Akamai dispone di una serie di policy e procedure per gestire la rete che trasmette in modo protetto i dati dei clienti. Disponiamo e applichiamo una policy di accesso alla rete implementata che delinea controlli ruoli e responsabilità, assicurando che solo i dipendenti abbiano i privilegi di accesso necessari a svolgere il proprio lavoro.

La policy è pertinente all'accesso abilitato alla scrittura (root o amministratore) alla rete implementata di Akamai, un insieme si server con indirizzo IP esterno e il cui accesso è controllato da Platform Operations. Qualsiasi accesso è limitato al personale autorizzato e dipende dalla necessità e dal ruolo del dipendente. Solo il vice president di platform operations può approvare le eccezioni.

Qualsiasi dipendente che necessiti di uno specifico livello di accesso deve essere autorizzato in anticipo, con le approvazioni documentate per le normali revisioni. Il responsabile del dipendente deve ricevere notifica ogniqualvolta venga esercitata un'approvazione predefinita. Il manager deve accusare ricevuta di tale notifica entro un tempo ragionevole dopo l'emissione della concessione e il riscontro deve essere documentato allo stesso modo delle approvazioni standard.

Coloro che richiedono l'accesso root ai sistemi ai sensi della presente policy e che non sono membri di un gruppo di ruoli pre-approvati, possono richiedere l'accesso per un periodo di tempo limitato per un elenco specifico di sistemi. In tali casi, qualsiasi concessione di accesso ai sistemi ai sensi della presente Policy deve essere limitata al personali autorizzato. Il dipendente che richiede l'accesso deve avere la richiesta approvata dal proprio responsabile, da un un Senior Engineer di Platform Operations, un titolare di rete o da un Incident Manager.

La diligente conservazione delle registrazioni costituisce una parte fondamentale delle policy riguardanti il controllo dell'accesso. Platform Operations deve mantenere una registrazione idonea alla revisione di ciascuna istanza in cui qualcuno abbia ricevuto accesso alla rete a tempo limitato.

Tale registrazione comprende risposte a specifiche domande da parte del NOCC, approvazione di autenticazione e un ID univoco per la concessione emessa.

Un altro metodo tramite il quale gestiamo il controllo dell'accesso è attraverso Authgate, un sistema sviluppato da Akamai per l'accesso ai sistemi edge tramite SSH con limitazioni che possono consentire o non consentire l'accesso all'utente in base al tipo di sistema o al numero di sistemi ai quali ha avuto accesso tale utente in un giorno. Tutti gli account in Authgate e gli accessi alla rete implementata sono gestiti dal NOCC.

Assegnare un'identità ssh a tutti i dipendenti su tutti i server di produzione sarebbe un incubo in termini di sicurezza (ma anche in termini logistici), offrendo uno scarsissimo controllo dell'accesso e scarso reporting. Con Authgate, è consentito l'accesso ai sistemi edge solo alle identità ssh di Authgate. I dipendenti si collegano ad authgate tramite gwsh (un wrapper attorno a ssh) e authgate controlla se la connessione è inoltrata o no al sistema edge. L'accesso tramite Authgate è controllato mediante concessioni. Le concessioni sono gestite mediante authgate-ui. Tutte le concessioni sono contenute all'interno di un singolo (il file delle concessioni). In pratica, una concessione consente a una determinata classe di utenti l'accesso a una determinata classe di sistemi per un determinato periodo di tempo. Le concessioni definiscono inoltre il nome utente remoto utilizzato per accedere al server edge.