এআই অ্যাপ্লিকেশনের জন্য অবকাঠামো সুরক্ষিত করা

১. ভূমিকা

সংক্ষিপ্ত বিবরণ

এই ল্যাবে, আপনি একটি এআই ডেভেলপমেন্ট এনভায়রনমেন্টের অবকাঠামোর সাধারণ হুমকিগুলো প্রশমিত করেন। আপনি এই এনভায়রনমেন্টের মূল উপাদানগুলোকে সুরক্ষিত করার জন্য ডিজাইন করা নিরাপত্তা নিয়ন্ত্রণগুলো বাস্তবায়ন করেন।

প্রেক্ষাপট

আপনি আপনার ডেভেলপমেন্ট টিমের নিরাপত্তা প্রধান, এবং আপনার লক্ষ্য হলো এমন একটি পরিবেশ তৈরি করা যা ব্যবহারের ন্যূনতম প্রতিবন্ধকতার সাথে সাধারণ হুমকি থেকে সুরক্ষার ভারসাম্য বজায় রাখে।

নিম্নলিখিত সারণিতে সেইসব হুমকি তালিকাভুক্ত করা হয়েছে যা প্রশমিত করা নিয়ে আপনি সবচেয়ে বেশি উদ্বিগ্ন। এই ল্যাবের মধ্যে প্রতিটি হুমকি একটি নির্দিষ্ট কাজের মাধ্যমে মোকাবেলা করা হয়:

দ্রুত রেফারেন্স

এই ল্যাব জুড়ে, আপনি এই নির্দিষ্ট উপকরণগুলো নিয়ে কাজ করবেন:

আপনি যা শিখবেন

এই ল্যাবে আপনি শিখবেন কীভাবে:

• অনাকাঙ্ক্ষিত ট্র্যাফিক কমাতে প্রাইভেট নেটওয়ার্কিং সহ একটি সুরক্ষিত ভিপিসি (VPC) স্থাপন করুন।
• বুটকিট এবং প্রিভিলেজ এসকেলেশনের বিরুদ্ধে একটি ভার্টেক্স এআই ওয়ার্কবেঞ্চ ইনস্ট্যান্সকে আরও সুরক্ষিত করুন।
• নজরবিহীন ডেটা স্থানান্তর এবং দুর্ঘটনাবশত জনসমক্ষে প্রকাশ হওয়া রোধ করতে একটি ক্লাউড স্টোরেজ বাকেট সুরক্ষিত করুন।

২. প্রজেক্ট সেটআপ

গুগল অ্যাকাউন্ট

যদি আপনার আগে থেকে কোনো ব্যক্তিগত গুগল অ্যাকাউন্ট না থাকে, তাহলে আপনাকে অবশ্যই একটি গুগল অ্যাকাউন্ট তৈরি করতে হবে।

কর্মক্ষেত্র বা শিক্ষা প্রতিষ্ঠানের অ্যাকাউন্টের পরিবর্তে ব্যক্তিগত অ্যাকাউন্ট ব্যবহার করুন ।

গুগল ক্লাউড কনসোলে সাইন-ইন করুন

আপনার ব্যক্তিগত গুগল অ্যাকাউন্ট ব্যবহার করে গুগল ক্লাউড কনসোলে সাইন-ইন করুন।

বিলিং সক্ষম করুন

$5 গুগল ক্লাউড ক্রেডিট রিডিম করুন (ঐচ্ছিক)

এই কর্মশালাটি চালানোর জন্য আপনার একটি বিলিং অ্যাকাউন্ট প্রয়োজন, যাতে কিছু ব্যালেন্স আছে। আপনি যদি আপনার নিজস্ব বিলিং ব্যবহার করার পরিকল্পনা করেন, তবে এই ধাপটি বাদ দিতে পারেন।

1. এই লিঙ্কে ক্লিক করুন এবং আপনার ব্যক্তিগত গুগল অ্যাকাউন্ট দিয়ে সাইন ইন করুন। আপনি এইরকম কিছু দেখতে পাবেন:
2. ‘আপনার ক্রেডিট অ্যাক্সেস করতে এখানে ক্লিক করুন’ বোতামটিতে ক্লিক করুন। এটি আপনাকে আপনার বিলিং প্রোফাইল সেট আপ করার একটি পৃষ্ঠায় নিয়ে যাবে।
3. নিশ্চিত করতে ক্লিক করুন

আপনি এখন একটি গুগল ক্লাউড প্ল্যাটফর্ম ট্রায়াল বিলিং অ্যাকাউন্টের সাথে সংযুক্ত হয়েছেন।

একটি ব্যক্তিগত বিলিং অ্যাকাউন্ট তৈরি করুন

আপনি যদি গুগল ক্লাউড ক্রেডিট ব্যবহার করে বিলিং সেট আপ করেন, তাহলে এই ধাপটি এড়িয়ে যেতে পারেন।

একটি ব্যক্তিগত বিলিং অ্যাকাউন্ট তৈরি করতে, ক্লাউড কনসোলে বিলিং চালু করার জন্য এখানে যান ।

কিছু নোট:

• এই ল্যাবটি সম্পন্ন করতে ক্লাউড রিসোর্সে ১ মার্কিন ডলারেরও কম খরচ হওয়া উচিত।
• পরবর্তী চার্জ এড়াতে, এই ল্যাবের শেষে দেওয়া ধাপগুলো অনুসরণ করে আপনি রিসোর্সগুলো মুছে ফেলতে পারেন।
• নতুন ব্যবহারকারীরা ৩০০ মার্কিন ডলারের ফ্রি ট্রায়ালের জন্য যোগ্য।

একটি প্রকল্প তৈরি করুন (ঐচ্ছিক)

এই ল্যাবের জন্য ব্যবহার করার মতো আপনার যদি কোনো চলমান প্রজেক্ট না থাকে, তাহলে এখানে একটি নতুন প্রজেক্ট তৈরি করুন ।

৩. এপিআইগুলো সক্রিয় করুন

ক্লাউড শেল কনফিগার করুন

আপনার প্রজেক্টটি সফলভাবে তৈরি হয়ে গেলে, ক্লাউড শেল সেট আপ করার জন্য নিচের ধাপগুলো অনুসরণ করুন।

ক্লাউড শেল চালু করুন

shell.cloud.google.com- এ যান এবং যদি অনুমোদনের জন্য কোনো পপআপ দেখতে পান, তাহলে Authorize- এ ক্লিক করুন।

প্রজেক্ট আইডি সেট করুন

সঠিক প্রজেক্ট আইডি সেট করতে ক্লাউড শেল টার্মিনালে নিম্নলিখিত কমান্ডটি চালান। <your-project-id> জায়গায় উপরের প্রজেক্ট তৈরির ধাপ থেকে কপি করা আপনার আসল প্রজেক্ট আইডিটি বসান।

gcloud config set project <your-project-id>

এখন আপনি দেখতে পাবেন যে ক্লাউড শেল টার্মিনালে সঠিক প্রজেক্টটি নির্বাচিত হয়েছে।

ভার্টেক্স এআই ওয়ার্কবেঞ্চ এবং ক্লাউড স্টোরেজ সক্রিয় করুন

এই ল্যাবের পরিষেবাগুলি ব্যবহার করার জন্য, আপনাকে আপনার গুগল ক্লাউড প্রোজেক্টে Compute Engine, Vertex AI Workbench, IAM, এবং Cloud Storage-এর জন্য API-গুলি সক্রিয় করতে হবে।

1. টার্মিনালে, এপিআইগুলো সক্রিয় করুন:

gcloud services enable compute.googleapis.com notebooks.googleapis.com aiplatform.googleapis.com iam.googleapis.com storage.googleapis.com

বিকল্পভাবে, আপনি কনসোলে এই API-গুলির নিজ নিজ পৃষ্ঠায় গিয়ে 'Enable' বোতামে ক্লিক করে সেগুলিকে সক্রিয় করতে পারেন।

৪. একটি সুরক্ষিত নেটওয়ার্ক ভিত্তি কনফিগার করুন

এই টাস্কে, আপনি আপনার সমস্ত সার্ভিসের জন্য একটি বিচ্ছিন্ন নেটওয়ার্ক পরিবেশ তৈরি করবেন। একটি প্রাইভেট নেটওয়ার্ক ব্যবহার করে এবং ডেটা প্রবাহ নিয়ন্ত্রণ করার মাধ্যমে, আপনি একটি বহুস্তরীয় প্রতিরক্ষা ব্যবস্থা গড়ে তুলবেন, যা সর্বজনীনভাবে প্রবেশযোগ্য রিসোর্সের তুলনায় আপনার ইনফ্রাস্ট্রাকচারের আক্রমণের ঝুঁকি উল্লেখযোগ্যভাবে কমিয়ে আনে। আপনার এআই অ্যাপ্লিকেশনগুলোকে অননুমোদিত অ্যাক্সেস থেকে রক্ষা করার জন্য এই সুরক্ষিত নেটওয়ার্ক ভিত্তিটি অত্যন্ত গুরুত্বপূর্ণ।

VPC এবং সাবনেট তৈরি করুন

এই ধাপে, আপনি একটি ভার্চুয়াল প্রাইভেট ক্লাউড (VPC) এবং একটি সাবনেট সেট আপ করেন। এর মাধ্যমে একটি বিচ্ছিন্ন নেটওয়ার্ক পরিবেশ তৈরি হয়, যা অননুমোদিত নেটওয়ার্ক অনুপ্রবেশের বিরুদ্ধে প্রথম প্রতিরক্ষা ব্যবস্থা হিসেবে কাজ করে।

1. গুগল ক্লাউড কনসোলে, VPC Network > VPC networks- এ যান। গুগল ক্লাউড কনসোলের উপরের সার্চ বারটি ব্যবহার করে 'VPC networks' লিখে সার্চ করুন এবং এটি নির্বাচন করুন।
2. VPC নেটওয়ার্ক তৈরি করুন -এ ক্লিক করুন।
3. Name এর জায়গায় genai-secure-vpc লিখুন।
4. সাবনেট তৈরির মোডের জন্য কাস্টম নির্বাচন করুন।
5. আপনার সাবনেট তৈরি করতে, 'নতুন সাবনেট'-এর অধীনে নিম্নলিখিত প্রোপার্টিগুলো উল্লেখ করুন:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)
   নাম	genai-subnet-us-central1
   অঞ্চল	us-central1
   আইপি ঠিকানা পরিসীমা	10.0.1.0/24
   ব্যক্তিগত গুগল অ্যাক্সেস	চালু

6. তৈরি করুন- এ ক্লিক করুন।

ক্লাউড NAT গেটওয়ে তৈরি করুন

ক্লাউড NAT গেটওয়ে আপনার প্রাইভেট ইনস্ট্যান্সগুলোকে পাবলিক আইপি অ্যাড্রেস ছাড়াই আউটবাউন্ড কানেকশন (যেমন, সফটওয়্যার আপডেটের জন্য) শুরু করার সুযোগ দেয়, যার অর্থ হলো পাবলিক ইন্টারনেট সেগুলোতে কানেকশন শুরু করতে পারে না।

1. প্রথমে, একটি ক্লাউড রাউটার তৈরি করুন। গুগল ক্লাউড কনসোলের উপরের সার্চ বার ব্যবহার করে 'ক্লাউড রাউটার' লিখে সার্চ করুন এবং এটি নির্বাচন করুন।
2. রাউটার তৈরি করুন -এ ক্লিক করুন।
3. নিম্নলিখিত বিষয়গুলো দিয়ে ক্লাউড রাউটারটি কনফিগার করুন:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)
   নাম	genai-router-us-central1
   নেটওয়ার্ক	genai-secure-vpc (আপনি এইমাত্র যে VPC নেটওয়ার্কটি তৈরি করেছেন)
   অঞ্চল	us-central1

4. তৈরি করুন- এ ক্লিক করুন।
5. এরপর, Network Services > Cloud NAT- এ যান। Google Cloud Console-এর উপরের সার্চ বারটি ব্যবহার করে 'Cloud NAT' লিখে সার্চ করুন এবং এটি নির্বাচন করুন।
6. শুরু করতে ক্লিক করুন।
7. নিম্নলিখিত বিষয়গুলো দিয়ে ক্লাউড NAT গেটওয়ে কনফিগার করুন:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)
   গেটওয়ের নাম	genai-nat-us-central1
   ভিপিসি নেটওয়ার্ক	genai-secure-vpc (আপনার তৈরি করা VPC নেটওয়ার্ক)
   অঞ্চল	us-central1
   ক্লাউড রাউটার	genai-router-us-central1 (আপনি এইমাত্র যে রাউটারটি সেট আপ করেছেন)

8. তৈরি করুন- এ ক্লিক করুন।

৫. একটি সুরক্ষিত Vertex AI Workbench ইনস্ট্যান্স স্থাপন করুন।

এখন যেহেতু আপনার একটি সুরক্ষিত নেটওয়ার্ক ভিত্তি রয়েছে, আপনি আপনার সুরক্ষিত VPC-এর ভিতরে একটি শক্তিশালী Vertex AI Workbench ইনস্ট্যান্স স্থাপন করেন। এই Workbench ইনস্ট্যান্সটি আপনার ডেভেলপমেন্ট এনভায়রনমেন্ট হিসেবে কাজ করে, যা আপনার AI ডেভেলপমেন্টের কাজের জন্য একটি সুরক্ষিত এবং বিচ্ছিন্ন স্থান প্রদান করে। পূর্ববর্তী নেটওয়ার্ক কনফিগারেশনটি নিশ্চিত করে যে এই ইনস্ট্যান্সটি সরাসরি পাবলিক ইন্টারনেটের সংস্পর্শে আসে না, যা এর বহুস্তরীয় প্রতিরক্ষা ব্যবস্থাকে আরও শক্তিশালী করে তোলে।

ন্যূনতম-সুবিধা পরিষেবা অ্যাকাউন্ট তৈরি করুন

ন্যূনতম প্রয়োজনীয় অনুমতিসহ একটি ডেডিকেটেড সার্ভিস অ্যাকাউন্ট তৈরি করা ‘লিস্ট প্রিভিলেজ’ বা ‘সর্বনিম্ন বিশেষাধিকার’-এর নীতিকে সমর্থন করে। যদি আপনার ইনস্ট্যান্সটি কখনও হ্যাক হয়, তবে এই পদ্ধতিটি ক্ষতির পরিধি সীমিত রাখে, কারণ এটি নিশ্চিত করে যে ইনস্ট্যান্সটি শুধুমাত্র তার কাজের জন্য বিশেষভাবে প্রয়োজনীয় রিসোর্সগুলো অ্যাক্সেস করতে এবং অ্যাকশনগুলো সম্পাদন করতে পারবে।

1. Google Cloud Console থেকে, IAM & Admin > Service Accounts- এ যান। Google Cloud Console-এর উপরের সার্চ বারটি ব্যবহার করে 'Service Accounts' অনুসন্ধান করুন এবং এটি নির্বাচন করুন।
2. সার্ভিস অ্যাকাউন্ট তৈরি করুন -এ ক্লিক করুন।
3. সার্ভিস অ্যাকাউন্ট নেমের জন্য vertex-workbench-sa লিখুন।
4. তৈরি করুন-এ ক্লিক করুন এবং চালিয়ে যান ।
5. নিম্নলিখিত পদগুলি মঞ্জুর করুন:
   • Vertex AI User
   • Storage Object Creator
6. সম্পন্ন ক্লিক করুন।

ওয়ার্কবেঞ্চ ইনস্ট্যান্স তৈরি করুন

এই ধাপে, আপনি আপনার Vertex AI Workbench ইনস্ট্যান্সটি ডেপ্লয় করবেন। এই ইনস্ট্যান্সটি আপনার পূর্বে তৈরি করা প্রাইভেট VPC-এর মধ্যে চলার জন্য কনফিগার করা হয়, যা এটিকে পাবলিক ইন্টারনেট থেকে আরও বিচ্ছিন্ন রাখে। এছাড়াও, আপনি সরাসরি ইনস্ট্যান্সটিতে অতিরিক্ত নিরাপত্তা জোরদার করার ব্যবস্থা প্রয়োগ করেন।

1. গুগল ক্লাউড কনসোলের নেভিগেশন মেনু (হ্যামবার্গার মেনু) থেকে Vertex AI > Workbench- এ যান। গুগল ক্লাউড কনসোলের উপরের সার্চ বারটি ব্যবহার করে 'Workbench' লিখে সার্চ করুন এবং যে রেজাল্টটির সাবটাইটেল হিসেবে 'Vertex AI' রয়েছে, সেটি সিলেক্ট করুন।
2. নতুন তৈরি করুন- এ ক্লিক করুন এবং কনফিগার করুন:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)
   নাম	secure-genai-instance
   অঞ্চল	us-central1

3. উন্নত বিকল্পগুলিতে ক্লিক করুন।
4. মেশিনের ধরণে ক্লিক করুন এবং নিম্নলিখিতগুলির জন্য চেকবক্সগুলি নির্বাচন করুন:
   • সুরক্ষিত বুট
   • ভার্চুয়াল বিশ্বস্ত প্ল্যাটফর্ম মডিউল (vTPM)
   • অখণ্ডতা পর্যবেক্ষণ ।
5. নেটওয়ার্কিং-এ ক্লিক করুন এবং নিম্নলিখিতগুলি কনফিগার করুন:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)
   নেটওয়ার্ক	genai-secure-vpc
   সাবনেটওয়ার্ক	genai-subnet-us-central1 (10.0.1.0/24)
   বাহ্যিক আইপি ঠিকানা বরাদ্দ করুন	অনির্বাচিত করুন , যেহেতু আপনি শুধুমাত্র গুগল ক্লাউডে একটি প্রক্সির মাধ্যমে এই ইনস্ট্যান্সটি অ্যাক্সেস করেন।

6. IAM ও নিরাপত্তায় ক্লিক করুন এবং নিম্নলিখিতগুলি কনফিগার করুন:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)
   ব্যবহারকারীর ইমেল	একক ব্যবহারকারী হিসেবে , আপনি বর্তমানে গুগল ক্লাউডে সাইন ইন করতে যে ইমেল ঠিকানাটি ব্যবহার করেন সেটি নির্বাচন করুন।
   ডিফল্ট কম্পিউট ইঞ্জিন পরিষেবা অ্যাকাউন্ট ব্যবহার করুন	চেকবক্সটি অনির্বাচিত করুন ।
   পরিষেবা অ্যাকাউন্টের ইমেল	ন্যূনতম-সুবিধা পরিষেবা অ্যাকাউন্টের জন্য তৈরি করা ইমেলটি লিখুন ( [PROJECT_ID] এর জায়গায় আপনার আসল আইডি লিখুন): vertex-workbench-sa@[PROJECT_ID].iam.gserviceaccount.com
   ইনস্ট্যান্সে রুট অ্যাক্সেস	চেকবক্সটি অনির্বাচিত করুন ।

7. তৈরি করুন- এ ক্লিক করুন।

আপনার ভার্টেক্স এআই ইনস্ট্যান্স অ্যাক্সেস করুন

এখন যেহেতু আপনার Vertex AI Workbench ইনস্ট্যান্সটি প্রভিশনাল, আপনি নিরাপদে এটি অ্যাক্সেস করতে পারবেন। আপনি Google Cloud-এর প্রক্সির মাধ্যমে এতে সংযোগ স্থাপন করেন, যা নিশ্চিত করে যে ইনস্ট্যান্সটি ব্যক্তিগত থাকে এবং পাবলিক ইন্টারনেটে উন্মুক্ত হয় না, ফলে অনাকাঙ্ক্ষিত এবং সম্ভাব্য ক্ষতিকারক ট্র্যাফিকের ঝুঁকি সীমিত থাকে।

1. Vertex AI > Workbench- এ যান। আপনার ইনস্ট্যান্সের প্রোভিশনিং এইমাত্র শেষ হয়ে থাকলে, আপনি হয়তো ইতিমধ্যেই এই পেজেই আছেন। তা না হলে, সেখানে যাওয়ার জন্য আপনি Google Cloud Console-এর নেভিগেশন মেনু (হ্যামবার্গার মেনু) অথবা সার্চ বার ব্যবহার করতে পারেন।
2. তালিকায় secure-genai-instance নামের আপনার ইনস্ট্যান্সটি খুঁজুন।
3. আপনার ইনস্ট্যান্সের ডানদিকে থাকা ‘ Open JupyterLab’ লিঙ্কে ক্লিক করুন।

এটি আপনার ব্রাউজারে একটি নতুন ট্যাব খোলে, যা আপনাকে আপনার ইনস্ট্যান্সটি অ্যাক্সেস করার সুযোগ দেয়। আপনি গুগল ক্লাউডের মাধ্যমে এটি অ্যাক্সেস করতে পারেন, কিন্তু ইনস্ট্যান্সটি পাবলিক ইন্টারনেটে উন্মুক্ত থাকে না, ফলে অনাকাঙ্ক্ষিত এবং সম্ভাব্য ক্ষতিকর ট্র্যাফিকের ঝুঁকি সীমিত থাকে।

৬. একটি সুরক্ষিত ক্লাউড স্টোরেজ বাকেট স্থাপন করুন।

এখন, আপনি আপনার ডেটাসেটগুলোর জন্য একটি সুরক্ষিত ক্লাউড স্টোরেজ বাকেট তৈরি করুন। এখানেই আপনার এআই ট্রেনিং ডেটা, মডেল এবং আর্টিফ্যাক্টগুলো সংরক্ষিত থাকে। এই বাকেটে শক্তিশালী নিরাপত্তা কনফিগারেশন প্রয়োগ করার মাধ্যমে, আপনি সংবেদনশীল ডেটার আকস্মিক প্রকাশ রোধ করেন এবং বিদ্বেষপূর্ণ বা আকস্মিক মুছে ফেলা ও বিকৃতির বিরুদ্ধে সুরক্ষা প্রদান করেন। এটি আপনার মূল্যবান এআই অ্যাসেটগুলোর অখণ্ডতা এবং গোপনীয়তা নিশ্চিত করে।

বালতি তৈরি এবং কনফিগার করুন

এই ধাপে, আপনি আপনার ক্লাউড স্টোরেজ বাকেট তৈরি করেন এবং প্রাথমিক নিরাপত্তা সেটিংস প্রয়োগ করেন। এই সেটিংসগুলো সর্বজনীন প্রবেশাধিকার প্রতিরোধ করে এবং বাকেট-স্তরে অভিন্ন প্রবেশাধিকার নিয়ন্ত্রণ সক্ষম করে, যা আপনার ডেটা কে অ্যাক্সেস করতে পারবে তার উপর নিয়ন্ত্রণ বজায় রাখার জন্য অত্যন্ত গুরুত্বপূর্ণ।

1. গুগল ক্লাউড কনসোল থেকে, ক্লাউড স্টোরেজ > বাকেটস- এ যান। গুগল ক্লাউড কনসোলের উপরের সার্চ বারটি ব্যবহার করে 'বাকেটস' অনুসন্ধান করুন এবং এটি নির্বাচন করুন।
2. তৈরি করুন- এ ক্লিক করুন।
3. Get Started- এ, Name- এর জায়গায় সম্পূর্ণ এলোমেলো এবং অনন্য একটি নাম সেট করুন।
4. আপনার ডেটা কোথায় সংরক্ষণ করবেন তা বেছে নিতে এবং নিম্নলিখিত বিষয়গুলো কনফিগার করতে এগিয়ে যান:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)
   অবস্থানের ধরণ	অঞ্চল
   অঞ্চল	us-central1

5. আপনার ডেটা কীভাবে সংরক্ষণ করবেন তা বেছে নিতে থাকুন এবং ডিফল্ট সেটিংস অপরিবর্তিত রাখুন।
6. অবজেক্টগুলিতে অ্যাক্সেস কীভাবে নিয়ন্ত্রণ করবেন তা বেছে নিতে এবং ডিফল্ট সেটিংস রাখতে চালিয়ে যান:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)	কারণ
   জনসাধারণের প্রবেশাধিকার রোধ করুন	Enforce public access prevention নির্বাচিত রাখুন।	পাবলিক অ্যাক্সেস প্রিভেনশন, IAM-এর এমন যেকোনো পরিবর্তনকে বাতিল করে দেয় যা অনিচ্ছাকৃতভাবে কোনো অবজেক্টকে ইন্টারনেটে উন্মুক্ত করে দিতে পারে।
   প্রবেশাধিকার নিয়ন্ত্রণ	ইউনিফর্ম নির্বাচিত রাখুন।	যদিও সূক্ষ্ম নিয়ন্ত্রণের জন্য, এবং সেই কারণেই ন্যূনতম বিশেষাধিকারের (least privilege) জন্য, ACL-কে উত্তম বিকল্প বলে মনে হয়, অন্যান্য IAM ফিচারের সাথে মিলিত হলে এগুলি জটিলতা ও অনিশ্চয়তা সৃষ্টি করে। অনাকাঙ্ক্ষিত ডেটা ফাঁস রোধ করার জন্য অভিন্ন বাকেট লেভেল অ্যাক্সেসের সুবিধা-অসুবিধাগুলো বিবেচনা করুন।

7. অবজেক্ট ডেটা কীভাবে সুরক্ষিত করবেন তা বেছে নিতে এবং ডিফল্ট সেটিংস রাখতে চালিয়ে যান:

   সম্পত্তি	মান (টাইপ করুন বা নির্বাচন করুন)	কারণ
   সফট ডিলিট পলিসি (ডেটা পুনরুদ্ধারের জন্য)	সফট ডিলিট পলিসি (ডেটা পুনরুদ্ধারের জন্য) নির্বাচিত রাখুন।	বাকেট থেকে দুর্ঘটনাবশত বা ইচ্ছাকৃতভাবে ডেটা মুছে গেলে, সফট ডিলিট আপনাকে ডেটা সংরক্ষণের সময়সীমার মধ্যে বিষয়বস্তু পুনরুদ্ধার করার সুযোগ দেয়।
   অবজেক্ট ভার্সনিং (ভার্সন নিয়ন্ত্রণের জন্য)	অবজেক্ট ভার্সনিং নির্বাচন করুন (ভার্সন নিয়ন্ত্রণের জন্য) ।	অবজেক্ট ভার্সনিং দুর্ঘটনাবশত বা বিদ্বেষপূর্ণ ওভাররাইট থেকে ফাইল পুনরুদ্ধারের সুযোগ করে দেয়, যেমন যদি কোনো আক্রমণকারী একটি নিরীহ ফাইলকে এক্সপ্লয়েট কোডযুক্ত ফাইল দিয়ে প্রতিস্থাপন করে।
   প্রতি অবজেক্টে সংস্করণের সর্বোচ্চ সংখ্যা	৩	যদিও এটি ইচ্ছাধীন এবং খরচ বাড়াতে পারে, পূর্ববর্তী সংস্করণে ফিরে যাওয়ার জন্য এর মান অবশ্যই ১-এর বেশি হতে হবে। যদি কোনো আক্রমণকারী একাধিকবার ওভাররাইট করার চেষ্টা করতে পারে, তবে আরও শক্তিশালী ভার্সনিং ও ব্যাকআপ কৌশল প্রয়োজন হতে পারে।
   অপ্রচলিত সংস্করণগুলির মেয়াদ পরে শেষ হয়ে যাবে	৭	পুরানো সংস্করণগুলো সচল রাখার জন্য ৭ দিন সময় সুপারিশ করা হয়, কিন্তু দীর্ঘমেয়াদী সংরক্ষণের ক্ষেত্রে এই সময়কাল আরও বেশি হতে পারে।

8. তৈরি করুন- এ ক্লিক করুন।
9. যদি "সর্বজনীন প্রবেশাধিকার প্রতিরোধ করা হবে" লেখা একটি পপ-আপ আসে, তাহলে ডিফল্ট বক্সটি ("এই বাকেটে সর্বজনীন প্রবেশাধিকার প্রতিরোধ বলবৎ করুন") নির্বাচিত রাখুন এবং নিশ্চিত করুন- এ ক্লিক করুন।

ডেটা সুরক্ষা এবং লগিং সক্ষম করুন

আপনার ডেটার অপরিবর্তনীয়তা এবং নিরীক্ষণযোগ্যতা নিশ্চিত করতে, আপনি আপনার বাকেটের জন্য অবজেক্ট ভার্সনিং সক্রিয় করেন এবং ডেটা অ্যাক্সেস লগ কনফিগার করেন। অবজেক্ট ভার্সনিং দুর্ঘটনাবশত মুছে যাওয়া বা ওভাররাইট হওয়া থেকে ডেটা পুনরুদ্ধারের সুযোগ দেয়, অন্যদিকে ডেটা অ্যাক্সেস লগ আপনার বাকেটের সমস্ত কার্যকলাপের একটি বিশদ নিরীক্ষা বিবরণ প্রদান করে, যা নিরাপত্তা পর্যবেক্ষণ এবং নিয়মকানুন মেনে চলার জন্য অপরিহার্য।

1. Google Cloud Console থেকে, IAM & Admin > Audit Logs- এ যান। Google Cloud Console-এর উপরের সার্চ বারটি ব্যবহার করে 'Audit Logs' অনুসন্ধান করুন এবং এটি নির্বাচন করুন।
2. ফিল্টার সার্চ ব্যবহার করে গুগল ক্লাউড স্টোরেজ খুঁজুন এবং নির্বাচন করুন।
3. যে প্যানেলটি প্রদর্শিত হবে, সেখানে ডেটা রিড এবং ডেটা রাইট উভয়ের জন্য বক্সগুলোতে টিক চিহ্ন দিন।
4. সংরক্ষণ করুন- এ ক্লিক করুন।

৭. পরীক্ষাগার থেকে বাস্তবতায়

আপনি এইমাত্র একটি অস্থায়ী ল্যাব পরিবেশে কয়েকটি ধাপ সম্পন্ন করেছেন, কিন্তু আপনি যে নীতি ও কনফিগারেশনগুলো প্রয়োগ করেছেন, সেগুলোই গুগল ক্লাউডে বাস্তব এআই প্রজেক্ট সুরক্ষিত করার নীলনকশা। এখানে বলা হলো, কীভাবে আপনি যা শিখেছেন তা নিজের কাজে প্রয়োগ করে একটি সাধারণ ল্যাব থেকে প্রোডাকশন-রেডি সেটআপে যেতে পারেন।

আপনি এইমাত্র যে রিসোর্সগুলো তৈরি করেছেন—যেমন প্রাইভেট ভিপিসি, সুরক্ষিত ওয়ার্কবেঞ্চ ইনস্ট্যান্স এবং সিকিউর বাকেট—সেগুলোকে যেকোনো নতুন এআই প্রজেক্টের জন্য একটি নিরাপদ স্টার্টার টেমপ্লেট হিসেবে ভাবুন। আপনার লক্ষ্য হলো এই নিরাপদ ভিত্তিটিকে আপনার এবং আপনার টিমের জন্য ডিফল্ট ও সহজ পথ হিসেবে প্রতিষ্ঠা করা।

সুরক্ষিত নেটওয়ার্ক: আপনার ব্যক্তিগত কর্মক্ষেত্র

আপনার সেটআপে আপনি এটি কীভাবে ব্যবহার করবেন

প্রতিবার যখন আপনি একটি নতুন এআই প্রজেক্ট (যেমন, "কাস্টমার-চার্ন-প্রেডিকশন," "ইমেজ-ক্লাসিফিকেশন-মডেল") শুরু করবেন, তখন আপনি এই নেটওয়ার্ক সেটআপটি হুবহু অনুসরণ করবেন। আপনি একটি ডেডিকেটেড ভিপিসি ( churn-pred-vpc ) তৈরি করবেন অথবা একটি শেয়ার্ড, পূর্ব-অনুমোদিত নেটওয়ার্ক ব্যবহার করবেন। এটি আপনার প্রজেক্টের একটি বিচ্ছিন্ন "স্যান্ডবক্স" হয়ে ওঠে। আপনার ডেভেলপমেন্ট এনভায়রনমেন্ট, যেমন আপনার কনফিগার করা ভার্টেক্স এআই ওয়ার্কবেঞ্চ, এই সুরক্ষিত স্থানের ভেতরে থাকে। আপনি সুরক্ষিত প্রক্সির ( Open JupyterLab ) মাধ্যমে এতে সংযোগ স্থাপন করবেন এবং এটিকে কখনোই পাবলিক ইন্টারনেটে উন্মুক্ত করবেন না।

উৎপাদনের সাথে সংযোগ স্থাপন

একটি প্রোডাকশন পরিবেশে, আপনি এই ধারণাটিকে আরও এগিয়ে নিয়ে যাবেন নিম্নলিখিত বিষয়গুলো বিবেচনা করে:

• ইনফ্রাস্ট্রাকচার অ্যাজ কোড (IaC) : ক্লাউড কনসোল ব্যবহার করার পরিবর্তে, আপনি টেরাফর্ম (Terraform) বা ক্লাউড ডিপ্লয়মেন্ট ম্যানেজার (Cloud Deployment Manager)- এর মতো টুল ব্যবহার করে এই নেটওয়ার্কটি সংজ্ঞায়িত করবেন। এটি আপনাকে মিনিটের মধ্যে একটি নতুন প্রকল্পের জন্য একটি সুরক্ষিত নেটওয়ার্ক ভিত্তি স্থাপন করার সুযোগ দেয়, যা এর পুনরাবৃত্তিযোগ্যতা এবং নিরীক্ষণযোগ্যতা নিশ্চিত করে।
• শেয়ার্ড ভিপিসি : বড় সংস্থাগুলিতে, একটি কেন্দ্রীয় নেটওয়ার্কিং দল প্রায়শই একটি শেয়ার্ড ভিপিসি পরিচালনা করে। একজন ডেভেলপার হিসেবে, আপনাকে সেই কেন্দ্রীয়ভাবে পরিচালিত সুরক্ষিত নেটওয়ার্কের মধ্যে নির্দিষ্ট সাবনেটগুলিতে আপনার ইনস্ট্যান্স এবং পরিষেবাগুলি চালু করার অনুমতি দেওয়া হবে। মূলনীতিটি একই—আপনি তখনও একটি ব্যক্তিগত পরিসরে কাজ করছেন, কিন্তু এটি একটি বৃহত্তর, শেয়ার্ড পরিকাঠামোর অংশ।
• ভিপিসি সার্ভিস কন্ট্রোলস : সর্বোচ্চ নিরাপত্তার জন্য, আপনি এই সম্পূর্ণ পরিবেশটিকে একটি ভিপিসি সার্ভিস কন্ট্রোলস পরিধির মধ্যে রাখবেন। এটি একটি শক্তিশালী বৈশিষ্ট্য যা নিশ্চিত করে যে ক্লাউড স্টোরেজের মতো পরিষেবাগুলি শুধুমাত্র আপনার ব্যক্তিগত নেটওয়ার্ক পরিধির মধ্যে থাকা অনুমোদিত রিসোর্স দ্বারাই অ্যাক্সেস করা যাবে, যার ফলে ডেটা পাচার প্রতিরোধ করা যায়।

সুরক্ষিত কম্পিউটিং: আপনার নিরাপদ উন্নয়ন ও প্রশিক্ষণ কেন্দ্র

আপনার সেটআপে আপনি এটি কীভাবে ব্যবহার করবেন

secure-genai-instance হলো আপনার দৈনন্দিন এআই ডেভেলপমেন্ট মেশিন। আপনি JupyterLab ইন্টারফেসটি ব্যবহার করবেন:

• আপনার মডেল কোড নোটবুকে লিখুন এবং পরীক্ষা করুন।
• পাইথন লাইব্রেরি ইনস্টল করুন ( pip install ... )।
• ছোট থেকে মাঝারি আকারের ডেটাসেট নিয়ে পরীক্ষা করুন। আপনার কনফিগার করা নিরাপত্তা ব্যবস্থা (পাবলিক আইপি নয়, লিস্ট-প্রিভিলেজ সার্ভিস অ্যাকাউন্ট, রুট অ্যাক্সেস নেই, সিকিওর বুট) ব্যাকগ্রাউন্ডে স্বয়ংক্রিয়ভাবে চলতে থাকে। ইনস্ট্যান্সটি সাধারণ আক্রমণ থেকে সুরক্ষিত, এটা জেনে আপনি আপনার এআই-এর কাজে মনোযোগ দিতে পারেন।

উৎপাদনের সাথে সংযোগ স্থাপন

সাধারণত প্রোডাকশনে একটিমাত্র ওয়ার্কবেঞ্চ ইনস্ট্যান্সে বড় আকারের প্রশিক্ষণ চালানো হয় না। এর পরিবর্তে, আপনি নিম্নলিখিত উপায়ে আপনার কাজকে প্রোডাকশন উপযোগী করে তুলতে পারেন:

• নোটবুক থেকে পাইপলাইনে : আপনি আপনার নোটবুক থেকে কোড নিয়ে সেটিকে একটি স্ক্রিপ্টে রূপ দেবেন। এরপর এই স্ক্রিপ্টটি একটি Vertex AI কাস্টম ট্রেনিং জব হিসেবে অথবা একটি Vertex AI পাইপলাইনের ধাপ হিসেবে চালানো হবে।
• কন্টেইনারাইজেশন : আপনি আপনার ট্রেনিং কোড এবং এর ডিপেন্ডেন্সিগুলোকে একটি ডকার কন্টেইনারে প্যাকেজ করে আর্টিফ্যাক্ট রেজিস্ট্রি- তে সংরক্ষণ করবেন। এটি নিশ্চিত করে যে আপনার কোড প্রতিবার একটি সামঞ্জস্যপূর্ণ ও অনুমানযোগ্য পরিবেশে রান করে।
• সার্ভিস অ্যাকাউন্টটিই মূল চাবিকাঠি : আপনার তৈরি করা vertex-workbench-sa সার্ভিস অ্যাকাউন্টটি অত্যন্ত গুরুত্বপূর্ণ। প্রোডাকশনে, আপনার স্বয়ংক্রিয় Vertex AI Training জবগুলো এই একই (বা অনুরূপ) সর্বনিম্ন-সুবিধাপ্রাপ্ত সার্ভিস অ্যাকাউন্ট ব্যবহার করে চলবে, যা নিশ্চিত করবে যে স্বয়ংক্রিয় জবটির কাছে শুধুমাত্র একান্ত প্রয়োজনীয় অনুমতিগুলোই থাকবে।

সুরক্ষিত সংরক্ষণ: আপনার কেন্দ্রীয় প্রত্নবস্তু সংগ্রহস্থল

আপনার সেটআপে আপনি এটি কীভাবে ব্যবহার করবেন

secure-genai-artifacts বাকেটটি আপনার প্রোজেক্টের ডেটার জন্য তথ্যের একমাত্র নির্ভরযোগ্য উৎস। এটি শুধু প্রাথমিক ডেটাসেটের জন্য নয়। আপনি এটি ব্যবহার করবেন:

• কাঁচা এবং প্রাক-প্রক্রিয়াজাত প্রশিক্ষণ ডেটা।
• দীর্ঘ প্রশিক্ষণ চলাকালীন মডেলের চেকপয়েন্ট।
• চূড়ান্ত, প্রশিক্ষিত মডেলের ফাইলগুলো ( .pkl , .pb , বা .h5 )।
• মূল্যায়ন ফলাফল এবং লগ। আপনার প্রয়োগ করা নিরাপত্তা সেটিংস (পাবলিক অ্যাক্সেস প্রিভেনশন, ইউনিফর্ম বাকেট-লেভেল অ্যাক্সেস, ভার্সনিং, এবং অডিট লগিং) এর অর্থ হলো, আপনি এই বাকেটটিকে একটি কেন্দ্রীয় স্টোর হিসেবে আত্মবিশ্বাসের সাথে ব্যবহার করতে পারেন, যা ডেটা ফাঁস এবং দুর্ঘটনাবশত মুছে যাওয়া থেকে সুরক্ষিত।

উৎপাদনের সাথে সংযোগ স্থাপন

প্রোডাকশন পরিবেশে আপনার নীতিগুলি পরিচালনা ও নিয়ন্ত্রণ করতে, আপনার নিম্নলিখিত বিষয়গুলিও বিবেচনা করা উচিত:

• লাইফসাইকেল পলিসি : খরচ ব্যবস্থাপনার জন্য, আপনি লাইফসাইকেল পলিসি সেট আপ করতে পারেন, যা একটি নির্দিষ্ট সময় পরে পুরোনো মডেল ভার্সন বা ডেটাসেটগুলোকে স্বয়ংক্রিয়ভাবে কম খরচের স্টোরেজ ক্লাসে (যেমন নিয়ারলাইন বা কোল্ডলাইন) সরিয়ে দেবে অথবা মুছে ফেলবে।
• ক্রস-প্রজেক্ট পারমিশন : একটি প্রোডাকশন পাইপলাইনে, একটি ডেটা ইঞ্জিনিয়ারিং টিম অন্য কোনো গুগল ক্লাউড প্রজেক্ট থেকে এই বাকেটটি পূরণ করতে পারে। আপনার সক্রিয় করা ইউনিফর্ম বাকেট-লেভেল অ্যাক্সেস এই ক্রস-প্রজেক্ট IAM পারমিশনগুলো পরিচালনা করাকে সহজ ও সুরক্ষিত করে, কোনো জটিল (এবং ফলস্বরূপ সহজে ভুল কনফিগার হতে পারে এমন) ACL ছাড়াই।

সামগ্রিক চিত্র: নিরাপত্তাকে ডিফল্ট করা

এই মডেলটি গ্রহণ করার মাধ্যমে, আপনি আপনার নিরাপত্তা ব্যবস্থাকে গৌণ বিষয় থেকে ভিত্তি হিসেবে প্রতিষ্ঠা করেন। আপনি আর শুধু একজন ডেভেলপার নন; আপনি আপনার দলের জন্য একজন নিরাপত্তা চ্যাম্পিয়ন। যখন দলে কোনো নতুন সদস্য যোগ দেন, আপনি তাকে একটি অসুরক্ষিত, সর্বজনীন মেশিন দেন না। আপনি তাকে একটি সুরক্ষিত, পূর্ব-কনফিগার করা পরিবেশে অ্যাক্সেস দেন, যেখানে কাজ করার নিরাপদ উপায়টিই সবচেয়ে সহজ। এই পদ্ধতিটি ডেটা লঙ্ঘন এবং সিস্টেম ঝুঁকির সাধারণ কারণগুলো প্রতিরোধ করে সরাসরি ব্যবসায়িক ঝুঁকি হ্রাস করে, যা আপনার দলকে আত্মবিশ্বাসের সাথে উদ্ভাবন করতে এবং শক্তিশালী এআই অ্যাপ্লিকেশন তৈরি করতে সাহায্য করে।

৮. অভিনন্দন!

অভিনন্দন! আপনি আপনার এআই ডেভেলপমেন্ট এনভায়রনমেন্টের জন্য সফলভাবে একটি বহুস্তরীয় ও সুরক্ষিত পরিকাঠামো তৈরি এবং নিরীক্ষা করেছেন। আপনি একটি 'ডিফল্ট ডিনাই' ফায়ারওয়াল পসচার সহ একটি সুরক্ষিত নেটওয়ার্ক পেরিমিটার তৈরি করেছেন, একটি হার্ডেনড কম্পিউট ইনস্ট্যান্স স্থাপন করেছেন, একটি ডেটা বাকেট সুরক্ষিত করেছেন এবং আপনার কন্ট্রোলগুলো উদ্দেশ্য অনুযায়ী সঠিকভাবে কাজ করছে কিনা তা যাচাই করতে লগ ব্যবহার করেছেন।

পুনরালোচনা

এই ল্যাবে, আপনি নিম্নলিখিত কাজগুলো সম্পন্ন করেছেন:

• অনাকাঙ্ক্ষিত ট্র্যাফিক প্রশমিত করার জন্য প্রাইভেট নেটওয়ার্কিং সহ একটি সুরক্ষিত ভিপিসি স্থাপন করা হয়েছে।
• বুটকিট এবং প্রিভিলেজ এসকেলেশনের বিরুদ্ধে একটি সুরক্ষিত ভার্টেক্স এআই ওয়ার্কবেঞ্চ ইনস্ট্যান্স স্থাপন করা হয়েছে।
• নজরবিহীন ডেটা স্থানান্তর এবং দুর্ঘটনাবশত জনসমক্ষে প্রকাশ রোধ করতে একটি ক্লাউড স্টোরেজ বাকেট সুরক্ষিত করা হয়েছে।
• সম্ভাব্য 'বিস্ফোরণ ব্যাসার্ধ' সীমিত করার জন্য ন্যূনতম বিশেষাধিকারযুক্ত পরিষেবা অ্যাকাউন্ট চালু করা হয়েছে।
• ডেটা সুরক্ষা এবং একটি অপরিবর্তনীয় নিরীক্ষা পথের জন্য অবজেক্ট ভার্সনিং এবং ডেটা অ্যাক্সেস লগ সক্রিয় করা হয়েছে।