising security. Gartner predicts that through 2020, public cloud infrastructure workloads will have 60% fewer security incidents than traditional data centers.

-- Glenn Hicks, Why You Need To Adopt A Cloud First Strategy Now

সরকারের নিজের ডাটা সেন্টার তৈরি এবং তার ব্যবহার এবং ব্যবস্থাপনা

একটা কথা ধ্রুব সত্য যে, ডাটা এখন থেকে সবসময় বাড়বে বৈকি কমবে না। বর্তমান সময়ের ট্রেন্ড বলছে, ডাটা ধীরে ধীরে আরো বাড়বে এবং সেই ডাটাকে প্রসেস করার মত স্টোরেজ এবং কম্পিউটেশনাল ক্ষমতা প্রয়োজন হবে সরকারের। সেই প্রসেসিং ক্ষমতা এবং স্টোরেজ যদি সরকারকে কিনতে হয়, তবে সেটা ব্যয়বহুল হবে। একটা শহরের সবগুলো সিসিটিভি ক্যামেরার ‘ফীড’ যদি কোন ডাটা সেন্টারে ঢোকানো হয়, তাহলে সেটার প্রসেসিং করতে যে স্টোরেজ এবং কম্পিউটেশনাল প্রসেসিং ক্ষমতা প্রয়োজন সেটা কিনতে কিনতে আরো ডাটা প্রসেসিংয়ের প্রয়োজন পড়বে। এই অবস্থায় সরকারের প্রতিটা সিসিটিভি থেকে আসল ইন্টেলিজেন্স অর্থাৎ জ্ঞানটা পেলেই চলে যেত।

সরকারকে কেন ডাটা সেন্টার তৈরি অথবা সেই ডাটাকে প্রসেস করার সক্ষমতা নিতে হবে? এর 'এন্ড টু একোসিস্টেম' ব্যবস্থাপনা তৈরি এবং 'মেনটেনেন্স' খরচ অনেক বেশি। কথা হচ্ছে, ডাটা ফীড দেবে সরকার - 'ইন্টেলিজেন্স' নেবে সরকার। মাঝের 'স্টোরেজ' এবং ডাটা 'প্রসেসিং' করবে চুক্তিভিত্তিক ক্লাউড কম্পিউটিং কোম্পানি। ফলে, সরকারকে প্রতিবছর দামী হার্ডওয়্যার (যা ব্যবহার করা যায় না ৩-৪ বছর পর), স্টোরেজ (যার ক্ষমতা শেষ হতে থাকে ২/৩ বছর পর পর) 'এক্সপ্যানশন' এর ইনভেস্টমেন্ট থেকে বাঁচিয়ে দেবে একটা ১০-১২ বছরের চুক্তি। সরকার নেবে সার্ভিস, সার্ভিস দেবে টেন্ডারের সর্বনিম্ন দরদাতা। বরং, সরকারের কোন দ্বায়বদ্ধতা নেই কোন ভৌত অবকাঠামো তৈরি এবং ব্যবস্থাপনার।

ডাটা দেবে সরকার, প্রসেস এবং অ্যানালাইজ করে ‘ইন্টেলিজেন্স’ দেবে চুক্তি-ভিত্তিক কোম্পানি

পৃথিবীর বিভিন্ন দেশের “ক্লাউড ফার্স্ট” নীতিমালা অর্থাৎ সরকারি ডাটাগুলোকে কিভাবে কম খরচে নিরাপত্তার স্বার্থে ‘ক্লাউডে’ হোস্ট করা যায় - সেটা নিয়েই কাজ চলছে গত কয়েক বছর। গত ৩০ বছরের অভিজ্ঞতায় দেখা গেছে, এই ডাটাগুলোকে ঠিকমতো ব্যবহার এবং প্রসেসিং করার জন্য সরকারকে নিজস্ব ডাটা সেন্টার তৈরি করতে গেলে সেখানে পুরো ব্যাপারটার ‘রিটার্ন অন ইনভেস্টমেন্ট’ অনুপাত নেতিবাচক থাকে।

ক্লাউড অর্থ, সব সমস্যা মেটাবে সার্ভিস প্রোভাইডার

সরকারি অফিসের বিভিন্ন হার্ডওয়্যারের কারণে ডাউনটাইম, সফ্টওয়্যারের ভুল কনফিগারেশন, অফিসের সুরক্ষা লঙ্ঘন অর্থাৎ ‘সিকিউরিটি ব্রিচ’, এবং ডেটা লস অর্থাৎ ডাটা হারানো - এ ধরনের সমস্যা গুলো প্রতিনিয়ত বিপদে ফেলছে সরকারী অফিসগুলোকে। অথচ এ ধরনের সার্ভিসগুলোর “এন্ড টু এন্ড” পুরো দায়িত্ব এবং মাথাব্যথা ছেড়ে দেওয়া যেতে পারে ক্লাউড কমপিউটিং সার্ভিস প্রোভাইডারের কাছে। যার কাজ তাকে করতে দেওয়া উচিত এতে সবারই সুবিধা হয়। একটা সরকারি অফিস নেটওয়ার্কের বিভ্রাটে জনগণের সার্ভিস ব্যাহত হয়।

সার্ভিস ডিজাইন এবং ডেপ্লয় করতে করতেই প্রোডাক্টের ‘লাইফ-সাইকেল’ শেষ

সরকারের জাতীয় ডাটা সেন্টার এবং বিভিন্ন সংস্থার নিজ নিজ ডাটা সেন্টারের জন্য দরকারি নির্দিষ্ট সার্ভার এবং স্টোরেজের ডিজাইন করে সেগুলোকে “ডেপ্লয়” করতে করতে সেই সার্ভার এবং স্টোরেজের ‘প্রোডাক্ট লাইফ’ সাইকেল শেষ হয়ে আসে। এ কারণে, সরকারের একেকটা বাৎসরিক মেইনটেনেন্স কন্ট্রাক্ট শেষ পর্যন্ত আর নতুন করে কেনা হয় না। ফলে এ ধরণের প্রচুর প্রজেক্ট মুখ থুবড়ে পড়ে। এতে প্রচুর টাকা নষ্ট হয়।

সরকার হার্ডওয়্যার, সফটওয়্যার কেনাকাটায় না গিয়ে ‘এন্ড টু এন্ড’ সল্যুশন কেনার সক্ষমতা

ডাটাভিত্তিক কোম্পানিগুলো ভালো করেই জানেন কিভাবে ডাটাগুলোকে “টার্ন-কী” সল্যুশনে একটা সময়ের সাথে ঠিকমতো ‘স্টোর’ এবং ‘প্রসেস’ করতে হয়। বিশেষ করে, তাদের সল্যুশন স্পেসিফিক দরকারি কম্পিউটেশনাল ক্ষমতা দিয়ে। সরকারের ভেতরে কাজ করতে গিয়ে দেখেছি যে, আমরা যখন বিভিন্ন হার্ডওয়ার নিয়ে মাথা খারাপ করে ফেলেছি, এর মধ্যে নতুন সফটওয়্যার এর চাহিদা অনুযায়ী আরো দামি হার্ডওয়ার এর চাহিদা চলে এসেছে। এ ধরনের হার্ডওয়্যার এবং সফটওয়্যার এর ইঁদুর দৌড়ে সরকারের পক্ষে কখনোই সম্ভব হবে না, একটি পুরো সার্ভিস ডেলিভারি ডিজাইন করতে। বরং, সরকারের প্রয়োজন কিভাবে ডাটাগুলো প্রজ্ঞা থেকে পেতে পারে।

সরকারের দরকার ফাইনাল প্রোডাক্ট, সেটার প্রসেসিং নিয়ে পড়ে থাকা টাকার শ্রাদ্ধ

সরকারের প্রয়োজন ‘ইন্টেলিজেন্স’ অর্থাৎ জ্ঞান বা প্রজ্ঞা - ডাটা থেকে। সেই ডাটাকে কিভাবে ‘স্টোর’ করতে হবে অথবা ‘প্রসেস’ করতে হবে, সে ধরনের ধারণা থেকে সরকারগুলো যত তাড়াতাড়ি বের হয়ে যাবে ততোই দেশগুলোর টাকা কম নষ্ট হবে। আমাদের কী দরকার, এবং সেই কাজটা সবচেয়ে ভালোভাবে যে করবে, তাকে দিয়ে দিলেই আমাদের অনেক মূল্যবান টাকা এবং সময় নষ্ট হওয়া থেকে বেঁচে যাবে। আবারও বলছি - আমাদের দরকার ইন্টেলিজেন্স, অর্থাৎ প্রজ্ঞা, ডাটা থেকে, আমরা সময় নষ্ট করছি ডাটাকে স্টোর এবং প্রসেস করতে গিয়ে। এসব জায়গায় সরকার ডাটাভিত্তিক কোম্পানিগুলোর সমকক্ষ নয়। ডাটা ব্যবসায় যে ধরনের ‘অপটিমাইজেশনে’র প্রয়োজন সেটা বেশ ভালো জানে ডাটাভিত্তিক কোম্পানিগুলো।

ডাটার অপব্যবহার রোধে ব্যবহারযোগ্য নীতিমালা প্রণয়ন

সরকারের মূল কাজ হচ্ছে নীতিনির্ধারণী পর্যায়ে কাজ করা, সেটার জন্য ডাটাভিত্তিক যত জ্ঞান অথবা প্রজ্ঞা প্রয়োজন সেটাকে স্টোর এবং প্রসেস করে দেবে চুক্তিভিত্তিক কোম্পানিগুলো। এখানে ডাটার অন্যায় ব্যবহারগুলোকে বন্ধ করা যাবে প্রয়োজনীয় নীতিমালা এবং শক্ত শর্তনামা দিয়ে। ডাটার নিরাপত্তা নিয়ে এখন এবং ভবিষ্যত প্রযুক্তি এমন একটা পর্যায়ে চলে গিয়েছে, সেখানে সরকারকে ডাটা নিরাপত্তা কোম্পানির সাথে চুক্তি না করে সরকারি নিজস্ব জনবলকে দিয়ে এই ধরনের ডাটা নিরাপত্তা দেয়া প্রায় অসম্ভব ব্যাপার।

স্মার্ট গভর্নেন্স

A Government is smart, if it is focused on governance rather than the government itself.

Conventional view of the people towards government can undergo a big change when they see the government optimizing its functioning to serve citizens better. The government is seen to be taking the right steps in this direction by enabling “Public Cloud Policy” and related policies around “Data Privacy and Protection”.

-- Why Is It Safe For Government Bodies To Keep Data On The Cloud? Ameya Paratkar

কী চাই, সেটা বের করতে হবে আগে?

বিভিন্ন দেশের বিভিন্ন সার্ভিস ডেলিভারি “আরএফপি” (রিকোয়েস্ট ফর প্রপোজাল) ডকুমেন্টে দেখা যায় যে, তারা সর্বশেষ ধাপে একটা সরকার কী কী চাইতে পারে সেটার উপরে মনোযোগ দিয়েছে বেশি। আমাদের একই ধরনের ডকুমেন্টগুলোতে কী ধরনের হার্ডওয়ার, কী ধরনের প্রসেসর, অথবা স্টোরেজ, অর্থাৎ হার্ডডিস্ক লাগবে সেগুলো নিয়ে মাথা ঘামাচ্ছি বেশি। এগুলো ডিজাইন করবে সার্ভিস প্রোভাইডার। এগুলোর ব্যাপারে তাদের অভিজ্ঞতা বেশি।

পেন্টাগনের ক্লাউড কম্পিউটিং অভিজ্ঞতা, সেবা দিচ্ছে মাইক্রোসফট

মার্কিন যুক্তরাষ্ট্রের খোদ পেন্টাগনের ক্লাউড কম্পিউটিং সার্ভিস দেবার জন্য মাইক্রোসফট, ওরাকল, অ্যামাজন, গুগল এর যুদ্ধে শেষ পর্যন্ত মাইক্রোসফট জিতলেও এই ধারণাটা এখন পুরো পৃথিবীতে বিস্তৃত হচ্ছে। পেন্টাগনের সেই “জয়েন্ট ইনফ্রাস্ট্রাকচার ডিফেন্স এন্টারপ্রাইজ” (জেডাই) কন্ট্রাক্ট এর মূল্যমান ১০ বিলিয়ন মার্কিন ডলারের বেশি। এখন পেন্টাগনের ইমেইল এবং কোলাবোরেশন সার্ভিসের জন্য কাজ চলে যাচ্ছে বিভিন্ন সার্ভিস প্রোভাইডারের কাছে। পৃথিবীতে ক্লাউড কম্পিউটিং সার্ভিস কোম্পানিগুলোর বেশিরভাগ আয় আসে সরকারি সার্ভিস কন্ট্রাক্টগুলো থেকে।

সরকার এবং সার্ভিস প্রোভাইডারের সাথে ১০ বছরের চুক্তি

সরকারের সাথে একটা কোম্পানির চুক্তি মোতাবেক ১০ বছরের চুক্তিতে তাদের ডাটা স্টোরেজ, ক্লাউড কম্পিউটিং, ডাটা লোকালাইজেশন এবং ডাটা প্রসেসিং এর চুক্তি থাকে, তাহলে সর্বশেষ পর্যায়ে সরকারের ডাটা থেকে যে ‘ইন্টেলিজেন্স’ প্রয়োজন, সেটা সার্ভিস প্রোভাইডার ঠিকমতো দিতে পারলেই সব ধরনের চাহিদা মেটার কথা। আমার ধারণা, এখানে সরকারি সব কাজের জন্য ‘ক্লাউড কম্পিউটিং’ সার্ভিস পেতে ডাটাভিত্তিক কোম্পানিগুলোর সাথে ১০-১৫ বছরের জন্য টেন্ডারে গেলে যে খরচ হবে তা বর্তমান খরচের দশ ভাগের এক ভাগ হতে পারে।

ক্লাউড কম্পিউটিং,অবজেক্ট স্টোরেজ, ডাটা নিরাপত্তা

বর্তমানে ক্লাউডে ডাটা রাখার ব্যাপারে অনেক ধরনের আইনি ধারণা এসেছে - যার মাধ্যমে কিভাবে একজন মানুষের ডাটা (তথ্য গোপনীয়তা) নিরাপত্তার স্বার্থে সংরক্ষণ করা যায়। এই ধারণাকে মাথায় রেখে অনেকগুলো রিসার্চ পেপার বাজারে এসেছে সরকার এবং ডাটা সার্ভিস প্রোভাইডারগুলোকে লক্ষ্য করে। ‘ডাটা রেসিডেন্সি’ অর্থাৎ কোন ডাটা কোন এলাকার মধ্যে সীমাবদ্ধ থাকবে (ডাটাগুলোকে ‘জিওলোকেশন’ ‘ট্যাগিং’ করা) অথবা কোন ডাটাগুলো দেশের বাইরে গেলে সমস্যা হবে না সেগুলো নিয়ে বিস্তর নীতিমালা হয়েছে অনেকগুলো দেশে।

ডাটার অবজেক্ট স্টোরেজ, ডাটার সাথে আলাদা টোকেন, অবজেক্ট এট্রিবিউট

ডাটা সার্ভিস প্রোভাইডারের কাছে থাকলেও বর্তমান অবজেক্ট স্টোরেজের প্রক্রিয়ায় প্রচুর সার্ভিস স্টোরেজে ভাগ ভাগ হয়ে থাকার ফলে সেই ডাটাকে এক জায়গায় নিয়ে এসে “ডি-ক্রিপ্ট” করে দেখা সম্ভাবনা কমে গেছে অনেক আগেই। ‘ডাটা লোকালাইজেশন’ অর্থাৎ ‘ডাটা রেসিডেন্সি’ এবং ‘ডাটা সোভারেন্টি’ আইনি প্রক্রিয়ায় ডাটাগুলোকে সরকারি নিয়ম মেনে সার্ভিস প্রোভাইডারের ক্লাউডে রাখলে সেই ডাটা থেকে সরকার ছাড়া ‘ইন্টেলিজেন্স’ বের করা প্রায় অসম্ভব বটে। এমনকি একই ক্লাউডের দশটি সরকারি সংস্থার মধ্যে ভার্চুয়ালি ডাটা ‘আইসোলেশন’ করা এখন খুবই সাধারন ব্যাপার।

‘এট্রিবিউট বেইজড এক্সেস কন্ট্রোল’, বিভিন্ন ধরনের টোকেনাইজেশন

বর্তমানে ডাটার জন্য বিভিন্ন ধরনের ‘টোকেনাইজেশন’, অর্থাৎ সার্ভিস প্রোভাইডার এর কাছে সরকারি ডাটা থাকলেও সেটার বিভিন্ন টোকেনাইজেশন পদ্ধতি - বিশেষ করে একজন গ্রাহকের ডাটার কোন কোন অংশ সরকারি কোন কোন এজেন্সির কাছে কিভাবে আলাদাভাবে দেখানো যাবে সে ধরনের ‘গ্র্যানুলার’ ধারণাও চলে এসেছে বর্তমান ক্লাউড ইনফ্রাস্ট্রাকচারে। এখানে ডাটার রেফারেন্সশিয়াল ইন্ট্রিগ্রিটির জন্য অনেক ধরনের পদ্ধতি আছে, যেগুলো ব্যবহার করছে বিভিন্ন ক্লাউড সার্ভিস প্রোভাইডার। সরকারের শর্তমালা মেনে। আমার মতামত হচ্ছে, সরকারের নিজের পক্ষে ডাটা সিকিউরিটি শর্তমালা তৈরি এবং ম্যানেজমেন্টের পাশাপাশি এর সংস্থাভিত্তিক নিরাপত্তা প্রদান একটা বড় খরচে ব্যাপার। সে হিসেবে মার্কিন যুক্তরাষ্ট্র এবং ইউরোপের ক্লাউড ইনফ্রাস্ট্রাকচার ব্যবহারের জন্য সরকারি নীতিমালাগুলো দেখা যেতে পারে। বিশেষ করে, ইউরোপের ‘জেনারেল ডাটা প্রটেকশন রেগুলেশন’ (জিডিপিআর) একটা বিশাল ধারণা দিচ্ছে বর্তমান পৃথিবীর জনগণের ডাটার প্রটেকশন এবং তার প্রাইভেসি নিশ্চিতকরণে। ‘জিডিপিআর’ আমার দেখামতে সর্বসেরা ‘জনগণের জন্য’ ডাটা প্রটেকশন এবং তথ্য গোপনীয়তার নীতিমালা।

কিছু ডাটা সবার, তবে সব ডাটা সবার জন্য নয়

আমার অভিজ্ঞতায় দেখেছি, কিছু ডাটা সবার জন্য হলেও সেটা সংস্থাভিত্তিক সবার জন্য না হবার সম্ভাবনা বেশি। সরকারি কিছু ডাটা, বেসরকারী সংস্থার সাথে যুক্ত থাকলেও সনাক্তকরণ পদ্ধতি একই থাকবে, যেমন 'জাতীয় পরিচয়পত্র' এখানে আসল ভুমিকা পালন করলেও সেটা 'মাস্কিং' অর্থাৎ সেটাকে টোকেন হিসেবে দেখাবে আরেকটা সংস্থার কাছে। তবে এতে, ডাটার শুধু ইন্টিগ্রিটি নয়, গোপনীয়তা রক্ষা হবে। স্ট্রাকচার্ড এবং নন-স্ট্রাকচার্ড ডাটার জন্য এভাবে কাজ করা যাবে। কোন সংস্থার কাছে 'জাতীয় পরিচয়পত্র', কোন সংস্থার কাছে তার ব্যাঙ্কের হিসেব, কারও কাছে ইমেইল এড্রেস, অথবা বাসার ঠিকানা টোকেনাইজ করা থাকবে যাতে তার ব্যক্তিগত গোপনীয়তা ক্ষুন্ন না নয়। তাই বলে কাজ হবে না সেটা নয়। এর পেছনের ডাটা ওই মুহুর্তের কাজের জন্য দৈবচয়নের ভিত্তিতে কিছু টোকেন তৈরি করে দেবে যাতে তার আসল তথ্য় দরকার না হয়। সে যে ওই ব্যক্তি সেটা প্রমানের জন্য ওই স্পর্শকাতর তথ্যের দরকার পড়বেনা, সিস্টেমই তাকে সনাক্ত করে দিচ্ছে।