Akamai utilise une série de politiques et de procédures destinées à gérer le réseau de transmission sécurisée des données des clients. Nous gérons et appliquons une politique d'accès au réseau déployé décrivant les contrôles, les rôles et les responsabilités qui permettent de garantir que les employés disposent uniquement des privilèges nécessaires à la réalisation de leurs tâches.

La politique s'applique à l'accès en écriture (root ou administrateur) au réseau déployé d'Akamai, une série de serveurs dotés d'adresses IP externes et dont l'accès est contrôlé par le service Platform Operations. Tout accès est limité au personnel autorisé et est défini en fonction des besoins et du rôle de l'employé. Seul le vice-président du service Platform Operations est habilité à autoriser des exceptions.

Tout employé qui recherche un niveau d'accès spécifique doit y être préalablement autorisé, recevoir des approbations consignées et faire l'objet d'audits réguliers. Le chef de service de l'employé doit être informé chaque fois qu'une approbation par défaut est appliquée. Il doit accuser réception de cette notification dans un délai raisonnable suivant l'application de l'approbation et documenter l'accusé de réception de façon identique aux approbations standard.

Les employés nécessitant un accès root (mode Expert) sur les machines couvertes par cette politique et qui ne sont pas membres d'un groupe de rôles pré-approuvé peuvent en soumettre la demande, pour une période spécifique et pour une liste prédéfinie de machines. Dans ces cas, tous les droits d'accès temporaires octroyés aux machines couvertes par cette politique doivent être limités au personnel autorisé. La demande d'accès doit être approuvée par le chef de service de l'employé, un Senior Engineer du service Platform Operations, ainsi que par le propriétaire du réseau ou un gestionnaire d'incident.

La conservation minutieuse des dossiers est un élément essentiel des politiques de contrôle d'accès. Le service Platform Operations doit tenir un registre vérifiable de toutes les autorisations d'accès réseau octroyées pour une période spécifique.

Ce registre contient notamment les réponses aux questions spécifiques provenant du NOCC (Network Operation Command Center), l'approbation d'authentification et un ID unique réservé à cette autorisation.

La gestion du contrôle d'accès peut également s'effectuer via Authgate, un système développé par Akamai pour accéder, via SSH, aux machines haute technologie, avec des restrictions dictant les autorisations ou interdictions d'accès utilisateur, en fonction du type de machine ou du nombre de machines auxquelles l'utilisateur a accédé en un jour. Tous les comptes Authgate, ainsi que l'accès au réseau déployé, sont gérés par le NOCC.

Mettre une identité SSH à la disposition de tous les employés et sur tous les serveurs de production constituerait un véritable cauchemar en termes de sécurité et de logistique, étant donné les restrictions concernant le manque de contrôle d'accès et l'établissement de rapports. Avec Authgate, seule l'identité SHH d'Authgate est autorisée à accéder aux machines haute technologie. Les employés se connectent à Authgate en utilisant gwsh (enveloppeur de SSH) et les contrôles Authgate, que la connexion soit transmise ou non à la machine haute technologie. L'accès via Authgate est contrôlé par des droits d'accès. Les droits d'accès sont gérés via l'interface utilisateur d'Authgate. Toutes les droits d'accès sont centralisés dans un fichier unique (fichier des droits d'accès). En substance, les droits d'accès permettent à une classe d'utilisateurs spécifique d'accéder à une classe de machines spécifique pour une période spécifique. Les droits d'accès déterminent également le nom d'utilisateur distant utilisé pour se connecter au serveur.