IAM Management: কর্পোরেট নেটওয়ার্কে ব্যবহারকারীদের অ্যাক্সেস এবং পরিচিতি পরিচালনা!

Identity and Access Management হলো এমন একটি framework যা নিশ্চিত করে যে সঠিক ব্যক্তি (বা সিস্টেম) সঠিক সময়ে সঠিক resource-এ সঠিক অনুমতি নিয়ে access করতে পারছেন। এই simple-sounding লক্ষ্যকে অর্জন করতে গিয়ে অসংখ্য technical এবং organizational challenge সামনে আসে।

IAM-এর তিনটি মৌলিক উপাদান রয়েছে — Identification, Authentication, এবং Authorization। Identification হলো একজন ব্যবহারকারী কে সেটি ঘোষণা করা (যেমন username প্রদান)। Authentication হলো সেই দাবি যাচাই করা (password, OTP, biometric)। আর Authorization হলো সেই verified ব্যবহারকারীকে নির্দিষ্ট resource-এ access দেওয়া।

এর সাথে রয়েছে Accountability — প্রতিটি কাজের audit trail রাখা, যাতে কোনো ঘটনার পর কে কী করেছেন তা trace করা যায়। এই চারটি উপাদানকে একসাথে AAA (Authentication, Authorization, Accounting) framework বলা হয়।

আধুনিক IAM সিস্টেম শুধু human user-এর জন্য নয়, machine identity-র জন্যও কাজ করে। API key, service account, এবং automated workload-এর নিজস্ব identity থাকে যা একইভাবে manage করতে হয়।

একজন কর্মীর Identity-র জীবনকাল onboarding থেকে শুরু হয়ে offboarding পর্যন্ত চলে। এই সম্পূর্ণ lifecycle-কে কার্যকরভাবে manage করা IAM-এর একটি প্রধান দায়িত্ব।

Onboarding-এর সময় নতুন কর্মীর জন্য Active Directory account তৈরি, প্রয়োজনীয় group-এ assignment, business application-এ access provisioning, এবং laptop/equipment-এ login enablement — সবকিছু coordinate করতে হয়। Manually এই কাজ করতে গেলে সময় লাগে দিনের পর দিন এবং ভুলের সম্ভাবনা থাকে।

আধুনিক প্রতিষ্ঠানে এই কাজ automated হয় Identity Governance and Administration বা IGA টুলের মাধ্যমে। SailPoint, Saviynt, এবং Microsoft Entra ID Governance-এর মতো platform HR সিস্টেম (যেমন Workday) থেকে নতুন কর্মীর তথ্য নিয়ে automatically প্রয়োজনীয় access prepare করে।

Role-based access provisioning এই প্রক্রিয়াকে আরো scalable করে। প্রতিটি role-এর জন্য pre-defined access pattern থাকে, এবং নতুন কর্মীকে তাঁর role assign করলেই relevant access automatically পেয়ে যান।

Offboarding সবচেয়ে গুরুত্বপূর্ণ ধাপ। কর্মী চলে যাওয়ার পর তাঁর সমস্ত access দ্রুত revoke করতে হবে। দেরি করলে disgruntled employee data theft বা sabotage করতে পারেন। অনেক সিকিউরিটি incident-এর পেছনে former employee-এর active credential ছিল।

Mid-life management-এ promotion, transfer, এবং role change-এর সাথে access update করা হয়। সবচেয়ে বড় চ্যালেঞ্জ হলো privilege creep — কর্মী বিভিন্ন role-এ যাওয়ার সাথে সাথে access জমা করতে থাকেন, কিন্তু পুরোনো access কখনো রিমুভ হয় না।

Password traditional authentication-এর প্রধান পদ্ধতি, কিন্তু এর সীমাবদ্ধতা সুপরিচিত। দুর্বল password, password reuse, এবং phishing — এই সমস্যাগুলো password-only authentication-কে dangerous করে তুলেছে।

Multi-Factor Authentication বা MFA এখন প্রায় mandatory standard। MFA-এর তিনটি প্রধান category — knowledge factor (password), possession factor (phone, hardware token), এবং inherence factor (fingerprint, face)। দুটি ভিন্ন category-র combination MFA হিসেবে গণনা করা হয়।

MFA-এর মধ্যে SMS-based OTP সবচেয়ে দুর্বল কারণ এটি SIM swap attack-এ vulnerable। Authenticator app যেমন Google Authenticator, Microsoft Authenticator, Authy অনেক বেশি secure। সবচেয়ে শক্তিশালী হলো hardware security key যেমন YubiKey যা phishing-resistant।

FIDO2 এবং WebAuthn standard passwordless authentication-এর ভিত্তি। এতে user public-private key pair ব্যবহার করেন, private key device-এ secure enclave-এ থাকে, এবং কোনো shared secret network-এ travel করে না। এটি phishing-এর বিরুদ্ধে প্রায় সম্পূর্ণ resistant।

Biometric authentication যেমন Touch ID, Face ID, এবং Windows Hello user experience-কে অনেক উন্নত করেছে। তবে biometric data কখনোই compromise হলে পরিবর্তন করা যায় না, তাই এটি সাধারণত local device-এ store হয় এবং network-এ transmit করা হয় না।

Role-Based Access Control বা RBAC সবচেয়ে widely adopted authorization model। প্রতিটি permission একটি role-এর সাথে যুক্ত, এবং user-কে এক বা একাধিক role-এ assign করা হয়। RBAC সহজ এবং predictable, কিন্তু complex organization-এ role explosion-এর সমস্যা দেখা দিতে পারে।

Attribute-Based Access Control বা ABAC আরো flexible। এতে access decision নেওয়া হয় user attribute, resource attribute, এবং environmental context-এর উপর ভিত্তি করে। উদাহরণস্বরূপ, "শুধুমাত্র finance department-এর senior manager-রা office IP থেকে business hour-এ এই report-এ access করতে পারবেন।"

Policy-Based Access Control বা PBAC ABAC-এর একটি evolution যেখানে centrally defined policy-গুলো dynamically evaluated হয়। Open Policy Agent-এর মতো টুল এই pattern বাস্তবায়ন করে।

Just-In-Time বা JIT access একটি আধুনিক approach যেখানে privileged access permanently দেওয়া হয় না, বরং প্রয়োজনের সময় time-bound হিসেবে granted হয়। Microsoft Entra Privileged Identity Management এই কৌশলের একটি জনপ্রিয় implementation।

Single Sign-On বা SSO ব্যবহারকারীর জন্য একটি গেম-চেঞ্জিং technology। একবার login করে multiple application-এ access করার ক্ষমতা productivity বাড়ায় এবং password reuse কমায়।

SAML 2.0 enterprise SSO-র traditional standard, যা XML-based assertion ব্যবহার করে identity provider থেকে service provider-এ user information transfer করে। SAP, Salesforce, এবং অন্যান্য enterprise application-এ SAML সবচেয়ে বেশি ব্যবহৃত।

OpenID Connect বা OIDC OAuth 2.0-এর উপর তৈরি একটি modern protocol যা JSON Web Token বা JWT ব্যবহার করে। Modern web এবং mobile application-এ OIDC-এর adoption দ্রুত বাড়ছে।

Identity Provider হিসেবে Microsoft Entra ID (পূর্বে Azure AD), Okta, Ping Identity, এবং Auth0 সবচেয়ে জনপ্রিয়। প্রতিটি provider-এর নিজস্ব strength এবং feature set রয়েছে।

Federation enable করে cross-organizational access। উদাহরণস্বরূপ, একটি partner company-র কর্মী তাঁদের নিজস্ব credential ব্যবহার করে আপনার কিছু resource-এ access করতে পারেন, তাঁদের জন্য আলাদা account তৈরি না করেই।

PAM হলো IAM-এর একটি specialized subset যা administrative এবং highly-privileged account-এর management-এ ফোকাস করে। Domain admin, root, এবং database admin account-এর compromise সবচেয়ে বিধ্বংসী পরিণতি বহন করে।

CyberArk, BeyondTrust, এবং Delinea PAM-এর leading vendor। এই সিস্টেমগুলো privileged credential-গুলোকে একটি centralized vault-এ store করে, প্রতিটি session record করে, এবং strict approval workflow এনফোর্স করে।

Password rotation automatic হয় — প্রতিবার use-এর পর বা একটি নির্দিষ্ট interval-এ। Just-in-time elevation common workflow — admin shall request access, approval পান, কাজ করেন, এবং automatic revocation হয়।

Session recording সমস্ত privileged session-এর video বা keystroke log রাখে, যা audit এবং forensics-এর জন্য অমূল্য। কোনো incident-এর পর exactly কী হয়েছিল তা reconstruct করা সম্ভব।

Zero Trust architecture-এ "trust but verify" থেকে সরে এসে "never trust, always verify" নীতি অনুসরণ করা হয়। এতে IAM-এর ভূমিকা কেন্দ্রীয় হয়ে দাঁড়ায়।

প্রতিটি access request continuous evaluation-এর মধ্যে দিয়ে যায় — user identity, device health, location, time, requested resource sensitivity — সব factor বিবেচনায় নিয়ে। Conditional Access policy এই concept-এর বাস্তবায়ন।

Risk-based authentication আরো এক ধাপ এগিয়ে — যখন কোনো login attempt unusual মনে হয় (যেমন নতুন device থেকে, ভিন্ন দেশ থেকে), তখন additional verification challenge দেওয়া হয়। Machine learning model এই risk assessment করে।

Device trust IAM-এর সাথে closely integrated। একটি unmanaged বা compromised device থেকে valid credential দিয়ে login করলেও access denied হতে পারে। Microsoft Intune, Jamf, এবং Workspace ONE এই device trust signal provide করে।

২০১৪ সালের Sony Pictures hack-এর পেছনে weak IAM ছিল একটি প্রধান কারণ। আক্রমণকারীরা একটি compromised admin credential ব্যবহার করে network-এর গভীরে যেতে পেরেছিল।

২০২০-এর Twitter hack-এ social engineering-এর মাধ্যমে কয়েকজন employee-এর internal tool access নেওয়া হয়েছিল। এই incident MFA এবং least privilege-এর গুরুত্ব আরো একবার প্রমাণ করেছে।

বাংলাদেশের ২০১৬-এর central bank cyber heist-এ SWIFT credential চুরি হওয়া একটি প্রধান ফ্যাক্টর ছিল। যদি proper privileged access control এবং monitoring থাকত, তবে এত বড় ক্ষতি হয়তো এড়ানো যেত।

Uber-এর ২০২২-এর breach-এ MFA fatigue attack ব্যবহার করা হয়েছিল — আক্রমণকারী বারবার MFA prompt পাঠিয়ে user-কে accept করতে বাধ্য করেছিল। এর প্রতিকারে number matching এবং context-aware MFA গুরুত্বপূর্ণ।

প্রথমত, least privilege principle কঠোরভাবে অনুসরণ করুন। কারো কাজে যতটুকু access প্রয়োজন, ঠিক ততটুকুই দিন। নিয়মিত access review-এর মাধ্যমে অপ্রয়োজনীয় permission revoke করুন।

দ্বিতীয়ত, সমস্ত user-এর জন্য MFA enforce করুন, বিশেষত privileged account-এর জন্য phishing-resistant MFA (hardware key) বাধ্যতামূলক করুন।

তৃতীয়ত, default এবং service account-গুলোর security pay attention করুন। অনেক breach-এর শুরু হয় শক্তিশালীভাবে protected না হওয়া service account থেকে।

চতুর্থত, comprehensive logging এবং monitoring deploy করুন। Failed login attempt, privilege escalation, off-hour access, এবং অন্যান্য anomaly-গুলো SIEM-এ feed করুন।

পঞ্চমত, regular access certification campaign চালান। প্রতি quarter বা সেমেস্টারে manager-দের তাঁদের team-এর access review করতে বাধ্য করুন।

ষষ্ঠত, user training-কে অবহেলা করবেন না। Phishing, social engineering, এবং password hygiene সম্পর্কে নিয়মিত training একটি বড় defensive layer।