Akamai는 고객 데이터를 전송하는 네트워크를 안전하게 관리하기 위해 일련의 정책 및 절차를 유지합니다. 당사에서는 직원들에게 업무 수행에 필요한 액세스 권한만 부여되도록 관리, 역할 및 책임을 규정하는 배포 네트워크 액세스 정책(Deployed Network Access Policy)을 유지해 시행하고 있습니다.

이 정책은 외부 IP 주소를 사용하고 Platform Operations 팀에서 액세스를 관리하는 서버 집합인 Akamai 배포 네트워크에 대한 쓰기 가능한(루트 또는 관리자) 액세스에 적용됩니다. 모든 액세스는 승인된 직원에게만 제한되고 해당 직원의 요구와 역할에 따라 달라집니다. 오로지 Vice President of Platform Operations만 예외 사항을 승인할 수 있습니다.

특정 수준의 액세스 권한이 필요한 직원은 정기적인 감사를 위해 문서화되는 승인서를 통해 미리 승인받아야 합니다. 기본 승인이 행사될 때마다 해당 직원의 관리자에게 통지되어야 합니다. 관리자는 허가 후 합당한 기간 내에 이러한 통지를 받았음을 인정해야 하며, 이러한 인정 내용을 표준 승인과 동일하게 문서화해야 합니다.

본 정책이 적용되는 장비에 대한 루트 액세스가 필요지만 사전 승인된 역할 그룹의 일원이 아닌 사람들은 지정된 장비 목록에 대해 한시적인 액세스 권한을 요청할 수 있습니다. 이러한 경우 본 정책이 적용되는 장비에 부여되는 모든 임시 액세스 권한은 승인된 직원에게만 한정됩니다. 액세스 권한을 요청하는 직원은 직원의 관리자, Platform Operations Senior Engineer, 네트워크 소유자 또는 인시던트 관리자에게 요청을 승인받아야 합니다.

성실한 기록은 액세스 제한 정책에서 필수적인 부분입니다. Platform Operations 부서는 특정인에게 한시적인 네트워크 액세스 권한이 부여되는 모든 사례를 감사를 대비해 기록해 두어야 합니다.

이러한 기록에는 NOCC에서 규정한 질문에 대한 답변, 인증 승인 및 액세스 허가가 발급된 대상의 고유한 ID가 포함되어야 합니다.

Akamai는 장비 유형 또는 사용자가 하루에 액세스한 장비 수에 따라 사용자에게 액세스를 허용하거나 허용하지 않는 제한을 적용해 SSH를 통해 Edge 장비에 액세스하는 Akamai에서 개발한 시스템인 Authgate를 통해서도 액세스를 관리합니다. Authgate 및 배포된 네트워크 액세스의 모든 계정은 NOCC에서 관리합니다.

모든 생산 서버의 직원 전체에게 ssh ID를 부여하는 것은 보안과 물류 두 가지 면에서 매우 바람직하지 않습니다. 액세스를 거의 제어할 수 없고 보고도 거의 이루어지지 않기 때문입니다. Authgate를 사용하면 Authgate의 ssh ID에만 Edge 장비에 대한 액세스가 허용됩니다. 직원들이 gwsh(ssh를 아우르는 래퍼)를 통해 Authgate에 연결하면, Authgate에서 해당 연결을 Edge 장비로 전달할지 여부를 제어합니다. Authgate를 통한 액세스는 허가(Grant)를 통해 제어됩니다. 허가는 authgate-ui를 사용해 관리합니다 모든 허가는 단일 파일(허가 파일)에 포함됩니다. 기본적으로 허가를 통해 지정된 사용자 등급은 지정된 기간 동안 지정된 장비 등급에 액세스할 수 있습니다. 허가는 엣지 서버에 로그인하는 데 사용되는 원격 사용자 이름도 정의합니다.