Akamai hat eine Reihe von Richtlinien und Verfahren eingerichtet, um das Netzwerk für die sichere Übertragung von Kundendaten zu verwalten. Wir verwalten und setzen eine Zugriffsrichtlinie für bereitgestellte Netzwerke durch, die Steuerungen, Rollen und Verantwortlichkeiten festlegt. So wird sichergestellt, dass Mitarbeiter nur die für ihre Arbeit erforderlichen Zugriffsrechte erhalten.

Die Richtlinie gilt für den Schreibzugriff (Root oder Administrator) auf das bereitgestellte Netzwerk von Akamai – eine Ansammlung von Servern mit externen IP-Adressen, deren Zugriff von Platform Operations gesteuert wird. Die Richtlinie gilt nur für autorisierte Mitarbeiter und hängt vom Bedarf und der Rolle des jeweiligen Mitarbeiters ab. Nur der Vizepräsident des Plattformbetreibers kann Ausnahmen genehmigen.

Jeder Mitarbeiter, der eine bestimmte Zugriffsebene beantragt, muss im Voraus genehmigt werden. Solche Genehmigungen müssen zur regelmäßigen Überprüfung dokumentiert werden. Der Vorgesetzte des Mitarbeiters muss über jede Erteilung einer Standardgenehmigung benachrichtigt werden. Der Vorgesetzte muss diese Benachrichtigung innerhalb eines angemessenen Zeitraums nach Erteilung des Privilegs bestätigen. Diese Bestätigung wird wie bei den standardmäßigen Genehmigungen dokumentiert.

Mitarbeiter, die Root-Zugriff auf Geräte benötigen, die von dieser Richtlinie abgedeckt werden und die keine Mitglieder einer vorab genehmigten Rollengruppe sind, können den Zugriff auf eine bestimmte Liste von Geräten für eine bestimmte Zeitspanne anfordern. In solchen Fällen müssen alle vorübergehenden Zugriffsprivilegien für Geräte, die von dieser Richtlinie abgedeckt sind, auf autorisierte Mitarbeiter beschränkt werden. Der Mitarbeiter, der den Zugriff anfordert, muss die Anforderung von seinem Vorgesetzten, einem Platform Operations Senior Engineer und einem Netzinhaber oder einem Incident Manager genehmigen lassen.

Sorgfältige Aufzeichnungen sind ein wichtiger Bestandteil der Richtlinien für die Zugriffskontrolle. Der Plattformbetreiber muss eine prüfbare Aufzeichnung über jede Gewährung eines zeitlich beschränkten Netzwerkzugriffs führen.

Diese Aufzeichnung umfasst Antworten auf bestimmte Fragen des NOCC, die Authentifizierungsgenehmigung und eine einzigartige ID für das erteilte Privileg.

Zudem verwalten wir die Zugriffskontrolle über Authgate, ein von Akamai entwickeltes System für den Zugriff auf Edge-Geräte über SSH mit Einschränkungen, die den Benutzerzugriff basierend auf dem Gerätetyp oder der Anzahl der Geräte, auf die der Benutzer an einem Tag zugegriffen hat, gewähren oder nicht gewähren können. Alle Konten in Authgate und der Zugriff auf bereitgestellte Netzwerke werden vom NOCC verwaltet.

Die Einrichtung einer SSH-Identität für alle Mitarbeiter auf allen Produktionsservern wäre ein sicherheitstechnischer Alptraum (und zudem ein logistisches Problem). Auch würde dies eine zu geringe Zugriffskontrolle und Berichterstattung ermöglichen. Mit Authgate erhält nur die SSH-Identität von Authgate Zugriff auf die Edge-Maschinen. Mitarbeiter stellen über GWSH (dies ist ein Wrapper um SSH) eine Verbindung zu Authgate her und Authgate steuert, ob die Verbindung an das Edge-Gerät weitergeleitet wird oder nicht. Der Zugriff über Authgate wird mittels Privilegien gesteuert. Privilegien werden über die Benutzeroberfläche von Authgate verwaltet. Alle Privilegien sind in einer einzigen Datei (der Privilegiendatei) enthalten. Im Wesentlichen gestattet ein Privileg einer bestimmten Benutzerklasse für einen festgelegten Zeitraum Zugriff auf eine spezifische Art von Geräten. Privilegien legen auch den Remote-Benutzernamen fest, der für die Anmeldung beim Edge-Server verwendet wird.