Programmeerbaarheid vormt sleutel tot succes
SURF, de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland en F5 Networks werken samen om onderwijsinstellingen veilig toegang te geven tot applicaties en IT-diensten. De SURFsecureID en F5 BIG-IP platformen kunnen op elkaar worden aangesloten voor een meervoudige authenticatie van gebruikers.
SURF voorziet studenten, docenten en onderzoekers in Nederland over de best mogelijke ICT-voorzieningen voor toponderzoek en talentontwikkeling. SURFsecureID zorgt voor veilige toegang tot de online diensten via meervoudige authenticatie met bijvoorbeeld SMS, mobiele app of USB hardware sleutel. Dit is vooral van belang bij applicaties die gevoelige data verwerken. F5 BIG-IP biedt een flexibele Application Delivery Controller (ADC) die gebruikt kan worden voor betere beveiliging, prestaties en beschikbaarheid van applicaties. BIG-IP werkt ook als authenticatie- en autorisatieplatform, en vormt in die hoedanigheid een goede aanvulling op SURFsecureID om de veilige toegang tot diensten en/of applicaties te verlenen.
Programmeerbaarheid
SURFsecureID gebruikt voor authenticatie het SAML 2.0 protocol. SAML (Security Assertion Markup Language) is een open standaard en biedt een op XML gebaseerd framework dat gebruikt wordt voor het uitwisselen van authenticatie- en autorisatiegegevens tussen verschillende domeinen. Hierbij zijn er twee rollen: SAML Identity Provider voor de authenticatie en SAML Service Provider voor de ontsluiting van een dienst. Er heeft inmiddels een succesvolle pilot plaats gevonden bij een Universitair Medisch Centrum, waarbij F5 BIG-IP werd ingezet voor de validatie van de user-id en het wachtwoord van een gebruiker (de eerste authenticatiefactor), om vervolgens na verificatie te worden doorgestuurd naar SURFsecureID om de tweede factor voor zijn rekening te nemen. Na een correcte authenticatie daar krijgt de gebruiker veilig toegang tot de achterliggende service.
Real time controle netwerkverkeer
De kracht van de F5 BIG-IP zit onder andere in de programmeerbaarheid van het platform waardoor applicaties zijn te optimaliseren met services op maat. Hierbij wordt de scripting taal iRules LX gebruikt. SAML kan aan de verzendende zijde anders geïmplementeerd zijn dan aan de ontvangende zijde. Voor een goed werkende koppeling moeten de SAML opties aan beide zijden goed op elkaar afgestemd zijn. Dat bleek ook in de pilot het geval. Programmeerbaarheid vormde de oplossing om een naadloze aansluiting te realiseren.
Voor deze programmeerbaarheid wordt iRules LX gebruikt. iRules LX is gebaseerd op Node.js en kan hierdoor real time controle over het netwerkverkeer bieden. JavaScript-ontwikkelaars kunnen Node.js code met elkaar delen en hergebruiken, waardoor ook het updaten van de code eenvoudig is. De oplossing is zo flexibel geworden dat de integratie met SURFsecureID rechtstreeks kan plaatsvinden en er geen additionele componenten zoals extra proxies meer nodig zijn. Ook kan de F5-oplossing op deze manier afdwingen dat bepaalde groepen binnen de instelling gebruik moeten maken van een tweede authenticatiefactor via SURFsecureID of juist niet, in combinatie met de applicatie waar men naar toe wil.
Peter Clijsters, product manager bij SURF: “SURFsecureID biedt meervoudige authenticatie en kan dus applicaties extra veilig ontsluiten, maar verschillende instellingen werken met andere platformen zoals F5 BIG-IP. We hebben nu gerealiseerd dat die twee elkaar niet alleen begrijpen, maar ook aanvullen om de beveiliging van applicaties en gegevens op een nog hoger niveau te krijgen.”
Jan-Bart Hilhorst, public sector account manager bij F5 Networks: “Programmeerbaarheid is cruciaal voor een flexibele netwerkomgeving. BIG-IP levert vanuit zichzelf enorm veel functionaliteit die dankzij iRules op maat kan worden toegepast. Op die manier is er altijd wel een oplossing te vinden. De koppeling met SURFsecureID is daar een treffend voorbeeld van. Een mooie toepassing die security bij veel onderwijs- en onderzoeksinstellingen op een eenvoudige manier op een hoger niveau kan brengen.”