Access Control: আপনার কর্পোরেট সিস্টেমের প্রবেশাধিকার কতটা সুরক্ষিত?

Access Control হলো সেই প্রক্রিয়া যার মাধ্যমে একটি সিস্টেম নির্ধারণ করে যে একজন user, process অথবা ডিভাইস কোন resource-এ কী ধরনের কাজ করতে পারবে। এই প্রক্রিয়া তিনটি মৌলিক স্তম্ভের উপর দাঁড়িয়ে আছে—Identification, Authentication এবং Authorization। প্রথমে user দাবি করে যে সে কে (identification), তারপর সে এই দাবির প্রমাণ দেয় (authentication), এবং সবশেষে সিস্টেম তাকে নির্দিষ্ট কাজ করার অনুমতি দেয় বা নাকচ করে (authorization)। এই তিনটি পর্যায়ের যেকোনো একটিতে দুর্বলতা থাকলে পুরো নিরাপত্তা ব্যবস্থা ভেঙে পড়ে।

এর সাথে যুক্ত আরেকটি গুরুত্বপূর্ণ ধারণা হলো Accountability, যা নিশ্চিত করে প্রতিটি কাজ কে করেছে তা পরবর্তীতে শনাক্ত করা যাবে। এজন্য audit log, session tracking এবং tamper-resistant logging অপরিহার্য। AAA (Authentication, Authorization, Accounting) ফ্রেমওয়ার্ক এই ধারণাগুলোকেই formal-ভাবে উপস্থাপন করে।

Access Control বাস্তবায়নের জন্য বিভিন্ন মডেল ব্যবহৃত হয়, যেগুলো প্রতিষ্ঠানের প্রয়োজন ও sensitivity-র উপর ভিত্তি করে নির্বাচিত হয়।

Discretionary Access Control (DAC): এখানে resource-এর মালিক সিদ্ধান্ত নেয় কে সেই resource ব্যবহার করতে পারবে। Windows NTFS permission, Linux file permission এই মডেলের উদাহরণ। DAC ব্যবহারে সহজ হলেও এর সবচেয়ে বড় দুর্বলতা হলো user-discretion-এর উপর নির্ভরতা—একজন user ভুলবশত sensitive file-এ public access দিয়ে দিলে পুরো প্রতিষ্ঠান ঝুঁকিতে পড়তে পারে।

Mandatory Access Control (MAC): সামরিক এবং উচ্চ-সংবেদনশীল পরিবেশে ব্যবহৃত এই মডেলে সিস্টেম নিজে কেন্দ্রীয়ভাবে access নিয়ন্ত্রণ করে। প্রতিটি resource ও user-এর জন্য classification label থাকে (যেমন Confidential, Secret, Top Secret), এবং Bell-LaPadula বা Biba মডেল অনুযায়ী data flow নিয়ন্ত্রিত হয়। SELinux এবং AppArmor MAC-এর কার্যকর বাস্তবায়ন।

Role-Based Access Control (RBAC): আধুনিক কর্পোরেট পরিবেশে সবচেয়ে প্রচলিত মডেল। User-কে সরাসরি permission না দিয়ে role-এর সাথে যুক্ত করা হয়, এবং role-এর সাথে permission যুক্ত থাকে। এর ফলে কর্মী পরিবর্তন বা পদোন্নতিতে permission ব্যবস্থাপনা সহজ হয়।

Attribute-Based Access Control (ABAC): RBAC-এর সীমাবদ্ধতা কাটিয়ে ABAC context-aware সিদ্ধান্ত নেয়—user-এর attribute, resource-এর attribute, action এবং environmental factor (যেমন সময়, ভৌগোলিক অবস্থান, ডিভাইসের নিরাপত্তা posture) বিবেচনা করে। উদাহরণস্বরূপ, একজন finance manager শুধু office network থেকে অফিস-সময়ে payroll data দেখতে পারবেন—এই ধরনের সূক্ষ্ম নিয়ন্ত্রণ ABAC-তে সম্ভব।

Policy-Based Access Control (PBAC) এবং Risk-Adaptive Access Control: এগুলো ABAC-র উপর গড়ে ওঠা পরবর্তী প্রজন্মের মডেল, যেখানে real-time risk scoring এবং machine learning ব্যবহার করে dynamic decision নেওয়া হয়।

Access Control-এর হৃদয়ে রয়েছে দুটি চিরন্তন নীতি—Principle of Least Privilege (PoLP) এবং Need-to-Know। PoLP নিশ্চিত করে যে প্রতিটি user বা process শুধু তার কাজের জন্য একান্ত প্রয়োজনীয় permission পাবে, এর বেশি নয়। Need-to-Know আরো এক ধাপ এগিয়ে—এমনকি যথাযথ permission থাকলেও user তথ্য ব্যবহারের যৌক্তিক প্রয়োজন ছাড়া access পাবে না।

বাস্তবে এই দুটি নীতি বাস্তবায়ন কঠিন কারণ "privilege creep"—সময়ের সাথে কর্মীরা বিভিন্ন প্রকল্পে যুক্ত হয়ে নতুন permission পান, কিন্তু পুরনো permission সরানো হয় না। ফলে কয়েক বছরে অনেক কর্মীর অ্যাকাউন্ট কার্যত "super user" হয়ে যায়, যা compromise হলে আক্রমণকারী বিশাল blast radius পায়।

কর্পোরেট জগতে Access Control-জনিত ভুলের অসংখ্য উদাহরণ রয়েছে। ২০১৯ সালের Capital One ব্রিচে আক্রমণকারী একটি misconfigured Web Application Firewall এবং অতিরিক্ত privilege-যুক্ত IAM role ব্যবহার করে ১০০ মিলিয়নের বেশি গ্রাহকের তথ্য চুরি করে। এখানে মূল সমস্যা ছিল cloud IAM policy-তে অপ্রয়োজনীয় permission।

আরেকটি সাধারণ চিত্র হলো "shared service account"—একটি অ্যাকাউন্ট একাধিক অ্যাপ্লিকেশনে ব্যবহৃত হয়, পাসওয়ার্ড কখনো পরিবর্তিত হয় না, এবং অডিট ট্রেইলে দায়বদ্ধতা নির্ণয় কঠিন হয়ে যায়। এছাড়া SaaS অ্যাপ্লিকেশনে "default admin" অ্যাকাউন্ট রেখে দেওয়া, কর্মী চাকরি ছাড়ার পরও offboarding সম্পন্ন না করা, এবং VPN ও cloud console-এ MFA না থাকা—এগুলো প্রতিটি প্রতিষ্ঠানে কম-বেশি দেখা যায়।

কর্মী-পর্যায়ে আরেকটি বড় ঝুঁকি হলো privileged access (যেমন domain admin, root) দৈনন্দিন কাজে ব্যবহার করা। একজন এডমিন তার নিয়মিত অ্যাকাউন্ট থেকে যদি ইমেইল চেক করে এবং ভুলে একটি phishing link-এ ক্লিক করে, তবে আক্রমণকারী সরাসরি domain admin token পেয়ে যেতে পারে।

কার্যকর Access Control বাস্তবায়নে নিম্নলিখিত পদক্ষেপগুলো অত্যন্ত কার্যকর।

Identity Lifecycle Management: কর্মী যোগদান, পদ পরিবর্তন এবং প্রস্থানের প্রতিটি ধাপে স্বয়ংক্রিয়ভাবে access provision ও deprovision নিশ্চিত করা। HR সিস্টেমের সাথে Identity Provider-এর integration এক্ষেত্রে অপরিহার্য।

Multi-Factor Authentication (MFA): শুধু পাসওয়ার্ডের যুগ পেরিয়ে গেছে। সকল privileged ও remote access-এ phishing-resistant MFA (যেমন FIDO2 hardware key) বাধ্যতামূলক করা।

Privileged Access Management (PAM): Admin credential vault, just-in-time access, session recording এবং automatic password rotation-এর জন্য dedicated PAM solution স্থাপন করা।

Regular Access Review: নিয়মিত (অন্তত ত্রৈমাসিক) ভিত্তিতে user permission পর্যালোচনা করে অপ্রয়োজনীয় access সরিয়ে ফেলা। SOX, ISO 27001, PCI-DSS-এর মতো compliance ফ্রেমওয়ার্কেও এটি বাধ্যতামূলক।

Zero Trust Network Access (ZTNA): "Never trust, always verify" নীতিতে প্রতিটি access অনুরোধ যাচাই করা—location, device posture, user behavior সবকিছু বিবেচনা করে।

Conditional Access Policy: আধুনিক IdP (যেমন Entra ID, Okta) ব্যবহার করে context-aware policy প্রয়োগ—যেমন unmanaged device থেকে sensitive app-এ access ব্লক করা, বা high-risk login-এ অতিরিক্ত যাচাই চাওয়া।

Segregation of Duties (SoD): একই ব্যক্তি যেন একটি critical process-এর সব ধাপ সম্পন্ন করতে না পারে—যেমন payment initiate ও approve—তা নিশ্চিত করা।

Logging এবং Monitoring: প্রতিটি authentication ও authorization event SIEM-এ পাঠানো, এবং anomalous behavior (impossible travel, off-hours admin login) স্বয়ংক্রিয়ভাবে শনাক্ত করা।