কোনো কর্মী চলে গেলে কীভাবে WiFi অ্যাক্সেস বাতিল করবেন

Purple Technical Briefing-এ আপনাকে স্বাগত জানাই। আমি আপনাদের হোস্ট, এবং আজ আমরা এন্টারপ্রাইজ অফবোর্ডিংয়ের অন্যতম সাধারণ একটি ফাঁক নিয়ে আলোচনা করছি: কোনো কর্মী চলে যাওয়ার পর আসলে WiFi অ্যাক্সেসের কী হয়? এটি শুনতে সহজ মনে হয়। কেউ তার ব্যাজ জমা দেয়, HR তার অ্যাকাউন্ট বন্ধ করে দেয়, এবং আপনার কাজ শেষ। কিন্তু আপনার নেটওয়ার্ক যদি এখনও একটি শেয়ার্ড WPA2 পাসওয়ার্ডে চলে, তবে সেই ব্যক্তিটি চলে যাওয়ার পরও পাসওয়ার্ডটি জেনে গেছেন। এবং আপনি যদি সবার জন্য এটি পরিবর্তন না করেন, তবে তারা কার পার্ক থেকেও আবার কানেক্ট করতে পারবেন। আজ আমরা এই সমস্যাটিরই সমাধান করছি। আমরা প্রতি ব্যবহারকারী ভিত্তিক WiFi অ্যাক্সেস বাতিলের জন্য তিনটি নির্ভরযোগ্য মডেল নিয়ে আলোচনা করব, একই দিনে অ্যাক্সেস বাতিলের একটি চেকলিস্ট দেখাব, এবং একজন ISO 27001 বা SOC 2 অডিটর আপনার লগগুলোতে ঠিক কী দেখতে চান তা বিস্তারিত ব্যাখ্যা করব। চলুন শুরু করা যাক। প্রথম অংশ: শেয়ার্ড পাসওয়ার্ড কেন এই কাজের জন্য ভুল টুল। WPA2-Personal, যা স্ট্যান্ডার্ড হোম-রাউটার সেটআপ, সেটি একটি একক প্রি-শেয়ার্ড কি ব্যবহার করে। নেটওয়ার্কের প্রত্যেকে একই পাসওয়ার্ড জানে। যখন একজন ব্যক্তি চলে যায়, তখনও তার ফোন, ল্যাপটপ বা যে কোনো কানেক্ট করা ডিভাইসে সেই পাসওয়ার্ডটি সচল থাকে। তাদের অ্যাক্সেস বাতিল করার একমাত্র উপায় হলো সম্পূর্ণ নেটওয়ার্কের পাসওয়ার্ড পরিবর্তন করা এবং বাকি সমস্ত ব্যবহারকারী ও ডিভাইসে তা পুনরায় বিতরণ করা। ২০০ জন কর্মী বিশিষ্ট একটি হোটেলে এর অর্থ হলো প্রতিটি পয়েন্ট-অফ-সেল টার্মিনাল, প্রতিটি ব্যাক-অফিস পিসি, প্রতিটি ম্যানেজারের ফোন আপডেট করা। ৫০টি স্টোর সহ একটি রিটেইল চেইনের ক্ষেত্রে, এর অর্থ হলো প্রতিটি সাইট জুড়ে একটি সমন্বিত রোলআউট করা। এর অপারেশনাল খরচ অনেক বেশি, কাজের ব্যাঘাতও ঘটে, এবং কর্মীর শেষ দিন থেকে পাসওয়ার্ড পরিবর্তনের কাজ শেষ হওয়া পর্যন্ত সময়টুকু একটি বড় ধরনের সিকিউরিটি গ্যাপ তৈরি করে। পেমেন্ট কার্ড ইন্ডাস্ট্রির স্ট্যান্ডার্ড PCI DSS অনুযায়ী, শেয়ার্ড ক্রেডেনশিয়াল জানা কোনো কর্মী চলে গেলে তা পরিবর্তন করা বাধ্যতামূলক। তাই আপনার ক্যাশ রেজিস্টারগুলো যদি আপনার স্টাফ WiFi-এর সাথে একই নেটওয়ার্কে থাকে, তবে একজন কর্মী চলে যাওয়ার সাথে সাথে এটি একটি কমপ্লায়েন্স বাধ্যবাধকতা তৈরি করে, যা শুধুমাত্র একটি সেরা অনুশীলনের পরামর্শ নয়। এর মূল কারণটি সহজ: একটি শেয়ার্ড পাসওয়ার্ডের সাথে কোনো আইডেন্টিটি বা পরিচয় যুক্ত থাকে না। নেটওয়ার্ক একজন বর্তমান কর্মী এবং একজন প্রাক্তন কর্মীর মধ্যে পার্থক্য করতে পারে না। এটি সমাধান করার জন্য, আপনার প্রতি ব্যবহারকারী ভিত্তিক ক্রেডেনশিয়াল প্রয়োজন। দ্বিতীয় অংশ: আসলে কাজ করে এমন তিনটি মডেল। প্রথম মডেলটি হলো EAP-TLS সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন সহ 802.1X। এটি এন্টারপ্রাইজ WiFi সিকিউরিটির জন্য গোল্ড স্ট্যান্ডার্ড। এই মডেলে, প্রতিটি ব্যবহারকারী বা ডিভাইস আপনার সার্টিফিকেট অথরিটি বা CA দ্বারা ইস্যু করা একটি ইউনিক ডিজিটাল সার্টিফিকেট ধারণ করে। তারা যখন WiFi-এ কানেক্ট করে, তখন RADIUS সার্ভার ক্রিপ্টোগ্রাফিকভাবে সেই সার্টিফিকেট যাচাই করে। সার্টিফিকেটটি একটি আইডেন্টিটির সাথে যুক্ত থাকে, কোনো পাসওয়ার্ডের সাথে নয়। অ্যাক্সেস বাতিল করতে, আপনাকে CA স্তরে সার্টিফিকেটটি বাতিল করতে হবে। RADIUS সার্ভার OCSP (অনলাইন সার্টিফিকেট স্ট্যাটাস প্রোটোকল) ব্যবহার করে রিয়েল টাইমে সার্টিফিকেট বাতিলের স্ট্যাটাস চেক করে। আপনি যখন কোনো সার্টিফিকেট বাতিল হিসেবে চিহ্নিত করেন, তখন সেই ডিভাইসটি পরবর্তী সময়ে অথেন্টিকেট করার চেষ্টা করলেই RADIUS সার্ভার OCSP রেসপন্ডারকে কুয়েরি করে, একটি বাতিল হওয়া রেসপন্স পায় এবং অ্যাক্সেস পয়েন্টে একটি Access-Reject পাঠায়। পরবর্তী অথেন্টিকেশনের চেষ্টার কয়েক সেকেন্ডের মধ্যেই ডিভাইসটি নেটওয়ার্ক থেকে বিচ্ছিন্ন হয়ে যায়।সক্রিয় সেশনগুলোর ক্ষেত্রে, বিদ্যমান সেশনটি অবিলম্বে বন্ধ করতে আপনি RADIUS Change of Authorisation বা CoA ব্যবহার করেন। একত্রিতভাবে, OCSP এবং CoA-এর অর্থ হলো আপনি এক মিনিটেরও কম সময়ে একজন প্রস্থানকারী কর্মীর WiFi অ্যাক্সেস বাতিল করতে পারেন, যার সম্পূর্ণ অডিট ট্রেইল আপনার RADIUS লগ-এ থাকবে। EAP-TLS-এর প্রধান চ্যালেঞ্জ হলো PKI ওভারহেড। আপনার একটি Certificate Authority প্রয়োজন, ডিভাইসগুলোতে সার্টিফিকেট ইস্যু করার জন্য একটি প্রক্রিয়া প্রয়োজন, যা সাধারণত Microsoft Intune-এর মতো একটি MDM-এর মাধ্যমে করা হয়, এবং সেগুলো বাতিল করার জন্য একটি প্রক্রিয়া প্রয়োজন। যেসব প্রতিষ্ঠানের একটি পরিপক্ক MDM এবং আইডেন্টিটি ইনফ্রাস্ট্রাকচার রয়েছে, তাদের জন্য এটিই সঠিক সমাধান। কিন্তু ছোট দল বা IoT ডিভাইস থাকা পরিবেশ যেখানে সার্টিফিকেট অথেন্টিকেশন সাপোর্ট করে না, সেখানে আপনার একটি ভিন্ন পদ্ধতির প্রয়োজন। দ্বিতীয় মডেলটি হলো iPSK, Identity Pre-Shared Key। Cisco এটিকে iPSK বলে, Ruckus বলে DPSK, Aruba বলে MPSK, কিন্তু মূল ধারণাটি একই: প্রতিটি ব্যবহারকারী বা ডিভাইস একটি ইউনিক পাসওয়ার্ড পায়, যদিও তারা সবাই একই SSID-তে কানেক্ট করে। RADIUS সার্ভার প্রতিটি ইউনিক কি-কে (key) একটি নির্দিষ্ট আইডেন্টিটি এবং ঐচ্ছিকভাবে একটি নির্দিষ্ট VLAN-এর সাথে ম্যাপ করে। আপনি যখন RADIUS ডাটাবেস থেকে সেই কি-টি মুছে ফেলবেন, তখন ডিভাইসটি আর অথেন্টিকেট করতে পারবে না। একজন প্রস্থানকারীর প্রভাবের ক্ষেত্র (blast radius) কেবল সেই একজন ব্যক্তিই থাকে। অন্য সকলের কি-সমূহ সচল থাকে। iPSK বিশেষ করে মিশ্র ধরণের ডিভাইস রয়েছে এমন পরিবেশের জন্য অত্যন্ত উপযুক্ত। IoT ডিভাইস, পয়েন্ট-অফ-সেল টার্মিনাল এবং লেগ্যাসি হার্ডওয়্যার যা 802.1X সার্টিফিকেট সাপোর্ট করতে পারে না, তারা সবাই iPSK ব্যবহার করতে পারে। এটি একটি পূর্ণাঙ্গ PKI ডেপ্লয়মেন্টের চেয়ে পরিচালনা করাও সহজ, যা এটিকে মাঝারি মানের প্রতিষ্ঠানগুলোর জন্য সঠিক পছন্দ করে তোলে যাদের ইনফ্রাস্ট্রাকচার ওভারহেড ছাড়াই প্রতি ব্যবহারকারী অনুযায়ী অ্যাক্সেস বাতিলের সুবিধা প্রয়োজন। iPSK-এর ক্ষেত্রে অ্যাক্সেস বাতিলের সময় সাধারণত কয়েক মিনিট হয়, সেকেন্ড নয়। কি-টি মুছে ফেলার বিষয়টি RADIUS সার্ভারে প্রচারিত হয়, তবে ডিভাইসটি পুনরায় অথেন্টিকেট না করা পর্যন্ত বা আপনি সংযোগ বিচ্ছিন্ন করতে বাধ্য করার জন্য একটি CoA প্যাকেট না পাঠানো পর্যন্ত সক্রিয় সেশনগুলো বজায় থাকতে পারে। তৃতীয় মডেলটি হলো SCIM-চালিত ডিপ্রোভিশনিং (deprovisioning)। SCIM-এর পূর্ণরূপ হলো System for Cross-domain Identity Management। এটি একটি ওপেন স্ট্যান্ডার্ড, যা RFC 7643 এবং RFC 7644-এ সংজ্ঞায়িত করা হয়েছে, যা আপনার আইডেন্টিটি প্রোভাইডারকে রিয়েল টাইমে ডাউনস্ট্রিম সিস্টেমে ব্যবহারকারীর লাইফসাইকেল ইভেন্টগুলো পুশ করার অনুমতি দেয়। বাস্তবে এটি যেভাবে কাজ করে তা এখানে দেওয়া হলো। আপনার আইডেন্টিটি প্রোভাইডার, সেটি Microsoft Entra ID, Okta বা Google Workspace যাই হোক না কেন, তা হলো ব্যবহারকারীর অ্যাকাউন্টের জন্য নির্ভরযোগ্য তথ্যের মূল উৎস (authoritative source of truth)। যখন HR আইডেন্টিটি প্রোভাইডারে একজন প্রস্থানকারী কর্মীর অ্যাকাউন্ট নিষ্ক্রিয় করে, তখন SCIM আপনার WiFi ম্যানেজমেন্ট প্ল্যাটফর্ম সহ প্রতিটি সংযুক্ত সিস্টেমে একটি রিকোয়েস্ট পাঠায়। Purple আপনার আইডেন্টিটি প্রোভাইডারের সাথে SCIM-এর মাধ্যমে কানেক্ট করে। আপনি Entra ID, Okta বা Google Workspace-এ কোনো ব্যবহারকারীকে নিষ্ক্রিয় করার সাথে সাথে, Purple সেই SCIM ইভেন্টটি গ্রহণ করে এবং পরবর্তী অথেন্টিকেশনের সময় তাদের WiFi ক্রেডেনশিয়াল বাতিল করে। ইভেন্টটি একটি টাইমস্ট্যাম্প, ব্যবহারকারীর আইডেন্টিটি এবং গৃহীত পদক্ষেপ সহ লগ করা হয়। একজন ISO 27001 অডিটরের ঠিক সেই লগ এন্ট্রিটিই দেখার প্রয়োজন হয়।SCIM কিন্তু 802.1X বা iPSK-কে প্রতিস্থাপন করে না। এটি এগুলোর উপরে কাজ করে। SCIM আইডেন্টিটি লাইফসাইকেল পরিচালনা করে; আর অথেন্টিকেশন প্রোটোকল নেটওয়ার্ক এনফোর্সমেন্ট হ্যান্ডেল করে। SCIM এবং 802.1X-এর এই কম্বিনেশন আপনাকে একটি সম্পূর্ণ অডিট ট্রেইল এবং জিরো ম্যানুয়াল স্টেপসহ স্বয়ংক্রিয়ভাবে, রিয়েল-টাইমে অ্যাক্সেস বাতিলের সুবিধা দেয়। সেকশন থ্রি: সেম-ডে অ্যাক্সেস বাতিলের চেকলিস্ট। কোনো কর্মীর শেষ কর্মদিবস চলে আসলে, আপনার IT টিমের নিচে দেওয়া সিকোয়েন্সটি অনুসরণ করা উচিত। স্টেপ ওয়ান: আপনার আইডেন্টিটি প্রোভাইডারে অ্যাকাউন্টটি নিষ্ক্রিয় করুন। এটিই অন্য সবকিছুর ট্রিগার হিসেবে কাজ করে। Microsoft Entra ID-তে অ্যাকাউন্টটি 'disabled' সেট করুন। Okta-তে ব্যবহারকারীকে ডিঅ্যাক্টিভেট করুন। Google Workspace-এ অ্যাকাউন্টটি সাসপেন্ড করুন। স্টেপ টু: আপনি যদি SCIM ব্যবহার করে থাকেন, তবে ডেপ্রোভিশনিং ইভেন্টটি ট্রিগার হয়েছে কিনা তা যাচাই করুন। সংশ্লিষ্ট ইভেন্টের জন্য আপনার SCIM লগ বা WiFi ম্যানেজমেন্ট প্ল্যাটফর্ম চেক করুন। SCIM না থাকলে, আপনার CA-তে ম্যানুয়ালি সার্টিফিকেট বাতিল করুন অথবা আপনার RADIUS ডেটাবেস থেকে iPSK কি (key) মুছে ফেলুন। স্টেপ থ্রি: যেকোনো অ্যাক্টিভ WiFi সেশন বন্ধ করতে একটি RADIUS CoA পাঠান। বেশিরভাগ এন্টারপ্রাইজ RADIUS সার্ভার এবং Purple-এর মতো প্ল্যাটফর্মগুলো ডেপ্রোভিশনিং ইভেন্টে এটি স্বয়ংক্রিয়ভাবে করতে পারে। আপনি যদি এটি ম্যানুয়ালি করেন, তবে MAC অ্যাড্রেস বা সেশন ID দ্বারা ব্যবহারকারীর ডিভাইসটি ডিসকানেক্ট করতে আপনার RADIUS সার্ভারের CoA ইন্টারফেস ব্যবহার করুন। স্টেপ ফোর: কোনো অ্যাক্টিভ সেশন অবশিষ্ট নেই তা নিশ্চিত করুন। আপনার WiFi কন্ট্রোলার ড্যাশবোর্ড চেক করুন। Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, বা Fortinet-এ আপনি ইউজারনেম বা ডিভাইস দিয়ে সার্চ করতে পারবেন এবং কোনো অ্যাক্টিভ অ্যাসোসিয়েশন নেই তা নিশ্চিত করতে পারবেন। স্টেপ ফাইভ: অডিট লগ এন্ট্রি আর্কাইভ করুন। সংশ্লিষ্ট ব্যবহারকারী ও তারিখের জন্য RADIUS অথেন্টিকেশন লগ, SCIM ইভেন্ট লগ এবং CoA লগ এক্সপোর্ট বা ফ্ল্যাগ করুন। এগুলো আপনার ITSM বা সিকিউরিটি ইনফরমেশন অ্যান্ড ইভেন্ট ম্যানেজমেন্ট প্ল্যাটফর্মে সংরক্ষণ করুন। ISO 27001 Annex A control A.9.2.6 অনুযায়ী চাকরি সমাপ্তির পর সকল কর্মচারী এবং ঠিকাদারদের অ্যাক্সেস অধিকার অপসারণ বা সমন্বয় করা আবশ্যক। আপনার এই লগটিই হলো তার প্রমাণ। স্টেপ সিক্স: আপনি যদি WPA2 শেয়ার্ড PSK ব্যবহার করেন এবং উপরের কোনোটিই প্রযোজ্য না হয়, তবে পাসওয়ার্ডটি পরিবর্তন (rotate) করুন। সম্ভব হলে চলে যাওয়া কর্মীর শেষ কর্মদিবসের আগে, অথবা ঠিক তারপরেই সমস্ত সাইট এবং ডিভাইসে এটি আপডেট করার বিষয়টি সমন্বয় করুন। সেকশন ফোর: অডিটর যা প্রত্যাশা করেন। ISO 27001 এবং SOC 2 উভয় ক্ষেত্রেই আপনাকে প্রমাণ করতে হবে যে চাকরি শেষ হওয়ার সাথে সাথে অ্যাক্সেস অবিলম্বে অপসারণ করা হয়েছে। বিশেষ করে WiFi-এর ক্ষেত্রে, অডিটররা চারটি জিনিস দেখেন। প্রথমত, একটি ডকুমেন্টেড অফবোর্ডিং প্রক্রিয়া যাতে স্পষ্টভাবে নেটওয়ার্ক অ্যাক্সেস অন্তর্ভুক্ত থাকে। দ্বিতীয়ত, বিগত বারো মাসের মধ্যে নির্বাচিত সাধারণত দশ থেকে পঁচিশ জন চলে যাওয়া কর্মীর একটি স্যাম্পল নিয়ে সেই প্রক্রিয়াটি অনুসরণ করা হয়েছিল কিনা তার প্রমাণ। তৃতীয়ত, একটি লগ যা অ্যাকাউন্ট নিষ্ক্রিয় করার টাইমস্ট্যাম্প এবং WiFi অ্যাক্সেস বাতিলের টাইমস্ট্যাম্প দেখায়, যার মধ্যবর্তী ব্যবধানটি স্পষ্ট থাকে। চতুর্থত, কোনো প্রাক্তন কর্মীর অ্যাকাউন্টে কোনো অ্যাক্টিভ WiFi সেশন নেই তার নিশ্চিতকরণ।আপনি যদি WPA2 শেয়ার্ড PSK ব্যবহার করেন, তাহলে আপনি তিন এবং চার নম্বর বিষয়ের কোনো প্রমাণ উপস্থাপন করতে পারবেন না। কোনো প্রতি-ব্যবহারকারী লগ থাকে না। আপনি বড়জোর পাসওয়ার্ড পরিবর্তনের তারিখ দেখাতে পারেন এবং যুক্তি দিতে পারেন যে এটি চলে যাওয়া কর্মীর শেষ দিন বা তার আগে সম্পন্ন হয়েছিল। অডিটররা আজকাল ক্রমশ এর বিরোধিতা করছেন। আপনি যদি SCIM সহ 802.1X ব্যবহার করেন, তবে লগটি স্বয়ংক্রিয়ভাবে তৈরি হয়। Purple প্রতিটি SCIM ডেপ্রোভিশনিং ইভেন্ট একটি UTC টাইমস্ট্যাম্প, আইডেন্টিটি প্রোভাইডার সোর্স, ব্যবহারকারীর অনন্য আইডি এবং এর ফলে নেওয়া পদক্ষেপ সহ রেকর্ড করে। এটি একটি পরিচ্ছন্ন, অডিট করার উপযোগী রেকর্ড। পঞ্চম বিভাগ: বাস্তবায়নের ক্ষেত্রে সম্ভাব্য ভুলত্রুটি এবং কীভাবে সেগুলো এড়ানো যায়। সবচেয়ে সাধারণ ভুল হলো এটি ধরে নেওয়া যে আইডেন্টিটি প্রোভাইডারে কোনো অ্যাকাউন্ট নিষ্ক্রিয় করাই যথেষ্ট। এটি যথেষ্ট নয়, যদি না আপনার WiFi প্ল্যাটফর্মটি SCIM বা অনুরূপ কোনো রিয়েল-টাইম ইন্টিগ্রেশনের মাধ্যমে সেই আইডেন্টিটি প্রোভাইডারের সাথে সংযুক্ত থাকে। সেই সংযোগ না থাকলে, WiFi সিস্টেমের পক্ষে অ্যাকাউন্টটি যে নিষ্ক্রিয় করা হয়েছে তা জানার কোনো উপায় থাকে না। দ্বিতীয় সম্ভাব্য ভুল হলো সার্টিফিকেট ক্যাশিং। এমনকি OCSP থাকা সত্ত্বেও, RADIUS সার্ভারগুলো কনফিগারযোগ্য একটি নির্দিষ্ট সময়ের জন্য, সাধারণত ১৫ থেকে ৬০ মিনিটের জন্য সফল রেসপন্সগুলো ক্যাশে জমা রাখে। আপনি যদি কোনো সার্টিফিকেট বাতিল করেন এবং RADIUS সার্ভারে একটি ক্যাশে থাকা সফল রেসপন্স থাকে, তবে ক্যাশের মেয়াদ শেষ না হওয়া পর্যন্ত ডিভাইসটি সফলভাবে অথেনটিকেট করতে পারে। উচ্চ-নিরাপত্তাযুক্ত এনভায়রনমেন্টের জন্য আপনার OCSP ক্যাশে TTL ১৫ মিনিট বা তার কম সেট করুন। তৃতীয় সম্ভাব্য ভুল হলো সক্রিয় সেশনের কথা ভুলে যাওয়া। ক্রেডেনশিয়াল বাতিল করা নতুন অথেনটিকেশন প্রতিরোধ করে ঠিকই, কিন্তু বিদ্যমান কোনো WiFi সেশন বন্ধ করে না। ডিভাইসটি অবিলম্বে ডিসকানেক্ট করতে ক্রেডেনশিয়াল বাতিল করার পর সবসময় একটি RADIUS CoA পাঠান। চতুর্থ সম্ভাব্য ভুল হলো IoT এবং শেয়ার্ড ডিভাইস। চলে যাওয়া কোনো কর্মীর আইডেন্টিটিতে নিবন্ধিত ডিভাইসটি একটি শেয়ার্ড ওয়ার্কস্টেশন বা কোনো অপারেশনাল হার্ডওয়্যার হতে পারে। বাতিল করার আগে নিশ্চিত করুন যে ডিভাইসটি ব্যক্তিগত, শেয়ার্ড নয়। যদি এটি শেয়ার্ড হয়, তবে চলে যাওয়া কর্মীর ক্রেডেনশিয়াল বাতিল করার আগে এটিকে একটি সার্ভিস অ্যাকাউন্টের অধীনে পুনরায় রেজিস্টার করুন। ষষ্ঠ বিভাগ: দ্রুত প্রশ্নোত্তর। প্রশ্ন: সার্টিফিকেট-ভিত্তিক WiFi অ্যাক্সেস কত দ্রুত বাতিল করা সম্ভব? OCSP এবং RADIUS CoA-এর মাধ্যমে, CA-তে সার্টিফিকেট বাতিল করার মুহূর্ত থেকে ৬০ সেকেন্ডের কম সময়ে। পরবর্তী অথেনটিকেশনের চেষ্টার সময় OCSP চেকটি সম্পন্ন হয়। CoA সক্রিয় সেশনটি অবিলম্বে বন্ধ করে দেয়। প্রশ্ন: SCIM কি সব WiFi হার্ডওয়্যারের সাথে কাজ করে? SCIM কাজ করে আইডেন্টিটি ম্যানেজমেন্ট লেয়ারে, হার্ডওয়্যার লেয়ারে নয়। Purple যেকোনো হার্ডওয়্যারের সাথে সামঞ্জস্যপূর্ণ এবং এটি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet-এর সাথে কাজ করে। SCIM ইন্টিগ্রেশনটি সরাসরি অ্যাক্সেস পয়েন্টগুলোর সাথে নয়, বরং Purple-এর সাথে করা হয়। প্রশ্ন: আমাদের যদি কোনো MDM না থাকে এবং আমরা সার্টিফিকেট ডেপ্লয় করতে না পারি তাহলে কী হবে? iPSK-ই আপনার সমাধান। এটি সার্টিফিকেট ইনফ্রাস্ট্রাকচারের প্রয়োজন ছাড়াই আপনাকে প্রতি-ব্যবহারকারী অ্যাক্সেস বাতিলের সুবিধা দেয়। Purple আপনার iPSK কি (keys) ম্যানেজ করতে পারে এবং লাইফসাইকেল স্বয়ংক্রিয় করতে আপনার আইডেন্টিটি প্রোভাইডারের সাথে সংযুক্ত হতে পারে। সংক্ষিপ্ত সারসংক্ষেপ এবং পরবর্তী পদক্ষেপ সমূহ। মূল বার্তাটি হলো: আপনি যদি অন্য সবাইকে প্রভাবিত না করে কোনো একজন ব্যক্তির WiFi অ্যাক্সেস বাতিল করতে না পারেন, তবে আপনার শেয়ার্ড-ক্রেডেনশিয়াল (shared-credential) সমস্যা রয়েছে। এর সমাধান হলো প্রতি-ব্যবহারকারী ক্রেডেনশিয়াল, তা হতে পারে 802.1X EAP-TLS-এর মাধ্যমে সার্টিফিকেট অথবা iPSK-এর মাধ্যমে ইউনিক কী (unique keys), যার সাথে SCIM-চালিত ডিপ্রোভিশনিং (deprovisioning) যুক্ত করে এইচআর (HR) পদক্ষেপ নেওয়ার সাথে সাথেই স্বয়ংক্রিয়ভাবে অ্যাক্সেস বাতিল করা যায়। Purple SCIM-এর মাধ্যমে Microsoft Entra ID, Okta এবং Google Workspace-এর সাথে সংযুক্ত হয়, ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে কাজ করে এবং অডিটের জন্য প্রতিটি ডিপ্রোভিশনিং ইভেন্ট লগ করে। আপনি যদি ISO 27001 বা SOC 2-এর জন্য প্রস্তুতি নিচ্ছেন, অথবা কোনো ঘটনা ঘটার আগেই চাকরি ছেড়ে চলে যাওয়া কর্মীদের অ্যাক্সেসের ফাঁকফোকর বন্ধ করতে চান, তবে এখান থেকেই শুরু করা উচিত। সার্টিফিকেট বাতিলকরণ এবং OCSP-এর সম্পূর্ণ প্রযুক্তিগত বিশ্লেষণের জন্য, WiFi অথেন্টিকেশনের জন্য আমাদের OCSP এবং সার্টিফিকেট বাতিলকরণ সংক্রান্ত নির্দেশিকাটি দেখুন। আরও ব্যাপক জয়নার-মুভার-লিভার (joiner-mover-leaver) অটোমেশন চিত্রের জন্য, আমাদের এন্টারপ্রাইজ WiFi সিকিউরিটি নির্দেশিকা দেখুন। Purple টেকনিক্যাল ব্রিফিং শোনার জন্য আপনাকে ধন্যবাদ।