访问控制

Akamai 通过一系列政策和程序来管理用于安全传输客户数据的网络。我们维护并实施部署网络访问政策,该政策概述了确保员工只具有做好本职工作所必需的访问特权的控制、角色和责任。

本政策适用于对 Akamai 部署网络(一系列具有外部 IP 地址并且由 Platform Operations 部控制其访问权限的服务器)的允许写入(根或管理员)访问。所有访问仅限于经授权的人员,并且取决于员工的需要和角色。只有 Platform Operations 部 Vice President 可以批准例外情况。

任何需要特定访问级别的员工均必须事先获得批准,并且将审批情况记录在案,以供定期审核之用。在任何时候进行默认批准时,均必须通知该员工的经理。经理必须在发放授权后的合理时间内确认此通知,并且必须采用与标准审批完全相同的方式记录该确认行为。

对于那些需要对本政策涵盖的计算机进行根访问以及不属于预先审批角色组成员的人员,可以请求在限定时间内对指定列表的计算机进行访问。在这些情况下,必须将授予本政策涵盖的计算机的所有临时访问权限限于经授权的人员。请求访问的员工必须具有由员工经理、Platform Operations 部 Senior Engineer、Network Owner 或 Incident Manager 共同批准的请求。

尽职记录是访问控制政策的重要组成部分。每当有人获得限时网络访问权限时,Platform Operations 部必须维护一份审核记录。

此记录包含对 NOCC 提出的指定问题的答案、身份验证批准以及所发放授权的唯一 ID。

我们管理访问控制的另一种方式是通过 Authgate — 这是 Akamai 开发的一种具有限制的、通过 SSH 访问边缘计算机的系统,可根据计算机类型或用户在一天中所访问的计算机数量来允许或禁止用户访问。Authgate 和部署网络访问中的所有帐户均由 NOCC 管理。

为所有员工在所有生产服务器上设置 SSH 身份只能提供极少的访问控制和极少的报告,这会成为安全噩梦(以及后勤噩梦)。通过 Authgate,只有 Authgate 的 SSH 身份被允许访问边缘计算机。员工可以通过 gwsh(对 SSH 的封装)连接到 Authgate,而 Authgate 可以控制是否将连接转发到边缘计算机。使用授权控制通过 Authgate 的访问。使用 Authgate-ui 管理授权。所有授权都包含在一个单一文件(授权文件)中。基本上,一个授权可在指定的时间段内允许指定类别的用户访问指定类别的机器。授权还规定了用于登录到边缘服务器的远程用户名。