F5 en SURF bieden veilige toegang tot onderwijs-applicaties

De ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland SURF en F5 Networks gaan onderwijsinstellingen samen veilig toegang geven tot applicaties en IT-diensten. De SURFsecureID en F5 BIG-IP platformen kunnen op elkaar worden aangesloten voor een meervoudige authenticatie van gebruikers.

SURF voorziet studenten, docenten en onderzoekers in Nederland van ICT-voorzieningen voor onderzoek en talentontwikkeling. SURFsecureID zorgt voor veilige toegang tot de online diensten via meervoudige authenticatie met bijvoorbeeld SMS, mobiele app of USB hardware sleutel. Dit is vooral van belang bij applicaties die gevoelige data verwerken. F5 BIG-IP biedt een flexibele Application Delivery Controller (ADC) die gebruikt kan worden voor betere beveiliging, prestaties en beschikbaarheid van applicaties. BIG-IP werkt ook als authenticatie- en autorisatieplatform, en vormt in die hoedanigheid een goede aanvulling op SURFsecureID om de veilige toegang tot diensten en/of applicaties te verlenen.

Programmeerbaarheid

SURFsecureID gebruikt voor authenticatie het SAML 2.0 protocol. SAML (Security Assertion Markup Language) is een open standaard en biedt een op XML gebaseerd framework dat gebruikt wordt voor het uitwisselen van authenticatie- en autorisatiegegevens tussen verschillende domeinen. Hierbij zijn er twee rollen: SAML Identity Provider voor de authenticatie en SAML Service Provider voor de ontsluiting van een dienst. Er heeft inmiddels een succesvolle pilot plaats gevonden bij een Universitair Medisch Centrum, waarbij F5 BIG-IP werd ingezet voor de validatie van de user-id en het wachtwoord van een gebruiker (de eerste authenticatiefactor), om vervolgens na verificatie te worden doorgestuurd naar SURFsecureID om de tweede factor voor zijn rekening te nemen. Na een correcte authenticatie daar krijgt de gebruiker veilig toegang tot de achterliggende service.

Het F5 BIG-IP platform is programmeerbaar, wat het mogelijk maakt applicaties te optimaliseren met services op maat. Hierbij wordt de scripting taal iRules LX gebruikt. SAML kan aan de verzendende zijde anders geïmplementeerd zijn dan aan de ontvangende zijde. Voor een goed werkende koppeling moeten de SAML opties aan beide zijden goed op elkaar afgestemd zijn. Dat bleek ook in de pilot het geval, waarbij dankzij de programmeerbaarheid een goede aansluiting kon worden gerealiseerd.

iRules LX

Voor deze programmeerbaarheid wordt iRules LX gebruikt. iRules LX is gebaseerd op Node.js en kan hierdoor real time controle over het netwerkverkeer bieden. JavaScript-ontwikkelaars kunnen Node.js code met elkaar delen en hergebruiken, waardoor ook het updaten van de code eenvoudig is. De oplossing maakt het dankzij zijn flexibiliteit mogelijk de integratie met SURFsecureID rechtstreeks te realiseren, zonder dat hiervoor additionele componenten zoals extra proxies nodig zijn. Ook kan de F5-oplossing op deze manier afdwingen dat bepaalde groepen binnen de instelling gebruik moeten maken van een tweede authenticatiefactor via SURFsecureID of juist niet, in combinatie met de applicatie waar men naar toe wil.

Peter Clijsters, product manager bij SURF: “SURFsecureID biedt meervoudige authenticatie en kan dus applicaties extra veilig ontsluiten, maar verschillende instellingen werken met andere platformen zoals F5 BIG-IP. We hebben nu gerealiseerd dat die twee elkaar niet alleen begrijpen, maar ook aanvullen om de beveiliging van applicaties en gegevens op een nog hoger niveau te krijgen.”

'Programmeerbaarheid is cruciaal'

Jan-Bart Hilhorst, public sector account manager bij F5 Networks: "Programmeerbaarheid is cruciaal voor een flexibele netwerkomgeving. BIG-IP levert vanuit zichzelf enorm veel functionaliteit die dankzij iRules op maat kan worden toegepast. Op die manier is er altijd wel een oplossing te vinden. De koppeling met SURFsecureID is daar een treffend voorbeeld van. Een mooie toepassing die security bij veel onderwijs- en onderzoeksinstellingen op een eenvoudige manier op een hoger niveau kan brengen.”