Akamai は、一連の方針や手順を保守して、お客様のデータを安全に送信するネットワークを管理します。従業員が自分の業務に必要なアクセス権限のみを持つことを保証する制御、役割、責任を定めた展開済みネットワーク・アクセス・ポリシーを設けて適用します。

ポリシーは、Akamai が展開したネットワークへの書き込み可能アクセス(ルートまたは管理者アクセス)に適用されます。このネットワークには、外部 IP アドレスを持ち、プラットフォーム運用担当によってすべてのアクセスが管理される一連のサーバーがあります。すべてのアクセスは、承認された担当者に制限され、従業員の必要性と役割に依存します。プラットフォーム運用担当のバイスプレジデントのみが例外を承認できます。

特定のレベルのアクセスを必要とするすべての従業員は、定期監査のための文書によって、事前に承認を受ける必要があります。デフォルトの承認が行使されるときは常に、従業員のマネージャーが通知を受ける必要があります。マネージャーは許可が発行されてから適切な時間内にこの通知を確認する必要があり、確認は標準の承認とまったく同様に文書化される必要があります。

このポリシーの対象となるマシンへのルートアクセスを必要とする従業員および事前に承認されている役割グループのメンバーではない従業員は、指定されたマシンのリストに対する時間制限付きアクセスを要求できます。これらの場合、このポリシーの対象となるマシンに対するすべての一時的なアクセス許可は、承認された担当者に制限される必要があります。アクセスを要求する従業員は、従業員のマネージャー、プラットフォーム運用シニアエンジニア、およびネットワーク所有者またはインシデントマネージャーによって承認された要求を所有している必要があります。

勤務記録の保持は、アクセス制御ポリシーの主要部分です。プラットフォーム運用部門は、従業員が時間制限付きネットワークアクセスを受け取った各インスタンスの監査可能な記録を保持する必要があります。

この記録には、NOCC からの指定された質問に対する回答、認証の承認、発行された許可の一意の ID が含まれます。

アクセス制御を管理するもう 1 つの手段は Authgate です。これは、制限付き SSH を使用してエッジマシンにアクセスするための、Akamai が開発したシステムであり、マシンの種類またはユーザーが 1 日にアクセスしたマシンの数に基づいて、ユーザーのアクセスを許可または禁止できます。Authgate のすべてのアカウントおよび展開されたネットワークアクセスは、NOCC によって管理されます。

すべての従業員の SSH ID をすべての実稼働サーバーに置くことはセキュリティおよびロジスティックの点で大きな問題であり、アクセス制御もレポートもほとんど行われません。Authgate では、Authgate の SSH ID だけがエッジマシンへのアクセスを許可されます。従業員は gwsh(SSH のラッパー)を介して Authgate に接続し、Authgate は接続をエッジマシンに転送するかどうかを制御します。Authgate によるアクセスは付与を使用して制御されます。付与は authgate-ui を使用して管理されます。すべての付与は単一のファイル(付与ファイル)に記録されます。基本的に、付与は、特定の期間だけ、特定のクラスのマシンに対する、特定のクラスのユーザーアクセスを許可します。また、付与ではエッジサーバーへのログインに使用されるリモートユーザー名も定義されています。