Akamai mantiene una serie de políticas y procedimientos para gestionar la red por la que se transmiten los datos de los clientes de forma segura. Mantenemos y hacemos cumplir una política de acceso a la red desplegada que establece los controles, las funciones y las responsabilidades que garantizan que los empleados solo tienen los privilegios de acceso necesarios para realizar su trabajo.

La política se aplica al acceso habilitado mediante escritura (raíz o administrador) a la red implementada de Akamai, un conjunto de servidores que tienen direcciones IP externas y cuyo acceso está controlado por Operaciones de Plataforma. Todo el acceso está limitado al personal autorizado y depende de la necesidad y de la función del empleado. Solo el vicepresidente de Operaciones de Plataforma puede autorizar excepciones.

Cualquier empleado que busque un nivel específico de acceso deberá ser autorizado de antemano y las autorizaciones se documentarán para las auditorías periódicas. El responsable del empleado debe ser notificado siempre que se aplique una autorización predeterminada. El responsable debe confirmar esta notificación en un plazo de tiempo razonable después de emitirse la concesión, y la confirmación debe documentarse igual que las autorizaciones estándar.

Aquellos que necesiten acceso a la raíz de los equipos protegidos por esta política y que no sean miembros de un grupo de funciones preautorizados, pueden solicitar el acceso por un tiempo limitado a una lista de equipos especificada. En esos casos, todas las concesiones de acceso temporal a los equipos protegidos por esta política deben limitarse al personal autorizado. El empleado que solicita el acceso debe tener la solicitud autorizada por el responsable del empleado, un Ingeniero Senior de Operaciones de Plataforma y un Propietario de Red o un Gestor de Incidencias.

Mantener el registro de forma diligente es una parte esencial de las políticas de control de acceso. Operaciones de Plataforma debe mantener un registro auditable de cada ocasión en que alguien recibió acceso a la red por tiempo limitado.

Este registro incluirá respuestas a preguntas específicas del NOCC, la autorización de la autenticación y un identificador único para la concesión emitida.

Otra forma de gestionar el control de acceso es a través de Authgate, un sistema desarrollado por Akamai para acceder a los equipos Edge mediante SSH, con restricciones que pueden permitir o denegar el acceso de los usuarios en función del tipo de equipo o del número de equipos a los que el usuario ha accedido en un día. El NOCC gestiona todas las cuentas de Authgate y el acceso a la red desplegada.

Asignar una identidad ssh a todos los empleados en todos los servidores de producción sería una pesadilla para la seguridad (y también una pesadilla logística), que ofrece muy poco control de acceso y muy pocos informes. Con Authgate, solo la identidad ssh de Authgate tiene permiso para acceder a los equipos Edge. Los empleados se conectan a authgate mediante gwsh (un contenedor de ssh) y authgate controla si la conexión se reenvía o no al equipo Edge. El acceso a través Authgate se controla mediante concesiones. Las concesiones se gestionan mediante authgate-ui. Todas las concesiones se encuentran en un solo archivo (el archivo Grants). Básicamente, una concesión permite a una determinada clase de usuarios acceder a una determinada clase de equipos durante un periodo de tiempo determinado. Las concesiones también definen el nombre de usuario que se utiliza para iniciar sesión en el servidor Edge.