Data Encryption এবং Data Masking Techniques

Data Encryption এবং Data Masking হল দুটি গুরুত্বপূর্ণ প্রযুক্তি, যা ডেটার সুরক্ষা এবং গোপনীয়তা নিশ্চিত করতে ব্যবহৃত হয়। যদিও উভয়ই ডেটা সুরক্ষার লক্ষ্যে ব্যবহৃত হয়, তাদের কার্যকারিতা এবং প্রয়োগ ভিন্ন। Data Encryption মূলত ডেটাকে নিরাপদ রাখতে ব্যবহৃত হয়, যেখানে Data Masking ডেটার দৃশ্যমানতা বা অ্যাক্সেস সীমিত করতে ব্যবহৃত হয়।

1. Data Encryption

Data Encryption হল একটি নিরাপত্তা প্রক্রিয়া যা ডেটাকে এমনভাবে রূপান্তরিত করে, যাতে তা শুধুমাত্র অনুমোদিত ব্যক্তির দ্বারা পড়া যায়। এটি ডেটা স্টোরেজ বা ট্রান্সমিশনের সময় ডেটাকে এনকোড করে রাখে, যাতে কেউ তা অবৈধভাবে অ্যাক্সেস করতে না পারে।

1.1. Data Encryption এর গুরুত্ব

• ডেটার সুরক্ষা: ডেটা এনক্রিপশন ডেটাকে কোনো বাইরের আক্রমণকারীর হাত থেকে সুরক্ষিত রাখে।
• আইনি এবং নিয়ম-কানুন মেনে চলা: অনেক আইন এবং নিয়ম, যেমন GDPR, HIPAA ইত্যাদি, ডেটার সুরক্ষা নিশ্চিত করতে এনক্রিপশন ব্যবহারের জন্য চাপ দেয়।
• ডেটার নিরাপদ ট্রান্সমিশন: ট্রান্সমিশনের সময় ডেটা এনক্রিপ্ট করলে তা ইন্টারসেপ্ট করা বা চুরি করা অসম্ভব হয়ে যায়।

1.2. Data Encryption প্রকারভেদ

1. এট-রেস্ট এনক্রিপশন (At-Rest Encryption):
   • ডেটা স্টোরেজের সময় এনক্রিপ্ট করা হয়, যাতে ডিস্ক বা অন্যান্য মিডিয়ায় থাকা ডেটা কোনোভাবে চুরি বা অ্যাক্সেস করা না যায়।
   • উদাহরণ: Transparent Data Encryption (TDE), Encrypting File System (EFS)।
2. এট-ইন-ট্রানজিট এনক্রিপশন (In-Transit Encryption):
   • ডেটা যখন এক সার্ভার থেকে অন্য সার্ভারে যায় তখন এনক্রিপ্ট করা হয়। এটি ট্রান্সমিশনের সময় ডেটার নিরাপত্তা নিশ্চিত করে।
   • উদাহরণ: TLS (Transport Layer Security), SSL (Secure Socket Layer)।
3. এট-ইন-ইউজ এনক্রিপশন (In-Use Encryption):
   • ডেটা যখন ব্যবহৃত হচ্ছে (যেমন অ্যাপ্লিকেশন দ্বারা প্রক্রিয়া করা হচ্ছে) তখনও এনক্রিপ্ট থাকে।

1.3. SQL Server-এ Data Encryption

SQL Server-এ ডেটা এনক্রিপ্ট করতে Transparent Data Encryption (TDE) ব্যবহার করা যেতে পারে, যা ডেটাবেসের সমস্ত স্টোরড ডেটাকে এনক্রিপ্ট করে। Column-level Encryption ও একটি বিকল্প, যেখানে নির্দিষ্ট কলামের ডেটা এনক্রিপ্ট করা হয়।

TDE সক্রিয় করা:

-- 1. Create a Database Encryption Key
CREATE DATABASE ENCRYPTION KEY;
GO

-- 2. Enable TDE
ALTER DATABASE YourDatabase
SET ENCRYPTION ON;
GO

1.4. Key Management

এনক্রিপশন কীগুলি নিরাপদভাবে সংরক্ষণ করা প্রয়োজন, কারণ কী হারালে ডেটা পুনরুদ্ধার করা অসম্ভব হয়ে যেতে পারে। SQL Server Extensible Key Management (EKM) সমর্থন করে, যা কীগুলির নিরাপত্তা এবং পরিচালনার জন্য ব্যবহার করা হয়।

2. Data Masking

Data Masking একটি প্রক্রিয়া যেখানে ডেটার আসল মানগুলোকে অবাস্তব বা মাস্ক করা হয়, যাতে গোপনীয় বা সংবেদনশীল তথ্য অপ্রত্যাশিত ব্যক্তির কাছে দৃশ্যমান না হয়। এটি সাধারণত ডেটাবেসের উন্নয়ন, টেস্টিং, এবং প্রশিক্ষণের জন্য ব্যবহৃত হয়, যাতে ডেটার নিরাপত্তা ক্ষুন্ন না হয় এবং সিস্টেমের কার্যকারিতা পরীক্ষিত হয়।

2.1. Data Masking এর গুরুত্ব

• গোপনীয়তা রক্ষা: ডেটার আসল মান গোপন রেখে সেই ডেটা ব্যবহারের মাধ্যমে অ্যাপ্লিকেশন বা ডেটাবেস টেস্ট করা যায়।
• নিরাপদ ডেটা শেয়ারিং: ডেটা শেয়ার করার সময় মাস্কিং ব্যবহার করা হয়, যাতে কাউকে সংবেদনশীল ডেটার অ্যাক্সেস না দেওয়া হয়।
• আইনি এবং নিয়ম-কানুন মেনে চলা: GDPR, HIPAA ইত্যাদি আইন অনুযায়ী সংবেদনশীল ডেটার অ্যাক্সেস সীমিত করতে মাস্কিং প্রয়োজন।

2.2. Data Masking প্রকারভেদ

1. Static Data Masking:
   • এটি ডেটাবেসের আসল ডেটাকে মাস্ক করে একটি নতুন, মাস্ক করা কপি তৈরি করে। মূল ডেটা পরিবর্তিত হয় না, কিন্তু ডেটা অ্যাক্সেসকারীকে মাস্ক করা ডেটা দেখানো হয়।
   • উদাহরণ: Test Data Management-এ ব্যবহৃত হয়।
2. Dynamic Data Masking (DDM):
   • এটি SQL Server-এ একটি ফিচার যা ডেটাবেসের কলামে ডেটা মাস্কিং প্রয়োগ করতে পারে। ডেটা মাস্কিং শুধুমাত্র অনুমোদিত ব্যবহারকারীদের জন্য সরবরাহ করা হয়, অন্যরা মাস্ক করা ডেটা দেখবে।
   • উদাহরণ: Credit card number বা SSN মাস্কিং করা।

2.3. SQL Server-এ Data Masking

SQL Server-এ Dynamic Data Masking (DDM) ব্যবহার করে ডেটা মাস্ক করা যায়। এটি ডেটাবেসে সঞ্চিত ডেটার মাস্কিং নির্দিষ্ট কলামগুলিতে ব্যবহার করা হয়। নিচে একটি উদাহরণ দেওয়া হলো:

-- Creating a table with dynamic data masking
CREATE TABLE Employees (
    EmployeeID INT PRIMARY KEY,
    FirstName NVARCHAR(100),
    LastName NVARCHAR(100),
    CreditCardNumber NVARCHAR(16) MASKED WITH (FUNCTION = 'default()')
);

-- Inserting data into the table
INSERT INTO Employees (EmployeeID, FirstName, LastName, CreditCardNumber)
VALUES (1, 'John', 'Doe', '1234-5678-9012-3456');

-- Querying the data (masked value shown for unauthorized users)
SELECT * FROM Employees;

এখানে CreditCardNumber কলামটি মাস্ক করা হয়েছে, যার মান অপ্রত্যাশিত ব্যবহারকারীদের জন্য অদৃশ্য থাকবে।

2.4. Data Masking এর সুবিধা

• টেস্টিং: ডেটা টেস্টিং করার সময় সত্যিকারের ডেটা ব্যবহার না করে মাস্ক করা ডেটা ব্যবহার করা হয়।
• গোপনীয়তা: সংবেদনশীল ডেটার নিরাপত্তা নিশ্চিত করে।
• আইনি ও নিয়ম-কানুন: নিয়মিতভাবে গোপনীয় তথ্য মাস্ক করা আইনি নিয়ম অনুসরণ করার একটি উপায়।

3. Data Encryption vs Data Masking

4. সারাংশ

Data Encryption এবং Data Masking উভয়ই ডেটার নিরাপত্তা ও গোপনীয়তা রক্ষা করতে ব্যবহৃত হয়, তবে তাদের কার্যকারিতা এবং প্রয়োগ ভিন্ন। এনক্রিপশন ডেটাকে নিরাপদে রক্ষা করতে সাহায্য করে, যেখানে মাস্কিং ডেটাকে দৃশ্যমানতার জন্য কাস্টমাইজডভাবে আড়াল করে। এগুলোর সঠিক প্রয়োগ ডেটাবেস সুরক্ষা এবং আইনি বাধ্যবাধকতা পূরণে গুরুত্বপূর্ণ ভূমিকা পালন করে।

SQL Server-এ Transparent Data Encryption (TDE) এবং Column-Level Encryption হল দুটি শক্তিশালী নিরাপত্তা কৌশল, যেগুলি ডেটাবেসের ডেটা সুরক্ষা নিশ্চিত করতে ব্যবহৃত হয়। এই দুটি পদ্ধতি ডেটাবেসের ডেটা এনক্রিপ্ট করে এবং অনুমোদিত ব্যবহারকারীদের জন্য ডেটা অ্যাক্সেস নিশ্চিত করে, তবে এগুলোর কাজের পদ্ধতি এবং ব্যবহার ক্ষেত্র আলাদা।

1. Transparent Data Encryption (TDE)

Transparent Data Encryption (TDE) হল SQL Server এর একটি নিরাপত্তা বৈশিষ্ট্য, যা ডেটাবেসের ফাইল স্তরে ডেটা এনক্রিপ্ট করে। এটি ডেটা স্টোরেজ (ডেটাবেস ফাইল) এবং ট্রানজেকশন লগ ফাইল (T-Log) এনক্রিপ্ট করে, যাতে ডেটাবেসের ডেটা বা ফাইল চুরি বা অনুপ্রবেশকারীদের হাত থেকে সুরক্ষিত থাকে। TDE ডেটাবেসের সমস্ত ডেটা এবং লগ ফাইল এনক্রিপ্ট করে, কিন্তু অ্যাপ্লিকেশন বা ব্যবহারকারীর কাছে এই এনক্রিপশন স্বচ্ছ (transparent) থাকে, অর্থাৎ ব্যবহারকারীরা এনক্রিপ্টেড ডেটা অ্যাক্সেস করতে কোনো বিশেষ পরিবর্তন বা কোডিং করতে হয় না।

1.1. TDE এর প্রধান সুবিধাসমূহ

• Data-at-Rest Encryption: ডেটা যখন সার্ভারে স্টোর করা থাকে (ডেটা-অ্যাট-রেস্ট), তখন এটি এনক্রিপ্ট করা থাকে। ফলে, ডেটাবেস ফাইলের নিরাপত্তা সুরক্ষিত থাকে, যেমন: ফাইল সিস্টেম থেকে ডেটা চুরি বা কোনো ধরনের ডেটা লিকেজ হলে এনক্রিপশন তা অপ্রবিষ্ট করে দেয়।
• Zero Impact on Applications: TDE ব্যবহারের ফলে অ্যাপ্লিকেশন বা ব্যবহারকারীদের জন্য কোনো কোড পরিবর্তন বা অ্যাক্সেস পদ্ধতিতে পরিবর্তন প্রয়োজন হয় না। এটি transparent।
• Key Management: TDE এর এনক্রিপশন প্রক্রিয়া ব্যবস্থাপনা সহজ। TDE দ্বারা ব্যবহৃত এনক্রিপশন কীগুলি SQL Server তে সেন্ট্রালাইজডভাবে ব্যবস্থাপনা করা যায়।

1.2. TDE কনফিগারেশন পদ্ধতি

1. Database Encryption Key (DEK) তৈরি: প্রথমে একটি Database Encryption Key (DEK) তৈরি করতে হবে। এই কী ডেটাবেস এনক্রিপশন প্রক্রিয়ার জন্য ব্যবহৃত হবে।

   CREATE DATABASE ENCRYPTION KEY;
   

2. Certificate তৈরি: TDE ব্যবহার করতে, একটি সার্টিফিকেট তৈরি করতে হয় যা DEK এর জন্য সার্ভারের এনক্রিপশন কীগুলি সংরক্ষণ করবে।

   CREATE CERTIFICATE MyTDECertificate
   WITH SUBJECT = 'TDE Certificate';
   

3. Encryption চালু করা: ডেটাবেস এনক্রিপশন চালু করার জন্য, ALTER DATABASE কমান্ড ব্যবহার করা হয়।

   ALTER DATABASE [MyDatabase] SET ENCRYPTION ON;
   

4. Backup এবং Recovery: TDE ব্যবহারের সময় সার্টিফিকেট এবং Database Encryption Key (DEK) এর ব্যাকআপ রাখা অত্যন্ত গুরুত্বপূর্ণ। এগুলি ব্যাকআপ ছাড়া, ডেটাবেস পুনরুদ্ধার করা যাবে না।

   BACKUP CERTIFICATE MyTDECertificate TO FILE = 'C:\Backup\MyTDECertificate.cer';
   

2. Column-Level Encryption

Column-Level Encryption হল SQL Server এর একটি ফিচার যা নির্দিষ্ট কলামগুলোর মধ্যে ডেটা এনক্রিপ্ট করার জন্য ব্যবহৃত হয়। এটি বিশেষ করে প্রয়োজনীয় তথ্য, যেমন: পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর বা ব্যক্তিগত তথ্য, সুরক্ষিত রাখতে ব্যবহৃত হয়। Column-Level Encryption এর মাধ্যমে আপনি শুধুমাত্র সেই কলামগুলোর ডেটা এনক্রিপ্ট করতে পারবেন যেগুলোর জন্য আপনাকে সুরক্ষা দরকার।

2.1. Column-Level Encryption এর প্রধান সুবিধাসমূহ

• Granular Encryption: আপনি টেবিলের পুরো ডেটাবেসের পরিবর্তে শুধুমাত্র নির্বাচিত কলামগুলোর জন্য এনক্রিপশন প্রয়োগ করতে পারবেন, যার ফলে সিস্টেমের পারফরম্যান্স ভালো থাকে।
• Sensitive Data Protection: Column-Level Encryption অত্যন্ত উপযোগী যখন আপনি খুব সংবেদনশীল ডেটা (যেমন পাসওয়ার্ড, ক্রেডিট কার্ড ডেটা) এনক্রিপ্ট করতে চান।
• Controlled Access: শুধুমাত্র নির্দিষ্ট ব্যবহারকারীরা বা অ্যাপ্লিকেশনই এনক্রিপ্টেড ডেটা ডিক্রিপ্ট করতে সক্ষম হবে, অন্যরা তা দেখতে পারবে না।

2.2. Column-Level Encryption কনফিগারেশন পদ্ধতি

1. Symmetric Key তৈরি করা: প্রথমে একটি Symmetric Key তৈরি করতে হবে যেটি কলাম এনক্রিপশন এবং ডিক্রিপশনের জন্য ব্যবহৃত হবে। Symmetric keys একই কী দিয়ে ডেটা এনক্রিপ্ট ও ডিক্রিপ্ট করা সম্ভব।

   CREATE DATABASE ENCRYPTION KEY;
   CREATE SYMMETRIC KEY MySymmetricKey
   WITH ALGORITHM = AES_256
   ENCRYPTION BY PASSWORD = 'YourStrongPassword';
   

2. Column Data এনক্রিপ্ট করা: একটি কলাম বা তার ভ্যালু এনক্রিপ্ট করতে, ENCRYPTBYKEY ফাংশন ব্যবহার করতে হবে।

   OPEN SYMMETRIC KEY MySymmetricKey
   DECRYPTION BY PASSWORD = 'YourStrongPassword';
   
   UPDATE Employees
   SET SSN = ENCRYPTBYKEY(KEY_GUID('MySymmetricKey'), SSN)
   WHERE EmployeeID = 1;
   

3. Column Data ডিক্রিপ্ট করা: এনক্রিপ্ট করা ডেটাকে ডিক্রিপ্ট করতে, DECRYPTBYKEY ফাংশন ব্যবহার করা হয়।

   SELECT EmployeeID, 
          CONVERT(VARCHAR, DECRYPTBYKEY(SSN)) AS DecryptedSSN
   FROM Employees;
   

4. Key Management: Column-Level Encryption এর সময়, কী ম্যানেজমেন্ট অত্যন্ত গুরুত্বপূর্ণ। অ্যাপ্লিকেশন বা ব্যবহারকারী কী সম্পর্কে জানবে না, তবে ডেটা ডিক্রিপ্ট করার জন্য সঠিক কী প্রাপ্তি জরুরি।

3. TDE এবং Column-Level Encryption এর মধ্যে পার্থক্য

সারাংশ

TDE হল একটি সার্বিক ডেটাবেস এনক্রিপশন পদ্ধতি যা ডেটাবেসের সকল ডেটা, লোগ ফাইল এবং ট্রানজেকশন লগকে এনক্রিপ্ট করে, তবে এর জন্য অ্যাপ্লিকেশন বা ব্যবহারকারীর কোনো পরিবর্তন করতে হয় না। অন্যদিকে, Column-Level Encryption শুধুমাত্র নির্বাচিত কলামগুলোর জন্য এনক্রিপশন প্রদান করে, যা বেশি প্রাসঙ্গিক যখন আপনার সংবেদনশীল ডেটা সুরক্ষিত করতে হয়। তবে, Column-Level Encryption-এ কী ম্যানেজমেন্ট বেশি গুরুত্বপূর্ণ এবং ডিক্রিপশনও প্রোগ্রাম্যাটিকভাবে করতে হয়।

Dynamic Data Masking (DDM) এবং Row-Level Security (RLS) হল SQL Server এর দুটি শক্তিশালী নিরাপত্তা বৈশিষ্ট্য, যা ডেটাবেসে সংবেদনশীল তথ্যের নিরাপত্তা বৃদ্ধি করতে ব্যবহৃত হয়। এই দুটি বৈশিষ্ট্য ডেটার অ্যাক্সেস নিয়ন্ত্রণ করতে সাহায্য করে, তবে ভিন্নভাবে কাজ করে। Dynamic Data Masking ব্যবহারকারীর কাছে কিছু ডেটা দৃশ্যমান না করলেও, ডেটাবেসের মধ্যে আসল ডেটা অপরিবর্তিত থাকে। অন্যদিকে, Row-Level Security ব্যবহারকারীর এক্সেস নিয়ন্ত্রণের মাধ্যমে নির্দিষ্ট সারি বা ডেটার একটি অংশ দেখার অনুমতি দেয়।

1. Dynamic Data Masking (DDM): পরিচিতি এবং ব্যবহার

Dynamic Data Masking (DDM) হল একটি ফিচার যা ডেটাবেসে সংরক্ষিত সংবেদনশীল তথ্যের কিছু অংশ মাস্ক (mask) করে প্রদর্শিত হতে দেয়। এটি সাধারণত সেই ক্ষেত্রে ব্যবহৃত হয় যেখানে একটি টেবিলের ডেটা কিছু ব্যবহারকারীর জন্য লুকানো রাখতে হয়, তবে অন্যান্য ব্যবহারকারীরা পুরো ডেটা দেখতে পায়। উদাহরণস্বরূপ, ক্রেডিট কার্ড নম্বর বা ফোন নম্বরের শেষ কিছু অক্ষর মাস্ক করা যেতে পারে, কিন্তু পূর্ণ নম্বর অ্যাডমিন বা অনুমোদিত ব্যবহারকারীদের জন্য দৃশ্যমান থাকবে।

1.1. Dynamic Data Masking এর প্রধান সুবিধাসমূহ

• নিরাপত্তা উন্নয়ন: ডেটাবেসের সংবেদনশীল তথ্যের কিছু অংশ মাস্ক করার মাধ্যমে, আপনি যে কোনো অপ্রত্যাশিত অ্যাক্সেস বা ম্যালিসিয়াস ইউজারদের কাছে সেই তথ্য লুকিয়ে রাখতে পারেন।
• ডেটার অখণ্ডতা বজায় রাখা: মাস্কিংয়ের ফলে ডেটাবেসের মধ্যে আসল ডেটা অপরিবর্তিত থাকে এবং আপনি কেবলমাত্র ব্যবহারের জন্য নির্দিষ্ট অংশ মাস্ক করতে পারেন।
• ব্যবহারকারীর অভিজ্ঞতা উন্নয়ন: এটির মাধ্যমে ব্যবহারকারীরা শুধুমাত্র প্রয়োজনীয় ডেটা দেখতে পারে, যা তাদের অভিজ্ঞতা উন্নত করে।

1.2. Dynamic Data Masking কিভাবে কাজ করে?

Dynamic Data Masking ডেটা মাস্কিং ফিচারটি টেবিলের কলামে একাধিক মাস্কিং প্যাটার্ন প্রয়োগ করতে পারে। আপনি প্রতিটি কলামের জন্য একটি মাস্ক নির্ধারণ করতে পারেন, যেমন:

• Default Masking: এটি পুরো ডেটা মাস্ক করবে, যেমন XXX-XX-XXXX অথবা ****-****।
• Email Masking: ইমেইল অ্যাড্রেসের কিছু অংশ মাস্ক করতে পারে, যেমন user@domain.com এর পরিবর্তে u***@domain.com।

1.3. Dynamic Data Masking ব্যবহার করার উদাহরণ

যেমন, একটি Customer টেবিল রয়েছে, যেখানে গ্রাহকের CreditCardNumber কলাম রয়েছে, এবং আপনি চান যে গ্রাহকের পুরো ক্রেডিট কার্ড নম্বরটি সাধারণ ব্যবহারকারীর জন্য মাস্ক করা থাকুক, তবে অ্যাডমিনরা তা দেখতে পারবে।

CREATE TABLE Customer
(
    CustomerID INT PRIMARY KEY,
    CustomerName NVARCHAR(100),
    CreditCardNumber NVARCHAR(16) MASKED WITH (FUNCTION = 'default()')
);

এই উদাহরণে, CreditCardNumber কলামটি মাস্ক করা হবে। যখন কোন সাধারণ ব্যবহারকারী এই কলামটি দেখবে, তখন তারা পুরো নম্বর দেখতে পাবে না, কিন্তু অ্যাডমিনরা এতে পূর্ণ অ্যাক্সেস পাবে।

1.4. Dynamic Data Masking এর সীমাবদ্ধতা

• সামগ্রিকভাবে মাস্ক করা: মাস্কিং শুধুমাত্র কুয়েরি স্তরের ডেটা পরিবর্তন করে, ডেটাবেসের মধ্যে আসল ডেটা অপরিবর্তিত থাকে।
• বিশেষ অ্যাক্সেস কন্ট্রোল: মাস্কিং শুধুমাত্র ইউজার কুয়েরি অনুসারে কাজ করবে, তবে এটি সিস্টেম অ্যাডমিনিস্ট্রেটরদের উপর প্রভাব ফেলে না।

2. Row-Level Security (RLS): পরিচিতি এবং ব্যবহার

Row-Level Security (RLS) হল একটি SQL Server ফিচার যা ব্যবহারকারীদের উপর নির্ভর করে টেবিলের নির্দিষ্ট সারি অ্যাক্সেস করতে অনুমতি দেয়। এই নিরাপত্তা ব্যবস্থা একটি Security Predicate ব্যবহার করে কাজ করে, যা প্রতিটি রো (row) থেকে ডেটা ফিল্টার করতে সক্ষম। এর মাধ্যমে, বিভিন্ন ব্যবহারকারীরা একই টেবিল থেকে বিভিন্ন ডেটা দেখতে পারে, নির্দিষ্ট ব্যবহারকারীদের জন্য প্রাসঙ্গিক রেকর্ডগুলো প্রদর্শিত হবে এবং অন্যরা তা দেখতে পাবে না।

2.1. Row-Level Security এর প্রধান সুবিধাসমূহ

• ডেটার এক্সেস নিয়ন্ত্রণ: RLS ব্যবহার করে আপনি টেবিলের মধ্যে কোন ব্যবহারকারী কোন সারি দেখতে পাবে তা নিয়ন্ত্রণ করতে পারেন, যা খুব কার্যকরী যখন আপনার ডেটাবেসে অনেক ব্যবহারকারী থাকে।
• অ্যাক্সেস কন্ট্রোলের একক পদ্ধতি: RLS আপনাকে সেন্ট্রালাইজড এবং স্কেলেবল নিরাপত্তা প্রদান করে, যেখানে প্রতিটি ইউজারের উপর নির্ভর করে ডেটা অ্যাক্সেস নির্ধারণ করা হয়।
• অ্যাপ্লিকেশন নিরাপত্তার সুবিধা: RLS ডেটাবেস স্তরে নিরাপত্তা চালু করতে সহায়তা করে, ফলে অ্যাপ্লিকেশন কোডে পরিবর্তন করার প্রয়োজন হয় না।

2.2. Row-Level Security কিভাবে কাজ করে?

RLS কাজ করে একটি Security Policy ব্যবহার করে, যা সারির অ্যাক্সেস নিয়ন্ত্রণের জন্য predicate ফাংশন ব্যবহার করে। এই পদ্ধতিতে, আপনি ডেটার কোন অংশ ব্যবহারকারীদের জন্য দৃশ্যমান থাকবে তা নিয়ন্ত্রণ করতে পারেন।

2.3. Row-Level Security ব্যবহার করার উদাহরণ

ধরা যাক, একটি Employee টেবিল রয়েছে, এবং আপনি চান যে শুধুমাত্র একেকটি বিভাগ (Department) এর কর্মচারীরা তাদের নিজ বিভাগের তথ্য দেখতে পাবে। এই পরিস্থিতিতে Security Predicate এবং Security Policy ব্যবহার করে এটি কার্যকর করা যাবে।

1. Security Predicate ফাংশন তৈরি করা:

   CREATE FUNCTION dbo.fn_EmployeeAccessPredicate(@DepartmentID INT)
   RETURNS TABLE
   AS
   RETURN
   (SELECT 1 AS AccessGranted
    WHERE @DepartmentID = USER_ID());
   

2. Security Policy তৈরি করা:

   CREATE SECURITY POLICY EmployeeAccessPolicy
   ADD FILTER PREDICATE dbo.fn_EmployeeAccessPredicate(DepartmentID)
   ON dbo.Employee;
   

এখানে EmployeeAccessPredicate ফাংশনটি ব্যবহারকারীকে শুধুমাত্র তাদের নিজ বিভাগের কর্মচারীদের তথ্য দেখতে অনুমতি দেবে। অন্যদের জন্য অন্যান্য বিভাগের তথ্য দৃশ্যমান হবে না।

3. Row-Level Security এবং Dynamic Data Masking এর পার্থক্য

সারাংশ

Dynamic Data Masking এবং Row-Level Security হল SQL Server-এ দুটি শক্তিশালী নিরাপত্তা ফিচার। DDM সংবেদনশীল তথ্যের কিছু অংশ মাস্ক করে প্রদর্শন করে, তবে ডেটাবেসের মধ্যে আসল ডেটা অপরিবর্তিত থাকে। অপরদিকে, RLS ব্যবহারকারীদের অ্যাক্সেস কন্ট্রোলের মাধ্যমে নির্দিষ্ট সারি বা রেকর্ডের জন্য ডেটা অ্যাক্সেস সীমাবদ্ধ করে। এই দুটি ফিচারই ডেটাবেসের নিরাপত্তা এবং ব্যবস্থাপনা কার্যক্রমে সহায়ক, তবে তাদের ব্যবহারের উদ্দেশ্য এবং কার্যকরীতা আলাদা।

SQL Server-এ Always Encrypted এবং Secure Data Transfer Techniques হল গুরুত্বপূর্ণ নিরাপত্তা বৈশিষ্ট্য, যা ডেটা রক্ষা করতে সাহায্য করে। এগুলি ডেটার গোপনীয়তা এবং নিরাপত্তা নিশ্চিত করতে বিশেষভাবে ডিজাইন করা হয়েছে, যাতে সংবেদনশীল তথ্য শুধুমাত্র অনুমোদিত ব্যবহারকারীরা অ্যাক্সেস করতে পারে এবং অন্য কেউ সেই তথ্য দেখতে বা পরিবর্তন করতে না পারে। এই প্রযুক্তিগুলোর সাহায্যে, ডেটা ট্রান্সফার এবং স্টোরেজ উভয় ক্ষেত্রে নিরাপত্তা নিশ্চিত করা যায়।

1. Always Encrypted

Always Encrypted হল SQL Server এর একটি বিশেষ বৈশিষ্ট্য যা ডেটা এনক্রিপশন নিশ্চিত করে যখন ডেটা স্টোর করা হয় এবং যখন এটি অ্যাপ্লিকেশন এবং SQL Server এর মধ্যে স্থানান্তরিত হয়। এই বৈশিষ্ট্যের মাধ্যমে, সংবেদনশীল ডেটা যেমন পাসওয়ার্ড, ক্রেডিট কার্ড নাম্বার, অথবা সোশ্যাল সিকিউরিটি নাম্বার (SSN) সার্ভারের মধ্যে ইঙ্ক্রিপ্ট করা থাকে, এমনকি যখন ডেটা SQL Server ডেটাবেসে থাকে, তখনও তা এনক্রিপ্ট থাকে।

1.1. Always Encrypted এর বৈশিষ্ট্য

• টপ-টু-বটম এনক্রিপশন: ডেটা যখন টেবিল থেকে অ্যাক্সেস করা হয়, তখন তা এনক্রিপ্ট এবং ডিক্রিপ্ট করা হয়। SQL Server কেবল ডেটা এনক্রিপ্ট করার জন্য অ্যাপ্লিকেশন বা ক্লায়েন্ট থেকে কীগুলির সাহায্যে কাজ করে, ডেটাবেস সার্ভার কখনও ডেটাটি ডিক্রিপ্ট করে না।
• কী ম্যানেজমেন্ট: Always Encrypted দুই ধরনের কী ব্যবহার করে:
  • Column Encryption Key (CEK): কলাম লেভেল এনক্রিপশনের জন্য ব্যবহৃত কী।
  • Column Master Key (CMK): CEK গুলিকে সুরক্ষিত রাখতে ব্যবহৃত মূল কী, যা সাধারণত অ্যাপ্লিকেশন স্তরের বা সার্ভারের বাইরে সংরক্ষিত থাকে।
• কমপ্লেক্স কুয়েরি সাপোর্ট: Always Encrypted সাধারণ SELECT কুইরির সাথে কাজ করে, তবে কিছু কুয়েরি যেমন LIKE, JOIN, ORDER BY বা GROUP BY পারফরম্যান্সের সমস্যা তৈরি করতে পারে কারণ ডেটা সার্ভার সাইডে ডিক্রিপ্ট হয় না।

1.2. Always Encrypted সেটআপ

Always Encrypted সক্ষম করার জন্য নিম্নলিখিত ধাপগুলি অনুসরণ করতে হবে:

1. Column Master Key (CMK) তৈরি করুন: প্রথমে, আপনি একটি Column Master Key তৈরি করবেন যা SQL Server বা Azure Key Vault এর মধ্যে থাকবে।
2. Column Encryption Key (CEK) তৈরি করুন: CMK ব্যবহার করে আপনি একটি Column Encryption Key তৈরি করবেন, যা ডেটাবেসের কলামগুলির এনক্রিপশনের জন্য ব্যবহৃত হবে।
3. কোলাম এনক্রিপ্ট করুন: এরপর, সুনির্দিষ্ট কলামগুলোতে এনক্রিপশন প্রয়োগ করতে হবে। উদাহরণস্বরূপ, SSN কলামটি এনক্রিপ্ট করা।

-- Create Column Master Key
CREATE COLUMN MASTER KEY MyColumnMasterKey
WITH
(
    KEY_STORE_PROVIDER_NAME = 'MSSQL_CERTIFICATE_STORE',
    KEY_PATH = 'CurrentUser/My/MyCertificate'
);

-- Create Column Encryption Key
CREATE COLUMN ENCRYPTION KEY MyColumnEncryptionKey
WITH VALUES
(
    COLUMN_MASTER_KEY = MyColumnMasterKey,
    ALGORITHM = 'RSA_OAEP',
    ENCRYPTED_VALUE = 0x00112233
);

-- Encrypt a Column in a Table
CREATE TABLE Employees
(
    EmployeeID INT PRIMARY KEY,
    SSN VARCHAR(11) COLLATE Latin1_General_BIN ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = MyColumnEncryptionKey, ENCRYPTION_TYPE = DETERMINISTIC)
);

2. Secure Data Transfer Techniques

ডেটা ট্রান্সফার নিরাপদে করার জন্য বিভিন্ন প্রযুক্তি এবং পদ্ধতি ব্যবহৃত হয়, যাতে ডেটার গোপনীয়তা এবং অখণ্ডতা বজায় থাকে। Secure Data Transfer Techniques ডেটাকে ট্রান্সফার করার সময় সুরক্ষিত রাখতে সাহায্য করে, বিশেষ করে যখন ডেটা এক নেটওয়ার্ক থেকে অন্য নেটওয়ার্কে পাঠানো হয়।

2.1. Secure Socket Layer (SSL) / Transport Layer Security (TLS)

SSL এবং তার উন্নত সংস্করণ TLS হল ক্রিপ্টোগ্রাফিক প্রোটোকল যা ইন্টারনেটের মাধ্যমে ডেটা ট্রান্সফারের সময় এনক্রিপশন নিশ্চিত করে। এগুলি ক্লায়েন্ট এবং সার্ভারের মধ্যে যোগাযোগ সুরক্ষিত রাখে। SQL Server-এ SSL/TLS ব্যবহৃত হয় ডেটাবেস সার্ভারের সাথে ক্লায়েন্টের মধ্যে নিরাপদ সংযোগ স্থাপন করতে।

SSL/TLS সক্রিয় করার জন্য:

1. সার্ভারে সার্টিফিকেট ইনস্টল করুন: SQL Server সার্ভারে SSL/TLS ব্যবহার করতে হলে প্রথমে সার্টিফিকেট ইনস্টল করতে হবে।
2. SQL Server কনফিগারেশন: SQL Server কনফিগারেশন পরিবর্তন করে SSL/TLS সক্রিয় করতে হবে।
3. এনক্রিপ্টেড কানেকশন ব্যবহার করুন: SQL Server কানেকশন স্ট্রিংয়ে SSL এনক্রিপশন সক্ষম করার জন্য Encrypt=True বিকল্পটি ব্যবহার করা হয়।

-- Enable SSL Encryption for SQL Server
ALTER DATABASE <YourDatabase>
SET ENCRYPTION ON;

2.2. VPN (Virtual Private Network)

VPN হল একটি নিরাপদ নেটওয়ার্ক যোগাযোগ সিস্টেম, যা পাবলিক নেটওয়ার্কের মাধ্যমে একটি নিরাপদ, এনক্রিপ্টেড টানেল তৈরি করে। এটি দূরবর্তী ব্যবহারকারীদের বা শাখা অফিসগুলিকে মূল নেটওয়ার্কের সাথে নিরাপদে সংযুক্ত হওয়ার অনুমতি দেয়।

• ডেটা এনক্রিপশন: VPN ব্যবহার করলে, ডেটার ট্রান্সফার এনক্রিপ্টেড হয়ে থাকে, এবং হ্যাকাররা সহজে ডেটা অ্যাক্সেস করতে পারে না।
• পাবলিক নেটওয়ার্কের উপর নিরাপত্তা: VPN পাবলিক নেটওয়ার্ক (যেমন ইন্টারনেট) এর মাধ্যমে নিরাপদ যোগাযোগ স্থাপন করতে সহায়তা করে।

2.3. IPsec (Internet Protocol Security)

IPsec একটি প্রোটোকল সুইট যা নেটওয়ার্ক লেভেলে ডেটা এনক্রিপ্ট করে। এটি সাধারণত VPNs এবং অন্যান্য নেটওয়ার্ক সিকিউরিটি ব্যবস্থার অংশ হিসেবে ব্যবহৃত হয়।

• ডেটা এনক্রিপশন এবং অ্যান্টি-স্পুফিং: IPsec ডেটা এনক্রিপশন এবং অ্যান্টি-স্পুফিং সুরক্ষা প্রদান করে।
• নিরাপদ ডেটা ট্রান্সফার: এটা নির্দিষ্ট নেটওয়ার্কের মধ্যে নিরাপদ ডেটা আদান-প্রদান নিশ্চিত করে, বিশেষ করে যখন একটি বড় ডিস্ট্রিবিউটেড নেটওয়ার্কে যোগাযোগ হচ্ছে।

2.4. SSH (Secure Shell)

SSH হল একটি নিরাপদ প্রোটোকল যা রিমোট সার্ভারের সাথে নিরাপদ সংযোগ স্থাপন করতে ব্যবহৃত হয়। সাধারণত এটি Linux/Unix সিস্টেমে ব্যবহৃত হয়, তবে Windows সিস্টেমেও SSH সমর্থিত।

• এনক্রিপ্টেড কানেকশন: SSH ট্রান্সফার করা ডেটাকে এনক্রিপ্ট করে, ফলে সিস্টেমে এক্সেস পেতে হলে ব্যবহারকারীর সঠিক ক্রেডেনশিয়াল এবং কী প্রয়োজন।
• ফাইল ট্রান্সফার: SSH প্রোটোকল ব্যবহার করে SFTP (Secure File Transfer Protocol) এর মাধ্যমে সুরক্ষিতভাবে ফাইল ট্রান্সফার করা সম্ভব।

সারাংশ

• Always Encrypted SQL Server-এর একটি শক্তিশালী নিরাপত্তা বৈশিষ্ট্য যা কলাম লেভেল ডেটা এনক্রিপশন নিশ্চিত করে, সার্ভার কখনোই এনক্রিপ্টেড ডেটা দেখতে বা ডিক্রিপ্ট করতে পারে না।
• Secure Data Transfer Techniques যেমন SSL/TLS, VPN, IPsec, এবং SSH ডেটার সুরক্ষা নিশ্চিত করে যখন এটি এক জায়গা থেকে অন্য জায়গায় পাঠানো হয়, ডেটার গোপনীয়তা এবং অখণ্ডতা বজায় রাখে।

ডেটা সুরক্ষা এবং গোপনীয়তা নিশ্চিত করতে Encryption (এনক্রিপশন) একটি অত্যন্ত গুরুত্বপূর্ণ কৌশল। তবে শুধুমাত্র ডেটা এনক্রিপ্ট করা যথেষ্ট নয়। এনক্রিপশন কী (encryption key) সঠিকভাবে ম্যানেজ করা এবং কমপ্লায়েন্স রিকোয়ারমেন্টস (compliance requirements) মেনে চলা আরও গুরুত্বপূর্ণ। SQL Server এবং অন্যান্য ডেটাবেস সিস্টেমে এনক্রিপশন কী ম্যানেজমেন্ট এবং কমপ্লায়েন্স বজায় রাখা নিশ্চিত করতে পারফেক্ট কৌশল প্রয়োজন।

1. Encryption Key Management

এনক্রিপশন কী ম্যানেজমেন্ট হল একটি প্রক্রিয়া যেখানে ডেটা এনক্রিপ্ট করার জন্য ব্যবহৃত কী-গুলোর নিরাপত্তা, সঞ্চয় এবং ব্যবহার নিশ্চিত করা হয়। এটি শুধুমাত্র কী সঞ্চয় এবং বিতরণের প্রক্রিয়া নয়, বরং কী-এর সঠিক ব্যবহার এবং রোটেশন (key rotation) নিশ্চিত করা। সঠিক কী ম্যানেজমেন্ট ব্যবস্থাপনা না থাকলে এনক্রিপশন কার্যকর হতে পারে না, এবং ডেটা লিক বা অ্যাক্সেসে সমস্যা তৈরি হতে পারে।

1.1. Encryption Key Types

এনক্রিপশন কী বিভিন্ন প্রকারের হতে পারে, এবং প্রতিটির ব্যবহার নির্ভর করে ডেটার প্রয়োজনীয়তা এবং সিকিউরিটির উপর।

• Symmetric Key: একে "shared key" বা "private key"ও বলা হয়। এই কী ব্যবহার করে এনক্রিপ্ট ও ডিক্রিপ্ট করা হয়। একই কী ব্যবহার করে ডেটা এনক্রিপ্ট ও ডিক্রিপ্ট হয়। উদাহরণ: AES (Advanced Encryption Standard)।
• Asymmetric Key: একে "public-private key pair" বলা হয়। এতে দুটি কী থাকে — একটি পাবলিক কী এবং একটি প্রাইভেট কী। পাবলিক কী দিয়ে ডেটা এনক্রিপ্ট করা হয়, কিন্তু শুধুমাত্র প্রাইভেট কী দিয়েই ডেটা ডিক্রিপ্ট করা সম্ভব। উদাহরণ: RSA (Rivest–Shamir–Adleman)।

1.2. Key Management Best Practices

এনক্রিপশন কী ম্যানেজমেন্টের জন্য কিছু বেস্ট প্র্যাকটিস রয়েছে, যা ডেটার সুরক্ষা এবং ব্যবস্থাপনা নিশ্চিত করে:

• Key Rotation: নিয়মিত কী পরিবর্তন করা বা রোটেশন করা অত্যন্ত গুরুত্বপূর্ণ। একটি কী দীর্ঘ সময় ধরে ব্যবহৃত হলে তা নিরাপত্তা ঝুঁকির মধ্যে পড়ে। সাধারণত কী রোটেশন মাসে একবার বা প্রতি ৬ মাসে একবার করা উচিত।
• Key Storage: কী গুলি সুরক্ষিতভাবে স্টোর করা উচিত। কোনো কী সঞ্চয়ের জন্য সাধারণত Hardware Security Modules (HSM) বা ক্লাউড ভিত্তিক Key Management Systems (KMS) ব্যবহার করা হয়।
• Key Backup: কী এর ব্যাকআপ থাকা উচিত, যাতে কী হারিয়ে গেলে ডেটা পুনরুদ্ধার করা সম্ভব হয়। তবে, কী-এর ব্যাকআপ সুরক্ষিতভাবে সঞ্চয় করতে হবে যাতে কোনো অনাকাঙ্ক্ষিত অ্যাক্সেস ঘটতে না পারে।
• Key Access Control: কী অ্যাক্সেসের উপর কড়া নিয়ন্ত্রণ থাকা উচিত। কেবলমাত্র অনুমোদিত ব্যবহারকারীরা কী অ্যাক্সেস করতে পারবে।

1.3. SQL Server এ Key Management

SQL Server-এ এনক্রিপশন কী ম্যানেজমেন্টের জন্য Transparent Data Encryption (TDE) এবং Always Encrypted এর মত ফিচার রয়েছে। TDE দিয়ে পুরো ডেটাবেস এনক্রিপ্ট করা হয় এবং এটি ডেটার ফাইল সিস্টেম স্তরে এনক্রিপশন সরবরাহ করে। Always Encrypted এনক্রিপশন দিয়ে কলাম স্তরে ডেটা এনক্রিপ্ট করা হয়, যাতে কোনো অ্যাডমিনও ডেটার আসল মান দেখতে না পায়।

SQL Server-এ কী ম্যানেজমেন্টের জন্য নিচের টুলগুলো ব্যবহার করা হয়:

• SQL Server Management Studio (SSMS): SSMS-এর মাধ্যমে কী তৈরি, সঞ্চয়, এবং ম্যানেজ করা যায়।
• SQL Server Encryption Hierarchy: SQL Server এ একটি হায়ারার্কি রয়েছে যেখানে ডেটাবেস, টেবিল, এবং কলাম স্তরে এনক্রিপশন কী ব্যবহৃত হতে পারে।

2. Compliance Requirements

ডেটা এনক্রিপশন এবং কী ম্যানেজমেন্টের ক্ষেত্রে বেশ কিছু কমপ্লায়েন্স রিকোয়ারমেন্ট থাকে, যা বিশেষভাবে ডেটার সুরক্ষা এবং গোপনীয়তা রক্ষা করতে বাধ্যতামূলক। বিভিন্ন ইন্ডাস্ট্রি বা অঞ্চলের আইন এবং শর্তাবলী অনুসারে এই কমপ্লায়েন্সগুলি পরিবর্তিত হতে পারে।

2.1. Common Compliance Standards

• GDPR (General Data Protection Regulation): ইউরোপীয় ইউনিয়নের একটি ডেটা প্রোটেকশন আইন, যা ব্যক্তিগত ডেটার এনক্রিপশন এবং নিরাপত্তা মেনে চলতে নির্দেশ দেয়। GDPR অনুযায়ী, ব্যবহারকারীদের ডেটা নিরাপদ রাখতে হবে এবং তা এনক্রিপ্ট করা বাধ্যতামূলক।
• HIPAA (Health Insurance Portability and Accountability Act): মার্কিন যুক্তরাষ্ট্রের একটি আইন যা স্বাস্থ্যসেবা ডেটার সুরক্ষা নিয়ে। HIPAA অনুযায়ী, স্বাস্থ্যসেবা প্রতিষ্ঠানে ব্যক্তিগত স্বাস্থ্য তথ্য (PHI) এনক্রিপ্টেড থাকতে হবে।
• PCI-DSS (Payment Card Industry Data Security Standard): পেমেন্ট কার্ড তথ্য সুরক্ষিত রাখার জন্য একটি স্ট্যান্ডার্ড, যা পেমেন্ট কার্ডের তথ্য এনক্রিপ্ট করার জন্য বাধ্যবাধকতা তৈরি করে।
• FIPS (Federal Information Processing Standards): মার্কিন সরকার এবং সরকারী এজেন্সির জন্য একটি এনক্রিপশন স্ট্যান্ডার্ড। এটি কেবলমাত্র নির্দিষ্ট এনক্রিপশন অ্যালগরিদম এবং কী ম্যানেজমেন্ট পদ্ধতি অনুমোদিত করে।

2.2. Compliance-এ Key Management

কমপ্লায়েন্স রিকোয়ারমেন্টস অনুসারে, Encryption Key Management নিশ্চিত করতে নিম্নলিখিত পদ্ধতিগুলি পালন করতে হবে:

• Audit Trails: কী ব্যবহারের সমস্ত কার্যকলাপের জন্য একটি পূর্ণ অডিট ট্রেইল থাকা উচিত। এতে কী-এর অ্যাক্সেস, রোটেশন, এবং ব্যবহারের রেকর্ড থাকবে।
• Access Control: কেবলমাত্র অনুমোদিত ব্যক্তিদের কী অ্যাক্সেস প্রদান করা হবে এবং তাদের অ্যাক্সেস স্তরও নিয়ন্ত্রণ করা হবে।
• Key Expiry and Rotation: নিয়মিত কী পরিবর্তন এবং মেয়াদ শেষ হওয়া নিশ্চিত করতে হবে, যাতে পুরানো কী ব্যবহার না হয় এবং নিরাপত্তা নিশ্চিত থাকে।
• Data Retention Policies: ডেটা রিটেনশন এবং কী রিটেনশন পলিসি অনুসরণ করতে হবে, যেমন কী ব্যাকআপ এবং তাদের সুরক্ষা নিশ্চিত করা।

Conclusion

এনক্রিপশন কী ম্যানেজমেন্ট এবং কমপ্লায়েন্স রিকোয়ারমেন্টস ডেটাবেস এবং অন্যান্য সিস্টেমের নিরাপত্তা নিশ্চিত করতে অপরিহার্য। সঠিক কী ম্যানেজমেন্ট এবং কমপ্লায়েন্স নিয়ম মেনে চললে, ডেটার সুরক্ষা এবং আইনগত সমস্যা থেকে রক্ষা পাওয়া সম্ভব। SQL Server এবং অন্যান্য সিস্টেমে সঠিকভাবে এনক্রিপশন কী পরিচালনা এবং সুরক্ষা নিশ্চিত করা, পরবর্তী সময়ে যেকোনো ডেটা ব্রিচ বা অপ্রত্যাশিত অ্যাক্সেসের বিরুদ্ধে প্রতিরোধ গড়ে তোলে।